1.安全的本质管理,技术,流程和人员哪个重要?互联网本来是安全的,自从有了"研究安全"的人,就变得不安全了。信息安全的本质是"信任"。计算机用0和1定义整个世界,而企业的信息安全目标是解决0和1之间的广大灰度数据,运用各种措施,将灰度数据识别为0(不值得信任)或1(值得信任)。信任是解决信息安全问题的本源。比如,某些普通企业设计信息安全方案的时候,会假设安全人员,开发人员,运维人员是默认被信任的;比普通企业安全更高要求的金融企业,这些人又默认不是被信任的。不同的信任假设决定了安全方案的复杂程度和实施成本,安全需要找到某个自己可以接受的"信任点",并在这个点上取得成本和收益的平衡。2.安全的原则1.持续改进2.纵深防御从网络层,虚拟层,系统层,应用层,到数据层,用户层,业务层,总控层,进行层层防御。3.非对称对于攻击者,找到企业的一个弱点就够了;对于企业安全人员,必须找到系统的所有弱点,破坏比建设容易。怎么扭转,安全人员也需要非对称思维。各种"蜜"的产品应用而生,比蜜网站,蜜域名,蜜数据库...3.安全世界观对信息安全人员来说,最重要的是建立"安全世界观",即解决安全问题的思路,以及看待安全问题的角度和高度,而不是具体掌握了多少漏洞,拿下多少权限,或者发现了多少风险。信息安全就是博弈和对抗,是一场人与人之间的战争。交战双方所争夺的是对信息资产的控制权,谁能够在博弈和对抗中牢牢的把控住各类信息资产的控制权,谁就取得了胜利。4.正确处理几个关系   1.科学与技术权衡利弊,选择当前情况的最优。2.管理与技术ISO27001 安全体系。管理与技术,两手都需要抓,两手都需要硬。首先,从安全管理角度看,安全政策和流程如果没有技术和自动化的手段保障,无法有效落地,而脱离安全技术的安全政策和流程也可能失败。其次,从安全技术的角度看,没有管理的辅助,可能会变成"为了技术而技术"的"自嗨"。3.业务域安全安全是为业务服务的,安全更是业务的属性之一,不安全或者没有安全考虑的业务就像不合格的产品一样,终究是要被市场淘汰的。本质上,安全也是一项服务,安全服务是安全团队提供给用户和客户的一种服务类别。4.甲方和乙方  1.安全度量是指如何衡量企业安全的效果。对于安全效果,核心指标有2个:一个是漏洞数,一个是安全事件数。2.历史问题免疫运维管理目前事实上的标准是 ISO20000 服务管理体系,这套体系也称为 ITIL 运维流程管理,ITIL 众多流程中有个核心流程 --- 问题管理。问题管理有个有意思的做法,通过问题管理的思维模式,对企业所有曾经出现过的历史故障进行举一反三的持续改进,从而实现对历史故障的免疫。含义:一是对企业层级出现过的安全漏洞和安全事件做举一反三的彻底整改,从人,技术,流程,资源4个维度分析问题产生的根源,查找差距,并建立机制进行防护,从而根本上解决已经出现的安全问题,实现历史问题免疫。二是对已部署的安全措施的有效性做100%确认。3.安全成为属性安全将成为各类系统甚至人才的关键属性之一。4.安全人才缺口大

企业信息安全建设简介:

1.企业安全建设指南(金融行业安全架构与技术实践) --- 企业信息安全建设简介相关推荐

  1. 新书推荐 |《企业安全建设指南:金融行业安全架构与技术实践》

    新书推荐 <企业安全建设指南:金融行业安全架构与技术实践> 点击上图了解及购买 金融行业资深信安专家十余年实战经验的结晶,安全领域多位专家联袂推荐. 编辑推荐 适读人群 :安全从业人员.金 ...

  2. 《程序员》11月精彩内容:大数据平台架构与技术实践

    本期<程序员>呈现大数据平台架构与技术实践精彩内容,汇聚来自去哪儿.游族网络.链家网.万达金融等公司的技术专家,将带领读者共同探讨热门技术应用和实践优化,深入解析蕴藏的数据价值,展现时下大 ...

  3. 【SDCC 2016】电商架构专题干货七连发:探秘知名电商架构最佳技术实践

    [CSDN现场报道]2016年11月18日-20日,由CSDN重磅打造的年终技术盛会 -- "2016中国软件开发者大会"(Software Developer Conferenc ...

