McAfee聯(lián)合Gabriel Consulting Group近日發(fā)布了一份立場(chǎng)鮮明的調(diào)查報(bào)告，調(diào)查內(nèi)容是針對(duì)147個(gè)公司的數(shù)據(jù)中心的相關(guān)問(wèn)題。調(diào)查揭示出很多有趣的數(shù)據(jù)，其中目前被關(guān)注最多的就是：被調(diào)查的IT專家中，六成人表示對(duì)他們的領(lǐng)導(dǎo)對(duì)所管轄的部門的安全問(wèn)題并不是很清楚。很明顯，領(lǐng)導(dǎo)們覺(jué)得他們的安全系統(tǒng)都及時(shí)更新了，但事實(shí)并非如此。實(shí)際上，接受調(diào)查的人群中40%認(rèn)為他們的企業(yè)安全措施無(wú)法跟上當(dāng)前網(wǎng)絡(luò)威脅的趨勢(shì)。

該研究報(bào)告還揭示出一些問(wèn)題。比如，很多企業(yè)所使用的安全產(chǎn)品來(lái)自七個(gè)或更多的來(lái)源。但是大多數(shù)人都覺(jué)得降低安全產(chǎn)品的數(shù)量也不會(huì)有什么影響。而對(duì)于那些曾經(jīng)遭到過(guò)安全攻擊的企業(yè)來(lái)說(shuō)，大約70%的企業(yè)表示攻擊來(lái)自外部，但是來(lái)自內(nèi)部的安全攻擊造成的損失更大。對(duì)于攻擊帶來(lái)的影響問(wèn)題，大部分企業(yè)表示直接影響是合規(guī)和法律方面的額外費(fèi)用，其次是導(dǎo)致生產(chǎn)力下降。大部分企業(yè)都有獨(dú)立的IT安全管理人員或部門，并且有對(duì)應(yīng)的安全策略，但是大多數(shù)時(shí)候這種安全策略落實(shí)的并不徹底。

最后，該調(diào)查報(bào)告還顯示了有關(guān)云服務(wù)采用率的情況。在被調(diào)查企業(yè)中，將近80%的企業(yè)表示安全問(wèn)題仍然是他們?cè)谶x擇公共云服務(wù)時(shí)考慮的最大問(wèn)題。但是，大部分企業(yè)更喜歡采用私有云。60%的企業(yè)認(rèn)為如果采用私有云，安全問(wèn)題就不是首要擔(dān)心的問(wèn)題了。而對(duì)于企業(yè)是否采用了私有云或公共云這個(gè)問(wèn)題上，IT員工中有一半的人表示不知情，另一半則表示知道。

McAfee發(fā)布這份調(diào)查報(bào)告是毫不稀奇的，因?yàn)檫@正是他們的工作內(nèi)容。但是，很多IT人可能還是不習(xí)慣看到自己的好建議會(huì)因?yàn)槌杀净蛴脩舻脑蚨簧蠈宇I(lǐng)導(dǎo)否決。也不習(xí)慣頻繁的幫記性不好的領(lǐng)導(dǎo)重置密碼，而領(lǐng)導(dǎo)還可能會(huì)直接把密碼寫在顯示器旁邊的紙條上。有幾個(gè)領(lǐng)導(dǎo)能夠搞清楚一個(gè)Drupal Web站點(diǎn)的全部安全防護(hù)程序，或者面向外網(wǎng)的VPN服務(wù)器上的安全設(shè)置，或者公司內(nèi)部無(wú)線接入點(diǎn)的安全設(shè)置?毫無(wú)疑問(wèn)，在商人眼里，利潤(rùn)與安全策略關(guān)系不大。

安全策略集中化

McAfee的報(bào)告中并沒(méi)有給出什么實(shí)際的解決方案，但是安全常識(shí)的灌輸并不會(huì)花費(fèi)多少錢，而且容易實(shí)現(xiàn)。在報(bào)告中提到的一種解決方案就是安全策略的集中化管理。這是企業(yè)安全里至關(guān)重要的第一步，任何企業(yè)都要確保在涉及到IT安全問(wèn)題時(shí)，必須使用一個(gè)獨(dú)立的稱職的團(tuán)隊(duì)。企業(yè)內(nèi)部的安全漏洞通常都是由于操作失誤造成的，比如系統(tǒng)維護(hù)人員的臨時(shí)管理權(quán)限過(guò)大，甚至可以為Exchange服務(wù)器添加對(duì)外開放的端口。或者密碼策略過(guò)于簡(jiǎn)單，只是部門間的電腦密碼不同，而同一部門中所有電腦的登陸密碼都是一樣的，并且再也不會(huì)修改。

定期交流安全內(nèi)容

另一個(gè)重要的元素，或者說(shuō)可以幫助解決管理層缺乏安全認(rèn)知問(wèn)題的方法，就是交流。如果只是在飲水機(jī)邊花三分鐘解釋新的安全策略并請(qǐng)求領(lǐng)導(dǎo)批準(zhǔn)，一般是不會(huì)成功的。有些IT人員總是能夠成功的讓高層批準(zhǔn)自己的安全方案，是因?yàn)樗且粋€(gè)很好的寫手，每周都會(huì)給領(lǐng)導(dǎo)寫郵件詳細(xì)匯報(bào)安全工作內(nèi)容，就算這個(gè)工作是在周末假日里完成的也不會(huì)有怨言。比如新的軟硬件系統(tǒng)需求，改變安全策略，主要的潛在風(fēng)險(xiǎn)，以及簡(jiǎn)短的建議列表，這些都是由IT安全維護(hù)團(tuán)隊(duì)全體共同協(xié)商并通過(guò)的內(nèi)容，而不是某個(gè)IT安全主管自己想出來(lái)的。在這種郵件里，可以同時(shí)提供兩套備選方案，一套是標(biāo)準(zhǔn)廠商提供的商業(yè)產(chǎn)品，另一套可以是花費(fèi)更低廉的開源產(chǎn)品。

考慮云服務(wù)

最后給出的建議是，云服務(wù)如果采用得當(dāng)，可以有效的幫助企業(yè)彌補(bǔ)安全漏洞。對(duì)于很多小型或中型企業(yè)來(lái)說(shuō)，使用如Amazon, Microsoft 360, 或Google Apps這樣的公共云服務(wù)，所能享受到的數(shù)據(jù)中心的安全措施，要比企業(yè)自己的數(shù)據(jù)中心所采用的安全措施完善的多。企業(yè)所要做的就是管理信息。比如Google會(huì)定期性的發(fā)布有關(guān)云計(jì)算的稿件，幫助企業(yè)更好的使用云服務(wù)。

當(dāng)然，作為IT人員你能做的也就是這些了。企業(yè)領(lǐng)導(dǎo)必須愿意聽取你的意見，并在該花錢的時(shí)候愿意花錢。企業(yè)員工也要做好自己分內(nèi)的事兒，比如避免設(shè)置過(guò)于簡(jiǎn)單的登錄密碼或?qū)⒌卿浢艽a寫在顯示器上，或者不退出登錄就離開辦公室。其實(shí)在降低企業(yè)IT風(fēng)險(xiǎn)的問(wèn)題上，可做的事情還有很多，但都需要通過(guò)對(duì)員工進(jìn)行安全培訓(xùn)，以及與領(lǐng)導(dǎo)層溝通安全問(wèn)題的方式作為開始。