蘿崗信息安全規劃有哪些

❶ 實現信息安全的環節有哪些

我覺得應該從三個角度去實現：網民、企業、國家。

網民們、企業：
安全防範意識薄弱：網民、企業的網路安全防範意識薄弱是信息安全不斷受威脅的重要原因。目前，網民和企業雖有一定的認知網路安全知識，但卻沒能將其有效轉化為安全防範意識，更少落實在網路行為上。很少能做到未雨綢繆，經常是待到網路安全事故發生了，已造成巨大財產損失才會去想到要落實、安裝網路安全管理這些安全防護系統。

2. 國家：
（1）網路立法不完善：中國在網路社會的立法並不完善且層級不高。一些專家指出，中國還沒有形成使用成熟的網路社會法理原則，網路法律仍然沿用或套用物理世界的法理邏輯。在信息安全立法上，缺乏統一的立法規劃，現有立法層次較低，以部門規章為主，立法之間協調性和相通性不夠，缺乏系統性和全面性。
（2）核心技術的缺失
無論是PC端還是移動端，中國都大量使用美國操作系統。中國在PC時代被微軟壟斷的局面，在移動互聯網時代又被另一家美國巨頭谷歌復制。由於操作系統掌握最底層、最核心的許可權，如果美國意圖利用在操作系統上的優勢竊取中國信息，猶如探囊取物。

所以只有三管齊下才能做好信息安全！

（1）首先應運用媒體、教育的方式提高廣大網民的網路安全防範意識，再者國家應加快完善我國網路立法制度。值得高興的是：為確保國家的安全性和核心系統的可控性，國家網信辦發布網路設備安全審查制度，規定重點應用部門需采購和使用通過安全審查的產品。

（2）但是作為網路攻擊的主要受害國，不能只依靠網路安全審查制度，須從根本上提升中國網路安全自我防護能力，用自主可控的國產軟硬體和服務來替代進口產品。因國情，所以一時間要自主研發出和大面積的普及高端伺服器等核心硬體設備和操作系統軟體也是不可能。

（3）所以現在一些企事業、政府單位已大面積的開始部署國產信息化網路安全管理設備，如像UniNAC網路准入控制、數據防泄露這類網路安全管理監控系統等等。用這類管理系統，達到對各個終端的安全狀態，對重要級敏感數據的訪問行為、傳播進行有效監控，及時發現違反安全策略的事件並實時告警、記錄、進行安全事件定位分析，准確掌握網路系統的安全狀態的作用。確保我們的網路安全。

❷ 強化信息安全保障，包括以下哪些

2016年3月17日，新華社全文發布了《中華人民共和國國民經濟和社會發展第十三個五年規劃綱要》，簡稱「十三五」規劃（2016—2020年），其中第二十八章為「強化信息安全保障」，整章內容摘錄如下：
統籌網路安全和信息化發展，完善國家網路安全保障體系，強化重要信息系統和數據資源保護，提高網路治理能力，保障國家信息安全。

第一節 加強數據資源安全保護

建立大數據安全管理制度，實行數據資源分類分級管理，保障安全高效可信應用。實施大數據安全保障工程，加強數據資源在採集、存儲、應用和開放等環節的安全保護，加強各類公共數據資源在公開共享等環節的安全評估與保護，建立互聯網企業數據資源資產化和利用授信機制。加強個人數據保護，嚴厲打擊非法泄露和出賣個人數據行為。

第二節 科學實施網路空間治理

完善網路空間治理，營造安全文明的網路環境。建立網路空間治理基礎保障體系，完善網路安全法律法規，完善網路信息有效登記和網路實名認證。建立網路安全審查制度和標准體系，加強精細化網路空間管理，清理違法和不良信息，依法懲治網路違法犯罪行為。健全網路與信息突發安全事件應急機制。推動建立多邊、民主、透明的國際互聯網治理體系，積極參與國際網路空間安全規則制定、打擊網路犯罪、網路安全技術和標准等領域的國際合作。

第三節 全面保障重要信息系統安全

建立關鍵信息基礎設施保護制度，完善涉及國家安全重要信息系統的設計、建設和運行監督機制。集中力量突破信息管理、信息保護、安全審查和基礎支撐關鍵技術，提高自主保障能力。加強關鍵信息基礎設施核心技術裝備威脅感知和持續防禦能力建設。完善重要信息系統等級保護制度。健全重點行業、重點地區、重要信息系統條塊融合的聯動安全保障機制。積極發展信息安全產業。

