在攻防较量中，策略是最核心的要素。因此，我们需要把全部的注意力集中到整个体系的策略遵从上，而不是斤斤计较某个终端的防护情况。

　　潜在的危机

　　在2007年《IT 风险管理研究报告》中显示的一项调查结果引人注意，那就是，虽然安全防护技术在不断进步，但大多数的企业受访者仍预期于最近的1至5年内将遭受某种安全或法规遵从事件的影响，其中，66%的受访者预期至少会发生一次重大法规遵从事件。此外，58%的受访者预期至少会发生一次重大资料流失（如由于数据中心停摆、数据毁损，或安全系统漏洞等事件而导致的数据流失）。 

　　在《Information Week》发布的《2008年信息技术预测》中，各个企业CIO今年的重点工作就是危如累卵的网络安全。由于该项工作目前已经和多数企业的业务发展密切相关，因此超过半数的IT经理表示，升级安全业务流程、保护企业安全终端，重新制定安全策略将是今年的战略重点。

　　之所以形成这样的趋势，很重要的一个原因就是企业的信息安全事件不断增加，而且经济犯罪色彩也越来越浓。现在以盈利为目的的攻击目标已不再是基础架构，而是以运营在基础架构上的数据信息为目标，它造成的现实损失是一些关键信息被破坏或者是被泄露出去，这种损失对大多数企业来说更难以承受。

　　根据美国商务部去年的一份统计显示，由于重要信息防护不当导致的失窃、失密案使美国企业每年损失约2500亿美元，同时造成近75万人失业。

　　另外，从用户直接面对的现实挑战来看，企业用户所面临的，已不再仅仅是技术问题。举例来说，大型企业级用户的安全终端可能分布特别广，防病毒软件、防火墙等单一的终端防护解决方案所解决的只是安全防护的问题。但解决了这个问题以后，企业仍然可能因为某个用户安全意识较为薄弱，没有定时升级、打补丁，甚至其他目的故意违反保密原则等，这就让终端安全的日常维护工作成为挑战。所以说，企业目前迫切需要的，是一个可执行的安全管理标准，其原因就在于用户的需求已经从以防护为中心，转向以策略为中心。

　　“运筹帷幄”的策略

　　在实现信息安全的过程中，在寻找并制定安全策略和防护方案时，企业用户需要注意的是，放之四海皆准的防护体系并不现实，之所以企业用户更应强调安全策略，这是因为策略本身就是需求的一种综合，是一个组织如何管理信息安全的总结，相对而言，某个安全策略完善与否并不能满足所有企业的要求。每个行业都存在特有的 IT 风险，需要独特的解决方案。

　　许多企业把制定安全策略并达到遵从性要求当作一劳永逸的事，或者以每个规章为基础组织专门队伍，员工手动收集信息和资产状态、排除故障和生成报告。但是，由于业务部门和地理位置各不相同，所采用的流程也不尽相同，对于相同控制的测试、衡量和报告的方法也五花八门。上述分散的方法既不能保证高效率，也不具备成本优势。

　　信息安全解决方案为保证持续遵从，企业必须循序渐进，先从特定项目入手，逐步过渡，最终投入到各项遵从性举措中。就像Yankee Group高级分析师Andrew 所谈到的：“企业需要降低保护业务环境和法规遵从的成本。需要将遵从、网络访问和威胁保护整合进入单一的客户端产品，这样用户可以显著降低复杂性并简化IT作业。”

　　从一些技术细节中我们可以很清楚地看到，以策略为核心的解决方案，除了集成防病毒、反间谍软件、防火墙，从而提供更高效、更完善的终端防护功能外，最重要的是可以根据指定的安全策略进行统一的管理与控制，例如设备控制可帮助用户严格限制设备访问权，包括USB存储、备份驱动等，从而降低数据丢失的风险；主动防护技术能够自动分析应用程序行为和网络通信，以检测并阻止可疑活动等，使用户能够拒绝对企业来说被视为高风险的特定设备和应用程序活动，用户甚至可以根据用户位置阻止特定操作，使得信息安全对于策略的遵从得到有效保障。