《网络安全体系结构》一2.1 网络安全千金难买

本节书摘来自异步社区《网络安全体系结构》一书中的第2章，第2.1节，作者【美】Sean Convery，更多章节内容可以访问云栖社区“异步社区”公众号查看

2.1 网络安全千金难买

网络安全体系结构
很多安全技术厂商希望人们认为网络安全是可以出售的。只要你快速翻阅一下近期那些危言耸听的信息安全（INFOSEC）行业报纸，就会看到其中充斥着网络安全就是商品的主张。一般情况下，安全厂商并不销售安全解决方案；他们销售的是安全产品。然而，许多缺乏经验的安全专业人员就成了“寻求刺激”的牺牲品，在这种观念之下，每个安全问题都被视为试验安全产品的一次机会，而这会产生利弊交织的结果。有时，这些技术可以解决的问题与组织机构所面临的问题大相径庭，有时，这些技术还会产生一些实施者所无法预料的新问题。

“寻求问题的解决方案”这种情形要追溯到20世纪90年代开始使用防火墙的时候。那会儿常常听到人们说“我们很安全，我们有防火墙”之类的话。其实到目前为止，在新千年的早期，我们遇到的核心问题也不尽相同，只是所用的工具有所区别而已。人们讨论的焦点从防火墙转移到了入侵检测（或卖方为其定义的近亲—入侵防御）和事件相关工具上。追随安全技术的最新趋势只能保证公司的安全预算入不敷出，而无法保证所有的安全问题都能够得到解决。这样日子该到头了；为了让“解决方案”真正发挥作用，系统必须得到长期的维护和补充，它也必须配备有勤奋的管理员和精心制定的策略。

为了避免陷入到为了追求刺激而胡乱部署安全产品的恶性循环中，必须制定明确及时的安全策略。有时候，这些安全行业制造出的最新玩具也能帮助各组织机构满足自己的安全策略要求，但必须将策略放在首位。只有将某种特定的技术放在网络安全系统这个更大的框架内，它的作用才能真正为人所知。