❸ 信息安全包括哪些內容

保證信息的保密性、真實性、完整性、未授權拷貝和所寄生系統的安全性

信息安全(information security)涉及資訊理論、計算機科學和密碼學等多方面的知識，它研究計算機系統和通信網路內信息的保護方法，是指在信息的產生、傳輸、使用、存儲過程中，對信息載體(處理載體、存儲載體、傳輸載體)和信息的處理、傳輸、存儲、訪問提供安全保護，以防止數據信息內容或能力被非法使用、篡改。

信息安全的基本屬性包括機密性、完整性、可用性、可認證性和不可否認性，主要的信息安全威脅包括被動攻擊、主動攻擊、內部人員攻擊和分發攻擊，主要的信息安全技術包括密碼技術、身份管理技術、許可權管理技術、本地計算環境安全技術、防火牆技術等，信息安全的發展已經經歷了通信保密、計算機安全、信息安全和信息保障等階段。

(3)蘿崗信息安全規劃有哪些擴展閱讀：

機密性是指信息不泄漏給非授權的個人和實體或供其使用的特性，只有得到授權或許可，才能得到與其許可權對應的信息，通常機密性是信息安全的基本要求，主要包括以下內容:

1、對傳輸的信息進行加密保護，防止他人譯讀信息，並可靠檢測出對傳輸系統的主動攻擊和被動攻擊，對不同密級的信息實施相應的保密強度，完善密鑰管理。

2、對存儲的信息進行加密保護，防止非法用戶利用非法手段通過獲得明文信息來達到密的目的。加密保護方式一般應視所存儲的信息密級、特徵和使用資源的開發程度等具體情況來確定，加密系統應與訪問控制和授權機制密切配合，以達到合理共享資源的目的。

3、防止由子電磁信號泄漏帶來的失密，在計算機系統工作時，常會發生輻射和傳導電磁信號地漏現象，若此泄漏的信號被他方接收下來，經過提取處理，就可能恢復出原始信息而造成泄密。

❹ 如何規劃自己的職業生涯 信息安全

信息安全人的職業生涯規劃

假設你是一個剛畢業的學生，無非有兩種方式，
top-down
和
down-top
的方
式，
但無論如何，
此時你都不可能站在一個很高的視角上，
因為你缺乏知識和經
驗。

down-top
從安全公司做技術開始，由網路安全逐漸向信息安全過渡，
top-down
從四大或咨詢公司開始，一開始就走咨詢的模式。但我想大多數都是
從做技術開始的。

假設把職業技能分級的話，我認為大致可以分為幾類：

戰略
-
管理
-
技術（技術管理）

技術的東西其實很容易學，操作系統、網路、資料庫等無非就是依葫蘆畫瓢，學
生時代花點力氣自學即使不敢用精通
（如果你的水平超過在職從業人員的平均水
平，你

就可以用精通，水平的高低完全不在於年齡的大小，也不在於從業時間
的長短）
，熟悉還是可以的吧，計算機平台以外的信息技術可以到接觸信息安全
的時候再學業

無所謂，畢竟信息安全的大頭還是計算機網路通訊。如果你把這
些想的很難，那你學起來一定很「艱辛」
，如果你不把這些當成是什麼，那麼學
起來自然很輕松。
很

多在外行人看來是大牛的角色，
如果客觀的用
「知識容量」
來衡量的話，就不會盲目崇拜了。

我個人認為
CISSP
的內容其實還不屬於管理，
更多的屬於技術管理或技術的
范疇。

如果進度比較快的話，
技術基礎學生時代即可完成，
工作後主要是接觸一些
企業運營系統，了解各個行業中
IT
系統如何支撐業務運營，了解企業中的組織
結構和角色、職能。

