安全之道：一门平衡的艺术

为中小企业提供解决方案的供应商应该掌握这样的平衡之道：在帮助中小企业实现数据保护最优化的同时，也要帮助它们达到管理流程的精简和费用的降低。

阴阳学说是中国传统文化

的一种宇宙观和方法

论，这两种力量之间虽表面相斥，而实质却相互依存、互为消长，这种传统的方法论在当今的信息社会里同样具有很强的指导意义。信息安全问题就是这样一门追求 “平衡”的艺术。

近年来，在与国内中小企业用户沟通的过程中，我强烈感觉到中小企业在部署IT解决方案时遇到的一个矛盾，即:急迫的需求与有限的资源之间的矛盾。一方面，中小企业急切地需要保护其数据和系统不被偷窃、意外丢失、崩溃、故障等威胁所侵袭; 另一方面，他们也想尽量减轻技术运营的负担，从而能将更多精力用于业务工作。企业主们愈发意识到，信息技术已成为信息海洋中的救生圈。但是，如果拯救他们的信息技术复杂到无法驾驭，那么它终将成为企业发展的绊脚石。

因此，对于为中小企业提供解决方案的供应商来说，也应该掌握这样的平衡之道，即，在帮助中小企业实现数据保护最优化的同时，也要帮助它们达到管理流程的精简和费用的降低。只有这样，企业才能在保持“平衡”中，成就更强大的信息系统。

直面信息世界的

威胁与挑战

中国哲学讲求天人合一，欲谋求平衡之道，首先要了解我们所处的信息世界。如今，黑客与网络罪犯们在互联世界的活动十分猖獗，其所释放的病毒、蠕虫、僵尸网络及其他恶意威胁日益复杂、隐蔽，它们能发现并盗走包括从个人银行账号到企业客户信息在内的有价值信息，然后利用“繁荣”的地下产业链进行贩卖或交易。更重要的是，如今的攻击手法极具隐蔽性，通常在用户点击貌似合法的链接或打开无害信息时，攻击就已经悄无声息地侵入了其计算机系统。因此，这些威胁可能使企业的关键信息在其毫无察觉的情况下暴露于恶意环境中。

不仅如此，企业的关键信息还可能由于某核心系统故障而丢失。不管系统中断时间的长短，或是导致系统中断的原因是什么，抑或是多少数据受到影响，业务中断导致的数据丢失足以使中小企业遭受致命打击。当类似情况发生时，企业不得不通过一系列繁琐并且耗时的流程才能恢复复杂的系统。而在这个过程中，企业或许可以找回一些关键信息，但未经备份的数据将永远无法恢复。

“平衡”之全面保护篇

虽然网络威胁可能会变得越来越复杂，中小企业应该选择含有所有安全工具的一整套解决方案，但是该解决方案不仅要全面，更重要的是应用和管理不复杂，如赛门铁克终端防护中小企业版。这些安全工具既可以防御病毒、蠕虫、木马、间谍软件以及rootkits，也可以对传统防病毒工具所不能防护的零日攻击进行阻止。更为方便的是，这一整套的解决方案可以用于台式机、笔记本电脑以及服务器，从而全方位保护所有系统。

在这套最先进的安全解决方案中，反垃圾邮件技术十分引人注目。由于垃圾邮件依然普遍存在，越来越多的恶意代码以垃圾邮件为渠道发送给邮件接收者。因此，如何确认并删除这些邮件对于小企业来讲至关重要。这些自动的安全工具可以准确并有效地过滤垃圾邮件，同时保护公司的有效信息，从而自动确保信息环境的有效性与安全性。

当然，恶意代码并非信息及信息系统的惟一威胁。停电、系统故障、错误信息、自然灾害以及其他各种各样可使操作中断的因素都会导致系统崩溃或信息丢失。因此，企业应制订相关政策和流程来进行日常数据备份。所以，中小企业有必要考虑采用可靠并易于应用的备份与恢复解决方案。其中，如赛门铁克Backup Exec12.0及Backup Exec System Recovery12.0这样的最新的解决方案，可以在日常工作的同时自动创建备份，从而将停电时的信息丢失风险减至最低，并使恢复信息、文件、乃至整个驱动都变得十分简单。此外，为应对严重袭击并确保数据安全，这些工具还可以远程发送备份至一个安全的地方，从而保证断网情况下的信息存储。

