低预算下如何确保安全

　　ZDNET至顶网安全频道 10月11日 编译：在英国，前不久“政府公共债务创历史新高”成了讨论最多的话题。虽然这一说法引起了一些专家的质疑，表示债务并没有1920年和1960年时的水平高，那是政府负债率已经超过了100%GDP。事实上，这只是个公开记录的问题，在二战后，由于经济危机和政治危机，英国政府的负债率一度高达250%。而另一让政客们恼火的评论是说“英国政府的债务是全球最糟糕的。”不管怎样，我们要面对现实，相信首相不会有意误导民众的，对吧?不论目前英国的债务是否是历史最高，也不管是不是全球最差的债务情况，事实是英国每年所支付的债务利息就高达430亿英镑，这是英格兰全部学校一年的投入资金。因此不能再继续这样下去了，“政府必须瘦身”,再也不能过拆东墙补西墙的日子了。

　　事实上，一些削减计划已经实施了，更多的计划将接踵而至。去年10月20日，财政大臣George Osborne 给出了政府各个部门直到2014年的固定财务经费计划。在讲话中他表示，在未来四年，所有政府部门的平均预算将缩减19%。政府福利预算将削减70亿英镑，政策基金每年削减4个百分点。面对这个计划，我并不想说英国是个自私的国家，但是每个英国人都会想“这个计划对我会有什么影响?”

　　作为个人来说，这当然是个很重要的问题，但是现在还是让我们以一个IT部门经理的角色来思考这个问题吧，即目前面临的预算压力更大了，该如何利用更少的经费维持原先的服务水平呢?可能仅仅有少数幸运的企业没有受到政府削减预算所带来的影响。

　　那么，有没有可能在降低成本的同时实现相同品质的IT服务呢?

　　如果我说没可能，那是不是太令人失望了?所幸，答案是肯定的。不过在缩减个部门经费的时候要谨慎选择，不要影响到企业的关键任务。

　　举个例子，现在大部分企业所使用的电脑系统都是Windows平台。微软也在前段时间推出新一代Windows平台。新平台的功能和界面都要好于旧版本的系统，但是企业真的需要立刻购买新版本操作系统么?升级上千台终端的操作系统将耗费巨大的成本，这还没算上购买操作系统的成本，只是安装和重新培训员工如何使用新系统。而且这个工作可能会涉及到聘请外部的培训讲师或者更新硬件设备。推迟操作系统升级项目一两年，目前看来可以有效的缓解预算压力，除非新版操作系统带有企业非常急需的安全功能。同样，推迟对硬件设备的升级可以有效的实现中期成本节约。虽然最终该升级的还是要升级，但是可以尽量的推迟到经济条件更宽松的时候。减少外部咨询顾问支出，是降低成本中的大头。这并不意味着那些必须外部咨询顾问参与的工作就无法完成了。实际上，企业可以让咨询顾问分担预算减少所带来的压力，即重新协商咨询费用，提高顾问的效率，降低每小时的咨询成本。如果与顾问有长期合作关系，这个方案应该是可以实现的。

　　很明显，上面说到的那些项目都是可以进行预算裁剪的，各个企业也可以想想自己的实际情况，看看那些项目可以推迟或适当改变。但是有一个领域，在缩减费用时一定要谨慎，就是IT安全领域。近日，英国政府表示“敌对势力正在攻击英国网络”，而这将成为英国国家安全方面的重大威胁。任何企业如果打算在IT安全方面削减预算，一定要确保网络安全足够强壮，削减预算不会造成安全漏洞。英国政府也表示，会在网络安全领域投入更多资金，总费用大约5亿英镑。但是好像因此获益的企业并不多。

　　不过，在安全领域还是可以做一些适当的经费削减，从而减轻短期或中期的预算压力同时也不会增加IT安全风险。比如，如今的企业都会将安全解决方案应用于桌面级和网络级。

　　· 对于桌面级的安全解决方案来说，不能有任何经费削减。反病毒软件必须保持及时更新，因为任何病毒的感染对企业来说都会带来巨大的损失，这还不包括解决问题所损失的时间和数据泄漏风险等。

　　· 对于网络级的安全方案来说，最重要的是确保企业的防火墙/IDS/IPS/UTM 工作正常，因为这是企业的第一道防御屏障。

　　由于厂商一直在鼓吹最新推出的产品有多么高科技多么安全，因此很多企业以前都是花大笔经费购买最先进的软件或设备。而实际上，让现有网络工作的更安全更有效率，同时也可以延长设备使用周期的方法有很多。要实现这个目的，首先需要有一个可用的IP过滤测试方案。这类工具可以测试企业网络的安全性，并将发现的潜在问题告知管理员。更好一些的工具还会直接给管理员提供解决安全问题的方案。在解决了IPS/IDS/UTM/ 防火墙之类的设备存在的问题后，企业就可以推迟更换此类设备的时间了。此类检查应该定期进行，并且应该在相当大的范围内进行。通过此类工具的使用，企业也可以降低聘用第三方进行外部渗透测试的成本，而后者不但耗时，而且价格昂贵。

　　通过IP过滤测试，企业可以明显减少用于网络测试的时间，从而将时间用于其它类型的测试，由于企业的技术人员可以进行此类测试，因此减少了支付给第三方技术顾问的经费。这是个省钱多办事的好方法。

　　我们很难从一大堆虚构的故事中找出真实的部分，尤其是当这些故事是从政客嘴里讲出来的时候。但是我们能看清一点，即在当前的经济环境下，经费裁剪是不可避免的事实。另一个事实是，要提高安全性肯定需要投资，但是完全可以少花钱多办事。