一方面,安全技术层出不穷,基于网络层的、基于应用层、基于主机系统、基于数据库的等等发展变化之快让技术人员赶不上趟,有防火墙、IDS、IPS、防病毒、SOC系统、漏洞扫描器、各种威胁管理系统等产品,再加上C公司、H公司、I公司等XX牛B公司不停的发布数据,每年由于因信息安全原因造成了XX Billion的损失,而且增长越来越快,让CTO不停的向UFO打报告要钱要上XX设备、XX系统。
另一方面,为什么要用这么多的系统和设备啦,每种设备的具体用途,CTO不一定都说得明白。其实这涉及到了信息安全的本质,那它的本质是什么啦?我认为信息安全的本质就是让合适的人使用合适的信息资源。所有的安全规章制度都应重点而明确的规定哪些人应该使用哪些信息资源,而所有的设备和系统都应该保障这个安全规章制度的执行,当有人违反安全规章制度时,相关系统能够及时有效的发现和报告。
所以安全的本质就是合规,因此信息安全要做好必须有一套严格的规范和实践,就像我们的行为要符合法律法规一样。