相信每家公司都對安全性的重要地位心知肚明，其關(guān)鍵程度謂之左右企業(yè)全局也不為過。然而需要提醒大家的是，精準的應(yīng)對措施把握同樣重要，我們?nèi)f萬不能奢望以一套方案搞定所有問題。在安全事務(wù)方面，正確的態(tài)度才是決定性因素。我們要清醒一點：安全并非某種產(chǎn)品，而是一整套流程，Network Box美國公司CTO Pierluigi Stella指出。我就見過許多公司花費大量資金打造安全解決方案，到頭來卻沒有任何實際意義，這顯然與管理者的初衷不符。總而言之，安全不是花錢就能買來的。

        為了讓投資物有所值、切實保護公司安全，與其購置新方案不如從現(xiàn)有安全措施著手，尋求最低成本下的提升途徑。

        ◆從保護關(guān)鍵性數(shù)據(jù)起步

        要想獲得準確的全局安全方案提升思路，僅僅從企業(yè)內(nèi)部角度分析業(yè)務(wù)數(shù)據(jù)是遠遠不夠的。事實上，如果大家能夠以局外人的身份審視現(xiàn)有資產(chǎn)，也許會對安全保護中的關(guān)鍵性對象擁有更為嚴謹?shù)母拍睢?/p>

        公司應(yīng)當首先確定哪些資產(chǎn)最具商業(yè)價值，而價值的衡量標準不僅要考慮到企業(yè)自身的需求，更應(yīng)該嘗試從惡意攻擊者的角度加以考量，eSoft公司主管Mike Donnell表示。確定了最可能遭受侵襲的業(yè)務(wù)領(lǐng)域之后，我們才能有的放矢地為其配備高效且穩(wěn)固的安保機制。

        Donnell指出，滿載支付信息的客戶數(shù)據(jù)庫、保存知識產(chǎn)權(quán)及其它機密數(shù)據(jù)的服務(wù)器往往具備極大的商業(yè)價值，但這還遠遠不是最終結(jié)果。關(guān)鍵在于認真對待任何一臺擁有網(wǎng)絡(luò)訪問接入點的設(shè)備，因為它們會成為惡意攻擊的潛在載體，Donnell告訴我們。而且無論大家以何種方式進行分析，這些具備訪問能力的設(shè)備最終都必須獲得適當?shù)陌踩Ｗo。

        ◆關(guān)注移動安全

        大多數(shù)公司會把安全事務(wù)的重心放在服務(wù)器、網(wǎng)絡(luò)以及其它內(nèi)部物理基礎(chǔ)設(shè)施身上。但是在這里我要提醒各位，移動安全同樣需要傾注大量心力來加以保護。隨著智能手機與平板設(shè)備在辦公環(huán)境中的廣名易及，小型、便攜式平臺已經(jīng)成為黑客們搶灘登陸的新目標。所謂成熟穩(wěn)健的移動安全政策，首先應(yīng)該向員工們宣傳將敏感信息保存在移動設(shè)備中的危害性，并以不影響訪問企業(yè)網(wǎng)絡(luò)為前提向員工們提供一套更安全有效的方案。

        移動設(shè)備只有在具備網(wǎng)關(guān)、防火墻或者其它全局威脅管理（簡稱UTM）系統(tǒng)的輔助下才允許接入企業(yè)網(wǎng)絡(luò)，這樣才能確保它們不會成為惡意人士繞開企業(yè)基礎(chǔ)保護機制的載體，Donnell解釋道。企業(yè)網(wǎng)關(guān)會不斷對流入流出的信息進行掃描，這樣無論是來自移動手機、平板設(shè)備還是筆記本電腦的訪問都將始終處于監(jiān)控之下，防范手段的成熟是辦公方式變革的必要條件。

        ◆定期進行安全更新

        別以為購置并安裝一套應(yīng)用程序或安全產(chǎn)品套件，企業(yè)安全就萬無一失了。如果不堅持定期更新，新的保護功能與攻擊應(yīng)對措施將無用武之地，而這些花了大價錢的東西最終可能只會維持短暫的安全環(huán)境。升級與更新是企業(yè)在處理安全事務(wù)時最需要重視的工作之一，Milton安全集團總裁兼CEO James McMurry表示。升級包與更新補丁的作用是修正初始應(yīng)用程序中的bug、漏洞以及錯誤，沒有它們的幫助，應(yīng)用程序根本無法與瞬息萬變的惡意威脅相抗衡。

        在某些情況下，安全軟件中的bug及漏洞很可能被攻擊者輕松掌握并成為致命缺陷，因此定期進行免費更新的意義極為重大。不過從另一個角度來看，軟件升級也并不是永遠免費的，有時候企業(yè)需要為安全程序的新版本支付高昂的前期投入。一旦涉及額外支出，McMurry建議企業(yè)用戶對更新內(nèi)容進行認真評估，結(jié)合自身情況考慮這些升級能否切實帶來安全性改善及保護功能擴展，以及這些提升是否真正適合公司需求。在獲得了明確的答案后，大家就能在嚴謹?shù)呢攧?wù)控制之下保護企業(yè)中的敏感數(shù)據(jù)。

