在《七大最佳实践打造信息技术风险管理“X战警”（上）》中，我们介绍了第一个最佳实践：完整的安全基础。本文将继续介绍剩下六大最佳企业安全风险管理实践。

　　二、将最新的威胁研究集成到标准的安全研究和实践中

　　任何企业都不能单枪匹马地战斗。为理解并应对不断变化的威胁状况，从专门研究现代安全问题的可信任的厂商那里获得一些反馈信息是非常必要的。即使大型企业也需要寻求外部源来帮助其指导安全工作。

　　专业的第三方安全厂商往往拥有广泛的数据中心和资深的安全专家。其解决方案往往能够提供个性化的触发器和专家分析，使企业能够合理调用资源，更好地保护信息资产。

　　三、拥有强化的策略

　　电子邮件和互联网已经成为现代企业的主要通信工具，这就迫切要求企业监视进入和离开网络的所有消息的内容。否则，可能会导致机密信息泄露，或恶意消息破坏通信，从而损害品牌和声誉，丧失机密数据并降低雇员的工作效率。

　　应当培训雇员，使其为了自己和企业的信息安全而保持警惕。尤其不要随便打开通过电邮传送的链接，也不要随便打开附件，或在其机器要求运行什么软件时而轻易地回答“确定”或“准许”等。要让雇员知道，恶意代码能够隐藏在任何类型的文件中，不仅仅是可执行文件中。

　　四、随时准备应对自然的或非自然的系统故障

　　电子邮件已经成为关键企业进程不可分割的一部分。为企业的关键电子邮件系统提供最多的正常运行时间是中小企业所面临的挑战之一。

　　传统的高可用性方法，如集群和备份等，都要求大量的IT专业技术，其实施成本太高。此外，拥有高可用性方案的许多公司仍会经历电子邮件的瘫痪时间。

　　电邮故障的真正成本，不管是计划内的，还是计划外的，也不管是广泛的或是局部的，并不仅仅反映为收入的减少和工作效率的降低。故障可以破坏与客户、合伙人、供应商的关系。故障还会导致数据丢失、遭受惩罚，或者增加安全风险，这是由于在企业的电子邮件发生故障时，用户会求助于个人的邮件账户来管理企业的电子邮件。

　　如果你的企业无法访问电子邮件，计划内故障与意外故障的效果是相同的。不管你的系统、员工或基础设施发生了什么问题，你的企业都应当为计划内的和计划外的故障做好准备。

　　五、经常检查日志数据，对最新的攻击保持警惕

　　不管采用了哪些防御措施，单位都应当监视其日志，查找单位外部或内部的攻击证据。日志可以提供异常的行为和失败的访问企图，这对于阻止攻击或在发生攻击后进行清理工作都很有价值。

　　如果不经常监视日志数据，就有可能长时间无法发现攻击者。因而，攻击者就有可能访问最敏感的数据，并使其有机会来掩盖痕迹。

　　六、清理遭受损害的计算机

　　清理受感染的机器是一个巨大的挑战。这种机器已经成为僵尸网络的一部分，或者正在将数据发送到企业外部。最彻底的方法是重新安装所有的软件，或是系统地清除将机器变成僵尸的所有恶意软件。

　　检测遭受损害的系统的最常见方法是，在它活动时看其发出的垃圾信息。理想情况下，ISP会将发送垃圾信息的IP地址列入黑名单。黑名单技术会阻碍企业正确发送合法邮件的能力。

　　检测私有网络内恶意活动的一种更直接的方法是在每台电脑上阻止25号端口。25号端口常被用于直接将垃圾邮件发送到互联网上，绕过企业的专用邮件服务器。通过监视由25号端口发送垃圾邮件的企图，当有系统从事可疑活动时，企业就可以很快发现，进而可以重做受感染的机器。

　　即使遭受损害的机器不会导致合法的邮件被列入黑名单，企业也需要确认并清理这种系统。因为它们还会有下面的负作用：

　　1、受损的机器会消耗资源，清理它们会改善IT的利用率，为企业省钱。
　　2、受损的机器会在企业的网络中产生后门，清理它们有助于单位控制对网络的访问。
　　3、每台受损的机器都会为全球的僵尸网络和垃圾邮件问题推波助澜，每个企业都有责任为整个社会清理受损的机器而做出最大的努力。

　　七、构建一个内部风险管理项目

　　如果没有一个正规的多功能的风险管理方案，企业会发现自己总是处于挣扎和匆忙应对阶段。强健的风险管理项目未必需要全天候工作，但它必须得到高级管理部门的支持和重视。

　　就不同的风险对不同的部门进行教育，提升雇员的总体安全意识是构建全面的安全理念的最有效方法。有了整个企业的支持，实施恰当的工具和进程就成为每个人的责任，从而降低了整个企业的风险。

　　最后，风险管理的目标应当是简化IT环境。正规的风险管理项目应当强化整个单位中的方案、策略、活动，确保不存在“被遗忘的角落”。将整个企业置于一个独立的安全保护伞之下能够有效地创建一个合谐的环境，这种环境要比在许多企业中的那种“大杂烩”安全方案更易于保护。

　　结论

　　威胁形势继续演变，企业的敏感数据所面临的风险也日益增大。犯罪份子在改进其攻击方法，他们有很强的耐心和智慧。网络犯罪分子更倾向于先评估目标，监视目标系统，然后寻找最佳的潜入机会。一旦进入企业的网络，攻击者就会尽可能的收集有价值的数据，并设法掩盖其痕迹。

　　对于许多企业而言，防止攻击只是较量的一部分。另外一个重要内容是在攻击发生后，能够快速地检测它。正规的风险管理应当既能防御，又能检测。通过实施上述相对简单的进程和技术，就可以极大地减少单位的风险。当然，这些努力必须涉及到整个企业的全部人员，而不是仅仅是IT。