大企业与小企业在信息安全体系建设中的区别

本博客地址：https://security.blog.csdn.net/article/details/133983881

一、概述

博主在过去的工作经历中，曾有幸主导了某小型互联网企业的信息安全体系建设，在此之后，又很荣幸的参与了某大型互联网企业的信息安全体系建设，这不同的工作经历让我学习到了很多，本文作为一篇总结，来探讨下大型企业与小型企业在信息安全体系建设中的区别，抛砖引玉供大家参考。

对于大型企业与小型企业在信息安全体系建设中的区别，我认为主要有三大不同，第一个是投入资源不同，第二个是建设内容不同，第三个是建设方法论不同。下面主要就这三个不同展开讨论讨论。

二、投入资源不同

大型企业与小型企业的根本区别是业务体量的不同，业务体量的不同造成资源投入的不同，过大的业务体量就需要投入过多的资源，资源投入体现在一个企业的方方面面，信息安全也是其中之一，投入的资源多了，自然也就有能力来实现更全面的信息安全保障。

这里最显而易见的就是在信息安全团队的人员配备上，大型企业通常有更多的专业人才和研发资源，而小型企业可能只有不到一只手的安全团队，甚至说完全没有，对此可能还会产生自以为很安全的错觉。

同时，大团队的人员分工精细明确各司其职，这会使得每一个细分领域都有更专业的人才把守，彼此配合组成高效专业的队伍，除此外，大团队还会注重建立健全的专业知识体系，形成很好的知识传承。而小团队则更多是一人身兼多职，这会导致在每一个细分领域的专业性上大打折扣，进而产生一系列的连锁反应。

除了人员的投入外，资金的投入也是很大一方面的区别，资金投入一方面是指人员工资，另一方面是指除人员工资外的其他资金投入。大量的资金投入可以用于招聘更优秀的人才来研发更先进的安全产品，还可以用来购买专业的安全设施或服务，从而形成更安全的防护壁垒。而小型企业则可能没有那么财大气粗，也就无法进行与大型企业相同规模的信息安全体系建设了。

三、建设内容不同

建设内容的不同用一句话讲就是：小型企业的信息安全体系是大型企业的子集。也就是说，小型企业有的安全能力，大型企业也有，小型企业没有的安全能力，大型企业还有。

造成这个现象的原因其实很容易想到，就是上一节讲的资源投入不同。同时，大型企业的业务体量大，少量的信息安全能力已经不能满足它的需求，因此需要更全面的信息安全能力来保障。

例如在办公安全监控方面，大型企业可能会通过数据防泄漏、零信任、虚拟云桌面等各种各样的监控方式来防止员工泄露公司数据。而小型企业在这一方面可能就没有任何安全措施，员工可以使用自己的电脑办公，设备可以随意带出公司，数据也可以通过各种方式随意对外发送。

再例如隐私合规方面，大型企业可能会十分注重，不管是各种合规证书的获取，还是各种合规要求的落地都相对完善，个人信息在这里遭受非法利用的概率很小。而小型企业则一般只会注重常见的安全技术防护，通常不会注重合规这种形而上的需求，甚至隐私政策可能都是从某处抄来用于应付应用商店审核的，更不用说收集敏感信息时要求用户单独同意这类合规要求的落地了。

大多数情况下，我们个人信息遭受非法利用都是发生在这种小型公司，而小型公司因为业务体量小，一般不会引起监管机构的注意，即便对它们举报投诉也可能会石沉大海，所以在目前国内的社会环境下，这个问题暂时还处于无解的状态，相信未来随着监管的完善会有好转吧。

还有安全流程方面，大型企业一般有完善的各种工单流程，在需要进行某个操作时，需要通过相应的工单流程审批，在层层审批通过后才能进行操作。而小型企业可能没有这些流程，很多工作协同处在吼一嗓子的状态，所谓审批也是当面打个招呼，以此提升业务效率。

除此外，前沿技术的创新方面也是一个区别很大的地方，超过一定规模的大型企业，其安全解决方案会开始进入局部或全部自研的时代，并会对一些前沿技术进行研究以及将其运用到实际中，例如人工智能、区块链、隐私计算等，应用前沿技术能够更好的发现和预防信息安全风险。而小型企业则一般不会在前沿技术的创新上下功夫，通常只会考虑基础的安全问题。

