跨国企业网络：如何面对复杂求安全

　　进入企业的新通道

　　社交网络

　　近年来，Web 2.0技术使网络安全形势再起波澜。一年前，很多企业可能都没听说过Twitter、Facebook、YouTube之类的流行社交网络，而如今，它们已借合法商业及营销之名渗透到了企业网络内部，虽然目前可能仍然只限于员工个人使用。

　　进入企业网络内部的新通道正在形成。理想情况下，这些通道可用于增强企业的商业意识和改善运营；但另一方面，它们也开辟了行使恶作剧或窃取企业数据的新途径，为员工向企业外部泄露敏感信息提供了方便。比如，社交网站就经常被用来发动网络钓鱼诈骗。

　　移动和无线

　　传统的网络边界及其相关的保护措施正随着企业用户转向无线网络（包括蜂窝移动网络和/或 Wi-Fi无线网络）而逐渐发生改变。企业必须为移动设备提供保护，加密存储在移动设备上的机密数据和通过无线传输的资料，以及保护企业网络、防范移动网络入侵（如黑客或恶意软件），这已成为移动设备管理（MDM）的一个分支。

　　总的来说，信息和网络技术的“消费化”开辟了（且还将继续开辟）大量“进出”企业的新途径，其中多数可在战略上帮助企业获益。随着 Web 2.0 应用的演变和移动网络的兴起，安全成了一套动态、不断变化的规则，必须予以密切关注。安全已不再是一种“设定后即可置之不理”的方针。
“紧跟变化”的难题

　　以上因素营造了一个复杂、多变的安全环境，而且该环境本身就是个巨大的风险。其复杂程度更高、安全层数更多、员工专业知识更趋多样化，必须予以管理和简化。来自软件和网络设备公司的新软件补丁、漏洞修补程序和安全更新不断增加，与时俱进的要求会迅速造成操作人员的不堪重负，致使企业不得不在设备和软件方面做出额外投资。此外，万一负责基础架构不同部分的 IT 员工，比如安全管理员与应用服务器管理员，未能协调好工作，导致一部分部件更新，而另一部分未得到更新，也可能造成安全漏洞。

　　CIO和其他负责IT安全工作的员工应考虑的一个基本问题是：如何准确创建、实施、过滤和关联所有这些策略、事件和潜在违规行为，以便时刻把握安全形势？多管齐下地进行风险管理，目标就是确保公司始终遵守各项法规，并消除针对其知识产权及数据保密性、完整性和可用性的威胁。

　　此外，降低风险还需要一套自上而下的管理方法，这种方法根据来自上层的管理策略编写规则。应确保公司各个层级都了解这套安全策略，并使之成为企业文化的一部分。安全应成为业务运作的一个组成部分。

　　四招降低风险

　　要想在复杂环境中降低企业网络风险，首先要纵观全局，评估涉及隐私及机密信息的各项数据资产。其实质操作与业务持续性和灾难恢复规划相同，目标均为防止数据失窃、受损或无法访问。因此，数据安全评估和业务持续性评估可同时执行。

上一页  1 2 3 4  下一页