“平衡”之简单易用篇

同时，在平衡的另一端，站着“简单易用”的要求。如果信息系统的部署和管理不能做到直观、有效，那么它不但不能成为企业发展的利器，反而会成为企业发展的绊脚石。毕竟，与其他类型企业不同，中小企业缺乏专业的IT人员，不能在第一时间解决所有的IT问题。然而，越是在小规模的商业环境中，IT问题越需要第一时间发现并解决。无论应用程序和科技有多强大，对于中小型企业而言，其成效在很多时候只取决于它是否易于管理、操作是否简单。

好消息是，现在的中小企业有更多选择来帮助它们优化企业环境，并且不额外占用已经超负荷的资源，如之前提到的赛门铁克终端防护中小企业版就在这方面有突出表现。根据The Tolly Group最新的调查，通过对比七款面向中小企业的端点安全解决方案，赛门铁克的解决方案表现出了最佳性能，包括最短的启动时间、对于本地Microsoft Office文件的影响最低等。此外，它将先进的威胁防护技术整合到单一代理，通过统一的管理控制台简化了管理流程，并进一步降低了成本以及所需的系统资源。

简而言之，中小企业必须要意识到如今网络环境的复杂与不可控性，同时要选择适合自身的、兼顾全面保护和简单易用的解决方案，这样不仅能有效保障企业关键信息安全，还可降低成本和资源需求，从而能将更多资源投入到企业核心业务的发展中，使企业持续健康发展。

正如《易经》所讲，“一阴一阳之谓道”，在阴阳的相互作用间，万物才可周而复始，生生不息。

链接

为中小企业信息安全规划支五招

第一招：开展针对公司信息与基础架构的自我防护培训

面对愈加复杂的信息安全威胁，员工一直是保护企业信息的攻坚力量。信息风险和威胁的防患意识，以及可行的预防措施，是信息系统及网络安全的第一道防线。因此，中小企业必须开展提高安全意识的培训，让员工对于个人网上行为的安全形成足够的重视。

第二招：让信息安全成为2010年的重中之重

赛门铁克最近的调查显示，33%的中小企业没有对病毒防御采取基本的措施。在2009年里，我们观察到了形态多样的网络威胁和独特的恶意软件变种有增多的趋势，因此，传统的防病毒措施已经不能抵御如今的威胁。全面的防护措施，如基于信誉的安全防护软件将成为2010年病毒防御的关键措施。

第三招：远离钓鱼攻击与垃圾邮件

2010年，对于中小企业来说，保护自己不受钓鱼攻击以及垃圾邮件侵扰至关重要。近期赛门铁克安全调查显示，42%的中小企业没有反垃圾邮件解决方案。对于任何一个企业来说，应付钓鱼攻击与垃圾邮件都不是一件简单的事情，中小企业对此最好的防护措施便是部署邮件以及网络安全软件，时刻警惕钓鱼以及垃圾邮件的攻击。

第四招：警惕流氓软件

赛门铁克已经观察到一些流氓安全软件制造者将免费的第三方杀毒软件作为自己的产品重新包装并贩卖。中小企业在为员工提供关于流氓软件培训的同时，还需要为企业部署信誉度高的杀毒软件以及端点防护解决方案，从而抵御流氓软件制造者，并保护企业业务。

第五招：准备好相应的备份方案

赛门铁克最近的一份关于中小企业防灾的调查显示，有47%的中小企业没有正式的防灾方案。要知道，如电力中断这样的突发灾难会给中小企业带来不小的损失，这就意味着中小企业必须拥有一个合理的备份与恢复解决方案。否则，不仅仅会让客户蒙受损失，还可能会导致客户流失，甚至是流失到竞争对手一方。

【编辑推荐】

1. 5个不可不知的安全认识误区
2. 网络安全与保护：在差异中寻求共识
3. 网络安全设计中的10大常见错误