構建——全面企業安全架構

對于現在每一個生存，競爭在互聯世界里的企業來說，關注變化以及這些變化會給自己的企業帶來的影響，顯得更為重要，企業的網絡安全就象是家里的一道門，已經變成企業經營運轉的一個“標準配置”。建設企業的安全架構，需要全面地、細致地考慮，包括企業的業務發展特點、IT應用環境特點、企業網絡的基礎構架特點等，進而據此進行精心地設計和架構。

最新的賽門鐵克《第十四期互聯網安全威脅報告》顯示，2008年惡意代碼活動呈現出前所未有的增長勢頭，而且主要針對計算機用戶的機密信息。2008年，賽門鐵克為應對新型惡意代碼，共創建了160萬個簽名，這比過往17年創建的總量還多，足以體現新型惡意代碼威脅數量增長并繁衍的迅猛勢頭。而且，更重要的變化是，攻擊者開始從大規模地傳播少數集中威脅轉為小范圍傳播各種不同威脅。網絡罪犯通過能夠竊取機密信息的定制化威脅獲取利益，尤其是銀行賬戶信息和信用卡數據。可以說，盡管現實生活中經濟低迷，地下經濟卻始終保持穩定。

互聯網世界里安全威脅的變化不僅來自于外部環境，也來自于企業內部。根據我們與信息管理調查機構PonemonInstitute共同發布的一份以2008年美國離職員工為研究對象的調查報告顯示，有高達59％的離職員工承認曾在離職時私自帶走公司機密文件數據，如客戶聯絡數據等，調查報告同時指出，如果企業建立并執行較完備的數據丟失防護策略與技術，便可大幅降低信息被盜事件的發生幾率。

基于IT系統進行的業務運轉必須有安全體系的保護。當然，對于不同規模的企業、不同行業的企業來說，構建安全架構的方法可以有所不同。業務運營越依賴IT系統的、業務運作越網絡化，防護級別則越高。但是安全防護始終“萬變不離其宗”，即安全架構必須全面，能做到事前防范策略、事中查殺策略和事后恢復策略的多層安全防護。

我認為，從某種程度上說，企業的成功與否取決于基礎架構的安全性。企業可以按照網絡使用者的不同，來架構企業的整體安全體系；當然，企業也可以根據自身的業務需求和網絡特點來架構整體安全體系。

目前，幾乎所有企業都已認識到保護出入網絡的門戶——網絡邊界的必要性。但是，由于移動技術的廣泛應用以及員工分布的分散性，公司網絡邊界的確定也變得困難了起來，我們知道，遠程訪問為員工提供靈活性和自由，但也讓企業面臨著各種風險，其中包括漏洞和試圖攻擊這些缺口的惡意代碼。而由于合作伙伴、客戶和承包商需要連接到公司網絡，則使形勢變得更加嚴峻起來。

因此，為提供最全面的保護，企業需要在網絡中各個級別應用各種不同的安全措施和手段，其中，包括外部邊界的防線(例如，防火墻和入侵檢測系統)、網絡內部的防線(例如，內部防火墻、網絡準入控制)以及實際網絡資源中的防線(例如，防病毒軟件、反間諜軟件、數據加密和自動安全策略實施)。

此外，還有一點需要特別強調，就是對于端點數據的保護，這在整個安全體系中也非常重要。在企業中推出使用端點數據丟失防護通常應該從高風險的業務部門開始，然后再逐步推廣到公司的其他部門。

我們知道，數據丟失防護技術的重心一直在于防止因員工誤操作及業務流程中斷而導致敏感數據泄露。然而，當員工處于移動辦公狀態而未與企業網絡連接時，更容易使機密信息受到惡意威脅。因此，企業需要部署相應的解決方案和產品來解決這個問題，可以做到對員工在與公司網絡斷開的情況下使用筆記本電腦發送電子郵件、網絡郵件和即時信息時造成的數據泄露事件加以監控。端點處的數據丟失防護解決方案不但可以防止對敏感信息的復制或粘貼，甚至可以阻止將這些信息以電子版方式打印或傳真。有了對端點數據丟失事件的全面覆蓋，企業就可以得到不間斷的、覆蓋端點、網絡和存儲等多個系統的數據丟失防護，而不論員工是否與企業網絡相連接。