企业安全

Snort一直都是网络入侵检测（IDS）和入侵防御工具（IPS）的领导者，并且，随着开源社区的持续发展，为其母公司Sourcefire（多年来，Sourcefire提供有供应商支持和即时更新的功能齐全的商业版本Snort，同时仍然免费提供功能有限的免费版本Snort）持续不断的支持，Snort很可能会继续保持其领导地位。   　　虽然Snort“称霸”这个市场，但也有其他供应商提供类似的免费工具。很多这些入侵检测系统（IDS）供应商（即使不是大多数）结合Snort或其他开源软件的引擎来创建强大的免费入侵检测服务。   　　Security Onion   　　Security Onion是用于网络监控和入侵检测的基于Ubuntu的Linux发行版。该镜像可以作为传感器分布在网络中，以监控多个VLAN和子网，这很适用于VMware和虚拟环境。该配置只能用作IDS，目前不能当作IPS运行。然而，你可以选择把它作为网络和主机入侵检测部署，以及利用Squil、Bro IDS和OSSEC等服务来执行该服务的IDS功能。该工具的wiki信息和文档信息很丰富，漏洞和错误也有记录和审查。虽然Security Onion很强大，但它仍然需要不断发展，当然这需要时间。   　　OSSEC   　　OSSEC是一个开源主机入侵检测系统（HIDS），它的功能不只是入侵检测。与大多数开源IDS产品一样，有多种附加模块可以结合该IDS的核心功能。除了网络入侵检测外，OSSEC客户端能够执行文件完整性监控和rootkit检测，并有实时报警，这些功能都是集中管理，并能根据企业的需求创建不同政策。OSSEC客户端在大多数操作系统上本地运行，包括Linux各版本、Mac OSX和Windows。它还通过趋势科技的全球支持团队提供商业支持，这是一个非常成熟的产品。   　　OpenWIPS-NG   　　OpenWIPS-NG是一个免费的无线IDS / IPS，它依赖于服务器、传感器和接口。它可以在普通硬件上运行。其创建者是Aircrack-NG的开发者，该系统使用Aircrack-NG内置的很多功能和服务来进行扫描、检测和入侵防御。OpenWIPS-NG是模块化的，允许管理员下载插件来增加功能。其文件并不像某些系统一样详细，但它允许公司在预算紧张的情况下执行WIPS。   　　Suricata   　　在所有目前可用的IDS/IPS系统中，Suricata最能够与Snort相抗衡。该系统有一个类似Snort的架构，依赖于像Snort等的签名，甚至可以使用VRT Snort规则和Snort本身使用的相同的Emerging Threat规则集。Suricata比Snort更新，它将有机会赶超Snort。如果Snort不是你企业的选择，这个免费的工具最适合运行在你的企业网络中。   　　Bro IDS   　　Bro IDS类似于Security Onion，它使用更多IDS规则来确定攻击来源。Bro IDS使用工具组合，曾经它使用基于Snort的签名转换成Bro签名，不过现在不再是如此，现在用户能够为Bro IDS编写自定义签名。该系统有很多详细文档信息，并已有超过15年的历史。   　　在大部分IDS/IPS市场（包括免费软件和开源IDS/IPS），Snort无疑是最具影响力的工具。本文中介绍的系统执行IDS/IPS都有些不同，但都是实用的免费的具，节省开支的企业可以使用这些工具来更好地保护其网络

作为一个安全公司的律师和法律总顾问，笔者曾有幸听自己同事戏称自己在工作场所的隐私比实际的工作还要多。看完这篇文章你或许就明白什么是工作场所的隐私神话了。

云计算已经改变了IT资源设计与管理的方式。独立的IT部门不得不调整以前的方法。

Microsoft的Network Access Protection能否限制错误的用户？这完全取决于配置。
 
　 　 员工走进办公室使用公司发布的桌面计算机艰难地登陆到单片LAN，这样的日子已经一去不复返了。现如今，各种各样的网络用户，包括：员工、客户和厂商伙伴，无论他们在哪里都会通过五花八门的桌面、笔记本电脑、平板电脑和智能设备访问数据中心。
 
　 　 但这样可能对管理员产生严重的威胁。在没有适当的操作系统补丁程序、反恶意软件工具或远程系统的关键安全设置，企业网络的安全将岌岌可危。
 
　 　 网络访问保护（NAP）在Windows Server 2008 R2和更高版本的Windows 7中为管理员提供了安全工具，弥补安全漏洞，保证远程系统的完整性。登陆远程系统过程中，要对系统的健康进行检查核对，如果系统满足健康要求，那么您可以正常访问网络。系统也可以限制或完全禁止用户访问。
 
