互联网企业的信息安全成熟度模型
原定是讲完信息安全体系的术后，我会讲信息安全体系的道，其中会点出互联网企业的道该怎么去实践。但因为一些原因，先跳过那部分，先讲讲我对互联网企业信息安全成熟度模型的看法和定义。当然，由于我工作内容的原因，里面可能涉及数据安全的维度多一点。
1、首先说到it领域的成熟度模型，一般参考cmm或者cobit。但是这两个模型都不太适合快速发展的互联网企业，因为cmm适用于软件开发，与企业的信息安全成熟度模型相差甚远。cobit虽然是针对企业it的成熟度模型，笔者以前也经常会将此模型映射到信息安全维度来做评价，但是落在互联网企业中有些格格不入，或者说cobit过多地强调以规章制度建设作为过度的中间层，而忽视了互联网企业对安全、体验与效率的高要求。
2、从我在几家大型互联网企业的信息安全实践来看，我认为互联网企业的信息安全成熟度模型可以分为以下6个级别，并且我从不同的领域切入进行了定义。
0级 无级别：指互联网企业对此领域还没有识别到风险，没有意识到该领域需要进行控制。
举例：曾经和某大型互联网企业聊，谈idc硬盘销毁一事。他们答，用消磁机销毁。what？该大型互联网企业服务器起码10万+，按照互联网常规报废周期，每年报废五分之一，也就是说每年有2万+台服务器要报废，每台服务器按照5块硬盘估算，起码每年有10万+块硬盘需要用消磁机销毁，算下来每个工作小时要销毁45块硬盘。难道互联网公司专门雇个可靠的员工天天做这个？完全行不通啊。 后来他们也认识到这种办法根本不可行，再去问问idc，发现居然有一半的硬盘都没有做销毁就报废了。这个数据销毁领域就属于0级的评价，即还没有认识到该风险。
1级 定义级：已经开始识别到此风险，并且对风险做了相应评估。不论评估结果为高中低哪个级别，都会对其进行风险处置。
举例：互联网企业的信息安全也是要做风险评估的，但是其风险评估可以不用参考传统的13335或者27005来慢慢做，而是要快速的接入行业、切入业务，将可见的风险迅速识别与评价，亦可以参考往年的信息安全事件来评定风险程度，这点和传统行业或态势很不一样。大家还记得06年时做风险评估么，黑客攻击事件的发生频率可能是一年一次，所以那个时候的高风险结果都是围绕蠕虫病毒领域。但是在现在的互联网领域，黑客攻击是高频发事件，一年成功的攻击不下10次。同时还有内部人员违规操作或数据泄露，这些在传统领域难以想象的事件正频繁发生在如今的互联网企业。大家看看电商的客服、游戏公司的gm、物流公司的行政、客服频发的数据泄露或篡改事件就明白了。所以，这个级别是要熟悉这个行业，快速识别风险并拉出高风险领域进行定义与处置。
2级 管理级：高风险领域定义后，要对其进行管理制度约束。重点在于总纲的要求制定和公司内部发布，确保以后的安全措施上线和流程对接有据可依。
举例：互联网企业要制定一级总纲和二级要求。一级总纲可以囊括原则来指导解决方案的方向和决策，并提出管理要求的关键点。二级要求在于明确各项领域的管理要求，哪些不可以做，哪些该怎么做。需要注意的是，要将主干流程定义清晰，枝干流程可以放开以确保其灵活性，并且将三级和四级文件完全融入到枝干流程中，避免修订文件再修订流程导致的繁琐情况，甚至可以将流程接口人放在流程入口随时回答流程问题，而不用做三级操作指南文件。
3级 工具级：开发该领域方向的管控工具，提高管控过程中的处置效率和核心能力。
举例：首先，我不建议购买管控工具，是因为绝大多数外购的盒子或工具无法与企业内部的流程或工具进行强融合，并用于后期到平台级的升级 。所以大多数互联网企业开始进入自研阶段，开发安全管控工具，如参考kettle等etl工具实现敏感数据脱敏、改造suricata实现自有可优化的ids等。其次，做管控工具的重点在于磨炼工具的核心能力，如提高场景覆盖能力和报警正确率，降低报警漏报率（这里可以通过src上报或查杀分离机制或双引擎、双检测机制来做交叉检测覆盖）等，确保上线的工具能够具有一定的报警能力。
4级 平台级：将磨砺好的工具放入流程中强嵌套或对接。强嵌套是为了提高流程卡点，规避绕过，实现任务100%覆盖。对接是为了规避数据孤岛现象，使得告警准确率更高，可运营。
举例：互联网公司的上线发布频率很高，如果仅仅只是在管理上要求符合数据安全或者sdl，会使得此要求束之高阁，难以落地。最有效的办法就是将开发好的工具对接发布平台，使得发布时必须经过安全检查，就可以100%覆盖发布场景任务。当然，这里有个前提，检查工具要能够支撑所有的场景，并且有很好的报警能力，能够高效率的实现检查工作，这就是3级 成熟度要求的工具级目标。
数据对接，规避数据孤岛现象，这点的核心在于数据对接后的标签。举个例子，公司的敏感数据因为业务需要，要和外部公司进行交互。单一从dlp报警而言，只要检测到敏感数据外传，一定会报警。这里就需要增加申请流程，公司敏感数据对外交互需要走申请，申请完的数据应当带上特定的标签或者流程烙印，使得dlp报警时可以对此类通过申请的敏感数据仅做记录而不报警，规避了无效日志。
当然，不排除有人利用申请流程做假申请，然后带走敏感数据，这里要有定期审计，也需要进入到下一阶段。
5级 优化级：即对该措施（包括平台接入、数据对接，工具优化等措施）不断改进，提出具体的改进指标，以促进其进入强运营阶段。
