KISS原則：拋開網路安全管理的迷思

| | | | | | 留下回應

    

對管理者而言，若網路安全的概念只侷限在企業網路防火牆那台小機器，以專業技術觀點來看，這樣的想法似乎過於簡化。因為目前許多對企業網路帶來危險的威脅，不論是單純的病毒、蠕蟲、阻絕式攻擊(Dos)，或是混合型威脅，相信任何曾經肩負起網路安全的人，都會認同安全機制是不嫌少的，包括個人電腦上的防毒軟體、防火牆，或是網路某處的內容過濾伺服器。

然而大多數的網管人員卻常常不經意落入三種網路安全管理的迷思，首先是讓網路安全機制愈來愈複雜。無疑地，隨時更新防毒軟體、維護防火牆規則，以及建立內容過濾資料庫絕對是件苦差事，更別說還得教育使用者適當的電子郵件使用習慣，鼓吹隨時更新病毒資料庫的重要性。

更糟的是，愈來愈多的軟體、伺服器和網路設備，才能維護網路的正常運作與安全，卻讓維護工作再也做不完。在無法聘雇更多的人力與專家的情況下，企業的網管人員勢必得以有限的資源擔負起重責大任，造就衍生災難性結果的可能。

此外，網管人員有時過於相信防火牆會自動防護外來的威脅，卻不知有時問題出在防火牆本身的速度太慢。大多數的防火牆是安裝在個人電腦的軟體，或是建置於一般用途的硬體上，這意味著防火牆所需的資源，可能會被作業系統龐大的需求所瓜分。在工作負載小的時候，效能的差異也許看不出來，但當工作負載升高時，企業使用者可能就會立即查覺，產生抱怨。

過度迷信最佳血統的單一功能產品，也是網管的陷阱之一，例如最佳防毒軟體、最佳內容過濾程式等等，常常只是軟體廠商的行銷訴求。這些方法對付單一的網路威脅也許有用，但要因應現今複雜、演變快速的網路威脅環境，就不是一個最理想的解決方案。美國有一句話叫做KISS，意即Keep IT Simple, Stupid，保持簡單，選擇來自單一廠商的套裝產品，特別是針對網路安全防護，不但能擁有彈性的功能選擇，軟體之間的相容性也不需管理者額外付出心力來傷腦筋。

受限於資訊人員的人事精簡，但卻要面對企業網路更多複雜的威脅，所有安全問題的解答很諷刺地就在管理者身邊，其實只需一個整合式的網路安全設備，就有兼具防毒、防火牆、內容過濾、入伺偵測與防護、流量管理和VPN。如果選擇專屬作業系統和硬體加速式AISC-based的產品，還能避免執行效能不佳的可能，換得穩定、安全的網路環境。

保持簡單，拋開過往網路管理的迷思，是面對網路威脅輕鬆有效的管理之道。更重要的是，單一的整合式網路安全設備還能降低軟硬體採購、安裝設定、營運維護、間接人力與組織成本等等，對企業管理者而言，將會是最佳ROI的資訊投資標的。