　 　 虽然NAP已经成为数据中心安全的热门技术，但有一些常见问题会影响系统健康导致客户端计算机不能正常登陆。下面我们一起看看NAP几个常见的问题。
 
　 　 用户被拒绝通过认证
 
　 　 这是因为向服务器发出链接请求策略时，客户端系统使用802.1x或虚拟专用网（VPN）强制。必须配置连接请求策略，以覆盖网络策略的身份验证设置。如果网络策略的身份验证设置不被覆盖，那么企业的网络策略服务器 (NPS) 将拒绝使用 802.1 X 和 VPN连接。解决此问题最好的方法是：访问 NPS 和配置 802.1 X 和 VPN 连接请求，以覆盖网络策略的身份验证。
 
　 　 认证机构类型的错误
 
　 　 这个问题通常由于服务器端与认证机构（CA）不匹配导致的，只有企业在默认CA 安装健康注册机构的情况下，安装了NAP与Active Directory Certificate Services。两种CA类型不兼容。解决这个问题最简单的方法是：重新安装健康注册机构并选择正确的认证或匿名企业CA。
 
　 　 客户端发生non-NAP类型的错误
 
　 　 客户端计算机应支持网络访问保护，但在服务器端上表示客户端是non-NAP，并且拒绝客户端访问网络的权限。相反，客户端被迫遵守non-NAP政策。这个问题是由于客户端混乱造成的，通常是由于NAP 代理服务、 NAP 强制客户端或客户端健康检查未启用造成的。
 
　 　 首先，检查NAP代理。管理员需要检查正在运行的客户端计算机并验证NAP代理。如果问题没有解决，那么管理员需要启动NAP代理。这可以通过命令或在客户端上使用组策略来完成。
 
　 　 第二，在检查从NAP Agent输出的命令时，同样也要检查NAP强制客户端初始化。如果问题没有解决，那么管理员一定要启用客户端计算机强制本地设置或使用组策略强制客户端。
 
　 　 第三，当使用NAP强制 802.1x或VPN时，一定要检查Protected EAP（PEAP）网络连接的属性，并确保客户端健康检查选项处于启用状态。
 
　 　 网络策略服务器忽略客户端访问请求
 
　 　 当处理远程认证拨号用户服务(RADIUS) 客户时，会导致NPS配置发生错误问题。正常情况下，客户端NAP访问链接请求是创建在一个NPS上。当RADIUS客户端不执行本地授权或身份验证访问请求时，那些客户端必须将连接请求转发到具体配置上。如果RADIUS 客户端不转发连接请求，或将请求转发给RADIUS 服务器时出现了错误，NPS将显示没有连接请求。实际上，连接请求被忽略了。
 
　 　 解决此问题的最佳途径是：访问NPS 找到 NAP 客户端计算机的连接请求策略，确保请求转发到正确的RADIUS服务器上进行身份验证。
 
　 　 无法发行新系统健康验证模板
 
　 　 当您尝试通过证书服务控制台发出新的服务器端健康证书模板时，您发现系统健康身份验证模板不可用。通常情况下，这是由于操作系统版本不匹配造成的。为了能够发出新的模板，NAP CA 必须使用企业版的 Windows 服务器，如有要使用标准版，它将无法发出新的证书模板。如果有必要，将OS操作系统升级到OS企业级版本，来纠正这一问题。
 
　 　 虽然，NAP常常是简单的安装和管理。但常常因为疏忽服务器端可能导致客户端发生连接问题。IT管理员应该具备一些基本知识的了解和简单服务器配置技术，并且在几分钟之内更正这些基本问题

可参考本文：http://www.Dengb.com/Article/201301/181642.html
　摘 要：在信息化社会，企事业单位业务对信息系统高度依赖，而信息系统维护人员往往拥有系统最高管理权限，其操作行为必须得到有效监管与审计。作为运维操作审计最佳解决方案的堡垒机通常会给人一种神秘莫测的感觉，为了让大家更清楚的了解堡垒机和运维操作审计，本文对堡垒机的概念及主要工作原理进行简要分析。

