安全建设的 “马斯洛需求” 层次

LV0:
没有安全措施

LV1:自己认为自己是安全的(做过安全渗透测试,交付的代码没有高危漏洞)
通过一些较为基础的安全措施做到了基础的访问控制,并且交付的系统不含有明显的高危漏洞。但对于分复杂的安全事件自身没有独立处理的能力,必须依赖于外部厂商。

LV2:救火的能力(有攻防团队,有基本的入侵检测能力)
有专职的安全团队,有攻防技术能力,能做到有火必救,不依赖于外部厂商。但在安全建设上缺乏思路,大多以来商业产品或照搬已有的安全模式。

LV3:安全体系化(接近完整的纵深防御体系,覆盖入侵检测和防护)

安全建设呈现初步的系统化,覆盖全生命周期,开发和运维环节都有必要的控制流程,主要的系统在架构上都会考虑安全方案,检测和防护手段能因地制宜。

LV4:业务层面安全得到满足(帐号的基础服务都有安全风控措施)
除了基础架构,应用,数据等技术层面安全能做到全生命周期系统化建设,业务层面的安全问题也有系统化解决方案。安全此事不只关注于技术层面的攻防对抗,也关注业务形式的安全以及黑产的对抗。

LV5:用先进的方式实践安全(完整的纵深防御,高度自动化,大数据和机器学习,精确对抗)
安全建设进入最佳实践阶段,不依赖于现有的安全机制,也不依赖于厂商的安全产品,虽说自己造轮子不代表最佳实践,不过对于互联网公司攻防和业务层面的安全问题,如果想做的好一点,不自己发明轮子似乎不太可能,至少现在市场上缺少很多针对互联网的解决方案。在这个阶段,严重的安全事件几乎很少发生,大多数精力都会用于优化现有系统的检测和拦截率。