  4. 金融行业网络架构与技术探讨

    1.整体架构 整体是数据中心--一级分行--二级分行--支行的架构 拓扑: 需要考虑的核心需求和解决方案: 高可用性: 双中心.双设备.链路捆绑.动态协议.VRRP.生成树.BFD.防火墙的HA 设备 ...

  5. 企业的组织架构对技术架构的影响

    导读 技术人员往往有闷头挖煤的倾向(闷头做技术架构),而不了解挖煤的上下文背景(企业的业务背景和组织架构),殊不知企业的组织架构和业务背景和技术架构之间有隐含的映射关系,这种关系有时候直接决定了技术架 ...

  6. 企业上云指南(二):详解篇,云计算是什么?

    总管导读: 这是企业上云指南第二篇,详细解释一下"企业上云"中的"云",也就是云计算到底是什么?在第一篇文章中,我们搬出了江苏省出台政策中对"企业上云 ...

  7. 华为企业路由器虚拟服务器,应用为王 华为推开放式企业应用路由器

    1OSP令华为AR G3路由器活力升级 近日在"2013 Intel信息技术峰会"(IDF2013)上,华为受邀出席并展示了面向全球企业用户推出的基于OSP(Open Servic ...

  8. 一流在线课程申报表公共计算机,衡阳财经业职业技术学院精品课程建设申报表.doc...

    衡阳财经业职业技术学院精品课程建设申报表 编号 衡阳财经工业职业技术学院 精品课程建设申报表 课程名称 计算机应用基础 课程类别 公 共 基 础 课 课程负责人 邹 伟 民 所属系部 信 息 管 理 ...

  9. 《企业私有云建设指南》-导读

    内容简介 第1章总结性地介绍了云计算的参考架构.典型解决方案架构和涉及的关键技术. 第2章从需求分析入手,详细讲解了私有云的技术选型.资源管理.监控和运维. 第3章从计算.网络.存储资源池等方面讲解了 ...

  10. 《企业私有云建设指南》新书出版

    由我(山金孝)和业内几位专家联合出版的<企业私有云建设指南>由机械工业出版社于2019年2月已经出版,书中有关OpenStack的部分主要由我执笔,因为在之前编写<OpenStack ...

最新文章

  1. java理解程序逻辑_使用java理解程序逻辑(12)
  2. Oracle 10g RAC OCR 和 VotingDisk 的备份与恢复
  3. 比特币现金正走在被广泛应用的路上
  4. 1.7 单层卷积网络-深度学习第四课《卷积神经网络》-Stanford吴恩达教授
  5. html5的消息通知
  6. VMware vSphere 服务器虚拟化之十七 桌面虚拟化之安装View链接服务器
  7. 神经网络与深度学习(邱锡鹏)-学习笔记
  8. 程序员修神之路--高并发系统设计负载均衡架构
  9. 棋盘问题(信息学奥赛一本通-T1217)
  10. eclipse tomcat maven热部署
  11. Python列表中数据插入数据库
  12. 怎样卸载干净Oracle
  13. 人工智能深度学习数据集
  14. 超定方程 matlab,Matlab求解超定方程组实例(精品文档)
  15. mobi 直接转化为 html,MobiCreator--pdf文档转化为kindle可阅读的格式
  16. java根据日期计算农历_Java给定公历日期计算相应农历/阴历日期
  17. MicroPython ESP32 ADC(模拟量转数字量)示例
  18. 在线免费一键将头像转换卡通形象
  19. xss基础认证钓鱼代码收集
  20. memcached使用总结篇一

热门文章

  1. idea 设置代码的颜色
  2. mybatis结果的组装(springboot)
  3. P2922 [USACO08DEC]秘密消息Secret Message
  4. iOS开发中通知(Notification)快速入门及推送通知实现教程
  5. 2015/8/30 Python基础(4):序列操作符
  6. 修改MySQL数据库最大连接数的两种方法
  7. Atitit. 悬浮窗口的实现 java swing c# .net c++ js html 的实现
  8. AttributeError: 'WebDriver' object has no attribute 'switchTo'
  9. Asp.Net MVC部暑托管服务器iis7提示403错误解决方法
  10. 临近失业,如何拯救自己?