當

試圖向信息安全管理過渡的時候，首先必須切換自己的視角，不要時時
處處都抱著技術的視角去看待並解決問題。那些國際安全標准和
IT
治理的最佳
實踐學起來一

點都不難，難在如果你不懂企業管理、不了解企業運營、不了解
行業的
IT
系統特性而硬要生搬硬套做咨詢的話，就會發現一個知識大空洞。

很多人的職業生涯都
「死」
在視角切換不過去，
不能站在更高的角度看問題。
當然喜歡做技術倒也無可厚非。

從普通的技術人員向顧問過渡之後，
即將面臨職業生涯的第一個瓶頸，
第一
種選擇是去甲方當
CSO
。

管理體系成熟的大公司可能會有以下職位：

首席風險官，
CRO
首席安全官，
CSO/CISO
首席保密官，
CPO
內部審計總監

CRO
，風險管理總監實際上主要是管理財務風險，
IT
風險只是其次，所以技
術出身的人基本不可能勝任這個職位。

CSO
，信息安全總監，出現頻率最高，最有可能的職位。

另一方面，在國內單獨設臵風險
/
安全管理職位的企業並不多，一般是境外上市
公司為了符合國外法規的治理合規性需求，
或者是規模較大，
對風險和信息控制
比較敏感的企業。

如果你在企業組織架構中的位臵遠離最佳實踐的治理水平，手腳施展不開，

做不了事情，那就請聯系獵頭跳槽吧。

CSO
不僅要精通信息安全技術，更要了解管理和商業，雖然總也有人試圖對
我表達一個精通技術的安全管理者是多麼稱職，但事實上，技術不是第一位的，
包括如何藉助國際標准建立
ISMS
的方法論等都是相對簡單的事情，對
CSO
來說
在組織中成功開展工作最重要的能力是
EQ
一種職業發展是行業過渡，
比如去甲方做
CSO
可以把自己換到任何一個行業，
而另一種職業發展則是專業過渡，比如由純粹的安全管理變成
IT
治理、風險管
理，甚至變成財務風險管理，完全轉變自己工作的性質內容和性質。

任

何一個行業，任何一項職業發展都會有上限。一種「模式」必然伴隨了
一種「結果」
。如果你選擇了走某條道路，那麼其結果也是八九不離十。大多數
人工作多年後

抱怨失去成長空間，其實就是沒有規劃，視野狹隘所致。實際上
抱怨大可不必，
因為這種階段性的結果是完全可以提前預知的，
每個人都必須為
自己的選擇承擔結

果。在你選擇走這條路之前你就應該知道這條路通向何方！

雖然全球信息化趨勢不可阻擋，這也造就了很多
IT
企業並向社會提供了大
量的
IT
就

業機會。但我並不看好那些狹義的
IT
職位。雖然常話說條條大路通
羅馬，
但實際上不同的行業隨著其資本積累速度和需求容量的不同，
潛在的暗示
著不同的行業仍

有高低貴賤之分，就像
CSO
永遠無法與
CFO
相提並論一樣。如
果你覺得行業的太容易走到「頭」
，那麼嘗試切換專業是必要的。對信息安全從
業者來說比較明顯

的出路是找一家「面子」很大的咨詢公司，自己嘗試讀
MBA+
自學補全財務，金融方面的知識，由
IT
風險管理轉向真正的企業管理咨詢或財
務咨詢，以後的出路

才可能寬一些。這種模式可以再生出一棵很龐大的職業發
展樹，不過就此打住。

那些專注於技術本身的從業者，
出路都不會很大。
創業雖然也有藍海，
但是
藍海的
SIZE
對於這個行業來說本質上都很小，
紅海更是已經被爭奪的一塌糊塗，
並且你的成長速度將決定是否能在僅存的藍海中活下來。

到

甲方的話，
CSO
就是盡頭嗎？也不盡然，
CSO
可以繼續變成
CIO
，關鍵在
於自己的能力積累和角色轉變。
如果
CIO
成為推動利潤大幅增長的的變革者，
潛
在

的承擔
CGO
（
G
：
Growth
）
，那麼成為
COO
甚至
CEO
都是可能的，如果不能成
為變革者，或者
CIO
只承擔有限責任地位不高，那麼
CIO
的職業生涯

將到此為
止。

自己的成長和環境選擇是內因，
職業發展還依賴於另一個外因：
你所擁有的社會
資源以及你整合資源的能力。
學無止盡，
時刻充電提高自己的能力和視野都是必
要的，你所學到的知識不會因為公司不重視而貶值，社會需求將決定你的價值。

對時間的利用猶如投資，必須考慮：機會成本，投資組合，收益回報和風險。你
今天走了這條職業發展的路，
就沒有時間走另外一條。
你是在走慢速通道還是高
速公路，還是坐飛機？假如道路
A
失敗，你將如何延續發展等……

