seteuid0's blog
Themed by Diary.
【zz】公司的安全团队

          我来简单介绍下各互联网公司的安全团队吧,不当的地方还望各位补充和指正。 1、为什么互联网公司要有自己的安全团队。 a,公司重视:互联网公司的业务特别依赖于网络,网络的稳定和安全直接关系的公司业务,甚至是公司的市值,因此需要重点保障; b,市场不能完全满足:由于安全公司偏向于传统网络安全,比较关注漏洞、FW、IDS、Scanner、Anti-DDOS、UTM等通用性安全产品和技术的研究,对于互联网公司的业务分析的相对少一些,因此短期内无法满足互联网公司的全部需求,因此在需要得到安全公司的服务外,还有不少安全需求无法解决。 c、和业务结合紧密:互联网公司的安全工作的以公司业务为主要目标,并和公司的业务紧密结合,并要求能落地实施,同时考虑到一些内部机密,不适合外包; 因此大部分都会自己组建安全团队。 2、目前互联网公司安全团队的工作内容、组织架构和人员数量(按公司名字首字母排列) a,阿里: 阿里是我很佩服的一个公司,非常欣赏他们的商业模式,而且最近几年的技术发展非常快。 目前阿里的安全架构分为阿里集团和各公司相结合的模式,即阿里集团的安全部门统一制定安全策略、安全框架和一些安全系统,各公司在此基础上进行推行,也会在此基础上根据业务的特点来做安全工作。 集团目前的安全组织是安全中心,主要工作是反黑客入侵,并且结合阿里的业务特性(以WEB业务为主),因此在系统、web安全方面的研究是国内互联网公司中最深入的,目前团队30来人左右。但是牛人很多,比如刺、云舒、hawk、wzt等等,交流学习氛围非常不错。 推荐:http://hi.baidu.com/aullik5/blog/item/a2fbb110c6950e75ca80c4f8.html b,百度 百度的工程师文化非常强,每次和他们的技术人员聊,他们都显示出了很强的自豪感:) 百度的安全建设相对晚一些,目前在组织架构上是放在系统部下,向系统部总监汇报,人员大概在10多个。基于百度的业务特性,百度的安全人员主要也是以WEB和网络安全为主,对反DDOS和web方面的研究自成一套,保障了百度业务的稳定和快速发展。聚集了晓栋、剑心、firefly等牛人,这次百度DNS的事件,我想应该会让Robin更关注安全方面的工作,因此后续的发展应该会更快。 c,盛大 盛大在安全点的方面建设较早(比如密宝),但体系方面的建设才刚起步,并设立了CSO的职位。 盛大的安全工作可以分为:网络安全、帐号安全为主,还包括支付安全、业务连续性、内控等工作。 网络安全主要以传统的反黑客入侵为主,包括网络安全、系统安全、WEB安全等方面; 帐号安全以保障用户帐号安全为主要目标,包括密宝建设、数据分析、帐号安全体系建设,人工干预等方面; 目前安全团队分散在盛大的各个公司,总共有40来人,包括San、段钢、neeao、召唤等人。 d、腾讯 腾讯是目前国内互联网公司中安全建设较早,投入较大的公司,2005年从运维支持部分离出来,成立了安全中心,目前安全中心人数超过120人。 腾讯公司安全中心的工作包括: a、传统的网络安全; b、帐号安全; c、内容安全(反有害信息) 其他方面的安全如: d、安全政策法规研究 e、内控 f、QQ医生 g、支付安全 则分散在其他相关部门。 由于腾讯的研发能力比较强,因此在安全体系和平台的建设上比较强,开发了自己的WEB扫描器,主机Agent 安全系统,反DDOS 系统,特别值得一提的是他们自己研究出来的网站挂马检测,依托SOSO的爬虫,实时检测互联网的网页,并和多个业务结合,取得了不错的效果。每年举办的安全峰会也取得了一定的成绩。 另外在帐号安全和内容安全方面也取得了较好的技术积累。 腾讯中的牛人包括Coolc、plan9,apollo、xenos、lake等等。 