最終用戶通常只從一般意義上了解安全需求，沒有領會它們在保持安全方面所起的關鍵作用。本文介紹了 IT 部門在傳達所有員工必須主動遵從安全流程這一信息時可以采取的步驟。

如果說有個問題讓 IT 管理人員徹夜難眠的話，那就是安全問題。

根據(jù)賽門鐵克 2010 年度企業(yè)安全狀況報告，網(wǎng)絡安全現(xiàn)在已超過了傳統(tǒng)犯罪、自然災害和恐怖主義，成為大型企業(yè)的頭號風險。

此外，該報告還發(fā)現(xiàn)，幾乎所有接受調(diào)查的企業(yè) (94%) 都希望對 2010 年的網(wǎng)絡安全工作進行調(diào)整，近半數(shù) (48%) 預計會進行重大調(diào)整。

盡管事實如此，但是，很多企業(yè)依然缺乏安全意識，這也許會讓人感覺吃驚。IT 策略遵從小組進行的調(diào)查研究顯示，企業(yè)未能通過審計的首要原因是員工缺乏相關的安全意識。

本文對企業(yè)安全的現(xiàn)狀進行了調(diào)查，并推薦了 IT 部門傳達所有員工必須主動遵從安全流程這一信息可以采取的步驟。

2010 年為何與往年不同

2010 年度企業(yè)安全狀況報告充分證明，當今企業(yè)在運作過程中時刻保持著警惕。主要原因在于，他們遭受的攻擊比以往任何時候都要多。該報告顯示，75% 的企業(yè)在過去的 12 個月中都遭到了網(wǎng)絡攻擊，41% 的企業(yè)表示這些攻擊給其造成了一定的甚至很大的損失。

毫無疑問，這些攻擊的后果越來越嚴重。該報告表明，所有接受調(diào)查的企業(yè) 2009 年都因網(wǎng)絡攻擊而遭受損失。最常見的損失是：

◆竊取客戶信息

◆環(huán)境停機

◆知識產(chǎn)權遭竊

◆客戶信用卡信息被盜

最常見的損失如下：

◆工作效率下降

◆收入減少

◆客戶信任喪失

總的來說，在 2009 年一年中，企業(yè)報告的有關網(wǎng)絡攻擊的損失達到了 200 萬美元，而大型企業(yè)損失更為慘重，高達近 280 萬美元。

情況已經(jīng)夠糟糕了，而調(diào)查報告接下來表示，企業(yè)在安全方面人員配備嚴重不足。這樣，就會出現(xiàn)企業(yè)部署云計算和服務器虛擬化等計劃會使安全實現(xiàn)更加困難的情形。

為何要讓每個人都正確認識 IT 安全

不用說，在這種環(huán)境下，就防范網(wǎng)絡風險來說，不會存在"安全如常"之類的事情了。必須將提高企業(yè)的安全意識作為重中之重。

員工必須意識到，即使是網(wǎng)上沖浪、單擊電子郵件內(nèi)的 URL 或鏈接等簡單的操作，也足以將公司置于風險當中。目前，員工無意違反數(shù)據(jù)安全策略，仍是導致數(shù)據(jù)泄露的主要因素。

與此同時，企業(yè)還需要清楚，有些員工主動繞開安全流程，因為他們感覺，安全流程影響他完成工作。賽門鐵克最近對焦點小組的調(diào)查顯示，一些最終用戶僅從一般意義上認識安全需求，并沒有把握住（或關注）它們在安全維護方面所起的作用。就這些用戶來講，IT 安全通常會妨礙創(chuàng)新型業(yè)務計劃的實施，對員工工作效率有負面的影響。

防止數(shù)據(jù)再泄露

為了保護信息，使其免遭內(nèi)外部威脅的侵擾，企業(yè)應該采用一種安全保障操作模式，這種模式是基于風險的，具有內(nèi)容識別機制，可以實時響應威脅，并且能夠依據(jù)工作流程自動執(zhí)行數(shù)據(jù)安全保障過程。賽門鐵克認為該模式可以有效傳達這樣的信息：遵循安全流程是企業(yè)內(nèi)每個人的責任。以下四個步驟可以幫助企業(yè)通過成熟的解決方案降低數(shù)據(jù)泄露風險：

