企業安全并不是一個新的領域，有太多的因素需要關心：沖突的主動權、商業環境因素、信息敏感性、互聯網的失控、犯罪的猖獗、以及高層的連接和漏洞。在限制危險和影響生產之間需要做出一個折衷：100%的安全意味著0%的生產力，而0%的安全性卻并不等于100%的生產力。另一方面，企業必須決定在沒有計算機或者網絡的情況下可以運作多久，以及對數據的可用性及準確性的依賴程度如何。絕對安全不僅難以做到，而且也并不受歡迎，所以正確的安全控制就是設法降低風險到可接受的程度。 

系統滲透威脅

有很多因素可能危及到系統的安全，中國有句諺語：“說者無心，聽者有意”，你永遠不知道誰在留意你說話的內容，我們中的絕大多數人在工作中會和其他專業人員發生聯系，無論是在行業聚集地，或在許多其他集會地點。意外泄漏某些可被利用的重要信息簡直太容易了，這雖然不道德，甚至是不合法，卻能夠以傷害某集團的利益為代價，使另一個集團獲益。

獲取粗心丟棄的口令以及其他未刪除的人員識別信息，已經成為潛伏者收集這種資料的首選方法。缺乏保護或保護不充分的系統（單一的安全措施、容易破譯的口令、未經加密的數據等等）意味著會產生一系列的問題，從低質量的數據到未經許可的滲透。

如果防火墻或病毒過濾器缺乏維護，將導致網絡很容易被突破。安全預算必須預備足夠的資金；將保密措施的資金視為可有可無或者任意挪用，將置整個企業于風險之中。擔負起我們的行動職責，加上一個穩固廣泛的安全策略，是阻止網絡突破發生的最佳保護。

互聯網安全現實

互聯網在設計之初用于軍事，所以內置的信息保護功能非常稀少。網站管理員們可以看到經過的數據包，但由于沒有進行足夠的加密，這些數據很容易被竊密，外部的入侵者可以訪問企業的網絡和計算機。外部信息的源地址一般無法找到，而信息的發送者也不知道除了接收者之外，是否還有其他人閱讀了信息。

黑客組織日益增加，通過彼此間的協調合作，突破網絡防線變得更加容易。互聯網本身是一個開放和無控制的網絡，它不會改變自己以適應企業的需要，而且互聯網上絕大多數的安全問題其實并不是互聯網自身的問題。企業必須假設所處的環境是潛在有害的，并通過各種手段以保護自身安全，如對敏感信息進行完全的消息加密，使用數字簽名進行文檔鑒別，高質量的維護防火墻和其他過濾器，員工通訊和警告程序，以及對流入數據進行適度而不過度的控制等等。

硬件設備的便攜性

經常出差的員工需要攜帶筆記本電腦在外辦公，并要求能夠隨時隨地的通過Internet接入公司的網絡，從而提出了一系列的安全挑戰，筆記本電腦需要使用2種以上的安全控制手段以實現綜合加密，比如本地用戶名和口令，指紋裝置等，同時企業需要部署和強制執行嚴格的移動辦公技術策略。

新通訊方式的快速擴散

公司是否提供類似BlackBerrys或Treos這樣的PDA，并提供網絡連接？這些設備是否進行了安全保護？許多公司對這些設備所能夠帶來的巨大安全威脅并不十分了解，它們能夠利用Outlook或Notes上通過無線連接自動同步Email、日歷以及聯系人列表，這樣一臺無口令保護的設備一旦丟失將被用于收集進入系統的授權信息。

公司應該要求所有移動設備必須使用本地口令，并遵從那些一直被用于網絡上的相關口令規則，比如口令格式和更改口令的頻率等。同時，要求他們遵循這樣的策略：一旦丟失設備必須立即報告，以便及時清除所有本地數據，并將該設備標記為禁用狀態。

軟件的復雜性

對于已經擁有網絡存取通用權限的用戶，并不意味著他可以獲得特定網絡功能部件的權限，哪怕僅僅是一個簡單的集成環境，比如ERP。研究表明，職員們認為太多的不同口令是離開一個公司的有效理由；某些大公司居然要求用戶記住超過15個的用戶名和口令組合。單一登錄技術已經保證了根據不同權限保護系統相應部件的能力，所以沒有理由再因為安全而使得員工疲于記住繁多的密碼。

互聯程度

企業應重新認識公眾存取互聯網的現實情況，供應鏈連接著原材料提供商、制造者、封裝者以及零售商，一個鏈條的堅固性取決于最弱的一環。即使整個供應鏈中的單個組織已經實施了正確的安全防護措施，合作伙伴的一次過失足以導致整個鏈條運作的失敗。

設想一下，一個備件供應商的網絡被滲透或者被暴露了，將導致所有的后續部件進程受到消極的影響，企業需要實施一個綜合風險評估，并要求他們的合作伙伴或供應商實施相應的安全控制，并圍繞著可能失去通向重要合伙人入口的可能性，制定相應意外情況的處理辦法。

介質密度及可訪問性

對于維護我們有權存取的共同數據的完整性和安全性，人人有責，新型高密度介質的出現讓認真地堅守這個職責變得更加必要。CD、DVD、閃存，以及其他密集便攜介質有能力將海量數據存儲到一個便攜設備中，并時常被轉移走。IT安全策略應當要求任何通過USB接口移動的數據或使用其他方式來建立的介質都必須在一個加密基礎上進行。這些介質類型絕不可以被用于任何數據的單獨拷貝，特別是重要任務或企業機密，并限制它們用于臨時性的數據傳輸。

集中

單一節點的故障可能是安全的噩夢，正如保護企業網絡、系統以及數據安全的重要性一樣，當這些資產集中放置時，安全就顯得特別重要。較小公司的有限技術資源往往特別脆弱，因為它們一般都是一個局域網房間或是一疊服務器，這就是整個企業的全部網絡。

未經授權的訪問、電力故障、通訊問題、協議不兼容、以及不可靠的系統體系都可能導致災難性的結果。無論是基于有限的資金要求或是基于正確的設計考慮，將貴重的技術器材集中起來，就必須對特殊安全的要求特別留意，以確保設備的連續運轉。

分散

單個系統或者數據庫的多個拷貝必須得到同等的安全保護，一個暴露的拷貝會導致整體都受到懷疑。在跨國公司中更難處理的情況之一是在不同的國家，其網絡連接可能是不健康、不堅固、或是不可靠的。在這種情況下，最好的解決方法是安裝一臺分發DNS服務器，以便進行和主企業網絡的脫機同步，從而為當地設備提供雖非實時，卻滯后不超過1天半的必要數據全面拷貝。由于整個過程涉及高度敏感或機密的信息存取，策略和手續必須執行以確保各地的設備執行和主企業網絡同樣的安全水準，以避免滲透和失密的風險。

跳槽

員工跳槽將帶來明顯困難的安全挑戰。在20年前，你只要簡單地更換一遍鑰匙就完事大吉了，但現在事情就沒有那么簡單了。任何職員的單獨訪問必須被跟蹤，以便在該職員離開后，可以立刻關閉全部訪問。在某些情況下，當一個具有深層訪問權限的關鍵人物離開后，其它所有人的安全系統都必須進行更改。