為了完美的滿足安全性原則,策略是不可或缺的,像是:
- 24/7警戒系統
- 威脅模型
- 沙盤討論
- 持續針對攻擊手法、流程及步驟進行更新訓練
- 持續自動修補漏洞
- 安全性設計與系統撰寫
- 每日查看系統Log
- 多層實現安全性控管
雖然讀者直覺上會覺得有必要設置這麼多種安全性配置嗎,然而像是深度防禦策略就牽涉到防禦人員利用技術創造多層的阻礙來保護資料不被隨意的存取,在CIA安全三角一文中我們提及設定較強的安全性配置會讓系統使用方便程度下降,如果系統選擇安全性的優先級別比可用性還高,有可能增加使用者的不便
像是系統裡只單純使用Kerberos認證系統而沒有其他備援方案,在某些GNU/Linux distribution裡的Kerberos系統沒有保險裝置,意思是沒有其他的網路存取認證服務存在,所以如果Kerberos發生問題無法認證時,也就是整個系統完全無法進行認證做任何存取變成磚了
當然如果一個組織裡最首要的目標就是注重安全,那麼這對於他們來說是可以接受的情況,然而如果可用性才是第一優先,不小心提高了系統的安全性就會變成是損害系統的一種可能了
安全性管控極度耗費時間來設定至恰當的可用及維護手續,如果某個配置太過於昂貴可能會影響公司盈利,公司營運單位必須平衡財報以及IT部門限制,畢竟現在這個時代採購資安設備與服務已經是一項投資而不是成本了,好的防禦為公司帶來聲譽