◆第 1 步：保護基礎架構。現(xiàn)在，您需要對系統(tǒng)進行集中了解，才能高效管理這些系統(tǒng)，從而最終保護其免受新威脅的攻擊。這就意味著，除了安全地備份和恢復數(shù)據(jù)外，您還需要保護所有端點、電子郵件和重要內(nèi)部服務器。Symantec Protection Suite 營造了一個安全的端點、消息傳輸和 Web 環(huán)境，讓企業(yè)既能夠防御當前復雜的惡意軟件、數(shù)據(jù)丟失和垃圾郵件威脅，又可以在發(fā)生故障之后快速恢復。#p#

◆第 2 步：制定和實施 IT 策略。企業(yè)可以先劃分風險優(yōu)先級，并制定企業(yè)策略，這樣企業(yè)就可以通過內(nèi)置的自動化工作流程更有效地實施這些策略。工作流和自動化不僅讓您識別威脅，而且還可以讓您對已經(jīng)發(fā)生的事件予以補救，或提前對其進行預測。Symantec Control Compliance Suite 是業(yè)界唯一一款能夠以低成本、低復雜性全面控制各種 IT 風險和遵從狀況的全自動化解決方案。Control Compliance Suite 提供了能夠幫您遵從多個行業(yè)法規(guī)的現(xiàn)成策略內(nèi)容，自動化的技術和流程控制評估功能，基于 Web 的管理面板報告功能以及與其他賽門鐵克安全解決方案相集成的功能。

◆第 3 步：主動保護信息。以往的安全措施都側重于保護網(wǎng)絡安全。現(xiàn)在，企業(yè)采取信息化方法主動保護其信息。通過重點關注數(shù)據(jù)本身，您可以了解數(shù)據(jù)的所在位置、訪問者和使用方式，甚至還可以主動防止其丟失。使用 Symantec Data Loss Prevention，企業(yè)可以了解策略違規(guī)情況，通過自動隔離、重新定位以及支持基于策略的加密，主動保障數(shù)據(jù)安全。Symantec Data Loss Prevention 可以在網(wǎng)絡和終端上禁止活動內(nèi)容，從而防止機密數(shù)據(jù)通過不正當?shù)姆绞綇钠髽I(yè)中泄露出去。賽門鐵克可以確保企業(yè)最大程度地降低風險，自動實施數(shù)據(jù)安全遵從策略，并使企業(yè)能夠改變員工的行為。

◆第 4 步：管理系統(tǒng)。安全措施一旦實現(xiàn)了標準化、流程化和自動化，就必定會讓您的生活變得更輕松。您只要通過這些簡單的操作，就可以讓安全軟件執(zhí)行從補丁程序管理到法規(guī)審計的繁瑣任務。賽門鐵克 Altiris IT Management Suite 是業(yè)界最全面的集成式套件，可以幫您降低臺式機、筆記本電腦、服務器等公司 IT 資產(chǎn)的管理成本及復雜性。IT Management Suite 還可以幫您降低運營成本、提高運營效率、做出保護和管理 IT 環(huán)境的戰(zhàn)略決策。

結論

現(xiàn)在，數(shù)據(jù)泄露風險比以往任何時候都要高。部分原因在于，以企業(yè)為目標的攻擊以及對惡意代碼的開發(fā)熱情一直高漲。例如，2009 年，賽門鐵克發(fā)現(xiàn)了 2.4 億多種全新的惡意程序，與 2008 年相比，增加了 100%。

所幸的是，目標性攻擊是可以打敗的，其他數(shù)據(jù)泄露也是可以防范的。但是，這需要企業(yè)內(nèi)的所有員工都清楚其責任所在。賽門鐵克推薦采用的操作安全模式可以為企業(yè)提供灌輸這種安全文化的藍圖。

要了解詳細內(nèi)容，還可以參閱《2010 年度企業(yè)安全狀況報告》和《互聯(lián)網(wǎng)安全威脅報告》（第十五期） 。

◆"信息安全管理最佳實踐"，IT 策略遵從小組，2010 年 2 月

◆2009 年 8 月和 9 月，賽門鐵克對企業(yè)和中型企業(yè)的戰(zhàn)略和職能決策者組成的 16 個焦點小組進行了調(diào)查

◆《賽門鐵克互聯(lián)網(wǎng)安全威脅報告》（第 15 期），2010 年 4 月

相關內(nèi)容

◆2010 年度企業(yè)安全狀況報告

◆互聯(lián)網(wǎng)安全威脅報告