举例：时间长了，任何标准化的流程或平台都有可能被人绕过。这里就要对平台的流程进行审计，发现此类情况。可参考it审计中符合性测试和实质性测试的方法（参见《信息安全体系的“术”：“术”的详解》。除审计之外，也可以通过他人的上报来对异常的事件做分析复盘。不过这点互联网公司普遍做的很好，发生安全事件都会立即进行复盘。
工具优化也要有很多方式，举例一个好的方法是全员参与，比如数据安全分类分级打标签。 通过自动化工具打完标签，肯定会有一些无法命中的或者打错安全等级的数据，由于标签不匹配会带来后续的控制措施变化，所以全员会乐于去修订不匹配标签。此时，我们只需要对人工修订结果做日志分析，即可进一步优化规则。这点类似于百度地图的目标路线错误上报机制。
ok，互联网企业的信息安全成熟度模型介绍完了，仔细看到这里的同学，说明对互联网格局下的信息安全很感兴趣。那我来说下重点：
滴滴招聘大量信息安全人才，提供优厚的公司福利：
1. 具有竞争力的薪资待遇，mac 办公设备；
2. 五险一金+补充医疗&配偶&子女医疗+父母住院报销+工作居住证+子女托管;
3. 提供晚餐、小零食，健身房&私教指导，每日健身课程，各类兴趣组，家庭日;
4. 公司和部门定期邀请业界大咖，举办各类培训和技术分享;
5. 目前已经云集了以卜峥、弓峰敏为首的国际信息安全技术领袖和业内顶级技术大牛。
欢迎投递，谢谢。联系方式qianyefei@didichuxing或微信号7449777。特别是我部门，招聘数据安全分析专家，数据安全运营专家，数据安全开发架构师，数据安全资深开发工程师，不仅待遇高，而且部门还有多个单身大美女求贤才哈
数据安全分析专家
职位描述：
1. 负责整合公司多渠道数据资源，挖掘、分析和溯源内部数据安全事件。
2. 负责挖掘企业内部数据安全隐患，及时发现异常，并推进问题定位与解决。
3. 参与数据安全体系建设，协助建立数据安全管控模型。
任职要求
1. 熟悉elk、hive、sql、excel等常用数据分析工具、语言等。
2. 熟悉统计分析方法和数据挖掘理论，有海量数据分析或开发项目经验。
3. 富有责任心，具备良好的逻辑思维能力与团队协作能力，能通过数据发现问题，并推动解决。
4. 有信息安全技术背景优先。
数据安全运营专家
职位描述：
1. 熟悉数据安全主流技术，如行为监控、数据脱敏、权限管控等，并有相关实践经验；
2. 具备数据安全审计、数据安全解决方案设计等经验；
3. 能够根据数据安全运营工作，体系化思考公司的整体架构优化，从架构和体系上解决问题；
4. 善于沟通及团队协作，能够承担数据安全项目的管理、协调工作，有大型项目管理经验优先；
5. 参与、实施过互联网公司数据安全项目或运营的优先考虑。
任职要求
1. 负责数据安全系统平台的建设工作，包括数据脱敏框架、集中流转、权限管理、风险监控等的实施建设和项目管理；
2. 负责数据安全的日常维护和管理工作，包括数据申请的安全审核、数据安全事件的监控与响应、安全合规的审计与调查等；
3. 跟踪分析最新安全动态，研究数据安全建模、分析等技术；
4. 参与数据安全事件分析及调查取证工作；
5. 负责数据安全标准规范的制定和管理，包括数据安全需求识别、风险分析、数据脱敏、数据流转、泄露。
数据安全开发架构师
职位描述：
1. 数据安全体系架构的搭建者与管理者
2. 负责数据安全体系的产品技术方向、实现思路、产品架构、功能设计
任职要求
3. 6年以上数据管理相关从业经验，有大数据架构的经验，java技术栈经验。
4. 熟悉常用数据库（oracle/mysql）的原理和使用，对数据库优化有深入了解
5. 深厚的数据安全架构、产品设计能力
6. 主导过较大规模或较复杂的数据处理工作
7. 精通数据仓库、数据挖掘以及大数据技术的技术体系，熟悉大数据相关技术栈，eg：hive、hadoop、es、hbase、kafka等
8. 有过大型数据处理平台系统架构设计经验或实施经验者优先
9. 具备成熟的管理方法、较好的团队管理能力
10. 出色的沟通协调能力、整合、规划、抗压能力，具备有较强的责任心和事业心；
11. 具备丰富的大型互联网系统架构设计经验，熟悉分布式、缓存。消息、负载均衡等机制和实现，具备海量数据研发和处理经验优先
java高级开发工程师
职位描述：
1. 参与滴滴数据安全平台软件开发、产品及项目的整体设计包括：需求分析，总体设计，概要设计以及架构和数据设计；
2. 负责滴滴数据安全平台内数据源接入（如dfs、rdbms、nosql）、工作流对接、日志分析等；
3. 负责解决项目中的关键问题和技术难题，并进行详细设计和编码工作；
4. 根据公司质量体系要求编写技术开发文档；
任职要求
1. 五年以上的javaee项目开发经验，两年以上互联网公司工作经验；
2. 扎实的java基础，熟悉常用数据结构，算法及设计模式；熟悉常用开源框架；参与过分布式系统设计；
3. 熟悉并掌握主流存储方案（mysql、mongodb、casandra、elasticsearch、redis、memecache等）；消息队列（rocketmq/activemq、kafka等）；有数据调优经验；
4. 熟悉大数据相关技术及框架；
5. 具有优秀的沟通、团队协作能力