除了一些大型企业有但小型企业没有的安全能力外，两者都有的安全能力实际上也存在一些差别，例如在SDL方面，小型企业可能缺少代码审计能力或者代码安全规则较少，在安全防御方面，小型企业可能缺少入侵防御能力或者入侵检测规则不足等等。

以上只是举了几个常见的例子，类似的场景还有很多，例如版权保护、文化建设、供应链管理、对外公关等等，不胜枚举。本节内容的核心思想是：在信息安全建设方面小型企业的信息安全体系是大型企业的子集。阐明这个思想后，本节便不会逐个例举这些不同。

四、建设方法论不同

大型企业投入资源多是相对于小型企业投入资源的绝对值而言的，同时它投入的资源也不可能无限多，因此它的安全团队也不会无限扩充，如果从安全投入和业务体量的比例来看（相对值），即便是大型企业也可能会九牛一毛。

由此就引发一个新的问题：质效。假定一个人能管理三台服务器，用同样的管理方式管理三万台服务器就需要一万人，这明显是不现实的。可能公司对于三万台服务器的管理只会给你配三个人，那此时就需要用另一种更高效的方案来管理这三万台服务器了。也就是说，做成这件事的方法论不一样了。

大型企业与小型企业在信息安全建设上的方法论不同体现在方方面面，凡是量大拼人工的地方基本都能看到不同方法论的影子，小型企业的建设方式放在大型企业中可能会失效，当企业的产品线极多时，没有一个团队敢说自己有能力支持全部产品线，通常只有对企业重要的战略级核心业务才有必要去深入调研并重点支持，其他的业务的支持则主要依靠自动化手段。

例如需求安全评审，小型企业需求迭代一般不会很多，可能由安全人员去现场参与评审即可。而大型企业的需求迭代会非常多，每个需求都去现场参与评审是忙不过来的，因此对于大型企业来说，可能会更注重产品设计安全规范的执行、对产品人员的安全教育、需求的监控与远程安全评估等等，在减少安全人员参与时间的同时保证需求设计的安全性。

再例如渗透测试，小型企业一般靠人工，在有需求过来后，由人工去做安全测试即可。而大型企业的测试需求会非常多，靠人工做安全测试是做不过来的，因此大型企业可能会更注重安全编码规范的执行、对开发人员的安全教育、编码自动安全检测等等，从源头解决安全问题。同时，在测试执行方面，大型企业会更依赖自动化安全测试，人工只负责对自动化测试的结果做验证即可，只有对个别重要的需求才会做人工安全测试。

还有安全合规，小型企业可能只有一个等保系统，一年一次慢悠悠做完即可。而大型企业可能有几十个等保系统，虽然等保的要求都是一样的，但做等保的方式却大不相同，如果还采用慢悠悠的方式，几十个等保系统的完成进度就会十分堪忧。

除此外，安全防护方面也是一个很考验执行方法的地方。小型企业业务体量小，安全防护措施和权限管理都相对比较简单，业务流量不大，告警也不多，人工管理基本能够搞得过来。而大型企业的安全架构庞大，安全防护措施繁多，权限体系复杂，告警几乎是天量，这时候再靠人工管理就不现实了，对于这种情况，通常大型企业会运用人工智能、机器学习等技术，选择采用统一管理和自动化管理的方式，在减少安全人员参与时间的同时保证安全防护能力的稳定。

以上只是举了几个常见的例子，类似的场景还有很多，例如数据安全管理、信息共享与跨部门协作、应急响应等等，都存在执行方法论上的巨大区别，不胜枚举。

大型企业与小型企业在建设方法论上的核心区别是：大型企业会更多的使用自动化、标准化、流程化的方式来推进建设，这就使得不管企业的业务量增加多少，将已有的既定方式直接套用即可，基本上不会增加太多的人工量。而小型企业则主要还是靠人工来推进建设。

五、总结

本文主要介绍了大型企业与小型企业在信息安全体系建设中的区别，这些区别分为三个点，第一个是投入资源不同，包括安全团队规模和资金预算，第二个是建设内容不同，核心思想是小型企业的信息安全体系是大型企业的子集。第三个是建设方法论不同，不同的主要区别是大型企业会更多的使用自动化、标准化、流程化的方式来推进建设。