迷失方向二：西瓜、芝麻都要

    在网络安全管理中，很多企业还喜欢面面俱到，只有这么大的胃口，还西瓜、芝麻都想抓在手中。结果呢，就是拣了西瓜丢了芝麻。

    如对于邮件监控来说，很多企业采用的措施是对于所有的员工都采取监控措施。一个公司几百名员工，从大到企业副总、部门经理，小到下面的司机，都对他们进行邮件监控。可是带来的问题就是，如何去查看这些监控信息。若我们不能及时过滤这些监控信息的话，则我们采取邮件监控措施的话，根本没有任何意义。所以，笔者认为，在企业网络安全管理中，没有必要做到面面俱到，而是应该抓重点。

    具体的来说，笔者有如下建议

    一是重服务期安全，轻单机安全。企业的服务期中，存储有企业大量的机密信息。如文件服务器存储有很多企业的机密信息，如产品研发、测试资料等的功能;再如ERP服务器中，存有所有的客户资料、订单信息、产品物料清单等等。在实际工作中，我们应该鼓励用户把相关的资料存储在企业服务器中。因为在服务器上，我们可以采取统一的安全策略，如对相关信息进行及时备份、采取统一的访问控制策略、利用服务期访问日志记录访问信息等等。若管理策略定义的好的话，在服务器上文件的安全性比单机上要高的多。故，在安全管理中，我们应该把管理的中心放到这些服务器中，要采用一切必要的措施，让员工把信息存储在文件服务器上。

    二是对于信息的安全管理要轻重有别。我们都知道，文件访问的效率与安全往往是背道而驰的。当文件安全性级别高，往往就需要添加很多访问的限制，如需要员工凭用户名与密码才能够访问;或者需要用户通过特定的途径才能够访问;或者对于用户访问文件的地点有限制等等。一般来说，安全级别越高的文件，其访问更加复杂，所以，访问效率也就比较低。故我们网络安全人员在设计安全体系的时候，需要在安全性与访问效率之间取得均衡。而取得这个均衡的最好的一个方法，就是对信息实施“轻重有别”的管理方法。就拿笔者公司为例，企业员工的考勤信息一般都是公开的，所以，对这个信息就没有必要采用很强的访问控制策略，只需要限制未经授权的用户更改这个文件即可。而公司工资信息则是保密的，一般只有员工本人与少数的几个人员才能够获悉，所以，对于工资明细这个文件就需要采用比较严格的访问控制策略，对于访问的人员、访问的途径等等都需要进行严格的控制。如此的话，才可以实现企业的要求。故，对企业的信息进行如此分级管理的话，我们就可以把更多的精力放在一些机密性程度比较高的信息上面;同时，对于一些机密程度不高的文件，就可以提高其的访问效率。而不是不管三七二十一，一帮子打死。

    三是必要的时候，把某些部门划为禁区。如笔者现在的企业，产品研发部门是企业的核心，我们企业产品的专利树目在国内企业中是数一数二的，所以对于专利的保护就非常的重视。为了保护这些产品信息，特别是产品配方、产品测试资料的安全性，公司采用了虚拟局域网技术，把研发部门跟财务部门划分成独立的网络，限制其他部门对于这两个部门电脑的访问。如此的话，就把这个两个企业重要部门隔离开来，提高了这些主机的安全性。这对于企业的信息安全起到了很大的保护作用。所以，笔者建议，在网路设计的时候，就需要开始企业网络与信息的安全。在有必要的时候，把一些重要的部门独立的保护起来，从网络底层限制其他用户对其的访问。

    企业这么大多一个信息网络，存在这么多的安全威胁，而且要往往不会配备很多的网络安全人员，一般就一名到两名。很多企业还没有独立的网络安全管理人员，都是网络管理员在兼职。所以，在这种背景下，若还要去争取“面面俱到”的话，则最后的结果必然是功亏一篑，捡了芝麻，丢了西瓜。故笔者在这里强烈建议，我们在设计企业网络安全管理体系的时候，需要轻重有别。大家在考虑问题的时候，可以参考我上面的意见。虽然有些地方可能不是百分之百的准确，可能还有一些没有考虑到的点，但是，我相信，这些方法对于大家从整体上提高网络与信息的安全性，是具有非常好的作用。因为我现在就是这么做的，而且已经取得了非常明显的效果。