安全风险层出不穷：如何冷静备战

　　判断一个公司对安全攻击的准备程度如何，就如同判断一只足球队的训练效果一样。不管这个球队训练了多长时间，在正式比赛之前谁也不知道训练效果。在IT问题上，IT应当承认，不管在安全问题上投入了多少钱、多少时间和努力，特定的威胁影响到企业安全只是早晚的问题。

　　企业的真正目标应当是怎样才能使安全事件的影响最小化，怎样才能更快地从事件造成的负面影响中恢复过来。接受这一点有助于企业增强安全意识，有利于加强对员工的教育，并使企业的安全策略更科学，更能适应威胁状况。

　　关注领域

　　对有些IT部门来说，安全准备的一个主要关注领域是说服管理层，使其理解实施强健安全的重要性，并使其接受“安全风险总在不断变化”的观念，要使其明白安全风险是企业的一种成本。因为公司的内部人员威胁、有组织的犯罪等都是不可忽视的安全问题。

　　公司中面临风险的主要因素是数据。因而，发现和分类数据并区分其优先顺序是第一个重要任务。第二，判定谁可以访问数据，是否定期备份数据，是否部署了充分的安全控制来保护数据。第三，在数据遭到损害后，能否快速恢复。为了有效地保护数据，企业应当建立一种可以包含如下四方面信息的数据库：最有价值的数据在哪里、这些数据可以从哪些地方离开企业、谁可以访问这些数据、谁不应当访问这些数据等。

　　企业需要关注的另外一个方面是确认进入企业的每一个入口，其中包括物理入口。其基本要求包括两方面，一是客观地看待可以到达数据的基础架构的所有潜在入口，二是客观地评估风险及防御风险的成本。多数中小型公司通过客户端系统来保障入口的安全，这种不健全的步骤往往缺乏验证物理安全，不能确保雇员仅能访问为完成业务而需要的数据，往往给数据带来潜在的威胁。

　　完善的工具

　　这方面需要注意四个问题：

　　1、企业应当在其网络外围安装商业级防火墙，除去必要的用于支持业务的端口外，将其它所有端口都关闭。

　　2、安装商业级的IPS，以检测可疑活动和恶意代码。

　　3、定期对服务器打上最新的补丁，仅打开用于支持业务的必要服务，并保持反病毒机制的正常运行。

　　4、防火墙、IPS、服务器等设备应当将其日志集中写到一台日志服务器上，此服务器要能够监视异常活动。一个良好的日志关联系统对于分析日志是非常必需的。

　　5、要有一个至少每年都进行测试的灾难恢复计划，以便于在出现故障或灾难时能够顺利地解决问题。

　　6、公司需要能够测试防御系统的工具，并定期测试其有效性。

　　每一个入口都需要保障其安全，这意味着每一个系统都需要某种安全保护。安全网关能够过滤所有进入和发出的通信，虽然它对中小型企业来说十分重要，但它并非万能。公司还需要其它防御。

　　此外，企业在区分可疑事件的优先顺序时越灵活，在减少攻击面时就越迅捷。

　　寻求外援

　　虽然不能说外来的和尚都会念经，但判定一家公司的安全准备程度的最佳方法是雇佣一个客观的第三方来评估风险、漏洞及企业安全的基础架构。有资质的安全公司能够执行深度审计，可以提供使企业环境更安全的建议。聘请第三方来评估系统和数据可以暴露企业自己的IT有可能忽视的漏洞。

　　与获得和实施这种安全工具相关的成本随着企业的规模、合规需求、企业能够容忍的风险等级、需要保护的资产等因素而有很大不同。许多企业经理似乎认为安全是一个过于昂贵的领域，所以他们不愿意投资安全。或者管理层信心满怀地认为已经固若金汤，无需大惊小怪。

　　在具体实施时，IT可能会发现经费不足、人手不足等问题，很容易因此放弃或转移其工作重点。然而，数据中心的管理员必须要让企业的管理层理解：如果遭到安全损害，企业会面临哪些风险和潜在的经济损失。

　　无论大小，多数企业都不可能投资购买并部署市场上的所有工具。因而，企业越能够设计和监视一个灵活的架构来保障其高价值资产的安全，其业务就越能长远地发展。