自「防火牆」面世至今的過去二十幾年裡，為了面對不同的網絡安全挑戰，市場也湧現很多不同的安全產品。有點像兵捉賊遊戲一樣，企業不停地修補漏洞，亦不斷地添置安全設備去加強防禦和監控。就算是大型企業，要投放大量資源去做好網絡安全，都會有點吃力。 安全服務供應商差異大 所以近年市場也興起把安全工作委託或外判給安全服務供應商，對於一些企業來說，也是一個選擇，但如何挑選合適的服務供應商仍是一個難題。首先，市場充斥著很多安全服務供應商（MSSP，Managed Security Service Provider），有本地 MSSP，也有外地 MSSP，其服務內容也林林總總，更有不同的 Service Level，價格也有很大差異。要認識清楚服務內容，實在不容易。再加上大部份 MSSP 所提供的服務範圍也處於前期階段，其質量和穩定性還需要時間來印證。 買車轉為 Call 車 由「產品」轉為「服務」是一個過程，也可以說是開闢了另外一個新市場。就如我們買車一樣：汽車是產品，汽車購買屬於一個市場，但需要接送服務的人，可以選擇 Call 車（像的士或 Uber）。用 Uber…

上文提到，權要有限。那麼職責呢？要分。權要限、職要分，夠鐘要放工，得閒要睇 wepro180。 在系統中，有一條重要保安原則：職責分離。在系統及流程中，要把重要功能、職責拆開。在流程中，申請新帳號或者IT服務者，與批准者，須是不同的人。又如有 D 公司將一個超級帳號密碼拆開前後兩截，一人管一截（有 D 似古代果 D 虎符）。又如寫程式的人，不可以把程式直接安裝入系統，要透過另一個團隊。以上這些職責分離，目的是要減少差錯及舞弊。文藝一些講：避免監守自盜。 （再文藝一些…在歷史中，這些職責分離比比皆是，例如中國的皇權與相權的分離、唐代的三省制，以至謀與斷的分工、三權分立等，都有古仔可以講。） 講到呢度，就可以明白，保安系統設計要嚴密，須要包括：有各系統權限的人，他們的職責是否有合理的分離。所以，大機構的 SIEM / Log Management 要求完備，因為要有足夠的 Audit Trails 去審計各程交易 (Transactions)…

以前網絡保安的工作範圍，主要是環繞著企業網關安全設備的管理，例如：防火牆、IPS、電郵病毒過濾等管理工作。因為傳統的企業網絡架構相對較為簡單，在網關設置防禦來管理企業員工的進出，這個方法行之有效。 再講番大約十年前，鑑於當時對雲端技術、流動設備的安全保護技術還不是太成熟，企業對相關技術採用還有很大的安全憂慮。當年更有安全設備廠商推出一些解決方案，去防止員工在企業環境內上網或使用即時通訊軟件，甚至發出干擾訊號去禁止員工使用流動上網。在現今新世代，若果使用這種方式的話，企業想請到員工都幾難。 近年由於雲端技術的成熟發展，很多企業為了加快營運效率，都轉用雲端服務。例如：雲端版本的 CRM 客戶管理、ERP 企業資源管理、文件傳輸等系統，方便員工在不同地域和時間上班。這個數碼轉型同時把企業的重要數據資料都上載雲端儲存，再加上現今流動設備的普及應用，員工很容易在辦公室以外地方利用自己的智能電話和手提電腦下載雲端上的公司資料，增加了公司資料外洩的機會。 雲端技術和流動設備的廣泛採用，改變了傳統網絡保安的覆蓋範圍。除了網關上的保護外，企業亦加強對雲端及端點（即 Endpoint，包括：手提電腦和流動設備）的資料加密、系統使用的行為監控及多層安全保護。隨著大家對安全意識的提升，行業對安全法規的落實，企業投放在安全的資源也以倍數增加，令到網絡保安的市場也加速擴大。