创业型公司一定需要CSO吗？

  主要差异表现在是否少量的进入自己发明轮子的时代，即安全建设需要依托于自研，而非采用商业解决方案或依赖于开源工具的实现。上一篇提到金融行业的高本钱安全整体方案险些全都依赖于商业方案，这是跟大型互联网安全建设有很大的区别，假定金融行业的CSO去互联网公司大概会比较吃力，反之在适应金融行业的BCM后则能轻松驾御，这个看法由于有明显的偏向性，所以一定是会遭到挑战的，不外我写这些的本意也并不是为了讨好全部人，时代的浪潮总归是有所指，不会全部的人都是受害者。

  那么平台级公司和生态级公司的区别又在那边，从表象上看，生态级公司的大型基础架构要是用传统的安全方案险些都无法餍足，所以会少量的进入自研，而 平台级公司则会依赖开源工具更多一些，不会全线安全工具进人自研。要是有预算的话也会优先投在“业务安全”侧，好比反敲诈平台等等，而不会自己去搞入侵检 测，当然这有大概是个伪命题，有大概当我的企业安全系列全篇写完时，乙方公司也开始提供具有可扩展性，能应对分布式架构的方案，或者当工夫尺度拉的长一 点，平台级公司每年在自研上投入一点点，多年之后也具备了BAT级别的安全本领也并非完全不行能，不外这些都是理想状况，现实总是遭到多方面要素制约的。

  现实制约

  首先影响的第一要素是技术驱动的层次，在底层还是在应用层驱动业务。

  表象上平台级公司和生态级公司都因此pc端web服务为入口的平台应用和以移动端APP入口的移动应用，有的依赖于一些PC客户端或移动端偏底层的 APP，但在技术实现方法上，平台级公司更多的间接使用或少量修正开源软件，而生态级公司的IT基础设施则会类似于Google的三篇论文一样，不仅仅停 留在使用和少量修正，而是会进入自己造轮子的阶段，其中所造的轮子是否对业界有意义这种问题临时不去评价，但对应的安全建设则反映出平台级公司的安全主要 围绕应用层面，而生态级公司的安全会覆盖基础架谈判应用层面两块。间接使用开源工具的部门交给社区去处理，自己跟进打补丁就行了，但要是是自己开发的，那 么就需要自己去解决一揽子的安全问题，好比Google造了Android这个轮子，那Android一系列的安全问题Google需要自己解决，好比阿 里自己去搞了一个ODPS，那阿里的牛人也需要解决这个，再好比我地点公司在物联网范畴造了LiteOS这个轮子，自然也要去处理对应的问题，而这些偏底层的问题显然早已超出应用安全的范畴，也不是一般的甲方安全团队有本领应对的。其实有些平台级公司也是发明了一些轮子的，好比自动化运维工具，好比一些NOSQL，不外IDC规模两者之间仍然差的比较远，下层的业务复杂度也有差距，支持的研发团队的规模也有差距，对安全工具的自动化本领和数据处理规模仍然存在阶梯级的差异，这一点也决议了为什么要自研。安全其实只是IT整体技术建设的一个子集，当整体技术架谈判实现方法进入自产自销阶段时，安全建设也必然进入这个范畴。对于许多实际上依靠业务和线下资源驱动而非技术驱动的互联网公司而言，安全建设去做太多高大上的事情显然是没有必要的。

  第二要素是钱，钱也分为两个方面（1）本钱（2）ROI。

  假定安全投入按IT总投入的牢固10%算，又假定生态级公司的安全建设本钱是平台级公司的5-10倍，这个本钱除了带宽、IDC服务器软硬件，还有 技术团队，加起来才是总拥有本钱TCO。10小我私家的安全团队和100小我私家的安全团队能做的事情相差太大，详细可以参考我在知乎上的帖子《为什么从事信息安全行业一定要去至公司？》。还有一方面则类似于“去IOE”，上面提到目前对于大型互联网没有合适的安全解决方案，纵然有，这个本钱大概也会无法接受，所以假如乙方公司能推出既能支撑业务规模，又具有性价比的方案的话，我认为甲方安全团队真的没有必要再去造轮子了。

  第三个要素是人。

  安全团队的人员数量也只是一个很表面的数字，安全团队的构成才是真实反映，能囤到大牛的安全团队和由初级工程师组成的安全团队显然是纷歧样的，一方 面前者的本钱不是全部的公司都能接受。其次，平台不够大纵然大牛来了也未必有效武之地。大多数平台级公司的安全团队其知识和经验集中在web/app，应 用层协议，web容器，中间件和数据库，生态级公司则扩展至体系底层，二进制，运转时环境和kernel级别，本领积累也存在差异。这里并无褒贬之意，仅 在说明业务对技术的需求纷歧样。

  平台级公司的“花样”

  那平台级公司是不是就没有乐趣呢，其实他们也玩一些小花样，好比修正sshd、LVS，加入一些安全特性。大概也会自己定制一个WAF，或者搞搞日 志的大数据分析。但好比涉及DPI、全流量入侵检测、SDN、kernel level的安全机制基本上都不会介入。这些对一个规模不是分外大的平台级公司的甲方安全团队而言门槛还是有点高。

  自己发明轮子是不是全范畴进军呢？也不是，主要还是在入侵检测、WAF、扫描器、anti-DDOS、日志分析等范畴。在SDL关键上大概也会自己 研发些工具，但未必有间接使用商业工具来的短平快。阿里钱盾、腾讯管家、百度杀毒这些都跟360客户端一样跟生产网络没什么关系，就不去讲了。另外自研有 一个原则：都限定在民用范畴，不会自己去发明一个RSA算法这样的东西。

  国内的平台级公司里也有一个例外–数字公司，由于其主业务务是安全，所以就不会遭到安全投资牢固占比理论的影响。