2009年，对于信息安全专业人员来说，是特别具有挑战性的一年。在这一年，整个行业预算紧张，而监管要求有所增加，且诈骗犯罪或窃取敏感数据的新方法不断涌现。

　　为了能在这种环境中取得成功，企业的身份和访问管理（IAM）专员必须不断地重新评估高优先级资源的验证过程，寻求并鉴定更严格的需求或者改进技术需求出现的时机。但是，由于当前经济状况不佳，只有最具战略性和成本效益的IAM投资才能摆到决策者面前。

　　在本文中，我们将讨论在不超出预算的情况下，如何为高风险数据、系统或交易提供更好的安全保障。

　　这个过程，从那些如果被未授权的个人访问而造成无法弥补的损失的功能或者数据的认证开始。在金融服务业，重要领域应该由资金转移系统或包含信用卡信息的资料库组成。在大宗消费品行业或制药行业，最关键的系统包含市场战略或研究成果的系统。在这些行业，使这些关键领域成为安全焦点的重要因素是无形的：金融服务类公司的声誉，大宗消费品行业或者制药行业率先占领市场获得更多的市场份额。

　　由于考虑到监管要求、竞争对手的实力和犯罪方法的变化，确定哪些系统或者哪些类型的信息是最关键的，不同公司之间是不同的。安全专业人士需要知道高级管理人员认为哪些系统和信息对公司财务来说是最关键的，并需要定期重新评估风险和资产所面临的威胁。

　　导致信息保护问题的首要原因是人为误差。每个接触到公司信息的人都可以直接或者间接地引发这个问题。强大的商业实践，可以以一种具有成本效益的方式来减少绝大多数人为误差引发的风险。例如，其中的方法之一就是将特权访问划分成若干专门的管理员帐户，以尽量减少在生产环境中由有特权访问权限的数据库管理员和其他人不经意造成的改变。大多数用户的一些日常活动，如阅读电子邮件或查看生产信息或功能，都应该用他们常规的账号来完成。当他们需要特权访问时，才应该用他们的管理员帐户登录。就像高速路上的减速装置---要求人们切换帐户会让他们放慢脚步，并且使他们进一步意识到自己的位置和正进行什么操作。

　　如果您确定哪些具体的区域需要额外的认证技术，来表明这里存在巨大的风险，可以考虑使用已有安全工具包里面的工具，或创造现场解决方案来解决这些具体需要。

　　多重验证通常用于控制从互联网进入内部网络，这些工具同样可用于创建更多的保护壁垒，来围绕需要从内部或外部访问的特定的系统或数据。许多公司在他们内部网络的最高风险系统周围建立了防火墙，要求用户使用增强的认证工具，如令牌或智能卡，来登录到这些系统，而不仅仅用他们通常的用户名和密码。利用已有的远程访问认证工具，来确定内部网络上的高风险系统周围的额外保护区域，在实施和持续管理方面都具有成本效益。这仅仅是如何用新的方式利用现有的工具，来在您的网络中创建加强安全的目标区域的一个例子。

　　交易认证，通常是金融服务公司用于面向客户的系统，也可能是欺诈的目标，查看用户IP地址、硬件和其他因素，以确定它们是否符合其通常的使用特性。如果不符合，管理员可以实时标记或增加其它问题，来确定用户是否就是他/她声称的人。在宏观层面上可采取这种方法，对每个尝试登录系统的人进行分析，或者局限于尝试启动某些特定的交易的人群，比如资金转移的交易层。这些方法，既包括确定最具有成本效益战略的每一个方法的实施费用，也包括持续管理费用。往往，一种在实施费用上更贵的方法（因为要将交易层额外的身份验证需求嵌入），在维护费用上就低得多（由于受它影响的用户数量以及相应的日常管理人员数量减少）。

　　在预算紧张的时代，如果你的公司有需要额外保护的高风险特殊数据、系统或功能，探测所有可能的选择，包括扩展您现用的安全工具和程序。在现有安全投资上寻找新的方法，以相对较低的成本提供需要的保护。您会惊讶于发现利用现有的工具可以做的事情。如果没有，有针对性的认证产品是提高安全性的一个具有成本效益的方法。衡量任何潜在的安全产品的花费和它的性能，让它帮助定位得到您认同的具体风险。您会发现，您将能够以相对较小的代价改善您的安全状态。