最終用戶通常只從一般意義上了解安全需求，沒有領(lǐng)會(huì)它們?cè)诒３职踩矫嫠鸬年P(guān)鍵作用。本文介紹了 IT 部門在傳達(dá)所有員工必須主動(dòng)遵從安全流程這一信息時(shí)可以采取的步驟。

如果說有個(gè)問題讓 IT 管理人員徹夜難眠的話，那就是安全問題。

根據(jù)賽門鐵克 2010 年度企業(yè)安全狀況報(bào)告，網(wǎng)絡(luò)安全現(xiàn)在已超過了傳統(tǒng)犯罪、自然災(zāi)害和恐怖主義，成為大型企業(yè)的頭號(hào)風(fēng)險(xiǎn)。

此外，該報(bào)告還發(fā)現(xiàn)，幾乎所有接受調(diào)查的企業(yè) (94%) 都希望對(duì) 2010 年的網(wǎng)絡(luò)安全工作進(jìn)行調(diào)整，近半數(shù) (48%) 預(yù)計(jì)會(huì)進(jìn)行重大調(diào)整。

盡管事實(shí)如此，但是，很多企業(yè)依然缺乏安全意識(shí)，這也許會(huì)讓人感覺吃驚。IT 策略遵從小組進(jìn)行的調(diào)查研究顯示，企業(yè)未能通過審計(jì)的首要原因是員工缺乏相關(guān)的安全意識(shí)。

本文對(duì)企業(yè)安全的現(xiàn)狀進(jìn)行了調(diào)查，并推薦了 IT 部門傳達(dá)所有員工必須主動(dòng)遵從安全流程這一信息可以采取的步驟。

2010 年為何與往年不同

2010 年度企業(yè)安全狀況報(bào)告充分證明，當(dāng)今企業(yè)在運(yùn)作過程中時(shí)刻保持著警惕。主要原因在于，他們?cè)馐艿墓舯纫酝魏螘r(shí)候都要多。該報(bào)告顯示，75% 的企業(yè)在過去的 12 個(gè)月中都遭到了網(wǎng)絡(luò)攻擊，41% 的企業(yè)表示這些攻擊給其造成了一定的甚至很大的損失。

毫無疑問，這些攻擊的后果越來越嚴(yán)重。該報(bào)告表明，所有接受調(diào)查的企業(yè) 2009 年都因網(wǎng)絡(luò)攻擊而遭受損失。最常見的損失是：

◆竊取客戶信息

◆環(huán)境停機(jī)

◆知識(shí)產(chǎn)權(quán)遭竊

◆客戶信用卡信息被盜

最常見的損失如下：

◆工作效率下降

◆收入減少

◆客戶信任喪失

總的來說，在 2009 年一年中，企業(yè)報(bào)告的有關(guān)網(wǎng)絡(luò)攻擊的損失達(dá)到了 200 萬美元，而大型企業(yè)損失更為慘重，高達(dá)近 280 萬美元。

情況已經(jīng)夠糟糕了，而調(diào)查報(bào)告接下來表示，企業(yè)在安全方面人員配備嚴(yán)重不足。這樣，就會(huì)出現(xiàn)企業(yè)部署云計(jì)算和服務(wù)器虛擬化等計(jì)劃會(huì)使安全實(shí)現(xiàn)更加困難的情形。

為何要讓每個(gè)人都正確認(rèn)識(shí) IT 安全

不用說，在這種環(huán)境下，就防范網(wǎng)絡(luò)風(fēng)險(xiǎn)來說，不會(huì)存在"安全如常"之類的事情了。必須將提高企業(yè)的安全意識(shí)作為重中之重。

員工必須意識(shí)到，即使是網(wǎng)上沖浪、單擊電子郵件內(nèi)的 URL 或鏈接等簡(jiǎn)單的操作，也足以將公司置于風(fēng)險(xiǎn)當(dāng)中。目前，員工無意違反數(shù)據(jù)安全策略，仍是導(dǎo)致數(shù)據(jù)泄露的主要因素。

與此同時(shí)，企業(yè)還需要清楚，有些員工主動(dòng)繞開安全流程，因?yàn)樗麄兏杏X，安全流程影響他完成工作。賽門鐵克最近對(duì)焦點(diǎn)小組的調(diào)查顯示，一些最終用戶僅從一般意義上認(rèn)識(shí)安全需求，并沒有把握住（或關(guān)注）它們?cè)诎踩S護(hù)方面所起的作用。就這些用戶來講，IT 安全通常會(huì)妨礙創(chuàng)新型業(yè)務(wù)計(jì)劃的實(shí)施，對(duì)員工工作效率有負(fù)面的影響。

防止數(shù)據(jù)再泄露

為了保護(hù)信息，使其免遭內(nèi)外部威脅的侵?jǐn)_，企業(yè)應(yīng)該采用一種安全保障操作模式，這種模式是基于風(fēng)險(xiǎn)的，具有內(nèi)容識(shí)別機(jī)制，可以實(shí)時(shí)響應(yīng)威脅，并且能夠依據(jù)工作流程自動(dòng)執(zhí)行數(shù)據(jù)安全保障過程。賽門鐵克認(rèn)為該模式可以有效傳達(dá)這樣的信息：遵循安全流程是企業(yè)內(nèi)每個(gè)人的責(zé)任。以下四個(gè)步驟可以幫助企業(yè)通過成熟的解決方案降低數(shù)據(jù)泄露風(fēng)險(xiǎn)：

