ZDNET安全频道原创文章，转载请注明出处

由于信贷紧缩和经济衰退，企业IT部门的大部分预算都受到了不同程度的影响，只有用于信息安全领域的预算基本没有受到影响。数据泄漏、内部威胁、加密、云计算安全问题已经逐渐成为企业安全策略关注的热点。

敏感数据的丢失，以及政府对信息安全的严格监管，使得IT安全成为了企业IT预算中比重越来越高的部分。据Forrester统计，从2007年到2009年，企业用于IT安全的预算与总预算的比例从7.2%上升到了12.6%。

但是，面对日新月异的黑客技术以及变幻莫测的安全威胁，企业除了维持好日常的安全防护外，还应该实施哪些安全策略以及在哪些方面进行投资，才能更好的保护自身数据安全呢？
 
对于企业来说，首先要做的是检查自身到底有哪些设备，谁在使用这些设备，以及部署这些设备的目的。

Freeform Dynamics公司的项目经理Tony Lock认为：“如果企业不知道这些信息，同时不能及时更新这些信息，因为这类信息变化的很频繁，企业将无法确定自己应该实施什么样的安全策略，也将不知道自己应该预防什么类型的安全威胁。只有知道了这些信息，企业才知道该实施什么样的IT安全策略。”

数据泄漏问题

不论是公司机构还是个人，都已经意识到了数据泄漏问题的严重性，尤其是与此相关的加密技术和网络安全技术公司，更是将重点放在这方面。

但是，尽管安全项目被很多公司摆在了首要位置，却并不是每个公司都在不遗余力的解决安全问题。

制药业巨头Eli Lilly公司的首席信息安全官兼高级企业信息架构师Adrian Seccombe表示:“那些还没有出现过数据丢失事故的企业会发现，他们很难获得所需的政治意愿以及资源上的支持，帮助他们在企业中深入培养安全意识。而安全意识是必须深入企业的每个员工内心的。”

内部威胁

解决内部威胁的最有效手段不是技术，而是培训。不论有意还是无意的，员工永远是数据泄漏风险的最主要制造者。调研机构Quocirca的首席分析师Fran Howarth表示：“我看到有很多公司都安排了员工安全意识培训课程”

Eli Lilly早在2001年就进行过这方面的课程，那时其公司网站Prozac.com的注册用户邮箱被一个员工通过邮件无意间泄漏出去了。“课程大部分内容都是关于人，关于人的安全意识。整个课程都是关于工作程序的，技术方面的内容仅占了很小的一部分。所以我们已经实施了很长时间的隐私意识培训项目，其主要的内容就是让员工意识到保护公司隐私数据的重要性。如果你的部分员工有安全意识，那你就应该继续让所有的员工都具备这种意识。”

加密

企业在注意培养员工安全意识的同时，也部署了各种类型的加密技术，进行数据保护。其中一个有代表性的企业是Barclays，它在整个企业环境中实施了加密技术，并在全球范围的数据中心里都建立了密码管理服务器。

但是，仍然有很多公司没有进行如此大范围的数据保护工作。据数据中心网络厂商Brocade统计，近七成的企业所丢失的数据都是未经加密的。最近由ZDNet的兄弟网站Silicon.com进行的调查也显示，仅有三分之一的公司对存储于员工笔记本上的内部数据进行了有效的加密。

业务开放

随着业务的发展，企业的业务操作模式也逐渐发生变化，与传统的业务模式相比，如今的企业会与合作伙伴，供应商甚至客户发生更多的关系，这种联系同时也给安全防护带来了新的挑战。
 
Eli Lilly公司的Seccombe解释说：“对于我来说：我们应该认识到，如今我们是在一个开放的世界，而不是像以往一样躲在各自的掩体后面。而我们所要考虑的，是如何为我们与更多企业相互联系做好充分的安全准备。这是企业当前最主要的任务。”

云计算安全问题

这种开放和协作的组织架构给身份验证和访问管理带来了全面的挑战，同时，云计算也被越来越多的软件和在线服务所采用。

Freeform Dynamics的Lock认为：“目前人们正在努力尝试采用一种或两种身份验证系统，可以让人们用简单的，单一的方式进行身份验证。”

目前Eli Lilly公司的重点放在建立开放和联合的身份体系以及访问模式。 Seccombe表示：“我们将更多的资源和努力集中在如何建立身份，验证机制以及访问管理上，因为我们开始明白，除非我们真正把身份系统扩展到我们自身的架构之外，否则我们根本无法实现大范围的协作。”

我的数据哪里去了？

Lock表示，另一个由于云计算引发的安全顾虑是数据保护，传输和存储。因为企业很难准确知道自己的数据到底在哪里，由谁掌握。事实上，这种顾虑直接导致了企业拒绝IT行业大肆宣传并被看好的云计算。

他认为：“从数据的角度考虑，云计算或者这种想法毫无用处，因为其中涉及到的数据保护以及数据传输的问题太多了。这会导致很多法律问题，并影响到业务结果。另外，云计算这个术语太模糊了，就连打算尝试这种概念的人都不一定能很快了解。”

随着相关法律不断的出台，数据安全也越来越受到重视，欧洲也即将推出与安全漏洞相关的立法。

Quocirca的Howarth表示：“人们正在不断的为信息管理架构进行投入，其成本也与日俱增。当然，信息管理也会越来越规范并有规章可循。”

但归根结底，好的IT安全策略仍然是以人为主，而不是完全依赖于技术。

Lock说：“很多公司都将安全视作技术问题。这是错误的。与安全问题相关的是人和人的操作行为。坦率的讲，技术在其中所占的成分甚微。”