另外sina、sohu、巨人、迅雷、360等互联网公司在安全方面都取得了较好的成绩,由于时间较晚了,我以后再逐步补充。 3、总结 由于最近几年互联网公司发展较快,因此在安全方面的投入较大,同时由于国内法律相对不健全的情况,互联网公司遭遇的安全挑战很大,这也促成了互联网安全团队的快速成长。 但是毕竟术业有专攻,传统的安全公司如绿盟、启明,新型的安全公司如创宇和一些个人在技术方面的研究和积累都是非常深厚的,国际咨询公司在安全管理体系方面的积累也是很强大的。 希望能在大家的一起努力下,加强交流,共同保障互联网的安全。 啊呵呵,作为论坛的新手,很高兴见到这么多老朋友:) 我现在盛大学习,毕竟在互联网公司待了5,6年,也得到了很多朋友的帮忙,所以略微知道一些互联网公司的情况,其中很多情况也不一定是正确的。 补充sina、sohu、巨人、迅雷、360几个公司的简单情况吧: 1、Sina: Sina 一直以来都是很大的门户网站,受到的安全挑战也是蛮大的,因此他们成立安全团队也是比较早的,我记得shellcode,cy几个人好像都在sina,他们的脚本检测能力都是非常不错的:) 2、sohu: Sohu 的安全按照我的理解可以分为3个阶段: 第一阶段好像并不是特别重视;第2阶段为了准备奥运,因此在这块投入了不少人力物力,积累也特别快,在整个奥运过程中,他们也是作出了非常不错的成绩的,蜘蛛(cu的负责人)、杨勇等好多人都在这个团队中; 第3阶段是搜狐的畅游,由于游戏增长很快,因此他们在游戏的安全方面也增强了不少。 原来运维和安全的负责人周总升到了VP,我想对安全和运维的投入也应该会更强。 3、迅雷 前几年迅雷的发展非常快,然而在2008年左右,一系列的客户端漏洞被公布出来。这个时候包子加入到迅雷成立了安全团队,并增加了小胖等学习能力非常不错的年轻人,取得了较好的成绩。 特别值得一提的是迅雷在内部推广SDL方面还是取得了非常好的成绩的,目前相对来说迅雷的客户端还是比较安全的。 4、360 360从业务来讲,是做安全行业的,因此他的安全团队和其他互联网安全团队有点不太一样,360的安全团队更多的是focus 在系统这一块,并且招揽了一大批国内在内核、杀毒方面非常强的人,像pjf、墨者团队和mj等,都是技术非常不错的人。 从以上的分析可以看出,每个互联网公司的安全团队都是比较有鲜明特点的,比如阿里和百度,由于他们公司的业务模式比较偏多于web,因此他们的安全积累比较多的在web方面;迅雷和腾讯则是以客户端起家的,因此安全团队在客户端方面就会比较关注,如软件的安全检测、fuzzing,漏洞报告机制以及软件漏洞自动补丁升级机制就会考虑的多一些;盛大以游戏起家,因此就会更多关注游戏的安全;而360是以反流氓和木马起家的,因此在内核的研究上就会有更多的积累。 另外有一点,我特别感受深刻的是: 安全毕竟是支持部门,因此必须要紧密结合业务,这样安全人员的发展空间才会更大,安全人员在公司的地位才会更高,安全人员为企业创造的价值也才会越大。 比如我在腾讯,刚开始以传统的网络安全为切入点,后续稳定下来后,公司对安全的重视就会降低;因此我们就趁机关注在反盗号上,为公司解决了最为头疼的盗号问题;再往后,发现内容安全越来越成为重点,因此又组建团队深入到内容安全方面的工作中。 只有这样,我们安全人员才能解决企业头疼的问题,发挥自身的价值,同时也获得公司的认可,我们的职业发展才能更好。 比如sina 目前以后可以发展的安全方向就是内容安全(用户评论、微博),云安全(sina推出了app engine); 阿里除了传统的网络安全外,很关心的就是支付风控(帐号被盗、欺诈)、云安全(阿里云是个很大的团队); 百度除了传统的安全外,点击欺诈是公司很关注的一点,如果能解决这里的问题,对百度的安全团队也是个很大的提升。 我们盛大的安全会在微支付、云计算、物联网方面遭遇很大的安全挑战,也真是因为这样的挑战,我们才能有更大的发展空间:)