本文舉了一些例子，
實際上暗示了任何行業、
任何職業都有職業再造，
二次發力
的可能。
戰略性的
職業規劃
，
有計劃的遷移自己的知識和能力的重心，
超越職業
禁錮，不墨守陳規，做自己感興趣並且有挑戰的事情。

路不是越走越寬就是越走越窄，很多人覺得沒有回頭路就是因為只走不想，
或者是幾年前為了撿眼前的芝麻而丟了西瓜。
大多數人蜂擁而去的方嚮往往是空

❺ 信息安全防護方法有哪些

1、物理環境安全：門禁措施、區域視頻監控、電子計算機房的防火、防水、防雷、防靜電等措施。
2、身份鑒別：雙因子身份認證、基於數字證書的身份鑒別、基於生理特徵的身份鑒別等。
3、訪問控制：物理層面的訪問控制、網路訪問控制（如，網路接入控制NAC）、應用訪問控制、數據訪問控制。
4、審計：物理層面（如，門禁、視頻監控審計）審計、網路審計（如，網路審計系統，sniffer）、應用審計（應用開發過程中實現）、桌面審計（對主機中文件、對系統設備的修改、刪除、配置等操作的記錄）

❻ 信息安全管理辦法、

信息安全管理辦法
第一節 總則
為給信息安全工作提供清晰的指導方向，加強安全管理工作，保障各類系統的安全運營，提高服務質量，特製定本管理辦法。
信息安全工作是公司運營與發展的基礎，是保障客戶利益的基礎，也是國家安全的需要，因此必須重視信息安全工作。
信息安全是公司各部門所有員工的責任，與每一個員工的日常工作息息相關，所有員工必須提高認識，高度重視，做好信息安全工作。
本管理辦法適用於公司全體員工。
第二節 安全目標
中國人壽保險股份有限公司的信息安全目標是：
保障各類系統正常和安全運行，保證業務連續性；
保護公司的商業機密和技術機密，維護公司利益；
保護客戶隱私，保護客戶資料的機密性，維護客戶利益；
建立公司的安全品牌，確保客戶信心。
第三節 安全工作基本原則
中國人壽保險股份有限公司安全工作應遵循以下基本原則：
「服從於國家利益」:在實施安全建設和管理時應遵循國家的有關法規規定，並接受國家相關部門的指導、監督和檢查。
「預防為主」: 必須做好信息安全的預防工作，建立信息安全保障體系。
「風險管理」：進行安全風險管理，確認可能造成不良影響的安全風險，並以較低的成本將其降低到可接受的水平。
「內外並重」：安全工作要做到內外並重，在防範外部威脅的同時，加強規范內部人員行為和審計機制。
「同步規劃、同步建設、同步運行」：信息安全的建設應與公司業務同步規劃、同步建設、同步運行，避免任何環節的疏忽給業務帶來危害。
「整體規劃，分步實施」原則：要對公司信息安全建設進行整體規劃，分步實施，逐步建立完善的信息安全體系。
「獨立自主」:凡涉及安全保密的重要環節，無論在設計、實現、運行、維護和系統配置上，所用技術應立足於國內，選擇經過國家相關部門權威認證的產品和系統。
「選用成熟技術」:計算機信息系統的各主要組成部分應有完備的安全與保密措施，應盡量採用成熟的技術。
「適度安全」原則：在保障安全的基礎上充分考慮易用性，做到適度安全。
第四節 安全組織機構職責
中國人壽保險股份有限公司成立信息安全領導小組，公司總部總經理室成員和相關部門負責人組成，全面負責公司信息安全政策的制定。領導小組下設信息安全工作小組，由信息技術部和相關部門共同組成，全面負責公司信息安全措施的落實。各級公司同時設立本級公司的信息安全領導小組和工作小組，負責公司信息安全各項工作。
信息安全工作小組的日常管理機構設在公司總部信息技術部網路管理處。各級公司信息安全工作小組的日常管理機構設在本級公司信息技術部，各級信息技術部門應有專人負責信息安全管理工作。
信息安全領導小組的職責是：
貫徹落實國家和上級單位關於信息安全工作的管理辦法、政策；
研究審議全公司信息安全工作的重大事項；
組織制定全公司信息安全工作的規章、制度；
領導全公司信息安全工作、組織全公司信息安全檢查。
信息安全工作小組的主要職責是：
