McAfee聯合Gabriel Consulting Group近日發布了一份立場鮮明的調查報告，調查內容是針對147個公司的數據中心的相關問題。調查揭示出很多有趣的數據，其中目前被關注最多的就是：被調查的IT專家中，六成人表示對他們的領導對所管轄的部門的安全問題并不是很清楚。很明顯，領導們覺得他們的安全系統都及時更新了，但事實并非如此。實際上，接受調查的人群中40%認為他們的企業安全措施無法跟上當前網絡威脅的趨勢。

該研究報告還揭示出一些問題。比如，很多企業所使用的安全產品來自七個或更多的來源。但是大多數人都覺得降低安全產品的數量也不會有什么影響。而對于那些曾經遭到過安全攻擊的企業來說，大約70%的企業表示攻擊來自外部，但是來自內部的安全攻擊造成的損失更大。對于攻擊帶來的影響問題，大部分企業表示直接影響是合規和法律方面的額外費用，其次是導致生產力下降。大部分企業都有獨立的IT安全管理人員或部門，并且有對應的安全策略，但是大多數時候這種安全策略落實的并不徹底。

最后，該調查報告還顯示了有關云服務采用率的情況。在被調查企業中，將近80%的企業表示安全問題仍然是他們在選擇公共云服務時考慮的最大問題。但是，大部分企業更喜歡采用私有云。60%的企業認為如果采用私有云，安全問題就不是首要擔心的問題了。而對于企業是否采用了私有云或公共云這個問題上，IT員工中有一半的人表示不知情，另一半則表示知道。

McAfee發布這份調查報告是毫不稀奇的，因為這正是他們的工作內容。但是，很多IT人可能還是不習慣看到自己的好建議會因為成本或用戶的原因而被上層領導否決。也不習慣頻繁的幫記性不好的領導重置密碼，而領導還可能會直接把密碼寫在顯示器旁邊的紙條上。有幾個領導能夠搞清楚一個Drupal Web站點的全部安全防護程序，或者面向外網的VPN服務器上的安全設置，或者公司內部無線接入點的安全設置?毫無疑問，在商人眼里，利潤與安全策略關系不大。

安全策略集中化

McAfee的報告中并沒有給出什么實際的解決方案，但是安全常識的灌輸并不會花費多少錢，而且容易實現。在報告中提到的一種解決方案就是安全策略的集中化管理。這是企業安全里至關重要的第一步，任何企業都要確保在涉及到IT安全問題時，必須使用一個獨立的稱職的團隊。企業內部的安全漏洞通常都是由于操作失誤造成的，比如系統維護人員的臨時管理權限過大，甚至可以為Exchange服務器添加對外開放的端口。或者密碼策略過于簡單，只是部門間的電腦密碼不同，而同一部門中所有電腦的登陸密碼都是一樣的，并且再也不會修改。

定期交流安全內容

另一個重要的元素，或者說可以幫助解決管理層缺乏安全認知問題的方法，就是交流。如果只是在飲水機邊花三分鐘解釋新的安全策略并請求領導批準，一般是不會成功的。有些IT人員總是能夠成功的讓高層批準自己的安全方案，是因為他是一個很好的寫手，每周都會給領導寫郵件詳細匯報安全工作內容，就算這個工作是在周末假日里完成的也不會有怨言。比如新的軟硬件系統需求，改變安全策略，主要的潛在風險，以及簡短的建議列表，這些都是由IT安全維護團隊全體共同協商并通過的內容，而不是某個IT安全主管自己想出來的。在這種郵件里，可以同時提供兩套備選方案，一套是標準廠商提供的商業產品，另一套可以是花費更低廉的開源產品。

考慮云服務

最后給出的建議是，云服務如果采用得當，可以有效的幫助企業彌補安全漏洞。對于很多小型或中型企業來說，使用如Amazon, Microsoft 360, 或Google Apps這樣的公共云服務，所能享受到的數據中心的安全措施，要比企業自己的數據中心所采用的安全措施完善的多。企業所要做的就是管理信息。比如Google會定期性的發布有關云計算的稿件，幫助企業更好的使用云服務。

當然，作為IT人員你能做的也就是這些了。企業領導必須愿意聽取你的意見，并在該花錢的時候愿意花錢。企業員工也要做好自己分內的事兒，比如避免設置過于簡單的登錄密碼或將登錄密碼寫在顯示器上，或者不退出登錄就離開辦公室。其實在降低企業IT風險的問題上，可做的事情還有很多，但都需要通過對員工進行安全培訓，以及與領導層溝通安全問題的方式作為開始。