互联网企业安全建设实战

去查一下介绍这些东西的文章
跟他们讲真实情况，通过分析，他们可能也会知道这个漏洞如何修复，而水平只能够慢慢去积累。
在提供安全建议的时候，我们要保证最优解而不是正确解
中间件那些需要修，但是他们修了可能会影响到你们的业务
最优解往往不是最安全解
信息安全的目标:
用有限的资源投入将信息安全的风险降低到可以接受的范围内
理想目标: 进不来，拿不走，改不了，看不懂，跑不了
1、安全如何介入业务 ?
1)和“钱(重要资产)”相关的业务发展迅速，安全问题暴露明显
业务主动寻求安全支持。
2)高危事件驱动
安全主动介入
技术驱动安全管理
最大的坑：只关注功能性，其实从互联网文化看，最核心的需求是不卡顿、兼容性、稳定性。
安全的本质是为了业务而服务
方法都知道，落地很艰难
领导不支持，一切都免谈。
除了靠自己，还得靠伙伴。