第一个构建好软件开发安全生命周期，第二个按照实际的应用需求，把签名、验签、密码控件、数据安全传输、硬加密等等剥离出来变成安全组件，第三个，渗透测试或者是业务安全测试可反向证明。...

1、发挥好IDS的作用，对外做入侵检测，对内做违规检测；2、利用好splunk这样的工具，能够帮助你快速关联定位；3、内部处理流程要做好，快速发现、快速处置。

我们银行，也有用外员。我理解外员安全开发有两个层面意思：一、访问安全，外员可以访问那些行内资源，比如可以看那些文档、可以参与那些开发、可以访问那些网络、可以访问那些服务器。这方面管理严了，效率低，管理松了有担心出问题。我建议是开发环境与其他行内环境隔离，源码按照角...

27000确实不太适合中国的国情。我们的经验是，做这么几件事情：1、把安全体系的目标定义为IT安全体系；2、做好安全监控+安全测试+安全加固（打补丁）；3、安全意识培训，针对不同人群做一些针对性更强的培训材料，比如对开发运维人员，做安全技术文摘；对全员，做简单的意识考试。...

建议IPS直连，其它都旁路，在需要的时候再切入。优化配置的方法，分析，分析，再分析。

云环境下的安全体系建设和传统环境下的区别是什么，如何进行过渡，如何实现安全设备资源的合理利用及设备的安全接入？