當(dāng)前，網(wǎng)絡(luò)安全面臨的挑戰(zhàn)日益嚴(yán)峻，網(wǎng)絡(luò)安全環(huán)境也發(fā)生了翻天覆地的變化：社交網(wǎng)絡(luò)與移動(dòng)互聯(lián)網(wǎng)的出現(xiàn)讓網(wǎng)絡(luò)攻擊的范圍日益增大;PC整體安全性的提高使得攻擊由“大面積的撒種、少量收獲”的粗放型攻擊轉(zhuǎn)向點(diǎn)對(duì)點(diǎn)的精準(zhǔn)攻擊;各種防范措施的不斷更新也加快了網(wǎng)絡(luò)攻擊向復(fù)雜化、智能化的演變;有組織的網(wǎng)絡(luò)犯罪與黑客行為日益泛濫，企業(yè)和政府組織深受其害。與此同時(shí)，網(wǎng)絡(luò)攻擊的技術(shù)手段與工具也有很大的改變，網(wǎng)絡(luò)犯罪分子利用Flame、Stuxnet、Shamoon等惡意軟件對(duì)企業(yè)進(jìn)行攻擊，企業(yè)CISO們必須在安全技術(shù)上領(lǐng)先于攻擊者，做好相關(guān)攻擊防護(hù)，方可保護(hù)企業(yè)安全無(wú)虞。

在知識(shí)經(jīng)濟(jì)時(shí)代，技術(shù)創(chuàng)新已經(jīng)成為企業(yè)發(fā)展的主要?jiǎng)恿?。企業(yè)所有者也越來(lái)越關(guān)注創(chuàng)新性技術(shù)在企業(yè)中的普及應(yīng)用所帶來(lái)的影響。諸如BYOD、云計(jì)算、全局訪問(wèn)和社交網(wǎng)絡(luò)這樣的創(chuàng)新性技術(shù)正在讓越來(lái)越多的CISO為確保企業(yè)數(shù)據(jù)安全級(jí)保護(hù)企業(yè)重要知識(shí)產(chǎn)權(quán)而殫精竭慮。

Websense深入分析了當(dāng)前企業(yè)中的安防措施，并就如何防范高級(jí)網(wǎng)絡(luò)攻擊為企業(yè)提供了可行的5大安全倡議。Websense安全專(zhuān)家指出，這5個(gè)安全倡議可以構(gòu)成一個(gè)全面的安全計(jì)劃，保護(hù)企業(yè)安全。

1. 充分了解企業(yè)業(yè)務(wù)。盡管這似乎與企業(yè)安全并無(wú)多大關(guān)系，但卻應(yīng)該引起企業(yè)足夠重視。企業(yè)面臨的風(fēng)險(xiǎn)和威脅日趨復(fù)雜，但多數(shù)情況下，人們對(duì)便利性的需求卻遠(yuǎn)勝于安全，為了增加盈利而輕視安全問(wèn)題的例子亦不在少數(shù)。為了改變這一現(xiàn)狀，CISO們需要積極地參與企業(yè)產(chǎn)品與服務(wù)的研發(fā)過(guò)程，并將安全整合到企業(yè)發(fā)展戰(zhàn)略中，促進(jìn)安全智能轉(zhuǎn)化為商業(yè)價(jià)值。Websense安全專(zhuān)家提醒企業(yè)，雖然企業(yè)安全問(wèn)題的影響越來(lái)越大，但欲速則不達(dá)，為了實(shí)現(xiàn)系統(tǒng)有效的IT安全架構(gòu)，應(yīng)該先做好充分計(jì)劃，這樣才可以在增加企業(yè)收益的同時(shí)，更好地保護(hù)企業(yè)數(shù)據(jù)。

2. 正確理解安全角色。企業(yè)領(lǐng)導(dǎo)者必須能夠?yàn)槠髽I(yè)安全人員提供先進(jìn)的安全理念。在當(dāng)今的安全環(huán)境中，企業(yè)會(huì)將大部分精力耗費(fèi)在技術(shù)發(fā)展與創(chuàng)新上，往往會(huì)忽略員工本身和安全流程，而這才是企業(yè)安全成功實(shí)現(xiàn)的根本所在。誠(chéng)然，關(guān)注先進(jìn)的技術(shù)無(wú)可厚非，但單純的技術(shù)往往治標(biāo)不治本。要成功實(shí)現(xiàn)全面的IT安全，必須整合進(jìn)成套的員工管理方法及業(yè)務(wù)安全操作流程。此外，員工培訓(xùn)也勢(shì)在必行。從董事會(huì)到客戶(hù)服務(wù)，再到企業(yè)設(shè)備部門(mén)，企業(yè)需要對(duì)所有員工進(jìn)行縱向及交叉培訓(xùn)，讓各部門(mén)對(duì)彼此在安全防護(hù)中的職責(zé)與企業(yè)相關(guān)安全策略有詳細(xì)的了解，并且可以結(jié)合周期性的針對(duì)企業(yè)進(jìn)行的安全攻擊演習(xí)，以檢驗(yàn)員工培訓(xùn)的成果。

