拼客学院陈鑫杰 创业团队如何低成本保护自己的网站安全

拼客学院陈鑫杰 创业团队如何低成本保护自己的网站安全

本文核心词：计算机,学习,科技,编程,黑客,网络安全,信息安全,趣味科普人文,拼客学院,跟杰哥学网络安全
近年来，身边越来越多朋友陆续加入创业大潮，我这莫名其妙就成了大家眼里的「装机大佬」，经常收到这样一些询问：
企业的 IT 基础设施要怎么规划？
采购什么型号的设备会比较划算？
团队知识管理应该如何实施？
如何培养员工的安全意识？
……
在这些问题中，问的最为频繁的，当属这个：
目前正在创业中，有哪些方法可以比较低成本保护自己的网站安全？
正式解答之前，我觉得自己还挺适合回答这个问题的，缘由有二。
第一：
自己身处创业团队，从 2013 年创业至今，中间短期或长期的项目和企业，陆陆续续做过一些，知道控制「成本」和保证「现金流」对于一家创业公司有多么重要。因此，我完全能够理解这位朋友提问时的处境和出发点。
第二：从 11 年正式踏入信息安全这个圈子，有幸伴随这个产业从边缘层突然进入国家战略，在这中间，大大小小的项目都折腾过一些，大型项目的话，包括 Jun、政、税、国土、电力、金融等等，中小型项目的话，医疗、教育、企业等等。
而只要涉及到项目，就免不了要根据客户的项目招标书，来编写投标书、产品清单、选型策略、方案报价、技术偏离表、项目实施、售后验收等等方案。而这些方案最终总结起来其实就一句: 即根据客户招标需求，结合客户所在行业，提供最佳性价比的方案，最终拿下这个项目标的。（注：实际情况下，能否拿下项目，性价比未必是最关键的因素，这里不再展开…）
回到这个问题上，这其实更多是一个项目需求而非技术问题。例如这个问题其实就是「一句话招标书」，我接下来要做的，就是结合以往经验，通过项目视角，为创业团队输出最佳项目解决方案，希望对类似的创业团队有帮助。
~~ 以下是正文 ~~
这个需求乍看挺简单，实则蛮复杂。为什么呢？
这里有 3 个关键词，即「创业团队」「低成本」「网站安全」，看似都是定量，实则都是变量。
首先，「创业团队」也分 0 到 1 年、1 到 3 年、3 到 5 年、5 到 8 年 …
尤其在国内的创投圈里，只要还没走进资本市场，只要没完成「成人礼」，那么，无论规模多大，大家都是创业团队。你看，我手头这个小微团队，也创业 7 年了……
其次，「低成本」对于不同创业团队的不同阶段，心理标尺和可承受范围都是不同的。
如果是刚创立没拿到融资还在验证商业模式的话，这个阶段肯定希望白嫖，别说「低」成本了，最好就是 0 成本。毕竟，减少各项开销，让团队活着才是这个时候的第一要务。
而如果创立若干年且有资本开始介入，网站或 APP 有较多用户，且用户能逐渐转为客户。这个时候创业项目无论在用户端还是资本侧都受到了认可，说明整个商业模式跑通了。这种情况下，用户数据就是核心资产，投入一定比例的成本来招人组团队或采购商业安全服务，都是非常值得且必要的。
那么，问题就来了，你这个团队的年营收是多少？利润是多少？能拿出多少比例来进行安全建设？例如，同样是拿 10 万/年出来做网站安全，营收 1000 万拿 10 万出来，跟营收 100 万拿 10 万出来，这是完全不同的概念。
再有，「网站安全」这个，不同的网站规模和资产等级，决定了不同的解决思路和安全级别。
比如说，你这个网站其实就一个企业官网，除了几个前端展示页面，没有任何数据资产，那么这种情况但凡投一个安全工程师的人力进来，那都是浪费。例如，网站 IT 拓扑架构长这样：