曾遇到過一個例子，說要在服務器上裝防病毒軟件，推測就知道是傳統企業的思路，不是沒有真正實踐過互聯網企業安全就是沒被業務線挑戰過。在大型互聯網企業，僅是性能損耗、運維成本和軟件成本這幾條就能分分鐘把這種需求干掉，更不用進入對于服務器防護這種更實際的話題了。很多標準說到底都是各廠商參與編寫，博弈并達成妥協，有利于自己產品銷售的代言白皮書，并不是完全站在建設性的角度的。

    1．傳統企業的安全建設從安全建設上來看，傳統企業的安全建設是：在邊界部署硬件防火墻、IPS/IDS、WAF、商業掃描器、堡壘機，在服務器上安裝防病毒軟件，集成各種設備、終端的安全日志建設SOC，當然購買的安全硬件設備可能遠不止這些。在管理手段上比較重視ISMS（信息安全管理體系）的建設，重視制度流程、重視審計，有些行業也必須做等級保護以及滿足大量的合規性需求。

      2．互聯網企業的安全建設互聯網可分為生產網絡和辦公網絡，即便最近Google聲稱取消內網也是針對辦公網絡而非生產網絡。互聯網行業的大部分安全建設都圍繞生產網絡，而辦公網絡的安全通常只占整體的較小比重。但是某些傳統企業可能完全沒有生產網絡而只有辦公網絡，那么網絡安全也就變成辦公網絡的網絡安全。但我推測，隨著社會“互聯網+”進程的加速，很多傳統企業也會有自己的生產網絡，最終都變成和互聯網公司一樣的形態。

      所以對于那些在給傳統企業客戶提供咨詢和解決方案的乙方的工程師，如果不學習互聯網安全，也遲早會陷入困境。互聯網企業的生產網絡中，安全解決方案基本上都是以攻防為驅動的，怕被黑、怕拖庫、怕被劫持就是安全建設的最直接的驅動力。互聯網公司基本不太會考慮等保、合規這種形而上的需求，只從最實際的角度出發，這一點是比傳統企業更務實的地方。