貫徹執行信息安全領導小組的決議，制定並落實信息安全的規章制度，負責本公司信息安全體系建設與安全管理工作；
跟蹤國際、國內先進的信息安全技術，研究制定信息安全防範策略並組織實施；
監督電子化項目建設中信息安全工作的落實情況，組織計算機信息系統的安全評審，監督安全措施的執行，保證項目的安全性；
加強與信息安全相關職能管理部門聯系，配合有關單位進行計算機審計和金融計算機犯罪案件調查，打擊金融計算機犯罪；
公司總部負責信息安全專用產品的選型，組織對選用產品的評估、認證工作。省公司在總部選型範圍內，根據本公司具體情況選定相關安全產品；
負責提出業務應用系統的安全需求及風險控制措施，並對實現情況進行檢查驗收，制定相配套的安全管理制度；
加強系統的運行管理，檢查、監督相關安全管理制度的落實，防範事故發生，確保系統安全。
信息安全管理人員的主要職責是：
落實上級部門各項制度和要求，協助總公司信息安全管理員進行公司各項信息安全工作，負責轄內信息安全管理的日常工作；
分析信息安全現狀和問題，提出安全分析報告和安全防範建議，上報信息安全事件；
開展信息安全知識的培訓和宣傳工作。
安全工作要求
建立和完善公司的信息安全保障體系，內容應覆蓋人員、技術和運作三個范疇，識別和控制安全風險，保護公司信息資產。
各級公司必須建立和完善信息安全管理規章制度和操作程序，規范和加強信息安全管理工作，所有員工都必須遵守與其相關的信息安全規章制度。各級公司信息技術部門應該每年根據公司整體安全需求及時更新信息安全制度。
信息安全日常管理機構應該每年對公司的信息資產進行風險評估，總結出中國人壽保險信息系統的整體風險情況，並根據風險評估的結果制定或更新信息安全管理目標及與目標對應的信息安全管理計劃。
信息安全管理計劃在正式實施前，應經過信息安全領導小組和監管部門的批准，根據情況向相關員工公布傳達，說明相關人員應承擔的義務和責任。
信息安全領導小組每年對信息安全管理的執行進行審閱，檢查是安全管理工作是否根據計劃執行，以確保信息安全管理工作的運行。
信息安全日常管理機構每年對風險評估的結果進行再評估並根據評估結果調整信息安全管理目標及與目標對應的信息安全管理計劃。
加強內部人員安全管理，依據最小特權原則清晰劃分崗位，在所有崗位職責中明確信息安全責任，要害工作崗位實現職責分離，關鍵事務雙人臨崗，重要崗位要有人員備份。
員工應簽署保密協議，並接受信息安全教育培訓，提高安全意識，接受安全意識測試、及時報告網路與信息安全事件。
必須加強第三方服務商訪問和外包服務的安全控制，在風險評估的基礎上制定安全控制措施，並與第三方服務商公司和外包服務公司簽署安全責任協議，明確其安全責任。
加強項目建設的安全管理，配套安全系統必須與業務系統「同步規劃、同步建設、同步運行」，加強安全規劃、安全審批、安全驗收管理。
全面部署信息安全保障機制、制定業務連續性計劃、規范日常運行維護行為，滿足物理環境、網路、主機、操作系統、應用、數據等多個層面的安全需求，保障公司各業務系統安全運營。
建立安全檢查和安全處罰機制，提高安全建設的執行力。
附則
本管理辦法由公司總部信息安全領導小組負責解釋、修訂。
本制度自發布之日起開始執行。

❼ 計算機信息安全的目標是什麼

目標：

1、真實性：對信息的來源進行判斷，能對偽造來源的信息予以鑒別。

2、保密性：保證機密信息不被竊聽，或竊聽者不能了解信息的真實含義。

3、完整性：保證數據的一致性，防止數據被非法用戶篡改。

4、可用性：保證合法用戶對信息和資源的使用不會被不正當地拒絕。

5、不可抵賴性：建立有效的責任機制，防止用戶否認其行為，這一點在電子商務中是極其重要的。

6、可控制性：對信息的傳播及內容具有控制能力。

計算機信息系統：指的是由計算機和網路系統軟硬體、應用軟體及其相關設備、設施等構成的，按照一定的應用目標和規則對信息進行採集、加工、存儲、傳輸和檢索等的人機交互系統。