从理论上来看，用于保护计算系统的加密技术和算法是强大的，但是，即使是最强大的加密技术也无法避免部署问题和软磨硬泡(Rubber -hose) 攻击。即使你投入大量时间来保护公钥基础设施（PKI），仅一个漏洞就可以破坏整个基础设施。特别是面对这种情况：攻击者可以使用Adobe的证书对恶意软件签名，从而将恶意代码伪装成合法Adobe软件更新。在本文中，我们将对这种Adobe攻击进行分析以了解Adobe证书带来的安全问题，并探讨企业应该采取哪些措施来保护自己。

我不想打扰任何人或者给任何人这样的印象，即我很荒谬，或者我太天真，亦或介于两者之间，但虚拟桌面基础设施（virtual desktop infrastructure, VDI）、BYOD以及移动设备的安全性不应该引起那么大焦虑的。   　　换句话说，VDI和移动设备的安全性担忧是“这个恶棍的最后避难所（意指不愿意使用这些新技术的员工，并以安全性为由）”吗？   　　也许我的VDI/BYOD项目的故事将会解释为什么我会问这个问题。   　　多年来，我已经尝试了各种方式来平衡正常运行时间、服务水平和客户满意度。我是可管理的桌面概念的早期采用者。虽然我喜欢这样的服务水平，比如在硬盘驱动器出现故障后，几乎可以立即恢复客户系统的运转，但我的客户仍旧讨厌不能安装软件或保存任何东西到他们的硬盘驱动器。当桌面虚拟化出现的时候，我决定不要立即部署它，而是首先进行尝试，看看它是否确实提供了操作上的卓越性和客户服务之间的平衡。   　　我们的第一个实验涉及大量IT员工。我们购买了一对平板电脑，并解决了VDI问题——有很多这样的问题。在VDI的核心，它从该设备转移计算能力到别的地方。这种转移为网络连接和数据中心带来了额外的负载。从我们实验中，我们了解到，在我们的某些位置，VDI是可行的，而其他位置不可行。对这一点的了解为我们搭建了第二个实验：在一组客户中部署VDI。   　　对于我们的客户实验，我们选择了一个有准备并愿意试验的小组。我们的许多员工已经有平板电脑，在枯燥的会议期间，他们除了玩愤怒的小鸟（Angry Birds），也想使用平板做些其他事情。我们选取了50名志愿者，并为他们部署了虚拟桌面。这个体验进展很好，我们很快就扩大了试点。   　　这个实验工作非常好，我们的一些员工——寻求避难的“流氓”——能感觉到我们趋向于BYOD策略，并想象这种巨大的变化将使他们的技能变得无用（更少的设备配置、管理和计算机中断/修复）。随着BYOD越来越多地实现，他们对BYOD和移动设备安全性提出了担忧。同样的，那些认为在笔记本电脑上的安全——笔记本上可能有一大堆敏感数据——不是个大问题的人突然成为了平板电脑和智能手机安全风险的专家。由于VDI转移数据到数据中心或云中，而且是在我们传统的、经过测试和验证安全的系统后端，可能比在通过BYOD取代的笔记本电脑或PC上更安全。   　　就所有方面的安全，我发现，在落实政策和技术之前，进行风险评估是很好的策略。让我们从我们的数据的敏感性开始。在我的设备上，最敏感的信息是我的员工的薪资信息以及我的项目的状态信息。如果有人未经授权得到了这个数据，对我和其他人来说，可能会变得很尴尬，但不会伤害我的组织。如果有人侵入我的智能手机并读取了我的电子邮件，我怀疑他们会为我感到难过，而不是得到一些有竞争力的信息。我的风险评估考虑到了在BYOD设备上的信息类型以及这些数据的敏感性。但在所有但是为数不多的情况下，风险是相当低的。   　　所以，不要让对安全感到担忧的“恶棍们”延缓你的VDI、BYOD和移动战略以及项目。回报远远大于风险。此外，由于设备变得更智能，有人会开发出足够的移动设备安全性措施，以满足这些需要。这可以让你更具战略性、创新性和合理性

