信息化觀察網

1、誰先誰后

如果問CIO這個問題，十個有八個都會說先防毒。在CIO&IT經理精英匯微信群中，大多數CIO也是選擇了首先做防毒。還給出了具體步驟：先防毒，然后規(guī)范上網行為，接著文檔加密。

標準步驟就是如此，但現實操作中并不一定能完美執(zhí)行。例如，一位老板就不肯批防毒的預算：都裝上360就行了嘛，還是免費的。

如果你讀到這里會心一笑，就說明這種情況絕不是個例。對于很多企業(yè)來說，現金流無比金貴，每一分錢都要花在刀尖尖上，先做防毒和行為規(guī)范，在老板看來就是“勞民傷財”，預算就別想啦。

此時，如果先上文件加密和介質管理，再做上網行為規(guī)范，就能達到立竿見影的效果，何樂而不為呢？

安全治理厚黑學第1條：

先做老板關心的；先做容易出成效的。

2、上網行為規(guī)范

上網行為規(guī)范是非常重要的環(huán)節(jié)，也是讓CIO頭痛不已的環(huán)節(jié)。近幾年大火的勒索病毒，很多都是由于不規(guī)范的上網行為引起的。

員工是人，人是非常復雜的個體，不會像程序一樣，你怎么設置他就怎么執(zhí)行。并不是做了培訓、列出上網規(guī)范條例他們就會照做的。

相反，有些人還會想盡一切辦法拿你的辦公電腦的admin權限，還經常關殺毒軟件，輕信各種郵件等。

一位制造企業(yè)的IT總監(jiān)就遭遇了一件啼笑皆非的事故。

公司以前有個HR 我們公司域名的郵箱用戶，但一直沒使用過。然后不知道怎么回事，密碼泄露了。

有一個人就拿這個HR郵箱用戶給我們公司所有人發(fā)了個郵件，說因為IT要核查郵箱，所以要公司所有人上報郵箱的用戶名跟密碼做為備案，再附上一個備案地址。。。點開地址就是一個外網的鏈接，要填郵箱用戶跟密碼。。。

因為是周五下班后7點多發(fā)出的郵件，我們IT沒來的及發(fā)現，也沒人覺得不對反饋給我們，直到當天晚上9點多我們IT的人才知道。。。然后馬上進行處理，最后統(tǒng)計下來，居然有40多個人老老實實的提交了信息。。。

所以CIO不要指望培訓和上網行為條例能起多大作用，該用上技術手段的就不要??；也不要指望他們的警惕心，再簡單的騙局，也要及時發(fā)現和通知。

安全治理厚黑學第2條：

把使用者當菜鳥；把員工當小白。

3、Windows還是Linux

有CIO提出，不要用殺毒軟件，服務器絕對不要用Windows。

這又回到了Windows還是Linux這個老生常談的話題。

如果單從安全角度考慮，Linux肯定是第一選擇。所以不少企業(yè)把系統(tǒng)都換成Linux。

一位除了ad，清一色換成Linux的IT總監(jiān)說：

實話實說，LDAP還是微軟的好，至少兼容性好，市場上主流第三方軟件默認支持AD，你要搞OpenLDAP多少都有點額外工作量。

Linux優(yōu)勢在安全和穩(wěn)定性方面，Windows的優(yōu)勢在易用性和支持方面。

如果在選型時，可以按自己需求隨便選擇哪個系統(tǒng)。如果是為了安全治理想要更換就要慎重考慮了，因為可能得了此失了彼，吃力不討好。

安全治理厚黑學第3條：

系統(tǒng)能不換就不換；多一事不如少一事。

話說回來，這三條都有適用范圍，請充分考慮現狀后酌情使用。另外，千萬不要在老板和同事面前講。