《網路安全體系結構》一2.1網路安全千金難買

非同步社群發表於2017-05-02

本節書摘來自非同步社群《網路安全體系結構》一書中的第2章,第2.1節,作者【美】Sean Convery,更多章節內容可以訪問雲棲社群“非同步社群”公眾號檢視

2.1 網路安全千金難買

網路安全體系結構
很多安全技術廠商希望人們認為網路安全是可以出售的。只要你快速翻閱一下近期那些危言聳聽的資訊保安(INFOSEC)行業報紙,就會看到其中充斥著網路安全就是商品的主張。一般情況下,安全廠商並不銷售安全解決方案;他們銷售的是安全產品。然而,許多缺乏經驗的安全專業人員就成了“尋求刺激”的犧牲品,在這種觀念之下,每個安全問題都被視為試驗安全產品的一次機會,而這會產生利弊交織的結果。有時,這些技術可以解決的問題與組織機構所面臨的問題大相徑庭,有時,這些技術還會產生一些實施者所無法預料的新問題。

“尋求問題的解決方案”這種情形要追溯到20世紀90年代開始使用防火牆的時候。那會兒常常聽到人們說“我們很安全,我們有防火牆”之類的話。其實到目前為止,在新千年的早期,我們遇到的核心問題也不盡相同,只是所用的工具有所區別而已。人們討論的焦點從防火牆轉移到了入侵檢測(或賣方為其定義的近親—入侵防禦)和事件相關工具上。追隨安全技術的最新趨勢只能保證公司的安全預算入不敷出,而無法保證所有的安全問題都能夠得到解決。這樣日子該到頭了;為了讓“解決方案”真正發揮作用,系統必須得到長期的維護和補充,它也必須配備有勤奮的管理員和精心制定的策略。

為了避免陷入到為了追求刺激而胡亂部署安全產品的惡性迴圈中,必須制定明確及時的安全策略。有時候,這些安全行業製造出的最新玩具也能幫助各組織機構滿足自己的安全策略要求,但必須將策略放在首位。只有將某種特定的技術放在網路安全系統這個更大的框架內,它的作用才能真正為人所知。


相關文章