在什么是网站安全架构中,主要讲述了成为安全结构师所需的知识,简单介绍了解决方案和结构审查,实际上结构审查也是为了输出一定的解决方案。关于Deploydeduce、Oiraation、Administration划分给谁是另一件事情。
插入一个小故事。年前,一位安全技术负责人说,他对结构的定义是指在企业内部的3~5年内选择某个结构是结构,例如采用SOA或微型服务。其他种类不能说是框架。当然,每个人的理解不同,大小也不同,没有必要争吵。应用安全结构的人不必考虑网络安全结构吗?制作数据安全结构的网络安全和应用结构不结合吗?
安全合规性。关于我以前的接触,技术人员往往不把合规性作为考虑的第一步。另外,面对监督,好像有很多方法。但是,对于业务来说,监督的压力可以在短时间内减弱或破坏企业。有的红书,有的时候放下,有的货币交易所退出的背后也违反了监督的条例。同样对于数据中心的建立,合规性也确实是第一次。特别是金融业的信息安全,已经成为生态、网络银联、CFCA、BCTC等有自己的立足点。合规性可以说是金融企业的生死线,所以在这里被视为FirstLine。但是,我的遵从性经验不太丰富,所以简单地说说注意点。(不仅包括合规性,还包括公司内部确保安全的相关战略类)属于&关系。合规&合规性好,1-n中的不合规性会导致与关系的失败。
需要申请相应的资质(ISP专线、网站注册、支付牌照、银行专线等)。购买的产品是否具有FIPS认证、国密认证、ISO27K认证等资格。是否有符合规章制度的战略和流程(用户信息收集范围和通知、日志收集审计战略、VPN、要塞机的高可用性和切换性、灾害准备中心、数据分类等)。是否需要相关资格认证:UPDSS、PCI-DSS等。另外,安全审计实际上也是合规性的一部分,根据标准对审计提出要求,分角色分时进行审计记录。合规团队也可以参加一定的技术,这可能只是个好主意,实际落地需要考虑。