【读书笔记】企业网络安全建设指南——读书笔记

1.在解决实际的问题上，低成本、简单甚至无脑的手段只要能解决问题就好，高大上的东西并不见得一定“管用”、“好用”。

2.商业产品很多功能其实都是多余的，实际环境简陋的东西往往很有效，这就是自研的必然性。

3.市面上的很多linux/Windows加固措施，有一半操作是“不痛不痒”的，既不能说它无用，也没觉得对系统安全提升有多大帮助。

4.对付暴力破解最有效的方式是多因素认证或非密码认证，考虑到可用性的问题，不太可能开启账户登录失败锁定策略，那样的话就随着互联网上的暴破直接变成拒绝服务了，所以在无法使用MFA（多因素认证）或证书认证的场合，最低的底线的还是设置复杂的密码

5.越往后，一厢情愿地站在防御者角度做安全会越来越难做，防御者必须跟随攻击者的脚步，避免被“领先一个时代”。

6.在当下的安全产业，新概念层出不穷，但有很多属于旧酒装新瓶，换汤不换药。概念变了，实操层面扩展或者优化了一点，但本质没变。如果被概念所迷惑，安全工作就会进入死胡同。尤其是安全行业的后来者，如果没有搞清楚某项安全技术的起源是为解决什么问题的，而被一堆高大上的概念名词所吸引，甚至把厂商用来营销的软文当成技术学习的范本，就会跌入坑中。在解决实际的问题上，低成本、简单甚至无脑的手段只要能解决问题就好，高大上的东西并不见得一定“管用”、“好用”。

7.云计算的本质是改变企业需求方通过传统的渠道获取IT资源的形式。