        ◆盡量不要限制企業(yè)的安全預(yù)算

        在經(jīng)濟環(huán)境趨于蕭條的時代背景下，大多數(shù)企業(yè)都在尋找削減運營成本的途徑，但Stella認為安全事務(wù)不該成為省錢的犧牲品。每家公司都在限制預(yù)算，我聽得耳朵都快起繭子了。然而安全絕不能成為限制預(yù)算的目標之一，Stella指出。恰恰相反，Stella認為企業(yè)應(yīng)該以保障業(yè)務(wù)順利運轉(zhuǎn)為前提，為必須要做的事配備合理的預(yù)算規(guī)劃，只有這樣才能讓公司從數(shù)不勝數(shù)的潛在威脅中掙脫出來。

        Stella同時表示，曾經(jīng)遭受大規(guī)模惡意攻擊的企業(yè)更應(yīng)該總結(jié)經(jīng)驗，放棄通過削減安全預(yù)算來增加營收的愚蠢念頭。如果一家公司打定語音要從安全預(yù)算里節(jié)約開支，那無疑于承認自己已經(jīng)不打算繼續(xù)發(fā)展了。這絕不是危言聳聽，根據(jù)2004年FBI公布的一項調(diào)查結(jié)果，在一年中遭受過數(shù)據(jù)失竊等安全侵襲的企業(yè)有90%都面臨倒閉，他指出。別再抱有幻想，積極為安全事務(wù)準備更多的財政預(yù)算吧，因為企業(yè)發(fā)展與預(yù)算緊縮只能二選其一，該何去何從大家應(yīng)該心里有數(shù)。

        ◆阻止入侵活動

        eSoft公司主管Mike Donnell告訴我們，公司應(yīng)該限制一切針對服務(wù)器及企業(yè)設(shè)備的公共訪問活動，并將此視為最重大的潛在安全威脅。如果大家最大程度減少企業(yè)網(wǎng)絡(luò)的流入、流出數(shù)據(jù)量，那么惡意人士攔截到敏感信息的機率也會大大降低。

        某些看似來自內(nèi)部網(wǎng)絡(luò)的關(guān)鍵性服務(wù)器及設(shè)備訪問往往是借助加密VPN實現(xiàn)的，這種隱性威脅比防火墻缺陷更加致命，Donnell說道。任何需要應(yīng)對公共訪問的服務(wù)器，例如Web服務(wù)器，都必須時刻做好針對惡意攻擊及入侵行為的監(jiān)控與保護工作。

        ◆制定安全意識培養(yǎng)規(guī)劃

        既不用花一毛錢，卻也同樣能提升企業(yè)安全性的方案還是存在的，而其中最實用的無疑是為員工制定安全意識培養(yǎng)規(guī)劃。我們不妨將此視為一種教育資源，專門為員工提供各類最佳安全實踐措施及指導。這樣無論是身處內(nèi)部辦公環(huán)境還是外部業(yè)務(wù)區(qū)域，員工都會通過自身對安全問題的深刻理解幫助企業(yè)避開大麻煩。

        告訴員工攻擊行為的判斷方法以及如何在錯誤的地點瀏覽內(nèi)部網(wǎng)絡(luò)會給企業(yè)帶來怎樣的安全困擾，同時提醒大家清理信息殘留與不清理會造成哪些截然不同的結(jié)果，Network Box美國公司CTO Pierluigi Stella指出。這些工作不花一毛錢就能進行，而且會為小型企業(yè)的安全態(tài)勢帶來長遠而積極的良性影響。

        附加提示:

        ◆深入了解你的網(wǎng)絡(luò)設(shè)施

        為了保護企業(yè)及內(nèi)部網(wǎng)絡(luò)，大家必須深入了解網(wǎng)絡(luò)的方方面面，Milton安全集團總裁兼CEO James McMurry提醒道。我們必須做好映射、文檔記錄等工作，并關(guān)注還有哪些薄弱環(huán)節(jié)能夠進一步改善。除此之外，大家還得熟悉企業(yè)內(nèi)部環(huán)境的日常運行狀態(tài)，這有助于判斷設(shè)施是否正常運轉(zhuǎn)、有沒有出現(xiàn)異常情況。

        ◆使用網(wǎng)絡(luò)訪問控制機制

        McMurry還建議者采用適應(yīng)性網(wǎng)絡(luò)訪問控制方案，這樣能夠有效幫助公司管理網(wǎng)絡(luò)訪問者的身份及訪問發(fā)起位置。此類產(chǎn)品同樣能夠監(jiān)控外部訪問，顯示這些訪問來自何處，并允許我們放行或禁止所有潛在的連接。最后，我們可以將企業(yè)網(wǎng)絡(luò)的所有活動記錄下來，進而以此為基礎(chǔ)創(chuàng)建適合自己的安全保護措施。