网络空间的动态特性要求安全策略适应这一趋势。很多安全损害首先是由于针对厂商的攻击引起的，所有企业必须解决与厂商有关的网络威胁。评估厂商的安全策略是一种确保数据安全性的合理方法。安全策略是企业对付可能发生危害的最佳防御，并且有助于在危害发生后恢复网络和信息。在发生用户滥用网络事件或网络遭受攻击时，安全策略有助于企业确定应当做什么。

　　随着企业购买和采用安全服务来保障通信和数据安全，找到最佳和最安全的厂商成为一个并不轻松的问题。为确保领先于威胁，企业在评估厂商时，应关注如下五个问题：

　　实现了数据保护标准?

　　为满足市场竞争，企业应当遵循安全标准。不管企业是喜欢ISO 27001的证书，还是SSAE16认证，对于企业的厂商来说，这些安全标准必然都非常重要，因为企业对于外部实体拥有的控制更少。

　　认证和实施由厂商们定义的ISO 27001及其它标准可以提供一种战略性的信息安全框架，从而有助于企业教育员工保护有价值的数据。

　　如何评估雇员对安全的理解?

　　这个问题有助于企业知道雇员是如何对待安全问题的。如果在雇员回答时提出了其安全意识项目的一种详细而明确的过程，就是不错的表现。否则，人为错误会影响到几乎所有重大的安全问题。

　　如果一个厂商并不能够提供足够可靠的安全意识培训，那它将不值得企业进一步咨询和探讨，而应另请高明。

　　是否将客户数据从主要基础架构中分离?

　　如果企业的服务商提供了关于具体方法的详细信息，例如，加密数据和安全传输的方法，那将是非常理想的情况。同样地，客户数据和关键基础架构的分离也是不错的选择，因为通过将敏感的客户数据存放到不同的地方而不是放到供应厂商的网站上，很多危害都可以轻松避免，或者至少可减少其影响。

　　不将数据库从Web服务器中分离是厂商的最大错误，这是因为黑客可以更容易地访问。所以，数据库应存放到防火墙后的独立服务器上，而不是与Web服务器一起位于DMZ中。虽然由此导致设置更复杂，但为安全利益这是值得的。

　　开发和测试团队得到了哪些安全培训?

　　此问题针对的是为企业提供软件解决方案的厂商，它有助于企业评估厂商是否能够确保数据安全。厂商们如果忽视了安全的程序设计，就会为疯狂的攻击手段和自动攻击创造安全基础架构的巨大漏洞。因而，员工们能够获得相关的安全培训，以使其安全地完成其任务是至关重要的。

　　灾难恢复计划怎样?

　　这个问题很重要，这是因为它可以揭示厂商是否能够保持数据安全和灾难恢复计划的有效实施。厂商的回答可以表明在面临困境时是否保持警惕。在需要分享相关的威胁数据和为技术故障而制定详细确切的计划时，积极而专业的信息安全团队可能起到非常关键的作用。

　　责任编辑：DJ编辑