【IT168 专稿】经过多年的发展，大中型企业通常已经建立了内部网络，并且在不同区域设立分支机构，同时通过供应链管理系统连接上下游合作伙伴，企业的网络结构也伴随企业的发展壮大而变得越来越复杂。相应地，这些企业的网络安全防范体系也需要根据企业网络结构的变化而不断进行调整和完善。

    趋势科技在十多年的发展历程中得出这样的结论：大中型企业的安全问题绝不仅仅是一个技术话题。无论企业采取何种措施，都必须坚持一点：部署安全解决方案只是企业信息安全工作的基础，大中型企业不能过度依赖安全技术和安全工具而忽视其他因素。如果没有专业人员的介入，缺乏对企业的安全管理规范和策略进行有效设计，功能再强大的安全产品也不会起到良好的安全防护作用。

    可以说，部署技术层面的解决方案（如防火墙、防毒软件、IDS/IPS、UTM等）不能完全避免安全问题。要想真正降低安全风险，需要全面考虑三个方面因素，即：人、过程和技术。只有协调好三者，才能将安全风险控制在合理范围内，建立起完善的安全防护体系。建立安全防护体系的头等大事就是要制订良好可行的安全策略，这也是趋势科技多年的经验。趋势科技在制订企业安全策略时，总结出以下经验：

    一、有效的安全策略必须满足业务的需要，即安全策略必须适应公司的目标和需求。

    二、有效的安全策略通常基于国际模块化标准。趋势科技的安全策略基于BS7799（最新的ISO 27001是从BS7799演变而来的）。安全策略就是企业的安全框架，没有它，企业将不知道自己的安全策略基于何处。

    三、安全策略必须被企业管理层了解和支持，这样才能保证安全策略得以顺利地执行，趋势科技的安全策略得到CEO、CIO、CSO的一致认可。

    四、安全策略应该能够适应企业文化的发展，被员工了解和接受，防止入侵者利用人性弱点，有意误导员工绕过企业的安全策略。

    五、企业必须面对的另一个问题是充分考虑员工的变化。在今天，员工跳槽对于多数公司来说是一个很普遍的问题，安全策略必须对所有敏感职位的跳槽者，尤其是担任安全官员的跳槽者作出规定。在趋势科技，当一个新员工加入公司时，安全策略已经被包含在其雇佣合同中。每当安全策略有所增加或更新时，公司将会通过电子邮件进行声明，并同时在企业内部互联网发布。

    六、良好的安全策略并不是一成不变，而是需要不断进行修订，以保证安全策略及时更新，从而能够适应新的安全威胁和公司新的商务环境。在趋势科技，两个因素能够引起对安全策略进行修订。第一个因素是对安全策略进行年度回顾；第二个因素是当前的安全策略已无法解决新的安全事件。

    由于企业IT系统的结构变化、应用系统的变化都会导致安全策略的变化。因此上述过程在趋势科技并不是静态的，而是周而复始的，所以趋势科技的安全防护系统一直保持着非常好的状态。