在什么是网站安全架构中，主要讲述了成为安全结构师所需的知识，简单介绍了解决方案和结构审查，实际上结构审查也是为了输出一定的解决方案。关于Deploydeduce、Oiraation、Administration划分给谁是另一件事情。

插入一个小故事。年前，一位安全技术负责人说，他对结构的定义是指在企业内部的3~5年内选择某个结构是结构，例如采用SOA或微型服务。其他种类不能说是框架。当然，每个人的理解不同，大小也不同，没有必要争吵。应用安全结构的人不必考虑网络安全结构吗？制作数据安全结构的网络安全和应用结构不结合吗？

安全合规性。关于我以前的接触，技术人员往往不把合规性作为考虑的第一步。另外，面对监督，好像有很多方法。但是，对于业务来说，监督的压力可以在短时间内减弱或破坏企业。有的红书，有的时候放下，有的货币交易所退出的背后也违反了监督的条例。同样对于数据中心的建立，合规性也确实是第一次。特别是金融业的信息安全，已经成为生态、网络银联、CFCA、BCTC等有自己的立足点。合规性可以说是金融企业的生死线，所以在这里被视为FirstLine。但是，我的遵从性经验不太丰富，所以简单地说说注意点。(不仅包括合规性，还包括公司内部确保安全的相关战略类)属于&关系。合规&合规性好，1-n中的不合规性会导致与关系的失败。

需要申请相应的资质(ISP专线、网站注册、支付牌照、银行专线等)。购买的产品是否具有FIPS认证、国密认证、ISO27K认证等资格。是否有符合规章制度的战略和流程(用户信息收集范围和通知、日志收集审计战略、VPN、要塞机的高可用性和切换性、灾害准备中心、数据分类等)。是否需要相关资格认证:UPDSS、PCI-DSS等。另外，安全审计实际上也是合规性的一部分，根据标准对审计提出要求，分角色分时进行审计记录。合规团队也可以参加一定的技术，这可能只是个好主意，实际落地需要考虑。