安全是个庞大的体系架构，涉及到多方面，多角度，而且是多方结合共建的。对于IT系统来说，根据企业本身IT系统的体量，安全架构可大可小。金融和电商，企业管理系统他们之间的安全诉求肯定不同，所以我们这里讨论的安全架构是一般意义上的通用架构方法。

开发安全

指的是从研发角度保证系统的安全，web系统来说，有XSS，CRSF，SQL注入，缓冲区溢出等。对外提供的API要进行安全校验和数据加密，通过HTTPS保证数据不被第三方窃取，如果是通过开放平台，要基于OAuth协议进行安全认证工作。

再者，就是应用内部的权限体系建设，粒度可以做到角色和用户，或者组织机构，甚至到数据权限。

运维安全

DDOS攻击，DNS劫持，服务器权限提升，负载均衡，高可用保证等，这些都属于运维层面的安全保障机制，运维安全主要是要保障网络和服务器以及应用的安全，侧重于部署层面，所以我们在前面所说的应用的无状态集群，负载均衡，存储的主备等都是为了保障应用正常提供服务，也是属于运维安全的一个维度。

另外，监控体系建设的目的也是安全的一个范畴，多方位多角度对系统进行监控和报警，可以有效预防故障的出现。

业务安全

根据不同业务系统会有不同的业务安全体系建设，比如电商系统，可能会考虑各种优惠活动券发放时，如何防治儒羊毛的问题，恶意下单问题，而对于金融系统要考虑风控系统建设，结合大数据等方法在海量数据中进行辨识恶意请求和操作。根据业务不同会建设不同的安全系统。

安全管理

主要体现在机制保障上，每个SQL要不要DBA进行审核，服务器权限严格审核机制，代码审查机制，以及领导的安全诉求和匹配，这种安全管理机制一定程度上可以保证安全措施的展开，但是根本问题还是在于人，如果人本身没有安全意识，等到故障出现时就毫无意义了。

最后，安全体系建设是结合多维度和公司业务目标来一步步实现的，从开发框架支持，到安全审核机制，最好是有个顶层设计，逐步完善。