3. 真正了解信息內(nèi)容。了解信息的相對(duì)價(jià)值尤為重要。企業(yè)安全人員的最終目標(biāo)是獲取IT安全功能方面的知識(shí)，并將其用于企業(yè)安全防護(hù)中。為了實(shí)現(xiàn)從安全操作團(tuán)隊(duì)到安全智能團(tuán)隊(duì)的過(guò)渡，企業(yè)必須能夠分析現(xiàn)有數(shù)據(jù)信息，并根據(jù)不同需求進(jìn)行信息轉(zhuǎn)化，為制定保護(hù)企業(yè)的戰(zhàn)略計(jì)劃提供強(qiáng)有力的支持，最終實(shí)現(xiàn)對(duì)數(shù)據(jù)泄露及數(shù)據(jù)竊取的防護(hù)。此外，企業(yè)領(lǐng)導(dǎo)團(tuán)隊(duì)也必須能夠向高管提供明確的信息發(fā)送、資料檢索能力、上下文以及重要信息的及時(shí)報(bào)告，幫助管理者實(shí)現(xiàn)有效的決策，并且?guī)椭髽I(yè)節(jié)省預(yù)算，實(shí)現(xiàn)利益最大化。

4. 確立完備管理機(jī)制。就定義而言，管理就是明確用戶(hù)期望、授權(quán)并驗(yàn)證性能的能力。管理機(jī)制的確立可以通過(guò)圍繞企業(yè)信息安全措施創(chuàng)建一個(gè)強(qiáng)大的任務(wù)評(píng)估機(jī)制來(lái)實(shí)現(xiàn)。這樣一來(lái)，用戶(hù)就可以明確地確定IT安全報(bào)告所面對(duì)的人群以及他們?cè)谄髽I(yè)安全中扮演的角色與責(zé)任。同時(shí)，在此過(guò)程中，確保各部門(mén)之間的運(yùn)行調(diào)整可以在最大程度上幫助企業(yè)各部門(mén)更好地了解企業(yè)安全架構(gòu)。

5. 將風(fēng)險(xiǎn)轉(zhuǎn)化為投資計(jì)劃。最后值得注意的一點(diǎn)是，企業(yè)應(yīng)該充分利用管理模式，將信息安全計(jì)劃轉(zhuǎn)化為資金投入。董事會(huì)想要看到的是企業(yè)安全人員采取何種措施來(lái)保護(hù)企業(yè)安全及其取得的成效，而非如何維持現(xiàn)狀的。因此，當(dāng)企業(yè)安全人員與高管合作確定任務(wù)、優(yōu)先級(jí)和相關(guān)計(jì)劃時(shí)，他們的計(jì)劃才極有可能會(huì)被董事會(huì)支持，從而幫助企業(yè)高管更加了解相關(guān)風(fēng)險(xiǎn)、新聞和信息。

Websense安全專(zhuān)家指出，企業(yè)安全人員可以在企業(yè)中實(shí)施這5大安全措施，定義風(fēng)險(xiǎn)、構(gòu)建安全架構(gòu)，然后在這兩者中間達(dá)到一個(gè)平衡，為企業(yè)安全策略構(gòu)筑提供強(qiáng)有力的支持。在企業(yè)安全措施的實(shí)施過(guò)程中，任何訓(xùn)練機(jī)會(huì)都不要錯(cuò)過(guò)，這是企業(yè)安全人員了解威脅信息并制定相應(yīng)防護(hù)策略的根本所在。Websense中國(guó)區(qū)技術(shù)經(jīng)理陳綱也表示：“憑借對(duì)安全形勢(shì)和企業(yè)安防措施現(xiàn)狀的深入了解，Websense一直致力于提供全面的安全服務(wù)，幫助企業(yè)安全人員挫敗日趨復(fù)雜的高級(jí)網(wǎng)絡(luò)攻擊，為企業(yè)數(shù)據(jù)安全保駕護(hù)航。”