1）網(wǎng)絡(luò)安全：基礎(chǔ)、狹義但核心的部分，以計(jì)算機(jī)（PC、服務(wù)器、小型機(jī)、BYOD……）和網(wǎng)絡(luò)為主體的網(wǎng)絡(luò)安全，主要聚焦在純技術(shù)層面。 2）平臺(tái)和業(yè)務(wù)安全：跟所在行業(yè)和主營(yíng)業(yè)務(wù)相關(guān)的安全管理，例如反欺詐，不是純技術(shù)層面的內(nèi)容，是對(duì)基礎(chǔ)安全的拓展，目的性比較強(qiáng)，屬于特定領(lǐng)域的安全，不算廣義安全。 3）廣義的信息安全：以IT為核心，包括廣義上的“Information”載體：除了計(jì)算機(jī)數(shù)據(jù)庫(kù)以外，還有包括紙質(zhì)文檔、機(jī)要，市場(chǎng)戰(zhàn)略規(guī)劃等經(jīng)營(yíng)管理信息、客戶(hù)隱私、內(nèi)部郵件、會(huì)議內(nèi)容、運(yùn)營(yíng)數(shù)據(jù)、第三方的權(quán)益信息等，但凡你想得到的都在其中，加上泛“Technology”的大安全體系。 4）IT風(fēng)險(xiǎn)管理、IT審計(jì)&內(nèi)控：對(duì)于中大規(guī)模的海外上市公司而言，有諸如SOX-404這樣的合規(guī)性需求，財(cái)務(wù)之外就是IT，其中所要求的在流程和技術(shù)方面的約束性條款跟信息安全管理重疊，屬于外圍和相關(guān)領(lǐng)域，而信息安全管理本身從屬于IT風(fēng)險(xiǎn)管理，是CIO視角下的一個(gè)子領(lǐng)域。 5）業(yè)務(wù)持續(xù)性管理：BCM（Business Continuity Management）不屬于以上任何范疇，但又跟每一塊都有交集，如果你覺(jué)得3）和4）有點(diǎn)虛，那么BCM絕對(duì)是面向?qū)嵅俚念I(lǐng)域。最近，有網(wǎng)易、中有支付寶、后有攜程，因?yàn)楦鞣N各樣的原因業(yè)務(wù)中斷，損失巨大都屬于BCM的范疇。 狹義安全主要對(duì)接運(yùn)維開(kāi)發(fā)等技術(shù)面公司同僚，但是廣義安全會(huì)對(duì)接整個(gè)公司的各個(gè)部門(mén)，對(duì)于溝通面的挑戰(zhàn)來(lái)說(shuō)，又上了一個(gè)新的臺(tái)階，在我看來(lái)這主要取決于安全的領(lǐng)隊(duì)人物自己擁有什么樣的知識(shí)結(jié)構(gòu)以及他的推動(dòng)能力如何。 在互聯(lián)網(wǎng)行業(yè)，安全工作可以概括為以下幾個(gè)方面： ? 信息安全管理（設(shè)計(jì)流程、整體策略等），這部分工作約占總量的10%，比較整體，跨度大，但工作量不多。 ? 基礎(chǔ)架構(gòu)與網(wǎng)絡(luò)安全：IDC、生產(chǎn)網(wǎng)絡(luò)的各種鏈路和設(shè)備、服務(wù)器、大量的服務(wù)端程序和中間件，數(shù)據(jù)庫(kù)等，偏運(yùn)維側(cè)，跟漏洞掃描、打補(bǔ)丁、ACL、安全配置、網(wǎng)絡(luò)和主機(jī)入侵檢測(cè)等這些事情相關(guān)性比較大，約占不到30%的工作量。 ? 應(yīng)用與交付安全：對(duì)各BG、事業(yè)部、業(yè)務(wù)線自研的產(chǎn)品進(jìn)行應(yīng)用層面的安全評(píng)估，代碼審計(jì)，滲透測(cè)試，代碼框架的安全功能，應(yīng)用層的防火墻，應(yīng)用層的入侵檢測(cè)等，屬于有點(diǎn)“繁瑣”的工程，“撇不掉、理還亂”，大部分甲方團(tuán)隊(duì)都沒(méi)有足夠的人力去應(yīng)付產(chǎn)品線交付的數(shù)量龐大的代碼，沒(méi)有能力去實(shí)踐完整的SDL，這部分是當(dāng)下比較有挑戰(zhàn)的安全業(yè)務(wù)，整體比重大于30%，還在持續(xù)增長(zhǎng)中。 ? 業(yè)務(wù)安全：上面提到的2），包括賬號(hào)安全、交易風(fēng)控、征信、反價(jià)格爬蟲(chóng)、反作弊、反bot程序、反欺詐、反釣魚(yú)、反垃圾信息、輿情監(jiān)控（內(nèi)容信息安全）、防游戲外掛、打擊黑色產(chǎn)業(yè)鏈、安全情報(bào)等，是在“吃飽飯”之后“思淫欲”的進(jìn)階需求，在基礎(chǔ)安全問(wèn)題解決之后，越來(lái)越受到重視的領(lǐng)域。整體約占30%左右的工作量，有的甚至大過(guò)50%。這里也已經(jīng)紛紛出現(xiàn)乙方的創(chuàng)業(yè)型公司試圖解決這些痛點(diǎn)。