企业安全并不是一个新的领域，有太多的因素需要关心：冲突的主动权、商业环境因素、信息敏感性、互联网的失控、犯罪的猖獗、以及高层的连接和漏洞。在限制危险和影响生产之间需要做出一个折衷：100%的安全意味着0%的生产力，而0%的安全性却并不等于100%的生产力。另一方面，企业必须决定在没有计算机或者网络的情况下可以运作多久，以及对数据的可用性及准确性的依赖程度如何。绝对安全不仅难以做到，而且也并不受欢迎，所以正确的安全控制就是设法降低风险到可接受的程度。 

系统渗透威胁

　　有很多因素可能危及到系统的安全，中国有句谚语：“说者无心，听者有意”，你永远不知道谁在留意你说话的内容，我们中的绝大多数人在工作中会和其他专业人员发生联系，无论是在行业聚集地，或在许多其他集会地点。意外泄漏某些可被利用的重要信息简直太容易了，这虽然不道德，甚至是不合法，却能够以伤害某集团的利益为代价，使另一个集团获益。

　　获取粗心丢弃的口令以及其他未删除的人员识别信息，已经成为潜伏者收集这种资料的首选方法。缺乏保护或保护不充分的系统（单一的安全措施、容易破译的口令、未经加密的数据等等）意味着会产生一系列的问题，从低质量的数据到未经许可的渗透。

　　如果防火墙或病毒过滤器缺乏维护，将导致网络很容易被突破。安全预算必须预备足够的资金；将保密措施的资金视为可有可无或者任意挪用，将置整个企业于风险之中。担负起我们的行动职责，加上一个稳固广泛的安全策略，是阻止网络突破发生的最佳保护。

互联网安全现实

　　互联网在设计之初用于军事，所以内置的信息保护功能非常稀少。网站管理员们可以看到经过的数据包，但由于没有进行足够的加密，这些数据很容易被窃密，外部的入侵者可以访问企业的网络和计算机。外部信息的源地址一般无法找到，而信息的发送者也不知道除了接收者之外，是否还有其他人阅读了信息。

　　黑客组织日益增加，通过彼此间的协调合作，突破网络防线变得更加容易。互联网本身是一个开放和无控制的网络，它不会改变自己以适应企业的需要，而且互联网上绝大多数的安全问题其实并不是互联网自身的问题。企业必须假设所处的环境是潜在有害的，并通过各种手段以保护自身安全，如对敏感信息进行完全的消息加密，使用数字签名进行文档鉴别，高质量的维护防火墙和其他过滤器，员工通讯和警告程序，以及对流入数据进行适度而不过度的控制等等。

硬件设备的便携性

　　经常出差的员工需要携带笔记本电脑在外办公，并要求能够随时随地的通过internet接入公司的网络，从而提出了一系列的安全挑战，笔记本电脑需要使用2种以上的安全控制手段以实现综合加密，比如本地用户名和口令，指纹装置等，同时企业需要部署和强制执行严格的移动办公技术策略。

新通讯方式的快速扩散

　　公司是否提供类似blackberrys或treos这样的pda，并提供网络连接？这些设备是否进行了安全保护？许多公司对这些设备所能够带来的巨大安全威胁并不十分了解，它们能够利用outlook或notes上通过无线连接自动同步email、日历以及联系人列表，这样一台无口令保护的设备一旦丢失将被用于收集进入系统的授权信息。

　　公司应该要求所有移动设备必须使用本地口令，并遵从那些一直被用于网络上的相关口令规则，比如口令格式和更改口令的频率等。同时，要求他们遵循这样的策略：一旦丢失设备必须立即报告，以便及时清除所有本地数据，并将该设备标记为禁用状态。

[1] [2] 下一页