走出安全中的两难境地

安全不能“过头”

如果你是一名网络或者系统管理员，最近你一定会有一种处在两难境地的感觉。一方面你需要保证公司IT环境的安全，另一方面你还要保证你所采取的行动不会影响或妨碍到公司任

何人完成他们的工作。

这个工作显然并不容易：你必须保证新型的病毒不会侵犯到你们的网络，而同时，还要保证从公司网络进入的订单不会受到任何影响。

虽然我们现在有很多新的工具可以帮助减少威胁，包括防病毒、反垃圾邮件、防网络钓鱼、入侵防护以及入侵检测等。甚至还有一些工具可以帮助保证员工的生产力，确保员工不会在网上冲浪，或因此而带进病毒，这些工具包括URL过滤器、网页阻拦、策略管理器等。

然而，这些使用这些安全解决方案最大的问题是，你无法确定什么时候安全程度就已经足够，而什么时候又是安全防护过头。很显然，“过头”的安全不仅浪费投资，也会妨碍业务。笔者以前供职的公司，曾经安装了一个强大的反垃圾邮件产品，但是我们经常不得不在每个季度的最后一个星期把这个软件关闭，以确保不会把这期间大量进入的订单判断为垃圾邮件，因为只需要一个小小的误判就会影响我们那个季度的销售额，而这种情况又往往难以避免。于是，保证公司在那个季度能够获得应该获得的所有收入。员工不得不忍受一个星期的垃圾邮件的侵入。

解决之道

那么，如何解决这个安全的两难境地呢？首先，由于每个企业对安全程度的要求都是根据各自企业的特点、业务流程、特殊需求及接受程度而有所不同的。因此，作为管理员，你最需要了解你的网络什么时候发生了什么事件，是由谁或者是什么事物引起的，然后能够保障以后不再发生同样的事情。此外，我们还要设定一个“安全最低门槛”，包括阻止所有的已知病毒和恶意软件，根据自己企业的策略，阻止那些降低企业生产力的网站（比如购物网站、成人网站、新闻网站等）。我们需要让员工了解，在办公室有一个“可接受范围内的”针对上网的使用策略。

一旦确定了针对员工的安全策略，那么接下来的一步，就是确保能够把这个策略传达到每个人（保证每个人都了解策略的内容）；然后，强化这个策略；最后对策略进行审核，看是否有效。让每个人都知道策略是什么并非易事，只把策略张贴出来并不能保证每个人会去看。在员工第一次上网的时候弹出网络使用策略的醒目页面可能是一种可靠的方法，他们必须点击同意策略，才能够再继续在网上冲浪。这样就不仅保证了企业安全策略的发布与传达，而且之后管理员还能提供有关哪些员工已阅读了策略并同意策略的定期报告，

创建一个可以接受的使用页面最困难的部分是你需要实施认证，并要求最终用户对使用网络进行认证。这是一个无条件的要求，因为如果没有这个要求，责任感的建立以及在安全事件发生后的取证能力将非常困难，某些情况下则根本不可能。与你现存的认证系统进行整合是最理想的，而且避免了在管理密码和用户名时与用户的争议和摩擦。

灵活执行

策略实施另外一个重要部分，当然就是策略的执行了。策略执行必须要灵活，应该允许特例（如CEO是否可以获得浏览所有网页的权力，而其他员工却只能浏览批准的网站），但是还要完整，包含策略所要求的各种情景（比如，在午餐时间和下班时间允许浏览所有网页，但上班时间阻止相关网站）。你可能还希望实施一些其它的策略，包括允许或禁止使用即时通讯，或者即使你允许使用即时通讯，但不希望通过即时通讯进行文件发送。其它的例子包括允许一些类型的网站（比如，旅游或者社交网络），但是禁止这些网站上一些特定类型的内容（比如，可执行的代码或者这些网站的图片等）。每个企业都有自己的策略，确定并实施符合自己企业的策略非常重要。

总之，企业网络管理者要记住，所选择用于实施安全方案的安全设备应该具有灵活性，能够与企业安装的认证机制相兼容，使用户在第一次使用时显示可以接受的使用策略的醒目页面；而且还要灵活和完整，使你能够实施你的策略，并且最终可以获得内容更为丰富的记录和报告，做到这些，管理员的责任也就完整了。