最近没啥心情写blog，一是工作忙，再就是有点懒的动笔了。

本来这么大的题目是可以放很多屁的，不过没有写文章的冲动，所以胡乱点两句完事算了。

其实简单来说，构建完整的安全体系，重点在完整上。产品只能帮助实现某一个功能，产品的堆砌并不叫做安全体系，并不能算一个完整的方案。

先不考虑是否满意，什么样的体系才能算完整呢？请看下面这个图：

这个FFP模型，就是构建完整体系的指导思想。

也就是 发现问题--解决问题--监控问题 的一个过程。

举例来说，在web防护中，首先需要发现问题，发现当前系统存在什么样的问题和缺陷，在发现问题的过程中，可以使用web扫描器、人工渗透、代码审计等一系列方法；

发现完问题后，需要去跟进找到的问题，一个个解决他们，比如修改代码、或者是使用web application firewall、改变VLAN、控制访问策略。这一个过程也就是一个解决问题的过程

问题解决后，事情还没完，如果到这里就结束了，那么这个体系是不完整的，因为你需要保障类似问题不再发生，或者需要统计类似攻击的数据，留给以后分析。那么，监控就是一个必不可少的工作，比如可以给网站架设IDS，可以分析服务器日志，审计数据库，定期review用户的权限。这就是一个PROVE的过程，在这个过程中，可能又会发现新的问题，于是又可以改进发现问题的方法。

如果你的体系里大致有这么三个过程，那么可以初步说你的体系是完整的。但是安全这个玩意涉及范围太广了，所以某一个体系比较难以覆盖到所有的面，那么根据业务层或者其他的划分方式，可以设计数个这样的体系，最后就组成了企业安全的整体架构。

至于体系的效率和满意度，则是要看各个过程的完成情况了，就是一个个解决方案的堆砌了。