最好的做法是从一开始就将安全考虑到基础设施中去。重新调整可能是一个比较耗时又容易出错的难事,因为现有的应用程序也可能会考虑到安全性。如果我们在设计、创建和安装好应用程序后再考虑安全问题,那么我们面临的挑战可能更多。
艾美:强安全性的标准从基础设施开始。电脑室的设备在物理上是否安全?门上是否有锁,是否仅限经授权的人员进入?
克里斯:是的,这很重要,因为攻击者如果能够直接进入计算机系统,他们就会更容易地实施破坏并造成伤害。
艾美:网络还必须是安全的,在无线和有线链接上都必须执行强有力的加密行为。除此之外,我们也需要保护物理光缆和铜线电缆,让入侵者无法轻易地通过直接访问暴露的线路进入网络。
克里斯:人们经常忽略的一点是,那些想要穿透电脑防御系统的人都非常聪明,且善于发现哪怕是最微小的漏洞。
艾美:这就是为什么创建一个多层防御系统是明智的,从逐步加密的硬件开始,到机器本身的安全,再到操作系统的安全,一直到给用户进行培训,让他们了解基本的安全规则。每一层都必须是安全计划的一部分,因为破坏可能发生在任何地方,但在多层计划中,攻击者不太可能能够穿透所有安全层。