計算機信息系統安全管理工作：主要是保障計算機及其相關設備、設施的安全，運行環境的安全，保障信息的安全，保障計算機功能的正常發揮，以維護計算機信息系統的安全運行。

(7)蘿崗信息安全規劃有哪些擴展閱讀

信息系統建設安全管理包括應包括應用系統開發的安全管理和系統投產與廢止的安全管理

1、計算機信息系統的開發必須符合軟體工程相關規范，並在軟體開發的各階段按照信息安全管理目標進行管理和實施。

2、計算機信息系統的開發人員或參加開發的協作單位應經過嚴格資格審查，並簽訂保密協議書，承諾其負有的安全保密責任和義務。

3、計算機信息系統投入使用時業務部門應當建立相應的操作規程和安全管理制度，以防止各類信息安全事故的發生。

4、應對重要計算機信息系統制訂計算機信息系統突發事件應急預案，並按照預案進行定期演練，保障信息系統連續運行。

❽ 保險行業的信息安全建設規劃

以下解答摘自谷安天下咨詢顧問發表的相關文章！
一、信息安全管理體系已解決的保險公司信息安全問題
保險行業通過信息安全技術的實施，信息安全管理制度的實施，解決了大量具有普遍性的信息安全問題，並形成了行業在信息安全管理方面的特色和管理優勢。概要如下：
建立了比較詳盡的在安全策略，並且總公司的各項IT制度會直接下放到各級分支機構。
在安全組織方面，結合保監會建立「網路安全工作小組」的要求，成立的信息安全組織，由公司的主要領導擔任組長及副組長，組員由主要業務部門、人力資源部門、稽核部門及信息技術部門等部門組成。
在物理環境方面，機房建設按國家A類機房標准建設，符合國家的有關標准；機房實現授權出入管理，出入計算機機房有嚴格的審批程序和出入記錄，物理環境的防火、防水、空調、電力等基本達到安全要求。
建立了較合理的總公司與分支機構的網路基礎架構，網路核心交換機與路由器雙機容錯；公司重要的廣域網接入專用線路都有冗餘。
對網站採用了網頁防篡改技術並定期進行檢查，員工訪問互聯網進行了分級限制，外來人員訪問互聯網有專用網段。
對員工PC集中防病毒管理、集中補丁管理，定期對重要主機與網路設備進行安全檢查。
在計算機信息系統開發、管理與應用上有相對比較清晰和明確的職責分工的要求，在核心業務系統的設計、開發、測試環境基本能做到主機環境的分離，軟體源代碼通過版本控制器集中進行管理。
重要業務系統和數據均有良好的備份措施，特別是進行了數據異地存放等工作。
IT人員責任心強，工作勤勉，在超負荷的工作狀態下能基本維持系統正常運行。
二、信息安全管理體系正在解決的保險公司信息安全問題
當前保險行業信息安全現狀還有許多待改進與提高的地方，與國際標准和最佳信息安全實踐相比，還存在著一定的差距，特別是分支機構在資產管理、物理與環境安全、人力資源管理、通信與操作管理、訪問控制、軟體開發等方面還需付出較大的努力。
以下對信息安全管理體系正在解決的保險行業信息安全方面的主要表現在以下幾個方面：
信息安全投入
IT規劃
資產管理
人力資源安全
物理與環境安全
通信與操作管理
訪問控制
信息系統獲得、開發與維護
信息安全事件管理

擴展閱讀：【保險】怎麼買，哪個好，手把手教你避開保險的這些"坑"

❾ 信息安全專業 大學規劃 請大家幫忙看看

我不是這個專業的，但是目前在干這一行，剛入行不久。你的規劃挺好的，挺有針對性。一方面你要考慮以後就業的興趣，信息安全有技術層面也有管理層面，技術上又有兩個主要的分支，一個以網路技術為主，一個以代碼為主，兩個分支都要涉及很多另一方的知識，而又各有專長，所以建議你在鋪開專業面的前提下，選擇自己感興趣的方向深入學習。另一方面要學好英語，從我的經驗來看，國內信息安全的主體構架還是國外的舶來品，自己的東西比較少，而且很多技術資料國內是沒有中文版的，盡管網上可以下載，但是基本都是英文的，像蘭德公司的風險評估方法報告，ISSAF的評估框架，以及最近在看的很多滲透技術的教程。最後還建議你不要把知識局限於專業上，文史政法也要涉獵，知識的力量會隨著數量的增長呈指數級增長，尤其在不同領域，這一點切記。其他具體問題可以具體討論。