5) 在全公司范围能应用加密解密技术

　　在二次大战的时候有一句流行语:“口风不紧船舰沉”。如果我们观察一下所有的ID盗窃事件就能发现，发生这种事情大部分都是针对没有进行加密保护的系统。以电子商务网站为例，它之所以能够被攻击，不仅仅因为系统本身具有一些公共的漏洞和缺陷，同时也因为电子商务公司没有认识到数据加密的重要性。说到数据加密，简单通过SSL保护会话数据是远远不够的。

　　一般的电子商务网站的数据库服务器是最招黑客们喜欢的。他们可以把用户的数据偷出来在黑市上销售，目前这是一个很大的市场。

　　首先要做的是检查一下系统中所有可能的数据流通通道，包括即时消息传递，文件拷贝，电子邮件，在线会议系统。同时检查所有数据处理的过程，包括数据创建，更改，删除和恢复。另外我们需要考虑用户的数据是怎么保存和保护的？仅仅靠数据备份是不够的。

　　根据上面的问题，我们需要建立一套VPN，保证网络外部与网络内部的通信是通过一条加密管道的。另外在数据的保存上，可以加密所有的数据，从整个硬盘加密到电子邮件加密或者文件加密，当前存在很多现成的工具可以完成这些工作。

　　使用加密的方式保护数据不是一项轻松的工作，需要考虑密钥的存储和访问等问题。比如某个用户的密钥和口令丢失了，那么系统必须可以为用户颁发新的密钥和口令，而且需要将使用原来密钥加密的数据解密，然后使用新的密钥加密。

　　你可能会发现你现在正在使用的系统就包括加密和解密的功能，你只需要简单地在选项前面画个勾就可以启用这项功能。就像现在的笔记本一样，如果笔记本丢失了，但是偷窃者没有密码或者密钥，那么他不能获取任何数据信息。如果有人窃听VoIP 的电话，事实上他听不到任何有用的信息，因为在网络上传递的数据都被加密了。

　　6) 估计、保护、管理和跟踪公司中所有IT设备

　　你应该注意紧密跟踪和检查公司中所有的IT设备，包括VoIP电话系统、笔记本电脑、服务器和其他网络设备。这些设备对于公司的价值可远远大于设备本身的价值。设想一下要是有人偷走了一台公司的笔记本电脑，那么所损失的电脑上的数据需要花多大的代价才能弥补？或者万一电脑上存放了公司的商业机密信息，造成的损失更是不可估量。

　　为公司的设备建立一个完整的清单，这个清单不但要列出所有的设备，更重要的是要列出这些设备的价值。比如一个文件服务器，他的价值不是简单的3000美元，而是存放在它上面的代码的价值，可能是20个人一年工作量的价值。

　　为所有的设备都建立起来这样的价值清单之后，你就能够很清楚地知道该如何更好地调配资源保护这些设备了。

　　7) 考察和测试公司业务连续性和应急规划

　　公司业务的连续性就像是“让灯一直亮着”，灾备系统就像是说“当灯灭了的时候我们怎么办？”，我们需要让等持续亮着。

　　你需要经常性地测试一下，看公司业务的持续性怎么样，灾备计划是不是能够被很好地实施。这种测试最好每年都进行几次，在非业务高峰的时候进行，比如周日晚上。

　　进行这样的测试最好可以从一些常见问题的解决方案开始，让员工们了解如果出现下面的情况该怎么办。

　　a) 电源断电
　　b) 路由器死机
　　c) 电话系统中断
　　d) 互联网中断
　　e) 服务器掉线
　　f) 某一硬件设备故障
　　g) 某一应用程序崩溃
　　h) 网络中出现可以被攻击的漏洞
　　i) 空调故障
　　j) 自然灾害
　　k) 流行感冒席卷全公司

原文链接：http://www.networkworld.com/columnists/2007/011707miliefsky.html
原文作者：Gary S. Miliefsky
原文来源：Network World

　　(参考链接: http://security.ccidnet.com/art/1099/20070123/1007869_1.html)