首先是有一个设计合理的安全组织,其次要有清晰的安全管理思路,不断摸索和实践新的安全技术,最终建立一套有效可行的安全维护体系。
个人的理解:
安全是平衡的艺术:平衡是因为要取舍,艺术是因为无规律可寻,一切取决于当下的环境. 预算,风险,客户体验,有效……
安全是为业务和相关应用服务的:如果没有业务应用,根本就没有所谓的安全,因为应用所以产生了安全需求,同时也带来了不安全的因素,安全是和应用矛盾的,必须明白安全是为应用服务的,不满足应用的安全没有任何意义.
安全是管理和技术的完美结合:业内流行的说法是三分技术,七分管理。虽然管理和技术各自解决各自的问题,但是管理的意义大于技术。管理解决的是面的问题,技术解决的是点的问题,管理者会站在一定的高度,综合考虑整体的情况,然后制定相应的策略,然后落实到技术实现上。当然在技术实现上有简单有复杂,但是无论如何实现都是在安全管理的大策略框架之下完成。但是缺少技术保证的管理有点空中楼阁的味道。有技术不是万能的,没有技术是万万不能的.
安全问题的层次和渐进:不要试图把整个海洋煮沸。在解决安全问题上,首先要列出目前安全的整体情况和重要性,然后确定优先级,先解决最严重的问题,再去解决其他问题;先解决已知问题,再去探讨未知问题的解决。
安全是一个整体的解决方案:很多人一提到安全就是想到防火墙,VPN,IPS之类的,上面提到的都是安全的技术点,但是安全绝对不是单一技术的简单拼凑,安全从来都是去解决实际问题的。买了防火墙, VPN, IPS就是安全的么?任何一个产品都只能解决某些问题,而不是全部。重要的是如何将这些产品很好的结合起来,充分利用各自的特点去形成一套完整的问题解决方案。
安全是一个动态和循环提升的过程:业务的发展导致了需求不断变化并带来网络结构和设备不断的变化和调整,同时黑客的攻击手法不断变化,也许今天这样的防护是安全的,但是明天就很难说了。安全是一个长期的、变化的过程,不是通过一个项目和一个方法就能够解决的。在安全这个行业是永远没有永远这个概念的。
人总是最大的问题:最终我们还是要面对人,任何威胁都来自那些心怀恶意的人。路不拾遗,夜不闭户在目前的大环境下只能是一个理想. 每一个组织里接触核心系统的人才是最大的安全威胁,管理的终极目标就是人.