我们时刻都面临着网络安全问题，每天都要防止恶意邮件的入侵，还要担心系统遭受zero-day病毒的攻击。除了来自外部的攻击以外，还要考虑各种各样来自内部的威胁，比如把感染了病毒的笔记本电脑拿到防火墙内部来使用。

　　面对如此压力，我们应该采取什么样的举措才能让2007年成为安全的一年?我们要防止重蹈过去的覆辙，不能把时间浪费在处理病毒泛滥带来的可怕后果上，不能再使用大量的时间进行头疼的系统清理。现在让我来介绍一下我认为的应该采取的一些措施。

　　在这里我不会深入介绍近来在网络安全领域中的一些概念，比如“unified threat management”或者“network admission control”，这是因为我们的焦点是七种措施而不是向大家推荐七种工具。比如，我认为加密解密的应用是一项重要的举措，而不是把它当作一种工具来进行 介绍。我只是介绍这种措施，相信大家针对各自不同的情况可以找到适合自己的相应工具。事实上目前这样的工具，无论是商业工具还是开源工具都很多。

　　下面是我所列出的七项举措，按照重要的程度进行排列。

　　1) 制定实施企业安全政策

　　2) 开展安全意识培训

　　3) 经常开展信息安全自我评估

　　4) 进行有规律的公司自我评估

　　5) 在全公司范围能应用加密解密技术

　　6) 估计、保护、管理和跟踪所有公司资产

　　7) 考察和测试公司业务连续性和应急规划

　　上面列出的这些举措并不是全部，还有很多其他举措我没有列举出来。我只列举了上面七项措施是因为对它们的实施可以涵盖了对大部分的风险的解除，如果你一一实施了这七项措施，那么很快就能看见自己的系统在网络中安全性的提高。

　　下面对这七项举措进行详细地说明。

　　1) 制定实施企业安全政策

　　如果你的公司目前还没有任何安全政策，那么现在是时候制定一部了。目前有很多非常好的安全政策模式可以直接拿来使用，大多数这样的模式都是免费的，部分会收取很少的费用。这些模式中我最喜欢的是COBIT模式和ISO

　　27001/17799模式。前者是应用于电子商务领域的PCI模式，后者则是一个已经相当成熟的国际标准模式。这些模式都可以作为一个很好的 开端，只要当你开始使用这些模式，但是很快你就会发现自己需要对它们进行具体化，扩充或者修改。这是为了让公司中任何一个人都可以理解这些政策。一般而 言，公司中的大部分都不是信息安全方面的专家，因此需要制定一套通俗易懂的政策，这些政策要考虑到公司中每一个部门的具体情况，而且要让所有人都可以理解 和执行。例如，如果是对于IT公司来说，把标准模式具体化，需要你的CIO来协助制定一套网络安全政策。