那么今天的网络中，我们将面对哪些威胁?正如RSA大会2009中各国安全专家担忧的一样，随着云计算以及SaaS服务模式的普及，大量基于Web的应用，将给信息安全造成巨大的挑战。而这些威胁对于今天的IT运维人员而言很难以被发现。IDC的高级安全顾问也指出，内容安全对于用户而言，其实施的时间成本将远远大于基础网络安全设备的部署。

一、·健壮的法规遵从

今天，企业面临的最主要安全问题也许并不是网络安全基础设备的部署和使用状况。相反，国内很少有企业或机构拥有完善的信息安全规章制度，缺少必要的安全合规意识。这正如法治社会需要规范的法律来约束公民一样，企业同样需要信息安全法规遵从来约束使用终端或网络的用户。当然，我们看到了国家在这方面正在做着积极的努力，即将实施的《内控》法，以及公安部积极推进的等级保护都让我们看到了希望。但是这些对于多变的信息安全而言，还是存在些许不足，企业在这个过程中，更需要从自身入手，定制更加详尽的制度来规范员工和合作伙伴行为，从内部将可见的威胁斩断。

二、·必要的边界网络防护

虽然，当前不少企业IT管理者已经拥有并部署了防火墙等基本的安全设施，但为何还会发生数据泄露、黑客入侵等各种信息安全事故?这种状况的发生，在很多程度上是由于边界安全设备，并没有满足企业的安全需求。为此，企业在选购安全产品时，需要首先规划出企业信息安全的预期，然后确定企业关键系统的安全防护等级，最后才是根据需求来选择信息安全产品。特别是企业在临时决定强化某方面的信息安全需求时，更应该全面考虑整个环境的安全实情，再做定夺。另外用户需要避免一些误区，并不是说功能越多的安全网关就会给企业带来最佳的安全防护，在选择边界安全设备时，企业IT管理者需要认清，企业具体保护的内容，以及企业可以承受的最大负载和业务延迟。这也是当前安全网关产品面临的一大瓶颈--性能。

三、·规范的安全评估

防微杜渐是解决企业信息安全的基本法则之一。正如我们之前提到的安全专家对云计算和SaaS的困扰一样，企业网络中业务应用的增加趋势既成事实。应用的增加使得潜在的安全威胁亦在增长，定制的网络安全评估，可以及时发现企业存在的安全威胁。据统计，今天企业所遭遇到的攻击行为，80%源自企业应用存在的安全漏洞。当然，企业在选择安全评估时，通常会对评估成本以及评估结果格外关注。为此，我们建议企业IT管理者在实施专业的安全评估前，可以利用已相对成熟的开源软件来对网络状况做提前判断。

四、·全面的终端信息安全

终端安全一直是企业安全防护的重点，如今攻击者越来越乐于借助终端来发起更为广泛或更具有目的性的攻击行为。或许企业中已经部署了主流的终端信息安全解决方案，然而终端是任何业务应用的最直接途径，因此对于终端潜在的信息安全隐患必须引起企业IT管理者的高度关注。而且，对于终端产生的威胁或许就来自您所管理的网络内部。

五、·牢固的数据保护

今天，数据的重要请不言而喻。相信任何人都不希望敏感数据被"有心人"所利用，企业更是如此。对于企业而言，知识产权、核心技术、财务报表以及关键的通信邮件的泄露，都可能给企业造成致命的打击。为此，数据防泄露解决方案成为业界关注的新焦点。为了保护企业关键数据的安全，企业的IT管理者必须准确的掌控，"关键数据存储在那里"，"哪些人可以访问这些数据"，"数据流向了哪里"，只有全面兼顾这三点，才能有效的保证企业关键数据的泄露，降低安全隐患。

六、·数据存储灾备与归档

最后，我们要说的还是跟数据有关。任何企业的关键数据最终都要存储在各种存储设备中。当我们将过多精力集中在系统、业务以及攻击者造成的威胁时，我们很可能已忽略了基础安全对企业造成的影响。宕机、系统故障，这些非人为的因素很可能会在一瞬间让您的业务系统彻底瘫痪，由此可见必要的灾备对于企业而言是至关重要的选择。另一方面，对于上市公司以及敏感行业来说，实施快速高效的归档将有助于企业减少不必要的法律纠纷。通常企业在实施灾备与归档的过程中，可以参考萨班斯法案、ISO27001等安全认证，当然我国即将实施的《内控》法规也将帮助企业强化此方面的信息安全意识。

综上所述，我们不难发现，在"流感"盛行的今天，信息安全领域中的"流感"疫情随时都可能给企业网络造成无法预估的灾难。面对愈发严峻的信息安全威胁，唯有主动出击，从企业自身实情出发，打造立体的威胁防御体系，才会有效抵御安全"流感"的侵袭。因此，我们呼吁企业应提前做好准备，将潜在的信息安全风险降至最低。