摘要：相信每家公司都对安全性的重要地位心知肚明，其关键程度谓之左右企业全局也不为过。然而需要提醒大家的是，精准的应对措施把握同样重要，我们万万不能奢望以一套方案搞定所有问题。“在安全事务方面，正确的态度才是决定性因素。我们要清醒一点：安全并非某种产品，而是一整套流程，”Network Box美国公司CTO Pierluigi Stella指出。“我就见过许多公司花费大量资金打造安全解决方案，到头来却没有任何实际意义，这显然与管理者的初衷不符。总而言之，安全不是花钱就能买来的。”

　　为了让投资物有所值、切实保护公司安全，与其购置新方案不如从现有安全措施着手，寻求最低成本下的提升途径。
　　
　　◆从保护关键性数据起步
　　
　　要想获得准确的全局安全方案提升思路，仅仅从企业内部角度分析业务数据是远远不够的。事实上，如果大家能够以局外人的身份审视现有资产，也许会对安全保护中的关键性对象拥有更为严谨的概念。
　　
　　“公司应当首先确定哪些资产最具商业价值，而价值的衡量标准不仅要考虑到企业自身的需求，更应该尝试从恶意攻击者的角度加以考量，”eSoft公司主管MikeDonnell表示。“确定了最可能遭受侵袭的业务领域之后，我们才能有的放矢地为其配备高效且稳固的安保机制。”
　　
　　Donnell指出，满载支付信息的客户数据库、保存知识产权及其它机密数据的服务器往往具备极大的商业价值，但这还远远不是最终结果。关键在于认真对待任何一台拥有网络访问接入点的设备，因为它们“会成为恶意攻击的潜在载体，”Donnell告诉我们。而且无论大家以何种方式进行分析，这些具备访问能力的设备最终都必须获得适当的安全保护。
　　
　　◆关注移动安全
　　
　　大多数公司会把安全事务的重心放在服务器、网络以及其它内部物理基础设施身上。但是在这里我要提醒各位，移动安全同样需要倾注大量心力来加以保护。随着智能手机与平板设备在办公环境中的广泛普及，小型、便携式平台已经成为黑客们抢滩登陆的新目标。所谓成熟稳健的移动安全政策，首先应该向员工们宣传将敏感信息保存在移动设备中的危害性，并以不影响访问企业网络为前提向员工们提供一套更安全有效的移动办公方案。
　　
　　“移动设备只有在具备网关、防火墙或者其它全局威胁管理（简称UTM）系统的辅助下才允许接入企业网络，这样才能确保它们不会成为恶意人士绕开企业基础保护机制的载体，”Donnell解释道。“企业网关会不断对流入流出的信息进行扫描，这样无论是来自移动手机、平板设备还是笔记本电脑的访问都将始终处于监控之下，防范手段的成熟是办公方式变革的必要条件。”
　　
　　◆定期进行安全更新
　　
　　别以为购置并安装一套应用程序或安全产品套件，企业安全就万无一失了。如果不坚持定期更新，新的保护功能与攻击应对措施将无用武之地，而这些花了大价钱的东西最终可能只会维持短暂的安全环境。“升级与更新是企业在处理安全事务时最需要重视的工作之一，”Milton安全集团总裁兼CEOJamesMcMurry表示。“升级包与更新补丁的作用是修正初始应用程序中的bug、漏洞以及错误，没有它们的帮助，应用程序根本无法与瞬息万变的恶意威胁相抗衡。”
　　
　　在某些情况下，安全软件中的bug及漏洞很可能被攻击者轻松掌握并成为致命缺陷，因此定期进行免费更新的意义极为重大。不过从另一个角度来看，软件升级也并不是永远免费的，有时候企业需要为安全程序的新版本支付高昂的前期投入。一旦涉及额外支出，McMurry建议企业用户对更新内容进行认真评估，“结合自身情况考虑这些升级能否切实带来安全性改善及保护功能扩展，以及这些提升是否真正适合公司需求。”在获得了明确的答案后，大家就能在严谨的财务控制之下保护企业中的敏感数据。
　　
　　◆尽量不要限制企业的安全预算
　　
　　在经济环境趋于萧条的时代背景下，大多数企业都在寻找削减运营成本的途径，但Stella认为安全事务不该成为省钱的牺牲品。“每家公司都在限制预算，我听得耳朵都快起茧子了。然而安全绝不能成为限制预算的目标之一，”Stella指出。恰恰相反，Stella认为企业应该以保障业务顺利运转为前提，为“必须要做的事”配备合理的预算规划，只有这样才能让公司从数不胜数的潜在威胁中挣脱出来。
　　
　　Stella同时表示，曾经遭受大规模恶意攻击的企业更应该总结经验，放弃通过削减安全预算来增加营收的愚蠢念头。“如果一家公司打定语音要从安全预算里节约开支，那无疑于承认自己已经不打算继续发展了。这绝不是危言耸听，根据2004年FBI公布的一项调查结果，在一年中遭受过数据失窃等安全侵袭的企业有90%都面临倒闭，”他指出。别再抱有幻想，积极为安全事务准备更多的财政预算吧，因为企业发展与预算紧缩只能二选其一，该何去何从大家应该心里有数。
　　
　　◆阻止入侵活动
　　
　　eSoft公司主管MikeDonnell告诉我们，公司应该限制一切针对服务器及企业设备的公共访问活动，并将此视为最重大的潜在安全威胁。如果大家最大程度减少企业网络的流入、流出数据量，那么恶意人士拦截到敏感信息的机率也会大大降低。
　　
　　“某些看似来自内部网络的关键性服务器及设备访问往往是借助加密VPN实现的，这种隐性威胁比防火墙缺陷更加致命，”Donnell说道。“任何需要应对公共访问的服务器，例如Web服务器，都必须时刻做好针对恶意攻击及入侵行为的监控与保护工作。”
　　
　　◆制定安全意识培养规划
　　
　　既不用花一毛钱，却也同样能提升企业安全性的方案还是存在的，而其中最实用的无疑是为员工制定安全意识培养规划。我们不妨将此视为一种教育资源，专门为员工提供各类最佳安全实践措施及指导。这样无论是身处内部办公环境还是外部业务区域，员工都会通过自身对安全问题的深刻理解帮助企业避开大麻烦。
　　
　　“告诉员工攻击行为的判断方法以及如何在错误的地点浏览内部网络会给企业带来怎样的安全困扰，同时提醒大家清理信息残留与不清理会造成哪些截然不同的结果，”NetworkBox美国公司CTOPierluigiStella指出。“这些工作不花一毛钱就能进行，而且会为小型企业的安全态势带来长远而积极的良性影响。”
　　
　　◆深入了解你的网络设施
　　
　　为了保护企业及内部网络，大家必须深入了解网络的方方面面，Milton安全集团总裁兼CEOJamesMcMurry提醒道。我们必须做好映射、文档记录等工作，并关注还有哪些薄弱环节能够进一步改善。除此之外，大家还得熟悉企业内部环境的日常运行状态，这有助于判断设施是否正常运转、有没有出现异常情况。
　　
　　◆使用网络访问控制机制
　　
　　McMurry还建议企业管理者采用适应性网络访问控制方案，这样能够有效帮助公司管理网络访问者的身份及访问发起位置。此类产品同样能够监控外部访问，显示这些访问来自何处，并允许我们放行或禁止所有潜在的连接。最后，我们可以将企业网络的所有活动记录下来，进而以此为基础创建适合自己的安全保护措施。
　　
　　责任编辑：三水