自从开始工作，就从事着与信息安全有关的职业和职位。从最基本的安装防病毒软件和查杀病毒到网络准入控制、DLP、防垃圾邮件、虚拟桌面、数据存储备份、容灾系统建设等，都直接的做过项目，至今仍然怀念刚开始工作3000台桌面终端安全标准化的项目，每一台终端都要求统一操作系统版本、统一加入AD域、统一防病毒软件、统一安装微软的终端管理软件和补丁管理软件，最终通过网络准入控制系统确保每一台终端都接受管理，使整个终端安全基线随着时间的推移，安全等级逐渐上升，而不是像一般的企业采用的这一类解决方案，随着时间的推移，可接受管理的终端越来越少，最终导致整个安全体系的失败。值得骄傲的是这套系统和机制，虽然时间已经过去大概10年了，至今仍然运转良好，发挥着重要作用。

        随着工作的变化、接触技术的不同、客户行业的不同，不断有客户和朋友会问：安全到底应该建成什么样子？

        在信息安全建设发展初级阶段，我们一般称信息安全建设为：救火队员，即哪里出问题堵哪里，针对出现的每一个安全事件和安全漏洞，领导很重视，每一个事件和漏洞都是一个很好的立项机会，但是随着这种情况的发展，导致了我们很多企业的终端办公电脑右下角都是各种各样的Agent(代理)，互联网入口处串接进来各种各样的安全防护设备。这又带来了新问题。

        安全和易用永远是一个矛盾体，需要我们不断去平衡，寻求一个平衡点。所以我们开始进行高大上的顶层设计，各种安全体系、安全框架应运而生，您可以看一下下面这个安全技术框架图：

        请问：这些技术点需要采用什么样的安全架构来实现？采用什么样的产品实现？多长时间能够全部实现？以多少成本为代价实现？如何与业务进行融合？是否会遇到各种各样的阻力？

        还有种类繁多的安全体系：

        这些安全框架和安全体系到底如何落地？安全到底应该怎么建？下面是提供给大家的一个参考答案：

安全建设有：标准、理念方法论、最佳实践、建设思路

安全建设没有：没有照搬能够解决问题、没有一成不变的固定模式

安全没有最好的，只有适合的！