双活数据中心：1、首先考虑业务场景，业务需求，再考虑技术路线2、需要确认同步技术，双活对象，双活程度，业务双活，数据双活，还是存储双活3、链路：是双活数据中心最基础的保障，也决定双活的稳定性。4、以上是技术角度考虑实现方式，最后也是最重要的一点，建设成本（决定了最终双活数据中心的...

理论上来说各个安全域的网络时隔离的，如果部署一套k8s集群，所有的node节点和master节点是联通的，node直接默认也是联通的。 可以每个安全域部署一套k8s集群，使用同一的容器管理平台，这是k8s多集群管理。calico是k8s其中一个网络插件，其他还有flannel、ovs等不同的网络插件，生产...

大部分用户都是不买账的，就算是遇到灾难性的问题也不听，曾经遇到过一个用户用的Oracle HA ，两台P570因为换电源，机器全挂，存储的数据全部丢失，他们恢复了很久没恢复好，找到我们，幸好他们是周六操作的，数据备份到周五晚上，恢复的时候虽然费了一点时间，但是没耽误使用，后来给他们建议做...

1，这就要提前识别业务，然后开始威胁建模了。利用一些威胁建模工具。2，遵循pdca呀

传统的安全一般是这么分层的，物理安全、网络安全、系统安全、应用安全、数据安全。然后再纵向切分，软件开发安全生命周期、运维纵深防护体系，然后取交叉点做产品规划。

我们银行，也有用外员。我理解外员安全开发有两个层面意思：一、访问安全，外员可以访问那些行内资源，比如可以看那些文档、可以参与那些开发、可以访问那些网络、可以访问那些服务器。这方面管理严了，效率低，管理松了有担心出问题。我建议是开发环境与其他行内环境隔离，源码按照角...

27000确实不太适合中国的国情。我们的经验是，做这么几件事情：1、把安全体系的目标定义为IT安全体系；2、做好安全监控+安全测试+安全加固（打补丁）；3、安全意识培训，针对不同人群做一些针对性更强的培训材料，比如对开发运维人员，做安全技术文摘；对全员，做简单的意识考试。...

针对银行这类特殊行业，外围人员的访问控制，可以两个层面进行，第一是物理隔离，可以通过管理政策和基本规则，虽然比较low，但还是行之有效的办法。如只允许外包开发人员，在指定的区域使用指定的网络进行访问指定设备。另外就是逻辑层的隔离：特别针对外包开发人员的访问，可以通过VPN拔...

所谓水无常势，日志分析其实也是同样的。与其找所谓的解决方案，还不如把关注点放在大的格局上面，先通过分析工具的统计功能，找到异常点，然后再层层深入，这样可以解决大篇的问题，否则一头扎进去，基本就是“特烦恼”了。工具，其实在日志分析的过程中起到了决定性的作用，比如splunk、科...

如何设计安全性？各种安全策略应当如何配置？