4. 免费软件可以在30分钟内破解口令。

    口令安全性很差，而且变得越来越差，从而导致你的安全系统易受攻击。可以执行严格的口令使用规则，从而大大增强这种防御能力。

    随着计算机的运行速度加快，破解口令带来的诱惑加大，对那些不法分子更有吸引力。由于更多的关键业务系统实现了联网，破解口令能够得到更大收获。利用可以下载的免费软件，谁都能够在30分钟内破解6个字符长的口令、6小时内破解8个字符长的口令。

    你需要立即在人们如何创建口令以及口令更改频率方面制订规则。口令创建规则包括：混合使用大小写字母；至少始终要有一个数字和标点符号；不要使用个人资料当中的名字；长度至少要有8个字符。最重要的是，如果你需要不断使用口令，如果五次输入都不正确后，就要确保所有口令都被禁用，以防范企图借助蛮力破解口令的行为。在内部运行口令破解程序，查出安全性很差的口令。然后，开始改用低成本、外包的验证和数字SSL证书服务，替换这些弱口令。

    5. 电子邮件会泄露你的商业机密。

    为所有员工发放数字客户端证书，用于签名/加密的电子邮件，从而保护企业数据，进一步让员工对企业所有通信的来源、真实性和机密性都感到放心。

    安全消息传送（想想最初的电子邮件以及随后的即时消息和IP语音传输[VoIP]等）旨在确保，只有消息的预期接收方才能够读龋电子邮件使用越频繁，它对公司的机密信息而言就越重要。发送到企业外

    面的电子邮件更是如此。电子邮件以明文格式，通过公共网络从一台服务器传送到另一台服务器上。一路上的服务器能够而且确实保存收到的所有消息，也有权利这么做。在大多数电子邮件系统上，发送方无法控制谁可以接收到转发的电子邮件消息，也没有表明有人接到转发消息的审查踪迹。

    任何两名员工现在只要简单地交换客户端证书，就可以对发给对方的消息进行签名及加密，从而确保：这些消息没有被篡改；消息来源得到证实；对两者之间的任何系统进行窃听的人都无法读取消息。公司的机密电子邮件需要采用这种做法。此外，组织还应当迅速部署安全的即时消息传送（IM）产品，禁止使用任何不安全的IM。即时消息传送已成为公司中的一个常见部分，起到了非常重要的作用。不过，公司的关键信息也在通过IM系统传送，可能会被没有证书的人所获龋有了安全的IM，这将不再成为问题。

    6. 传统的访问控制已经难以胜任。

    利用数字证书取代使用入口点所用的弱口令和成本高昂的时间同步令牌来保护系统安全。数字证书比口令安全得多、成本低于安全令牌，而且如果完全托管，易于部署。

    SSL支持两端：服务器和客户机的身份验证。如果服务器提供证书给客户机，这表明服务器已通过验证（拥有域控制权的组织获得了证书，并且身份得到验证），客户机（浏览器）证实：证书域和服务器域相匹配。如果客户机提供证书给服务器，这表明客户机已通过验证。客户机验证涉及对用户的身份进行验证，而该用户和证书同与服务器通信的客户机结合在一起。这些客户端SSL证书驻留在浏览器里面，这样一来，就取代了用口令访问安全网站的机制。

    证书比口令安全得多，因为窃取另一个人的证书很困难，就算窃取了里面存有证书的电脑也无济于事，因为这仍需要口令才能激活证书。由于证书大大提高了安全系统，这样就可以放心地访问比较重要的应用，如CRM系统和企业内联网。

    许多公司现在或者很快会安装VPN，以便远程用户安全访问重要系统。这是一个很好的举措，但不要通过口令来确认身份，这样会削弱VPN的好处，而是需要在VPN安装客户端证书才允许进入。

    时间同步令牌是一种小巧设备，可以生成号码，用户可用来输入到网页上，从而安全地访问网络或者应用。遗憾的是，时间同步令牌成本高昂、人们会丢失、所用电池也会出问题，你还很容易把它借给别人使用。应当实施托管型的安全服务，从而颁发及管理客户端证书的生命周期。

    7. 你的网站可能会被网络钓鱼所欺骗。

    你可以通过让网站使用信任标记（Trust Mark）来表明及保护贵公司的身份，既向访客表明自己的真实身份，以能够让访客信任你的网站。

    在处理敏感数据时，SSL对加密而言至关重要。但SSL并不提供有关被访问网站的身份——这是“网络安全领域的公开秘密”。为了保护你网站上公司的身份，就要使用无法复制的信任标记或者安全站点图标（Site Seal）。对组织来说，这杜绝了站点上当受骗的可能性；而对客户来说，这让他们确信自己是在访问合法网站。遗憾的是，许多现有的“身份”产品（站点图标）提供不了保护——它们可以点击复制。访问上面有图标或标记的任何网页，点击鼠标右键，就能看到菜单。

    相反，应当使用动态生成的无法复制的站点图标。譬如说，有些公司的站点图标放在网页上，以表明该站点是合法的、真实的，并且已得到可信第三方的证实。首先，站点图标认为核实站点所有人的身份最重要。其次，站点图标旨在打击盗用现象。第三，它还提供了“自我监管”功能：如果无法证实站点所有人的身份，图标就根本不会出现。最后，它会链接至收集了有关站点及所有人的验证信息的庞大资料库，帮助用户、最终帮助站点本身。这让访客能够信任商家，从而促成众多交易。