一方面,安全技術層出不窮,基於網絡層的、基於應用層、基於主機系統、基於數據庫的等等發展變化之快讓技術人員趕不上趟,有防火牆、IDS、IPS、防病毒、SOC系統、漏洞掃描器、各種威脅管理系統等產品,再加上C公司、H公司、I公司等XX牛B公司不停的發佈數據,每年由於因信息安全原因造成了XX Billion的損失,而且增長越來越快,讓CTO不停的向UFO打報告要錢要上XX設備、XX系統。
另一方面,爲什麼要用這麼多的系統和設備啦,每種設備的具體用途,CTO不一定都說得明白。其實這涉及到了信息安全的本質,那它的本質是什麼啦?我認爲信息安全的本質就是讓合適的人使用合適的信息資源。所有的安全規章制度都應重點而明確的規定哪些人應該使用哪些信息資源,而所有的設備和系統都應該保障這個安全規章制度的執行,當有人違反安全規章制度時,相關係統能夠及時有效的發現和報告。
所以安全的本質就是合規,因此信息安全要做好必須有一套嚴格的規範和實踐,就像我們的行爲要符合法律法規一樣。