之前Kussa开贴的
大家聊聊互联网公司及其安全团队吧 http://bbs.cisps.org/viewtopic.php?t=22406

非常火爆。在我们Whitehat QQ群里传开了。

不知道坛子里有没有在传统行业做安全的。
传统行业的安全和互联网行业有什么不同，会更加关注什么。我非常的好奇。希望广大同仁赐教

制造业，金融业 都可以。欢迎大家说说。增加不同行业的相互了解

这个话题不错哈 支持

不能光支持啊。多说说了。。。

预言一下，此帖不会火。
随便给点借口：
1. 传统行业对信息安全就算重视，说不定也是采取物理隔离的方式较多，没准那个负责信息安全的人都很少上这个论坛闲扯
2. 他们一般也就是特别大规模的企业才会有相关的团队，应该是偏向内审居多
3. 传统行业的CIO可能致力于通过IT技术提高生产效率、减少物流成本、增加决策支持性数据挖掘，因此安全在这里面发挥的空间并不大，更多的核心内容应该是在知识产权、人员管理方面
4. 这个论坛表面上是说信息安全的，实际上还是一大群IT安全的人在这里玩，偶尔有大牛也长期潜水不透气

立此为证，看有没有大牛沉不住气上来推翻此预言

呵呵。是有可能。我现在期待包总的 回帖呢

预言一下，此帖不会火。
随便给点借口：
1.“传统行业”定位太泛了，就好比你问别人这道题为什么选C，人家会很愿意回答你，而如果你问这道题选什么，人家回答你的意愿会大大降低。我们常说“提问的艺术”，现在看似乎发帖也要讲究点艺术；
2.关于团队的话题，出于自豪感等等因素各位大牛的积极性会较高，而同一行业内的人应该不会有这种集体感，即使有也要淡薄得多；
3.想要学别人抛砖引玉，先学习下那人的砖是怎么抛的，你随手捡个瓦块儿土坷垃什么的扔出去，肯定不行；

立此为证，看有没有大牛沉不住气上来推翻此预言

偶是对群号有兴趣的，多少？

预言一下，此帖必然会火。
随便给点借口：
1. 传统行业对信息安全还是比较重视，虽然存在一定的物理隔离的方式较多，但对业务应用很重视。
各个行业特点不同，所关注角度也不一样，有的关注用户信息、有的关注网络流量、有的关注病毒木马等。

一般信息安全部门的人方便上网，切具有资深一点，都会上这个论坛闲扯
（咳咳，我可不是说在这个坛子里都是闲扯的。。。）

2. 他们一般也就是特别大规模的企业才会有相关的团队，应该是偏向内审居多。
也有单独的网管部门，或是叫做信息中心，负责一些安全事务，和专业信息安全公司不能比，但也具有一定的经验和知识。

安全审计是很重要的一个方面，也有一些偏重于事前策略的东西。

3. 任何行业的CIO都要致力于通过IT技术提高生产效率、减少物流成本、增加决策支持性数据挖掘，这是IT工作的根本所在！！

因此安全在这里面发挥的有一定空间，更多的核心内容应该是在知识产权、人员管理方面，毕竟人员管理才是一切企业管理的根本之道！！

4. 这个论坛表面上是说信息安全的，实际上还是一大群IT安全的人在这里玩，偶尔有大牛也长期潜水不透气，比如职业欠钱的！
虽然冒个泡，就开这么大个坑来回复！

立此为证，看有没有大牛沉不住气上来推翻此预言！

1. 用户信息，网络流量，病毒木马之类的太基础，基本上经过几年的沉淀，该做的都做完了，现在的安全团队不太还停留在怎么打补丁怎么杀毒怎么应急响应上，除非这是一支新建立的队伍
所以没什么讨论的必要

2. 做一些传统的客户端应急响应或者给SA擦屁股的工作，虽然是信息安全的一部分，但是略显初级，我知道的一些传统型行业，例如某汽车行业，他们人很多，分工也细，但更多的可能是为了合规性做一些审计，我收到的一些年薪在15w-30w的简历，他们写的内容也差不多就是这样

也许我认知还不够全面，恳请直接指出

3. 互联网行业基本上比较少有物流方面的压力，比如网络游戏运营，看看盛大的首页写的是什么？"盛大在线 - 专为无物流的文化和虚拟产品提供数字出版的服务平台"

而传统行业则在物流上下足了功夫。大家侧重点不一样，这是很明显的。我认为IT安全在互联网行业更容易直接实现自身价值，在传统行业可能巧妇难为无米之炊。就算有一部分IT基础设施，对安全的考验也远远未达到互联网行业那么直观。

4. shiter前辈，好几年前我就在关注你的帖子了，我是新人，但我确实没看到很多传统行业的大牛在这里冒泡，总聊的那几个脸也很熟了，基本上数不出多少人

传统行业其实现在也开始向互联网行业发展
比如苏宁电器，典型的家电行业。目前也开始发展其网络商城。
同时物联网这个概念开始兴起，相信这块的安全将是以后非常重要的一个安全发展分支。

