三、企业搜索关键在于掌握合适的度

    企业搜索听上去完美无缺：员工不用没完没了地搜索众多FTP站点和奇怪的文件名，就能轻松找到所需的文件和文档，从而提高了工作效率。但一旦人们开始搜到不该搜到的东西，搜索就成了安全和合规人员的噩梦。

    搜索技术厂商Autonomy公司的美国区CEO Stouffer Egan说，有家国防承包商把机密信息网络与绝密信息网络“隔离”开来，但机密网络上的员工仍能搜索到绝密网络上的信息。真是糟透了。

    标准做法是，如果你无法以其他方式访问网络上的信息，那么也无法通过搜索来找到这些信息。富国银行在尝试让公司主管通过博客与客户和员工进行交流，它甚至建立了自己的虚拟世界。不过该公司对企业搜索有所限制，限制了员工搜索数据存储库的能力，因为授权机制很复杂。富国银行把应用开发和部署时间的80%用于授权和验证等安全措施上。

    即使各类信息和特定应用都受口令保护，也并不意味着它们保密起来。弗雷斯特研究公司的分析师Matt Brown说，有家公司发现，其搜索系统能在很少被访问的一部分文件系统中发现敏感的工资单信息。所谓的“通过隐匿来实现安全”（security by obscurity）迟早会出问题。

    最后一个风险是，如果编入索引的资料不足，因而没有价值；或者搜索关键词要极其精确，员工会放弃使用搜索工具。针对250名商业技术专业人士的一项调查发现，大约四分之一的公司部署了集成搜索系统，却很少使用。

    四、迷失于NAC缩略语

    最近炙手可热的安全缩略语就是NAC――它对不同的厂商来说有着不同的含义。尽管吹得天花乱坠，但没有哪家NAC厂商完全说到做到，概念的混淆让安全效果大打折扣。

    网络准入控制（NAC）是思科的产物，它旨在控制哪些设备可以连接到网络上：设备是否没有病毒？安全设置是不是最新？如果不是，就加以隔离。网络访问控制（或者用微软的话来说，网络访问保护）着力解决的是，一旦设备连接到网络上，可以进行哪些操作――对照目录服务器或者访问控制服务器，检查个人电脑或打印机的安全状况，查看具体权限。目前还没有哪家厂商同时提供网络访问控制和网络准入控制；而厂商之间的合作也刚刚起步。

    所以你说要部署完整的网络准入和访问控制系统，好比你说要为孩子的下一次生日聚会弄一头独角兽来庆贺。除非思科、微软和可信计算组织（TCG）以及最近互联网工程任务组下设的一个工作组就大大简化NAC部署的标准达成一致，否则这项IT技术不会露出庐山真面目。

    对愿意等待的人来说，很快能得到厂商的帮助。弗雷斯特研究公司的分析师Robert Whiteley说，思科、迈克菲、微软和赛门铁克都正在把端点风险管理功能集成到即将推出的产品中，但至少一年后才能准备就绪。

    作为一种概念，NAC值得人们积极采用――因为它结合使用反恶意软件、访问控制以及身份验证和配置管理工具，阻止非法设备企图连接到网络上，或者在网络上搞破坏活动。可是现在，利用各种工具来防止恶意行为需要从多台服务器获取数据，也就是说需要多台服务器协同，这自然增加了复杂性。别欺骗自己，以为如今的哪个产品已经完全具备了NAC理念。