采購網絡安全技術的***方式是什么?這個問題似乎有點難以回答。

[[216042]]

雖然大多數網絡安全人員都覺得自己預算不足、人手不足，面對不斷涌現的網絡威脅、成山成海的事件警報，往往有心無力、疲于應付，但有一個辦法可以應對該嚴峻的局面——效率。

如果能拿到更多預算，我們會做什么?我們怎樣確保錢都花到刀刃上，獲得***收益?搞清如何有效采購信息安全產品，并不像初看上去那么簡單。有四個基本方法可以遵循：

1. 大品牌路線

一站式服務聽起來不錯。無論是否業內***，從一家大型供應商處購置全部所需產品。反正一旦出事，要怪就怪那一家，對吧?

2. 精品店路線

調查研究“業內***”品牌，購入所有熱門解決方案。這種方式與大品牌路線正相反，需要走訪很多家小店。

3. 全部定制路線

雇傭小型提供商，將他們的研發導引到自己的需求上來，讓他們為自己定制所需全部產品。這么做的效果會更好，但自身付出的時間和資源會很多。

4. ***供應商生態系統路線

信息安全空間里，每家供應商都在各自領域擁有核心競爭力。集成整合這些競爭力，可以幫助解決客戶的問題。

成熟企業知道，以有限資源優化自身生態系統的***方式是：

• 采用成體系的各類技術及服務;
• 合理部署這些技術及服務;
• 優先解決最緊迫的需求;
• 每年至少復核一次，以保證覆蓋面和投資回報率。

最終，某些安全與合規相關解決方案可能會落到不同的預算中心——合規、運營或網絡安全相關。必須知道自己是否需要這些解決方案，知道該在何時購置。

從何處入手呢?

采用 SANS 20大關鍵安全控制之類的框架。很多框架都可以用作解決安全及合規問題的***平臺——NIST、CIS、PCI、NERC等等。

上圖是按優先級順序排列的 SANS 20大關鍵安全控制，

從上述示例中就可看出，通過集成安全生態環境內多家合作伙伴，可幫助企業有效延伸網絡安全覆蓋面。