我班門弄斧，拋磚引玉一下。我從迅雷網絡到美的集團，同樣是負責信息安全，但兩者給我的感覺差距非常大，聊幾個點：

1、關注的重點不一樣。
這是由企業形態及其核心競爭力所決定的。
互聯網企業的“快”和“廣”特性決定了其面對的威脅是多樣性的，安全領域的對抗范圍及力度都較大；其核心競爭力是品牌及海量用戶。
傳統企業受其信息化程度的影響，對安全的重視程度差別很大；其核心競爭力是品牌、產品和成本。
這決定了互聯網企業和傳統行業對信息安全的關注重點有重合的地方，也有不少差異。重合的大多是一些基礎架構的安全，例如網絡安全，系統安全、應用安全。在互聯網行業，大家更多關注自身業務線及其支撐系統的安全，比如帳號安全，產品安全，內容安全等，另外在基礎架構安全這塊也是高度細化和高度對抗的，比如防DDOS，WEB安全，DNS安全。而傳統行業關注數據防泄密、行為審計、數據備份及基礎架構安全。

2、對信息安全的認識面不一樣。
在互聯網行業里，安全是介于企業與其核心競爭力之間的一個橋梁，安全做好了，有助于提高和保障其核心競爭力，甚至是企業戰略的制高點；安全沒做好，也會很快的看到反面效應，這由它的“快”和“廣”決定的。另外經過各種催化，企業從上到下對信息安全都有一定的認識和重視。舉個大家都知道的例子，看看360是如何從終端安全領域占領搜索、瀏覽器、社區、上網導航、手機、游戲等領域，通過這個制高點，把終端和互聯網的整合的非常好，這個制高點下游的企業都過的心驚膽戰，其中有些公司提前看到了360的威脅，想與之抗衡，不過由于無法占有這個制高點而不得不提心吊膽的活著。具體我就不說太多了。有興趣的朋友可以關注一下360及其競品的占有率情況。

在傳統行業里，就現在來看，大家對安全的認識相對比較保守，安全部門就是一個保障部門。說白了就是和業務沒太大的關系，***有聯系的就是“數據防泄密”。把這個事情做好了，傳統行業里的信息安全問題至少解決了一半，再把數據備份做好了，又解決了1/4。

但信息安全在傳統行業里并不是一文不值，除了防泄密、數據備份及基礎架構之外，其實信息安全在傳統行業里還是大有所有的，這個需要大家自己去思索。

3、工作的思路不一樣
由于上面的兩個“不一樣”，就決定了我們工作的思路需要做轉換：以穩為主。創新并不一定有利于安全工作的開展。切入點方面，也需要結合上面兩個不一樣進行轉換。例如傳統行業“能感知”的威脅不多，能相對量化的風險就更少。如何很好的盤活這個盤子是個很有難度的事情，耐性非常重要。例如SDL（安全開發生命周期）我在迅雷和美的都花大力氣做過，在迅雷的切入點是產品安全，在美的的切入點是應用系統安全（未來或許是物聯網安全），當然兩者的偏向也很明顯，前者重效果，后者重流程。

4、對團隊要求不一樣。
互聯網行業及傳統行業的安全人員都是精英骨干，但是他們所擅長的領域不大一樣。互聯網行業大多自己做事情，講究的是速度、創新和DIY能力，偏IQ，隨著互聯網企業規模的發展，也對其安全人員提出了一定的EQ要求；傳統行業大多是把安全外包出去，磨練的是管人管事的能力，偏EQ，另外對文檔編寫也有較高的要求。

無論在互聯網企業還是傳統企業，團隊在安全圈人脈都非常關鍵，它可以幫助我們事半功倍。

5、對傳統行業安全的展望：物聯網和電子商務

傳統行業做電子商務兩條路，一條是合作運營，一條是獨立運營。前者是與淘寶、支付寶、京東、新蛋等企業合作；后者是自己搭建電子商務平臺，自己聚集客戶。各有利弊，互不沖突。在企業要發展電子商務的情況下，信息安全的地位就有所提升，要求上會向互聯網公司靠攏。

如果說電子商務讓傳統企業的信息安全有所提升，那么物聯網就讓傳統企業信息安全產生了質的變化。一旦傳統企業介入了物聯網，那么信息安全就成為了其核心競爭力了，安全部門的角色及職能都可能發生巨大的轉變。原因很簡單，當我們家的微波爐可以被遠程控制的時候，安全就是最關鍵的問題。想象一下，若干年后的某個夏天，物聯網上出現了一個名為”icebox worm”的蠕蟲，它讓全國范圍內某品牌的冰箱集體統一關機，里面的事物集體變質……嗯，想想就覺得可怕。如果我這個假設成為了實事，那時傳統行業會爆發對SDL人才的需求。

上面我談到的更多的是制造業的信息安全，希望我這個“磚”可以把金融行業及能源行業的“玉”給引出來，想必“玉”才是大家所期待的。
 

【編輯推薦】

1. 點評當前互聯網企業安全團隊現狀
2. 中小企業用戶的上網行為管理解決方案
3. “云安全”下企業終端安全防護