昨天談到教育訓練

除了教育訓練投資在人people上面，本身要花費以外

教育訓練得到的知識也是很大的錢坑

要對機關系統做弱掃：弱掃軟體費用，還有分對主機環境的弱掃、對web的弱掃

開發系統時要做源碼掃描：源碼掃描的費用

防毒軟體windows送你Gartner 魔力象限leader的免費防毒不要再買了

防火牆要防火牆的錢

這是一般C級機關的要求

如果分級為B以上，還要IPS，IPS能極有效的抵擋大量攻擊

web提供服務還需要購買WAF

盤點資訊資產弱點，需要購買VANS

幫系統套入政府組態規則，要購買GCB

要對系統做即時監控，要購買EDR

要在查看整個網路的安全，要裝SOC

上面那麼多軟體…要導入SIEM控管

這不是一般機關有能力負荷的吧

以上談的是product

而有了產品之後 誰來承擔業務？誰來制定規則？

因此要談的就是process

採購單位買了新主機要怎麼套用規則要加在哪一關安裝審核？

使用單位找廠商開發系統，沒有考量資安問題，請資訊單位做弱掃，掃出問題怎麼改？

開發單位導源碼掃描，掃出來一千個漏洞下周上線怎麼修？

又回到原點，這些流程原承辦人員不會處理

資源與3P是長官需要考量分配的問題

沒有一個最佳解，端看各機關的文化

看長官想要做多少就怎麼去推動