采購網(wǎng)絡(luò)安全技術(shù)的***方式是什么?這個問題似乎有點難以回答。

[[216042]]

雖然大多數(shù)網(wǎng)絡(luò)安全人員都覺得自己預(yù)算不足、人手不足，面對不斷涌現(xiàn)的網(wǎng)絡(luò)威脅、成山成海的事件警報，往往有心無力、疲于應(yīng)付，但有一個辦法可以應(yīng)對該嚴(yán)峻的局面——效率。

如果能拿到更多預(yù)算，我們會做什么?我們怎樣確保錢都花到刀刃上，獲得***收益?搞清如何有效采購信息安全產(chǎn)品，并不像初看上去那么簡單。有四個基本方法可以遵循：

1. 大品牌路線

一站式服務(wù)聽起來不錯。無論是否業(yè)內(nèi)***，從一家大型供應(yīng)商處購置全部所需產(chǎn)品。反正一旦出事，要怪就怪那一家，對吧?

2. 精品店路線

調(diào)查研究“業(yè)內(nèi)***”品牌，購入所有熱門解決方案。這種方式與大品牌路線正相反，需要走訪很多家小店。

3. 全部定制路線

雇傭小型提供商，將他們的研發(fā)導(dǎo)引到自己的需求上來，讓他們?yōu)樽约憾ㄖ扑枞慨a(chǎn)品。這么做的效果會更好，但自身付出的時間和資源會很多。

4. ***供應(yīng)商生態(tài)系統(tǒng)路線

信息安全空間里，每家供應(yīng)商都在各自領(lǐng)域擁有核心競爭力。集成整合這些競爭力，可以幫助解決客戶的問題。

成熟企業(yè)知道，以有限資源優(yōu)化自身生態(tài)系統(tǒng)的***方式是：

• 采用成體系的各類技術(shù)及服務(wù);
• 合理部署這些技術(shù)及服務(wù);
• 優(yōu)先解決最緊迫的需求;
• 每年至少復(fù)核一次，以保證覆蓋面和投資回報率。

最終，某些安全與合規(guī)相關(guān)解決方案可能會落到不同的預(yù)算中心——合規(guī)、運營或網(wǎng)絡(luò)安全相關(guān)。必須知道自己是否需要這些解決方案，知道該在何時購置。

從何處入手呢?

采用 SANS 20大關(guān)鍵安全控制之類的框架。很多框架都可以用作解決安全及合規(guī)問題的***平臺——NIST、CIS、PCI、NERC等等。

上圖是按優(yōu)先級順序排列的 SANS 20大關(guān)鍵安全控制，

從上述示例中就可看出，通過集成安全生態(tài)環(huán)境內(nèi)多家合作伙伴，可幫助企業(yè)有效延伸網(wǎng)絡(luò)安全覆蓋面。