“最佳实践”来自英文Best Practice。维基百科对最佳实践的定义是一个管理学概念，认为存在某种技术、方法、过程、活动或机制可以使生产或者管理实践的结果达到最优，并减少出错的可能性。学习应用IT企业安全的最佳实践，其实就是借鉴别人成功的经验，让自己在保护企业安全方面少走弯路。在本手册中，将集合IT业内关于企业安全的最佳实践，并不断更新，以期在企业安全防护方面提供帮助。

黑客策略和技术一直都在进步。黑客还在继续开发新的攻击工具和黑客方法，来恶意访问系统并攻击你的网络，这样企业在开发和采取恰当的方法防御黑客的攻击就变得非常困难。《黑客攻击技术和策略》的技术指南将介绍黑客的内心想法，并帮助你理解恶意攻击者的动机，也提供了一些黑客攻击具体信息的方式，采用的方法以及企业应该采用的保护敏感数据的方法。这里将会提供大量黑客技术和策路的信息，例如允许黑客获取网络系统或者文件访问的系统特征探测。

虚拟专用网络 VPN（Virtual Private Network )能通过公用网络Internet建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。VPN是对企业内部网的扩展，它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。许多公司使用VPN向公司外部的员工提供企业网络接入。本手册将围绕VPN进行全方位的讲解。

假如你正在寻找一个漏洞扫描器，你可能已经遇到了大量的非常昂贵的商业解决方案，这些方案都有一长串的性能和优点。不幸的是，如果你和我们之中大部分人的情况一样的话，你一般根本没有运行这些奇特的系统的预算。你可能已经退而求其次，转向考虑使用像SATAN或Saint的免费工具。然而，你可能觉得使用这些工具是一种折衷的办法，因为它们的性能设置不能与商业解决方案相比。这时候你就应该学会使用Nessus！ 2005年12月Nessus背后的公司Tenable Network Security Inc.发布了Nessus 3，引进了对该产品的全面检查。在写这篇文章时候的最近版本，Nessus 3.2是在2008年3月发布的。Nessus现在可以在多种平台上使用，包括Windows、各种版本的Linux、FreeBSD、Solaris和Mac OS X。以下是这次Nessus3中的重大变化： 下面将介绍如何使用Nessus工具以及Nessus工具的更新。

攻击者几乎都是以特定的企业为目标，并且通过Web来进行攻击的。随着越来越多的企业将操作和性能转移到网络上，基于Web的应用程序成为潜在的威胁向量（threat vector）。如今，黑客主要利用Web漏洞，来窃取您最重要的数据。为了保护您的数据，您该采取哪些技术呢？本技术手册将为您介绍基于内存攻击、僵尸网络攻击、中间人SSL攻击和网络战的应对技巧。

一些人认为，关于计算机的安全已由最初的物理安全，随后的网络安全发展到现在的应用安全。的确，攻击者已将攻击目标转向Web应用程序。那么，该如何保护Web应用程序？

云计算在概念上基本达成了共识，可在实际架构和应用中，企业和用户都是一头雾水，不知从何下手。其中，对云计算持观望态度的一个重要原因就是安全性。

知己知彼，百战不殆。要对付黑客，先要了解黑客。如果黑客现在使用的是枪，我们就不能再拿着刀去对付他们，而要拿出相应的工具来应对。

由供应商补丁周期之间漫长的时间间隔为企业移动设备带来了风险。在获得补丁前，企业是否可以在移动设备上打上虚拟补丁，以减轻这种风险？或者还有其他办法吗？

一些厂商和服务提供商声称他们提供符合PCI DSS的基于云的服务，抛开厂商的自我宣传，这是真的吗？

为确保企业的合规工作，违反程序，安全政策等在需要时可以用来诉讼，当安全团队被要求与法律部门密切合作时，CISO应该和律师谈什么？