《互联网企业安全高级指南》_读书笔记_500字

《互联网企业安全高级指南》_读书笔记500字

全书涵盖了技术体系、工具平台和流程制度，既有高屋建瓴的架构阐述，又有接地气的实践分享，还有业务安全和数据保护方面的介绍。书名虽然是互联网行业网络安全，对于传统行业安全建设也是非常有借鉴意义的。
1、安全体系建设是组织、流程和技术的有机结合。组织是资源投入的保障，安全工作师出有名；流程是组织和技术的衔接，让安全工作有制度可依；技术是支撑，组织和流程的价值体现。
2、以前的理念中，安全体系是木桶理论，要着力把短板补齐，安全是七分管理三分技术，主要靠管理。如今安全依然不只是技术问题，也是管理问题和业务问题，强调安全的平衡性。
3、好的安全体系落地不只是攻防能力强大，也是客户体验的最佳平衡。既保证安全防护又不影响内外用户体验，更多通过自动化智能化避免拖沓的流程制度。
4、安全和开发运维不是对立面，怎么以始为终，把安全工作前移，从员工入职时的安全意识培训，需求分析的威胁建模，开发阶段的代码审计，运营阶段的变更管理，定期渗透测试和补丁更新，安全的全生命周期形成有效闭环。
5、安全的RIO是个老大难问题，比较遗憾本书也没有具体的介绍如何评价ROI。