让认证计划跟上企业成长步伐

随着公司的成长，它对于安全的需求也在增长。下面是一些认证策略的介绍，供你在选择时参考。

任何计算机或者网络安全策略的基础都是访问控制（access control）——让那些有权利访问网络资源的人能够顺利使用，而把其他的人阻挡 在外。访问控制的基础在于能够认证那些授权用户的身份；否则任何入侵者都能够假冒CEO John Smith或者Mary Jones的帐户，登陆网络。

认证网络用户身份最简单的方法是让他们输入与帐户名对应的密码。理论上说，每个用户都只能够知道自己的密码，所以如果用户输入了正确 的密码，身份认证就完成了。

密码认证是绝大部分小型企业使用的认证方式。这种方式非常简单而且便宜，操作系统中都内置了这样的认证方式。你不需要购买任何其他的 设备或者软件。它就可以开始工作了。

对于大部分对安全性要求不高的小型企业来说这已经足够了。如果你的网络中没有任何重要的商业机密、保密用户信息（比如信用卡号或者信 用卡记录）、敏感的员工信息（比如医疗记录或者社会安全号码）等等，你就不需要再在认证上花更多的钱。

企业成长增加了安全需求

问题在于随着公司的成长，对于安全的要求也通常会随之提高。在你的公司中有越来越多的数字化记录，你获得的政府定单或者需要进入某些 管制领域，比如卫生保健、金融服务等等。这时，你的企业需要达到更高标准的法规要求或者隐私防护水平，或者两者兼而有之。公司规模变 大了，所以也就更有可能成为黑客或攻击者眼中的目标，也许以前他们可能对你的网络毫无兴趣。公司的办公范围扩张了，雇佣了更多的员工 ，并且实施了远程访问解决方案，允许员工从家里或者在路上访问公司网络，所以对于陌生人来说，混入或者突破你的网络也变得更为容易。

从这个角度说，你可能需要开始考虑网络安全性。你可能会购买更贵的防火墙和入侵检测系统来防范攻击。但是这并不能够阻挡那些技巧高超 的天才黑客进入你的网络。很多入侵者不需要编写代码或利用安全漏洞，他们只要使用社会学的办法（人文技巧）就能够找到合法的用户名和 密码。