大约一年半前，总部位于加州的Westamerica银行的信息安全官Mark Jackson开始为该区域性社区银行寻找数据丢失防护产品，因为一名金融管理局审计员建议该银行使用这种技术来管理内部威胁。   　　在2011年9月，Jackson开始使用Websense公司分阶段推出的的企业版Triton，这是针对电子邮件、Web和数据的三合一安全产品，它在网络和端点提供数据丢失防护（DLP）保护。Jackson监控Westamerica银行的生产过程以及办公总部互联网的安全，DLP技术帮助Jackson监视某些危险的员工行为。   　　Jackson表示，虽然该产品需要有专人来“照料”，不过他认为需要的时间不是为了维护，而是学习威胁和了解该产品的全部功能。：“我并没有充分发挥它的能力。”他希望有人来帮助他监控该技术，并发挥其全部的功能。当Jackson第一次安装该系统时，他通读了预定义政策，并根据Westamerica银行的需求，对这些政策进行了调整和增加新政策。他一直在监视着这个系统，更新政策和添加新机器到网络中。   　　在这方面，Jackson并不孤单。专家称，部署DLP技术的企业需要亲手实践，有策略地部署这些技术，并确保政策是可行的。同时，成功的部署还需要充分了解企业环境、公司的风险承受能力，以及企业面对的特有的威胁。Forrester研究公司面向安全和风险专业人士的首席分析师John Kindervag表示，首席信息安全官从一开始就应该积极对待DLP部署。“机器并没有感知，你必须告诉设备要寻找什么。”   　　DLP是有着很多名称、版本和观点的技术。随着越来越多的供应商加入到DLP的“游戏”，考虑部署该技术的企业必须对技术和供应商进行评估，以确保所选产品适合他们的环境。DLP，也被称为数据泄露防护、数据丢失防护、外泄防护、内容过滤或信息丢失防护，这种技术是很多信息安全工具的集合，以防止用户发送敏感或关键信息到企业网络之外。   　　该技术已经存在了近十年，虽然在很多方面，它仍然属于“青少年”技术，但总体而言，该技术已经发展成熟，变得更有效和更有用。不过，Kindervag表示，用户对于该技术的态度需要调整。在《反思DLP：Forrester DLP成熟度方格》中，Kindervag称，安全专业人员需要重新思考，将DLP作为持续的过程，而不只是一个产品。该报告于2012年1月由Forrester发布，于2012年9月更新。   　　分析师表示，早期DLP产品都试图成为“万能”解决方案，确保企业符合行业规定，但最终却暴露了糟糕的业务做法。Forrester公司高级分析师Rick Holland表示，早期部署者很快就发现敏感信息被放置在网络上的位置数超出预期，IT人员不知道谁负责什么数据，什么破坏了DLP解决方案的有效性。出现这种混乱是因为公司试图在短期内使用DLP做太多工作。   　　Kindervag表示，如果企业在部署前没有定义必要的程序和政策，他们将会遇到各种问题。Kindervag认为DLP成熟度的五个阶段是：数据发现、数据分类、数据整合、DLP政策设计和DLP政策执行。这五个分类可以帮助企业确定更有效的DLP过程。通过使用这个Forrester成熟度方格，首席信息安全官可以评估其公司使用DLP工具的水平，以及供应商的DLP计划发展如何。   　　Kindervag还建议安全专业人士在部署DLP解决方案之前，对敏感信息进行盘点和分类。然后，他们可以确定哪些信息必须得到保护以及哪些企业用户行为必须被阻止，从而根据企业需要来部署DLP工具。 很多DLP安装包具有预定义的政策，以试图找出明显敏感的信息，例如社会安全号码、信用卡号码和驾照号码等。这些预定义的政策还可以帮助企业遵守HIPAA、HITECH和其他联邦和州政府法规。   　　Kindervag表示，使用这些预定义政策可以帮助查找更容易识别的信息，但这也可能导致很多误报。他表示，供应商创建这些政策的最佳做法是在某种程度上整合数据分类，以及评估对于特定行业哪些信息是有害信息。Kindervag说：“每个企业都有对于他们很重要的信息。”   　　供应商也认为预定义政策（或者说内置功能）是非常有限的。Verdasys公司托管服务部门主管Mike Parrella表示，这些政策帮助企业意识到数据丢失问题的严重性，但他们只能实现相对容易的目标。“我认为我看到了企业使用这些DLP政策方式的变化，”Parrella表示，“他们试图使用这些预定义的政策，但失败了。”所以供应商必须为客户提供满足其个性化需求的灵活性。Parrella说：“这些系统需要具有足够的可塑性，以让企业根据其需求来调整数据类型。”   　　Verdasys公司系统工程师Darrin Mourer表示，很多预定义政策很不完善，只是作为提供给用户的例子。Mourer正在写一本关于DLP的书，他希望该书将于2013年上半年出版。他表示，这本书的目的是介绍DLP—它是什么，它是怎么来的，为什么我们需要它，如何部署它以及如何部署流程来支持它，以帮助首席信息安全官和DLP供应商更好地支持它。   　　