ZDNET观察：企业安全项目经费该投向哪里

ZDNET安全频道原创文章，转载请注明出处

由于信贷紧缩和经济衰退，企业IT部门的大部分预算都受到了不同程度的影响，只有用于信息安全领域的预算基本没有受到影响。数据泄漏、内部威胁、加密、云计算安全问题已经逐渐成为企业安全策略关注的热点。

敏感数据的丢失，以及政府对信息安全的严格监管，使得IT安全成为了企业IT预算中比重越来越高的部分。据Forrester统计，从2007年到2009年，企业用于IT安全的预算与总预算的比例从7.2%上升到了12.6%。

但是，面对日新月异的黑客技术以及变幻莫测的安全威胁，企业除了维持好日常的安全防护外，还应该实施哪些安全策略以及在哪些方面进行投资，才能更好的保护自身数据安全呢？
 
对于企业来说，首先要做的是检查自身到底有哪些设备，谁在使用这些设备，以及部署这些设备的目的。

Freeform Dynamics公司的项目经理Tony Lock认为：“如果企业不知道这些信息，同时不能及时更新这些信息，因为这类信息变化的很频繁，企业将无法确定自己应该实施什么样的安全策略，也将不知道自己应该预防什么类型的安全威胁。只有知道了这些信息，企业才知道该实施什么样的IT安全策略。”

数据泄漏问题

不论是公司机构还是个人，都已经意识到了数据泄漏问题的严重性，尤其是与此相关的加密技术和网络安全技术公司，更是将重点放在这方面。

但是，尽管安全项目被很多公司摆在了首要位置，却并不是每个公司都在不遗余力的解决安全问题。

制药业巨头Eli Lilly公司的首席信息安全官兼高级企业信息架构师Adrian Seccombe表示:“那些还没有出现过数据丢失事故的企业会发现，他们很难获得所需的政治意愿以及资源上的支持，帮助他们在企业中深入培养安全意识。而安全意识是必须深入企业的每个员工内心的。”

内部威胁

解决内部威胁的最有效手段不是技术，而是培训。不论有意还是无意的，员工永远是数据泄漏风险的最主要制造者。调研机构Quocirca的首席分析师Fran Howarth表示：“我看到有很多公司都安排了员工安全意识培训课程”

Eli Lilly早在2001年就进行过这方面的课程，那时其公司网站Prozac.com的注册用户邮箱被一个员工通过邮件无意间泄漏出去了。“课程大部分内容都是关于人，关于人的安全意识。整个课程都是关于工作程序的，技术方面的内容仅占了很小的一部分。所以我们已经实施了很长时间的隐私意识培训项目，其主要的内容就是让员工意识到保护公司隐私数据的重要性。如果你的部分员工有安全意识，那你就应该继续让所有的员工都具备这种意识。”

加密

企业在注意培养员工安全意识的同时，也部署了各种类型的加密技术，进行数据保护。其中一个有代表性的企业是Barclays，它在整个企业环境中实施了加密技术，并在全球范围的数据中心里都建立了密码管理服务器。

但是，仍然有很多公司没有进行如此大范围的数据保护工作。据数据中心网络厂商Brocade统计，近七成的企业所丢失的数据都是未经加密的。最近由ZDNet的兄弟网站Silicon.com进行的调查也显示，仅有三分之一的公司对存储于员工笔记本上的内部数据进行了有效的加密。