最終用戶通常只從一般意義上了解安全需求，沒有領會它們在保持安全方面所起的關鍵作用。本文介紹了 IT 部門在傳達所有員工必須主動遵從安全流程這一信息時可以采取的步驟。

如果說有個問題讓 IT 管理人員徹夜難眠的話，那就是安全問題。

根據賽門鐵克 2010 年度企業安全狀況報告，網絡安全現在已超過了傳統犯罪、自然災害和恐怖主義，成為大型企業的頭號風險。

此外，該報告還發現，幾乎所有接受調查的企業 (94%) 都希望對 2010 年的網絡安全工作進行調整，近半數 (48%) 預計會進行重大調整。

盡管事實如此，但是，很多企業依然缺乏安全意識，這也許會讓人感覺吃驚。IT 策略遵從小組進行的調查研究顯示，企業未能通過審計的首要原因是員工缺乏相關的安全意識。

本文對企業安全的現狀進行了調查，并推薦了 IT 部門傳達所有員工必須主動遵從安全流程這一信息可以采取的步驟。

2010 年為何與往年不同

2010 年度企業安全狀況報告充分證明，當今企業在運作過程中時刻保持著警惕。主要原因在于，他們遭受的攻擊比以往任何時候都要多。該報告顯示，75% 的企業在過去的 12 個月中都遭到了網絡攻擊，41% 的企業表示這些攻擊給其造成了一定的甚至很大的損失。

毫無疑問，這些攻擊的后果越來越嚴重。該報告表明，所有接受調查的企業 2009 年都因網絡攻擊而遭受損失。最常見的損失是：

◆竊取客戶信息

◆環境停機

◆知識產權遭竊

◆客戶信用卡信息被盜

最常見的損失如下：

◆工作效率下降

◆收入減少

◆客戶信任喪失

總的來說，在 2009 年一年中，企業報告的有關網絡攻擊的損失達到了 200 萬美元，而大型企業損失更為慘重，高達近 280 萬美元。

情況已經夠糟糕了，而調查報告接下來表示，企業在安全方面人員配備嚴重不足。這樣，就會出現企業部署云計算和服務器虛擬化等計劃會使安全實現更加困難的情形。

為何要讓每個人都正確認識 IT 安全

不用說，在這種環境下，就防范網絡風險來說，不會存在"安全如常"之類的事情了。必須將提高企業的安全意識作為重中之重。

員工必須意識到，即使是網上沖浪、單擊電子郵件內的 URL 或鏈接等簡單的操作，也足以將公司置于風險當中。目前，員工無意違反數據安全策略，仍是導致數據泄露的主要因素。

與此同時，企業還需要清楚，有些員工主動繞開安全流程，因為他們感覺，安全流程影響他完成工作。賽門鐵克最近對焦點小組的調查顯示，一些最終用戶僅從一般意義上認識安全需求，并沒有把握住（或關注）它們在安全維護方面所起的作用。就這些用戶來講，IT 安全通常會妨礙創新型業務計劃的實施，對員工工作效率有負面的影響。

防止數據再泄露

為了保護信息，使其免遭內外部威脅的侵擾，企業應該采用一種安全保障操作模式，這種模式是基于風險的，具有內容識別機制，可以實時響應威脅，并且能夠依據工作流程自動執行數據安全保障過程。賽門鐵克認為該模式可以有效傳達這樣的信息：遵循安全流程是企業內每個人的責任。以下四個步驟可以幫助企業通過成熟的解決方案降低數據泄露風險：

◆第 1 步：保護基礎架構。現在，您需要對系統進行集中了解，才能高效管理這些系統，從而最終保護其免受新威脅的攻擊。這就意味著，除了安全地備份和恢復數據外，您還需要保護所有端點、電子郵件和重要內部服務器。Symantec Protection Suite 營造了一個安全的端點、消息傳輸和 Web 環境，讓企業既能夠防御當前復雜的惡意軟件、數據丟失和垃圾郵件威脅，又可以在發生故障之后快速恢復。#p#

◆第 2 步：制定和實施 IT 策略。企業可以先劃分風險優先級，并制定企業策略，這樣企業就可以通過內置的自動化工作流程更有效地實施這些策略。工作流和自動化不僅讓您識別威脅，而且還可以讓您對已經發生的事件予以補救，或提前對其進行預測。Symantec Control Compliance Suite 是業界唯一一款能夠以低成本、低復雜性全面控制各種 IT 風險和遵從狀況的全自動化解決方案。Control Compliance Suite 提供了能夠幫您遵從多個行業法規的現成策略內容，自動化的技術和流程控制評估功能，基于 Web 的管理面板報告功能以及與其他賽門鐵克安全解決方案相集成的功能。

◆第 3 步：主動保護信息。以往的安全措施都側重于保護網絡安全。現在，企業采取信息化方法主動保護其信息。通過重點關注數據本身，您可以了解數據的所在位置、訪問者和使用方式，甚至還可以主動防止其丟失。使用 Symantec Data Loss Prevention，企業可以了解策略違規情況，通過自動隔離、重新定位以及支持基于策略的加密，主動保障數據安全。Symantec Data Loss Prevention 可以在網絡和終端上禁止活動內容，從而防止機密數據通過不正當的方式從企業中泄露出去。賽門鐵克可以確保企業最大程度地降低風險，自動實施數據安全遵從策略，并使企業能夠改變員工的行為。

◆第 4 步：管理系統。安全措施一旦實現了標準化、流程化和自動化，就必定會讓您的生活變得更輕松。您只要通過這些簡單的操作，就可以讓安全軟件執行從補丁程序管理到法規審計的繁瑣任務。賽門鐵克 Altiris IT Management Suite 是業界最全面的集成式套件，可以幫您降低臺式機、筆記本電腦、服務器等公司 IT 資產的管理成本及復雜性。IT Management Suite 還可以幫您降低運營成本、提高運營效率、做出保護和管理 IT 環境的戰略決策。

結論

現在，數據泄露風險比以往任何時候都要高。部分原因在于，以企業為目標的攻擊以及對惡意代碼的開發熱情一直高漲。例如，2009 年，賽門鐵克發現了 2.4 億多種全新的惡意程序，與 2008 年相比，增加了 100%。

所幸的是，目標性攻擊是可以打敗的，其他數據泄露也是可以防范的。但是，這需要企業內的所有員工都清楚其責任所在。賽門鐵克推薦采用的操作安全模式可以為企業提供灌輸這種安全文化的藍圖。

要了解詳細內容，還可以參閱《2010 年度企業安全狀況報告》和《互聯網安全威脅報告》（第十五期） 。

◆"信息安全管理最佳實踐"，IT 策略遵從小組，2010 年 2 月

◆2009 年 8 月和 9 月，賽門鐵克對企業和中型企業的戰略和職能決策者組成的 16 個焦點小組進行了調查

◆《賽門鐵克互聯網安全威脅報告》（第 15 期），2010 年 4 月

相關內容

◆2010 年度企業安全狀況報告

◆互聯網安全威脅報告