CSO怎么做(10)物理安全怎么做
人员安全之意识教育在我很久之前就写过了,而作为信息安全最基础的一环—-物理安全也必不可少。
月度归档: 2018年11月
浅谈敏捷开发模式下银行业金融机构开源软件引入风险及管控举措
不管是直接使用开源技术,还是购买开源技术的商业软件都需要考虑开源技术带来的风险,只不过是规避开源技术风险的责任主体不同。 金融机构在使用或引入开源软件或代码时,除了需要考虑开源或许可证兼容风险、违约或其他法律风险、以及数据安全或隐私风险这些开源软件本身所带来的风险外,还要考虑监管合规风险等行业特定风险。
浅谈网络攻防中的战术对抗
本文之所以跳出技术谈战术,一方面是基于客观的攻防形式,另一方面也是考虑到紧缺的安全资源。安全投入不足,缺乏人员、技术和资金,是企业安全的常态化问题。网络安全攻防对抗是相对复杂的系统性问题,守方的牌永远不够打。通过对战术的研究和思考,可以将牌在正确的时机打到正确的地方,有助于将有限资源发挥最大化作用。
互联网企业安全建设思考与实践
互联网企业安全建设之路任重而道远,包含的内容实在是非常的多和广,绝非一篇文章、一次分享能够说的清楚。由于本人能力有限,文中肯定有一些不足之处,欢迎大家一起探讨,共同进步。
Gartner 2018年十大安全项目详解
2018年“十大安全技术”换成了“十大安全项目”,所为何故?我个人的理解:今年“十大安全项目”的叫法更加符合客户视角,而且更加强调对客户而言具有很高优先级的技术。也就是说,也许有些项目涉及的技术不一定是最新最酷的技术,但对客户而言是特别有助于降低安全风险的技术。如此一来,十大安全项目考察的技术点就要比十大安全技术更广泛,更加客户视角。
浅谈BeyondCorp(一)-受管设备与分层访问
在今年不同的安全会议中大家都开始宣讲一种之前国内关注不多的模式-零信任架构概念,在全球领域内该概念下实践较为前沿的是Google BeyondCorp项目。我目前所在的团队一直在各细分领域学习并对标Google&Amazon等厂的优秀安全架构方案,并有幸参与、设计公司的零信任架构项目并去实践落地,也会在不涉密的情况下持续分享一些我的拙见。