判斷一個公司對安全攻擊的準備程度如何，就如同判斷一只足球隊的訓練效果一樣。不管這個球隊訓練了多長時間，在正式比賽之前誰也不知道訓練效果。在IT問題上，IT應當承認，不管在安全問題上投入了多少錢、多少時間和努力，特定的威脅影響到企業(yè)安全只是早晚的問題。

企業(yè)的真正目標應當是怎樣才能使安全事件的影響最小化，怎樣才能更快地從事件造成的負面影響中恢復過來。接受這一點有助于企業(yè)增強安全意識，有利于加強對員工的教育，并使企業(yè)的安全策略更科學，更能適應威脅狀況。

關注領域

對有些IT部門來說，安全準備的一個主要關注領域是說服管理層，使其理解實施強健安全的重要性，并使其接受“安全風險總在不斷變化”的觀念，要使其明白安全風險是企業(yè)的一種成本。因為公司的內部人員威脅、有組織的犯罪等都是不可忽視的安全問題。

公司中面臨風險的主要因素是數(shù)據(jù)。因而，發(fā)現(xiàn)和分類數(shù)據(jù)并區(qū)分其優(yōu)先順序是第一個重要任務。第二，判定誰可以訪問數(shù)據(jù)，是否定期備份數(shù)據(jù)，是否部署了充分的安全控制來保護數(shù)據(jù)。第三，在數(shù)據(jù)遭到損害后，能否快速恢復。為了有效地保護數(shù)據(jù)，企業(yè)應當建立一種可以包含如下四方面信息的數(shù)據(jù)庫：最有價值的數(shù)據(jù)在哪里、這些數(shù)據(jù)可以從哪些地方離開企業(yè)、誰可以訪問這些數(shù)據(jù)、誰不應當訪問這些數(shù)據(jù)等。

企業(yè)需要關注的另外一個方面是確認進入企業(yè)的每一個入口，其中包括物理入口。其基本要求包括兩方面，一是客觀地看待可以到達數(shù)據(jù)的基礎架構的所有潛在入口，二是客觀地評估風險及防御風險的成本。多數(shù)中小型公司通過客戶端系統(tǒng)來保障入口的安全，這種不健全的步驟往往缺乏驗證物理安全，不能確保雇員僅能訪問為完成業(yè)務而需要的數(shù)據(jù)，往往給數(shù)據(jù)帶來潛在的威脅。

完善的工具

這方面需要注意四個問題：

1、企業(yè)應當在其網(wǎng)絡外圍安裝商業(yè)級防火墻，除去必要的用于支持業(yè)務的端口外，將其它所有端口都關閉。

2、安裝商業(yè)級的IPS，以檢測可疑活動和惡意代碼。

3、定期對服務器打上最新的補丁，僅打開用于支持業(yè)務的必要服務，并保持反病毒機制的正常運行。

4、防火墻、IPS、服務器等設備應當將其日志集中寫到一臺日志服務器上，此服務器要能夠監(jiān)視異?；顒?。一個良好的日志關聯(lián)系統(tǒng)對于分析日志是非常必需的。

5、要有一個至少每年都進行測試的災難恢復計劃，以便于在出現(xiàn)故障或災難時能夠順利地解決問題。

6、公司需要能夠測試防御系統(tǒng)的工具，并定期測試其有效性。

每一個入口都需要保障其安全，這意味著每一個系統(tǒng)都需要某種安全保護。安全網(wǎng)關能夠過濾所有進入和發(fā)出的通信，雖然它對中小型企業(yè)來說十分重要，但它并非萬能。公司還需要其它防御。

此外，企業(yè)在區(qū)分可疑事件的優(yōu)先順序時越靈活，在減少攻擊面時就越迅捷。

尋求外援

雖然不能說外來的和尚都會念經(jīng)，但判定一家公司的安全準備程度的最佳方法是雇傭一個客觀的第三方來評估風險、漏洞及企業(yè)安全的基礎架構。有資質的安全公司能夠執(zhí)行深度審計，可以提供使企業(yè)環(huán)境更安全的建議。聘請第三方來評估系統(tǒng)和數(shù)據(jù)可以暴露企業(yè)自己的IT有可能忽視的漏洞。

與獲得和實施這種安全工具相關的成本隨著企業(yè)的規(guī)模、合規(guī)需求、企業(yè)能夠容忍的風險等級、需要保護的資產等因素而有很大不同。許多企業(yè)經(jīng)理似乎認為安全是一個過于昂貴的領域，所以他們不愿意投資安全?；蛘吖芾韺有判臐M懷地認為已經(jīng)固若金湯，無需大驚小怪。

在具體實施時，IT可能會發(fā)現(xiàn)經(jīng)費不足、人手不足等問題，很容易因此放棄或轉移其工作重點。然而，數(shù)據(jù)中心的管理員必須要讓企業(yè)的管理層理解：如果遭到安全損害，企業(yè)會面臨哪些風險和潛在的經(jīng)濟損失。

無論大小，多數(shù)企業(yè)都不可能投資購買并部署市場上的所有工具。因而，企業(yè)越能夠設計和監(jiān)視一個靈活的架構來保障其高價值資產的安全，其業(yè)務就越能長遠地發(fā)展。