McAfee聯(lián)合Gabriel Consulting Group近日發(fā)布了一份立場鮮明的調(diào)查報告，調(diào)查內(nèi)容是針對147個公司的數(shù)據(jù)中心的相關問題。調(diào)查揭示出很多有趣的數(shù)據(jù)，其中目前被關注最多的就是：被調(diào)查的IT專家中，六成人表示對他們的領導對所管轄的部門的安全問題并不是很清楚。很明顯，領導們覺得他們的安全系統(tǒng)都及時更新了，但事實并非如此。實際上，接受調(diào)查的人群中40%認為他們的企業(yè)安全措施無法跟上當前網(wǎng)絡威脅的趨勢。

該研究報告還揭示出一些問題。比如，很多企業(yè)所使用的安全產(chǎn)品來自七個或更多的來源。但是大多數(shù)人都覺得降低安全產(chǎn)品的數(shù)量也不會有什么影響。而對于那些曾經(jīng)遭到過安全攻擊的企業(yè)來說，大約70%的企業(yè)表示攻擊來自外部，但是來自內(nèi)部的安全攻擊造成的損失更大。對于攻擊帶來的影響問題，大部分企業(yè)表示直接影響是合規(guī)和法律方面的額外費用，其次是導致生產(chǎn)力下降。大部分企業(yè)都有獨立的IT安全管理人員或部門，并且有對應的安全策略，但是大多數(shù)時候這種安全策略落實的并不徹底。

最后，該調(diào)查報告還顯示了有關云服務采用率的情況。在被調(diào)查企業(yè)中，將近80%的企業(yè)表示安全問題仍然是他們在選擇公共云服務時考慮的最大問題。但是，大部分企業(yè)更喜歡采用私有云。60%的企業(yè)認為如果采用私有云，安全問題就不是首要擔心的問題了。而對于企業(yè)是否采用了私有云或公共云這個問題上，IT員工中有一半的人表示不知情，另一半則表示知道。

McAfee發(fā)布這份調(diào)查報告是毫不稀奇的，因為這正是他們的工作內(nèi)容。但是，很多IT人可能還是不習慣看到自己的好建議會因為成本或用戶的原因而被上層領導否決。也不習慣頻繁的幫記性不好的領導重置密碼，而領導還可能會直接把密碼寫在顯示器旁邊的紙條上。有幾個領導能夠搞清楚一個Drupal Web站點的全部安全防護程序，或者面向外網(wǎng)的VPN服務器上的安全設置，或者公司內(nèi)部無線接入點的安全設置?毫無疑問，在商人眼里，利潤與安全策略關系不大。

安全策略集中化

McAfee的報告中并沒有給出什么實際的解決方案，但是安全常識的灌輸并不會花費多少錢，而且容易實現(xiàn)。在報告中提到的一種解決方案就是安全策略的集中化管理。這是企業(yè)安全里至關重要的第一步，任何企業(yè)都要確保在涉及到IT安全問題時，必須使用一個獨立的稱職的團隊。企業(yè)內(nèi)部的安全漏洞通常都是由于操作失誤造成的，比如系統(tǒng)維護人員的臨時管理權限過大，甚至可以為Exchange服務器添加對外開放的端口?；蛘呙艽a策略過于簡單，只是部門間的電腦密碼不同，而同一部門中所有電腦的登陸密碼都是一樣的，并且再也不會修改。

定期交流安全內(nèi)容

另一個重要的元素，或者說可以幫助解決管理層缺乏安全認知問題的方法，就是交流。如果只是在飲水機邊花三分鐘解釋新的安全策略并請求領導批準，一般是不會成功的。有些IT人員總是能夠成功的讓高層批準自己的安全方案，是因為他是一個很好的寫手，每周都會給領導寫郵件詳細匯報安全工作內(nèi)容，就算這個工作是在周末假日里完成的也不會有怨言。比如新的軟硬件系統(tǒng)需求，改變安全策略，主要的潛在風險，以及簡短的建議列表，這些都是由IT安全維護團隊全體共同協(xié)商并通過的內(nèi)容，而不是某個IT安全主管自己想出來的。在這種郵件里，可以同時提供兩套備選方案，一套是標準廠商提供的商業(yè)產(chǎn)品，另一套可以是花費更低廉的開源產(chǎn)品。

考慮云服務

最后給出的建議是，云服務如果采用得當，可以有效的幫助企業(yè)彌補安全漏洞。對于很多小型或中型企業(yè)來說，使用如Amazon, Microsoft 360, 或Google Apps這樣的公共云服務，所能享受到的數(shù)據(jù)中心的安全措施，要比企業(yè)自己的數(shù)據(jù)中心所采用的安全措施完善的多。企業(yè)所要做的就是管理信息。比如Google會定期性的發(fā)布有關云計算的稿件，幫助企業(yè)更好的使用云服務。

當然，作為IT人員你能做的也就是這些了。企業(yè)領導必須愿意聽取你的意見，并在該花錢的時候愿意花錢。企業(yè)員工也要做好自己分內(nèi)的事兒，比如避免設置過于簡單的登錄密碼或?qū)⒌卿浢艽a寫在顯示器上，或者不退出登錄就離開辦公室。其實在降低企業(yè)IT風險的問題上，可做的事情還有很多，但都需要通過對員工進行安全培訓，以及與領導層溝通安全問題的方式作為開始。