采购网络安全技术的最佳方式是什么？这个问题似乎有点难以回答。

 

虽然大多数网络安全人员都觉得自己预算不足、人手不足，面对不断涌现的网络威胁、成山成海的事件警报，往往有心无力、疲于应付，但有一个办法可以应对该严峻的局面——效率。

如果能拿到更多预算，我们会做什么？我们怎样确保钱都花到刀刃上，获得最大收益？搞清如何有效采购信息安全产品，并不像初看上去那么简单。有四个基本方法可以遵循：

　　1、大品牌路线

一站式服务听起来不错。无论是否业内最佳，从一家大型供应商处购置全部所需产品。反正一旦出事，要怪就怪那一家，对吧？

　　2、精品店路线

调查研究“业内最佳”品牌，购入所有热门解决方案。这种方式与大品牌路线正相反，需要走访很多家小店。

　　3、全部定制路线

雇佣小型提供商，将他们的研发导引到自己的需求上来，让他们为自己定制所需全部产品。这么做的效果会更好，但自身付出的时间和资源会很多。

　　4、最佳供应商生态系统路线

信息安全空间里，每家供应商都在各自领域拥有核心竞争力。集成整合这些竞争力，可以帮助解决客户的问题。

成熟企业知道，以有限资源优化自身生态系统的最佳方式是：

• 　　采用成体系的各类技术及服务；
• 　　合理部署这些技术及服务；
• 　　优先解决最紧迫的需求；
• 　　每年至少复核一次，以保证覆盖面和投资回报率。

最终，某些安全与合规相关解决方案可能会落到不同的预算中心——合规、运营或网络安全相关。必须知道自己是否需要这些解决方案，知道该在何时购置。

　　从何处入手呢？

采用 SANS 20大关键安全控制之类的框架。很多框架都可以用作解决安全及合规问题的绝佳平台——NIST、CIS、PCI、NERC等等。

 

上图是按优先级顺序排列的 SANS 20大关键安全控制。

 

从上述示例中就可看出，通过集成安全生态环境内多家合作伙伴，可帮助企业有效延伸网络安全覆盖面。

(责任编辑：安博涛)