◆第 1 步：保護(hù)基礎(chǔ)架構(gòu)?，F(xiàn)在，您需要對(duì)系統(tǒng)進(jìn)行集中了解，才能高效管理這些系統(tǒng)，從而最終保護(hù)其免受新威脅的攻擊。這就意味著，除了安全地備份和恢復(fù)數(shù)據(jù)外，您還需要保護(hù)所有端點(diǎn)、電子郵件和重要內(nèi)部服務(wù)器。Symantec Protection Suite 營(yíng)造了一個(gè)安全的端點(diǎn)、消息傳輸和 Web 環(huán)境，讓企業(yè)既能夠防御當(dāng)前復(fù)雜的惡意軟件、數(shù)據(jù)丟失和垃圾郵件威脅，又可以在發(fā)生故障之后快速恢復(fù)。#p#

◆第 2 步：制定和實(shí)施 IT 策略。企業(yè)可以先劃分風(fēng)險(xiǎn)優(yōu)先級(jí)，并制定企業(yè)策略，這樣企業(yè)就可以通過內(nèi)置的自動(dòng)化工作流程更有效地實(shí)施這些策略。工作流和自動(dòng)化不僅讓您識(shí)別威脅，而且還可以讓您對(duì)已經(jīng)發(fā)生的事件予以補(bǔ)救，或提前對(duì)其進(jìn)行預(yù)測(cè)。Symantec Control Compliance Suite 是業(yè)界唯一一款能夠以低成本、低復(fù)雜性全面控制各種 IT 風(fēng)險(xiǎn)和遵從狀況的全自動(dòng)化解決方案。Control Compliance Suite 提供了能夠幫您遵從多個(gè)行業(yè)法規(guī)的現(xiàn)成策略內(nèi)容，自動(dòng)化的技術(shù)和流程控制評(píng)估功能，基于 Web 的管理面板報(bào)告功能以及與其他賽門鐵克安全解決方案相集成的功能。

◆第 3 步：主動(dòng)保護(hù)信息。以往的安全措施都側(cè)重于保護(hù)網(wǎng)絡(luò)安全?，F(xiàn)在，企業(yè)采取信息化方法主動(dòng)保護(hù)其信息。通過重點(diǎn)關(guān)注數(shù)據(jù)本身，您可以了解數(shù)據(jù)的所在位置、訪問者和使用方式，甚至還可以主動(dòng)防止其丟失。使用 Symantec Data Loss Prevention，企業(yè)可以了解策略違規(guī)情況，通過自動(dòng)隔離、重新定位以及支持基于策略的加密，主動(dòng)保障數(shù)據(jù)安全。Symantec Data Loss Prevention 可以在網(wǎng)絡(luò)和終端上禁止活動(dòng)內(nèi)容，從而防止機(jī)密數(shù)據(jù)通過不正當(dāng)?shù)姆绞綇钠髽I(yè)中泄露出去。賽門鐵克可以確保企業(yè)最大程度地降低風(fēng)險(xiǎn)，自動(dòng)實(shí)施數(shù)據(jù)安全遵從策略，并使企業(yè)能夠改變員工的行為。

◆第 4 步：管理系統(tǒng)。安全措施一旦實(shí)現(xiàn)了標(biāo)準(zhǔn)化、流程化和自動(dòng)化，就必定會(huì)讓您的生活變得更輕松。您只要通過這些簡(jiǎn)單的操作，就可以讓安全軟件執(zhí)行從補(bǔ)丁程序管理到法規(guī)審計(jì)的繁瑣任務(wù)。賽門鐵克 Altiris IT Management Suite 是業(yè)界最全面的集成式套件，可以幫您降低臺(tái)式機(jī)、筆記本電腦、服務(wù)器等公司 IT 資產(chǎn)的管理成本及復(fù)雜性。IT Management Suite 還可以幫您降低運(yùn)營(yíng)成本、提高運(yùn)營(yíng)效率、做出保護(hù)和管理 IT 環(huán)境的戰(zhàn)略決策。

結(jié)論

現(xiàn)在，數(shù)據(jù)泄露風(fēng)險(xiǎn)比以往任何時(shí)候都要高。部分原因在于，以企業(yè)為目標(biāo)的攻擊以及對(duì)惡意代碼的開發(fā)熱情一直高漲。例如，2009 年，賽門鐵克發(fā)現(xiàn)了 2.4 億多種全新的惡意程序，與 2008 年相比，增加了 100%。

所幸的是，目標(biāo)性攻擊是可以打敗的，其他數(shù)據(jù)泄露也是可以防范的。但是，這需要企業(yè)內(nèi)的所有員工都清楚其責(zé)任所在。賽門鐵克推薦采用的操作安全模式可以為企業(yè)提供灌輸這種安全文化的藍(lán)圖。

要了解詳細(xì)內(nèi)容，還可以參閱《2010 年度企業(yè)安全狀況報(bào)告》和《互聯(lián)網(wǎng)安全威脅報(bào)告》（第十五期） 。

◆"信息安全管理最佳實(shí)踐"，IT 策略遵從小組，2010 年 2 月

◆2009 年 8 月和 9 月，賽門鐵克對(duì)企業(yè)和中型企業(yè)的戰(zhàn)略和職能決策者組成的 16 個(gè)焦點(diǎn)小組進(jìn)行了調(diào)查

◆《賽門鐵克互聯(lián)網(wǎng)安全威脅報(bào)告》（第 15 期），2010 年 4 月

相關(guān)內(nèi)容

◆2010 年度企業(yè)安全狀況報(bào)告

◆互聯(lián)網(wǎng)安全威脅報(bào)告