判斷一個(gè)公司對(duì)安全攻擊的準(zhǔn)備程度如何，就如同判斷一只足球隊(duì)的訓(xùn)練效果一樣。不管這個(gè)球隊(duì)訓(xùn)練了多長(zhǎng)時(shí)間，在正式比賽之前誰也不知道訓(xùn)練效果。在IT問題上，IT應(yīng)當(dāng)承認(rèn)，不管在安全問題上投入了多少錢、多少時(shí)間和努力，特定的威脅影響到企業(yè)安全只是早晚的問題。

企業(yè)的真正目標(biāo)應(yīng)當(dāng)是怎樣才能使安全事件的影響最小化，怎樣才能更快地從事件造成的負(fù)面影響中恢復(fù)過來。接受這一點(diǎn)有助于企業(yè)增強(qiáng)安全意識(shí)，有利于加強(qiáng)對(duì)員工的教育，并使企業(yè)的安全策略更科學(xué)，更能適應(yīng)威脅狀況。

關(guān)注領(lǐng)域

對(duì)有些IT部門來說，安全準(zhǔn)備的一個(gè)主要關(guān)注領(lǐng)域是說服管理層，使其理解實(shí)施強(qiáng)健安全的重要性，并使其接受“安全風(fēng)險(xiǎn)總在不斷變化”的觀念，要使其明白安全風(fēng)險(xiǎn)是企業(yè)的一種成本。因?yàn)楣镜膬?nèi)部人員威脅、有組織的犯罪等都是不可忽視的安全問題。

公司中面臨風(fēng)險(xiǎn)的主要因素是數(shù)據(jù)。因而，發(fā)現(xiàn)和分類數(shù)據(jù)并區(qū)分其優(yōu)先順序是第一個(gè)重要任務(wù)。第二，判定誰可以訪問數(shù)據(jù)，是否定期備份數(shù)據(jù)，是否部署了充分的安全控制來保護(hù)數(shù)據(jù)。第三，在數(shù)據(jù)遭到損害后，能否快速恢復(fù)。為了有效地保護(hù)數(shù)據(jù)，企業(yè)應(yīng)當(dāng)建立一種可以包含如下四方面信息的數(shù)據(jù)庫(kù)：最有價(jià)值的數(shù)據(jù)在哪里、這些數(shù)據(jù)可以從哪些地方離開企業(yè)、誰可以訪問這些數(shù)據(jù)、誰不應(yīng)當(dāng)訪問這些數(shù)據(jù)等。

企業(yè)需要關(guān)注的另外一個(gè)方面是確認(rèn)進(jìn)入企業(yè)的每一個(gè)入口，其中包括物理入口。其基本要求包括兩方面，一是客觀地看待可以到達(dá)數(shù)據(jù)的基礎(chǔ)架構(gòu)的所有潛在入口，二是客觀地評(píng)估風(fēng)險(xiǎn)及防御風(fēng)險(xiǎn)的成本。多數(shù)中小型公司通過客戶端系統(tǒng)來保障入口的安全，這種不健全的步驟往往缺乏驗(yàn)證物理安全，不能確保雇員僅能訪問為完成業(yè)務(wù)而需要的數(shù)據(jù)，往往給數(shù)據(jù)帶來潛在的威脅。

完善的工具

這方面需要注意四個(gè)問題：

1、企業(yè)應(yīng)當(dāng)在其網(wǎng)絡(luò)外圍安裝商業(yè)級(jí)防火墻，除去必要的用于支持業(yè)務(wù)的端口外，將其它所有端口都關(guān)閉。

2、安裝商業(yè)級(jí)的IPS，以檢測(cè)可疑活動(dòng)和惡意代碼。

3、定期對(duì)服務(wù)器打上最新的補(bǔ)丁，僅打開用于支持業(yè)務(wù)的必要服務(wù)，并保持反病毒機(jī)制的正常運(yùn)行。

4、防火墻、IPS、服務(wù)器等設(shè)備應(yīng)當(dāng)將其日志集中寫到一臺(tái)日志服務(wù)器上，此服務(wù)器要能夠監(jiān)視異常活動(dòng)。一個(gè)良好的日志關(guān)聯(lián)系統(tǒng)對(duì)于分析日志是非常必需的。

5、要有一個(gè)至少每年都進(jìn)行測(cè)試的災(zāi)難恢復(fù)計(jì)劃，以便于在出現(xiàn)故障或?yàn)?zāi)難時(shí)能夠順利地解決問題。

6、公司需要能夠測(cè)試防御系統(tǒng)的工具，并定期測(cè)試其有效性。

每一個(gè)入口都需要保障其安全，這意味著每一個(gè)系統(tǒng)都需要某種安全保護(hù)。安全網(wǎng)關(guān)能夠過濾所有進(jìn)入和發(fā)出的通信，雖然它對(duì)中小型企業(yè)來說十分重要，但它并非萬能。公司還需要其它防御。

此外，企業(yè)在區(qū)分可疑事件的優(yōu)先順序時(shí)越靈活，在減少攻擊面時(shí)就越迅捷。

尋求外援

雖然不能說外來的和尚都會(huì)念經(jīng)，但判定一家公司的安全準(zhǔn)備程度的最佳方法是雇傭一個(gè)客觀的第三方來評(píng)估風(fēng)險(xiǎn)、漏洞及企業(yè)安全的基礎(chǔ)架構(gòu)。有資質(zhì)的安全公司能夠執(zhí)行深度審計(jì)，可以提供使企業(yè)環(huán)境更安全的建議。聘請(qǐng)第三方來評(píng)估系統(tǒng)和數(shù)據(jù)可以暴露企業(yè)自己的IT有可能忽視的漏洞。

與獲得和實(shí)施這種安全工具相關(guān)的成本隨著企業(yè)的規(guī)模、合規(guī)需求、企業(yè)能夠容忍的風(fēng)險(xiǎn)等級(jí)、需要保護(hù)的資產(chǎn)等因素而有很大不同。許多企業(yè)經(jīng)理似乎認(rèn)為安全是一個(gè)過于昂貴的領(lǐng)域，所以他們不愿意投資安全?；蛘吖芾韺有判臐M懷地認(rèn)為已經(jīng)固若金湯，無需大驚小怪。

在具體實(shí)施時(shí)，IT可能會(huì)發(fā)現(xiàn)經(jīng)費(fèi)不足、人手不足等問題，很容易因此放棄或轉(zhuǎn)移其工作重點(diǎn)。然而，數(shù)據(jù)中心的管理員必須要讓企業(yè)的管理層理解：如果遭到安全損害，企業(yè)會(huì)面臨哪些風(fēng)險(xiǎn)和潛在的經(jīng)濟(jì)損失。

無論大小，多數(shù)企業(yè)都不可能投資購(gòu)買并部署市場(chǎng)上的所有工具。因而，企業(yè)越能夠設(shè)計(jì)和監(jiān)視一個(gè)靈活的架構(gòu)來保障其高價(jià)值資產(chǎn)的安全，其業(yè)務(wù)就越能長(zhǎng)遠(yuǎn)地發(fā)展。