Mourer还表示，使用DLP追踪社会安全号码、信用卡号码或者医疗ID号的企业经常遇到很多误报，这是因为DLP系统寻找的这些数字类型也存在于很多其他地方，例如在线产品目录、网站代码和内部产品号码。   　　Mourer认为，供应商对误报问题的解决办法是制定围绕企业特定数据的政策。而这使问题很快转变为，供应商如何访问制定政策所需要的所有信息，以及如何监控网络以确保这些政策的执行。企业必须安排内部专家来监督这个过程，或者企业应该与为其管理整个DLP服务的供应商合作。Mourer表示：“这不是可以独立运行的工具，它需要细心的‘照料’。”   　　设置、自定义DLP政策   　　Jackson通过使用预定义政策并根据自身需求加以调整来为Westamerica银行设置DLP。Websense公司的DLP服务提供超过1700个预定义政策，当Westamerica银行开始使用Triton作为DLP时，Jackson通读了这些政策，并决定该公司需要使用哪些政策。   　　DLP设置向导开始会询问用户关于企业位置和所属行业等问题。这些问题的答案可以帮助向导自动匹配监管政策。然后，管理员可以调整这些监管政策，并开发自己的安全政策，包括设置数据访问、数据移动和数据使用的阈值。企业可以对大量或少量信息、特定工作组、部门、地点或者个人设置政策。   　　在处理客户信息的生产方面，Jackson使用DLP来监控员工的打印操作。Jackson对系统进行了设置，当有人在几天里打印了相当数量的内容，他将会收到通知，这样他就会找该员工谈话，确保没有打印任何机密信息或者客户信息。 Jackson还在Triton设置了政策来防止员工通过USB将信息带出企业。如果员工将文件转移到USB，当USB拔出时，信息将会被自动加密，并且，只有在另一台受Websense保护的机器上才能打开该文件。当这种用例出现时，系统将会提醒Jackson，就像上述的打印操作一样。   　　在互联网方面，Jackson对DLP的使用有所不同，因为连接到互联网的机器上没有客户信息。为了确保保持这种状况，DLP产品被设置为定期清扫互联网中的任何客户信息。为了测试这个功能，Jackson将客户信息放在该银行副总裁的电脑中。然后，DLP技术成功地发现了这一信息，并通知Jackson，所以他有信心在未来它同样也能找出互联网中的客户信息。   　　Websense的DLP解决方案允许用户选择他们希望系统提醒的人，如果需要的话，违规的用户也可以收到通知。“我们不想要警告用户，我们不想吓到他们，并让他们认为他们正在做错的事情，”Jackson表示，他更愿意接收所有的系统提示。如果出现明显的违规行为，他会直接与相关的员工谈话。   　　对于这个系统，Jackson唯一的问题是，一次只有一个管理员可以登录到Websense。如果允许一个以上的人登录的话，这将有助于监控系统。Jackson表示，Websense正在努力解决这个问题。   　　在他研究DLP技术时，Jackson基于两个重要的标准评估了三家供应商：首先，Jackson希望供应商愿意接受一些Westamerica银行网点的老设备。Westamerica在加州北部和中部拥有超过90个办事处和个信托办公室。   　　Jackson表示：“我们需要供应商能够接受我们的环境。”他的第二个要求是需要是业界知名的供应商，现在从事DLP技术，并会在未来进一步发展其技术。价格也是一个考虑因素，但并不是重要的因素，因为Websense满足了前两个要求。   　　Jackson承认很难衡量部署DLP政策的投资回报率，但他表示，不必担心员工打印出客户信息或者将文件带出公司，这无疑提高了生产效率。Jackson表示：“我们并不总是得到回报，我们可能无法得到财务回报，但我们得到了生产力的回报。”   　　DLP作为内置功能   　　Forrester公司的Kindervag和Holland表示，DLP的未来在于将其内置到其他技术。对于Kindervag，这意味着“DLP不再是产品，而是可以内置到产品中的功能” 。一些公司已经开始整合DLP到其他产品。一个知名的例子就是即将到来的Microsoft Exchange Server 2013，它将允许管理员为信息设置政策，当电子邮件传输到服务器时将被过滤。在很多方面，这类似于附加的DLP服务：它自带的模板可以帮助企业遵守法规，并允许管理员制定自己的政策。   　　Kindervag表示：“你的公司可能通过多种传输通道丢失数据—电子邮件、web流量和即时消息（IM），所以你必须积极地保护每个通道。Forrester认为单个产品很难保护所有通道，因此，DLP将很快（如果现在还没有的话）从产品演变为嵌入到多个（可能全部）安全产品的功能。”   　　然而DLP供应商很快指出内置DLP可能失败的原因。Verdasys公司的Parrella表示，安装安全，然后遗忘它是错的。我们需要考虑风险在哪里发现，以及应该在哪里部署风险缓解技术。风险可能被发现于端点、网络、服务器和其他技术上。   　　“你必须监控风险暴露自身的位置。将DLP引入到Microsoft Outlook似乎是一个好主意，但它缺少一些安全功能：它没有加密数据、保护电子邮件附件、以监管目的的取证日志或者与其他功能整合。”    