因此我想传统行业的安全和IT行业比肯定有其特殊性。我们不能从IT行业的眼光看待传统行业，或者说非互联网行业。

来顶一下LinkBoy同学，我班门弄斧，抛砖引玉一下。我从迅雷网络到美的集团，同样是负责信息安全，但两者给我的感觉差距非常大，聊几个点：

1、关注的重点不一样。
这是由企业形态及其核心竞争力所决定的。
互联网企业的“快”和“广”特性决定了其面对的威胁是多样性的，安全领域的对抗范围及力度都较大；其核心竞争力是品牌及海量用户。
传统企业受其信息化程度的影响，对安全的重视程度差别很大；其核心竞争力是品牌、产品和成本。
这决定了互联网企业和传统行业对信息安全的关注重点有重合的地方，也有不少差异。重合的大多是一些基础架构的安全，例如网络安全，系统安全、应用安全。在互联网行业，大家更多关注自身业务线及其支撑系统的安全，比如帐号安全，产品安全，内容安全等，另外在基础架构安全这块也是高度细化和高度对抗的，比如防DDOS，WEB安全，DNS安全。而传统行业关注数据防泄密、行为审计、数据备份及基础架构安全。

2、对信息安全的认识面不一样。
在互联网行业里，安全是介于企业与其核心竞争力之间的一个桥梁，安全做好了，有助于提高和保障其核心竞争力，甚至是企业战略的制高点；安全没做好，也会很快的看到反面效应，这由它的“快”和“广”决定的。另外经过各种催化，企业从上到下对信息安全都有一定的认识和重视。举个大家都知道的例子，看看360是如何从终端安全领域占领搜索、浏览器、社区、上网导航、手机、游戏等领域，通过这个制高点，把终端和互联网的整合的非常好，这个制高点下游的企业都过的心惊胆战，其中有些公司提前看到了360的威胁，想与之抗衡，不过由于无法占有这个制高点而不得不提心吊胆的活着。具体我就不说太多了。有兴趣的朋友可以关注一下360及其竞品的占有率情况。

在传统行业里，就现在来看，大家对安全的认识相对比较保守，安全部门就是一个保障部门。说白了就是和业务没太大的关系，唯一有联系的就是“数据防泄密”。把这个事情做好了，传统行业里的信息安全问题至少解决了一半，再把数据备份做好了，又解决了1/4。

但信息安全在传统行业里并不是一文不值，除了防泄密、数据备份及基础架构之外，其实信息安全在传统行业里还是大有所有的，这个需要大家自己去思索。

3、工作的思路不一样
由于上面的两个“不一样”，就决定了我们工作的思路需要做转换：以稳为主。创新并不一定有利于安全工作的开展。切入点方面，也需要结合上面两个不一样进行转换。例如传统行业“能感知”的威胁不多，能相对量化的风险就更少。如何很好的盘活这个盘子是个很有难度的事情，耐性非常重要。例如SDL（安全开发生命周期）我在迅雷和美的都花大力气做过，在迅雷的切入点是产品安全，在美的的切入点是应用系统安全（未来或许是物联网安全），当然两者的偏向也很明显，前者重效果，后者重流程。


4、对团队要求不一样。
互联网行业及传统行业的安全人员都是精英骨干，但是他们所擅长的领域不大一样。互联网行业大多自己做事情，讲究的是速度、创新和DIY能力，偏IQ，随着互联网企业规模的发展，也对其安全人员提出了一定的EQ要求；传统行业大多是把安全外包出去，磨练的是管人管事的能力，偏EQ，另外对文档编写也有较高的要求。

无论在互联网企业还是传统企业，团队在安全圈人脉都非常关键，它可以帮助我们事半功倍。

5、对传统行业安全的展望：物联网和电子商务

传统行业做电子商务两条路，一条是合作运营，一条是独立运营。前者是与淘宝、支付宝、京东、新蛋等企业合作；后者是自己搭建电子商务平台，自己聚集客户。各有利弊，互不冲突。在企业要发展电子商务的情况下，信息安全的地位就有所提升，要求上会向互联网公司靠拢。

如果说电子商务让传统企业的信息安全有所提升，那么物联网就让传统企业信息安全产生了质的变化。一旦传统企业介入了物联网，那么信息安全就成为了其核心竞争力了，安全部门的角色及职能都可能发生巨大的转变。原因很简单，当我们家的微波炉可以被远程控制的时候，安全就是最关键的问题。想象一下，若干年后的某个夏天，物联网上出现了一个名为"icebox worm"的蠕虫，它让全国范围内某品牌的冰箱集体统一关机，里面的事物集体变质……嗯，想想就觉得可怕。如果我这个假设成为了实事，那时传统行业会爆发对SDL人才的需求。

上面我谈到的更多的是制造业的信息安全，希望我这个“砖”可以把金融行业及能源行业的“玉”给引出来，想必“玉”才是大家所期待的。

最后请允许我做个广告，本人准备跳槽到广州或深圳的甲方企业，我的联系方式是 chinacissp@126.com 谢谢

包子 写的不错啊。
由于我们多数是互联网行业，因此难免用有色眼镜看待非互联网行业。认为他们安全落后，工作简单。

多想多看，多交流才能让我们扩充视角

我给包子打个广告 包子是牛人，祝愿包子早日找到理想的工作。。

我觉得传统行业的安全工作从某一个方面来看比互联网行业更不简单，大家的侧重点不一样。