保护企业网络和数据安全 十大计算机安全陋习

　　陋习三、办事风格鲁莽，做重大改变之前欠细致考虑

　　在我们最近的一次安全战略部署调查中发现，约有43%的受访者表示他们的公司没有部署任何安全策略。IBM的企业安全战略部门主管Stuart McIrvine认为他知道问题出在哪里，“他们采取的是先吃一堑，再长一智的消极做法，出了问题才做相应补救。他们缺少一套完整的风险管理策略。” McIrvine领导着一个八人小组对IBM的众多产品线进行安全策略方面的监督。

　　而数据安全问题不断加重的原因在于大家普遍认为这一直都只是个IT相关的问题，而在这方面技术专家一直被认为起着最关键的作用，结果就是跨部门的安全规范的施行(如人力资源部、法规与培训部)就成了别人的工作。受过培训的技术专家的任务就是要用技术来解决安全问题。

　　不过还好，如果企业有一套风险管理策略的话是可以填补各种IT规范之间的缝隙的。Symantec全球服务事业部的开发主管Chris Wysopal认为很多系统管理员在推出新安全措施之前缺少足够的安全评估和测试，却理所当然地就坚持认为“难道我做的这些事情还破坏了公司的网络安全不成?” 举个例子，为系统设置缺省密码就有可能导致对其他系统未经授权的非法访问。

　　一些非常重要的安全问题也可以采用综合手段来解决。“通过更改Cisco路由器的访问控制列表我就能解决很多Windows的问题。” Mellis说。

　　企业风险管理策略可以为相关人等提供一份关于轻重缓急的优先级列表。如果你是一个在线零售商，而你的系统里有五台核心服务器每天能产生一千七百万美元的收入，那比起普通员工的计算机，在这五台服务器上肯定要做更多的安全保护工作。数字安全系统公司的总裁Sanford Sherizen建议在做任何大的系统加强和软硬件环境变化前需要进行细致的安全影响调查。