个人用户可以选择其使用的技术，这是我们这个时代的特征，这不只是在IT行业，同样也在安全行业，你现在能通过多种不同的方式与同事共享文件。首先，你可以无视公司结构来共享文件，可能通过Sharepoint或者其他方式。为了使用这种共享方法，你可能需要VPN到系统或者身份验证来登录。另一种方法是使用文件共享服务（例如Dropbox），这种服务总是开启的，就像电脑中的一个文件夹，你不需要进行VPN。现在你多了这样的选择。而且事实是，如果你不想选择这两种方法来共享文件，你还有另外五种方法，这些选择处于典型的IT职权范围之外。这给企业带来极好的机会，因为它让员工可以更快地完成工作，以更有意义更创新的方式来协作。但从管理的角度来看，这带来一个有趣的挑战。我怎么知道我的数据去了哪里？这些数据将保存在什么位置？部署了什么政策？ IT正在脱离IT管理范畴外，出于这个原因，这成为信息安全领域非常重要的问题。   　　长期以来，当遇到这种问题时，安全行业并不是寻求建议的好去处，因为我们历来都被他们拒绝。他们会限制Dropbox，这就是我们的观念和下意识的反应：阻止。但这也是一种相当天真的反应，因为这种反应没有考虑到这样的现实：即人们是可以做出选择的。人们被要求用更少的资源办更多的事情，这是我们这一代人面临的巨大挑战。我们必须确保更高的工作效率，确保回复星期天晚上9点收到的电子邮件，永远在线，永远保持工作状态，然而，企业内的政策常常限制我们选择技术。展望未来，如果说，IT安全需要作出改变，那应该是，我们将从“拒绝部门”（即我们现在的情况）转变为“‘好的，让我来帮你实现’的部门”。这样的话，安全部门将帮助降低员工想要做和将要做的活动的风险。   　　对于很多公司而言，移动设备带来巨大的转变。我们的设备上不再有代理。还有未发现的棘手问题。很多这些问题的答案还没有明确。对此人们主要分为三大阵营：第一个阵营表示，我们需要以对待笔记本电脑的相同方式来对待移动设备，在设备上配备一些监控代理或者防病毒软件。另一阵营在考虑通过解决网络上的问题来寻求更创新的办法。而最后一个阵营则在考虑在移动设备上插装企业应用，并通过某种方式来保护它们。这三大阵营都在作出努力，但最终将获得成功的应该是这样一种办法——允许用户做出自己选择，而安全人员在后台工作以确保用户的所有操作受到保护。

随着企业不断做大做强，庞大的数据量也随之而来，这些数据关乎企业的安危及未来的发展，安全已成为企业业务发展所关注的首要问题。一项全球调研结果显示，在当今日益复杂的安全环境下，“敏捷”企业需要采取一种全新的、全面的方法进行企业风险管理。

多数中小型企业认为他们不会遭受到网络黑客的威胁和攻击，因此企业内部网络环境毫无安全可言，威胁一旦袭来，中小企业不稳的根基就可能瞬间动摇。一旦心存侥幸，企业内网信息安全势必难脱隐患，这就是给企业埋下了定时炸弹。当务之急就是“拆弹”，有企业办公信息安全“拆弹专家”之称的深圳帷幄高级产品官Russe.W曾对中小企业信息安全建设做过著名的“七段论”，小编特此贴出这七个步骤，希望能给广大中小企业的信息化安全建设作个参考：

2013新年始伊，伴随云计算应用的大规模落地，越来越多用户使用云计算有关产品，有关云计算负面声音一定会不断出现，下面是一些首席信息安全官和安全爱好者所列出的云计算在安全方面的七大问题，不管是否危言耸听，云计算的建设者都该引以重视，也许来自负面的声音正式创新的最佳途径。