正如沒有絕對富有或者絕對貧窮，網絡安全供應商指出:沒有絕對的網絡安全。然而，某些網絡安全專家們可能會說，唯一絕對安全的計算機必須切斷電源，用“混凝土”來填充，并投放到海底。既然如此，企業的IT經理們怎樣才能開發出一套行之有效的安全戰略，既能保持網絡安全性和系統性能，又不必耗費巨資呢?

前陣子，一個名為“MDropper”，專門利用PowerPoint的特洛伊木馬病毒，被發現“粉墨登場”，它已經感染了一些電腦，但是該病毒并沒有波及所有領域，即通報中網絡安全問題通常所涉及的領域。而幾個星期之前，Fortinet公司已公開發表有關Microsoft Office重大漏洞的新發現，其中該漏洞是由PNG過濾器導致的，微軟并對此作了相關修正。而Symantec發表了一個關于Window Vista的報告，該報告針對微軟發布的下一主要操作系統中重新編寫的“網絡協議棧(network protocol stack)”提出了批評意見，指出:“盡管微軟公司確實發現并修正了聯網代碼這些問題，但我們仍希望在今后仍能不斷找出漏洞。通常作為復雜軟件體系的聯網棧要歷經數年才能真正成熟”。

計算機和網絡威脅的演變史

從表面上看，病毒、特洛伊木馬、間諜程序以及其他形式的惡意代碼軟件將一直存在，網絡普遍受到的安全威脅無法在短時間內有所好轉。目前面臨的挑戰，并非僅僅讓企業主和高層管理人員堅信他們確實需要一個可行的網絡安全策略，而是需要找到一種解決方案，既能夠充分節約成本和利用有限的資源，又能有效地解決網絡安全問題。

就在幾年前，大部分公司所使用的安全策略，主要是由網關處設立的防火墻以及每個臺式電腦、手提電腦上安裝的防病毒程序組成。而今，網絡管理員還需兼任網絡安全指揮官，通過在防火墻上設置一系列有效規則來實施安全策略，以有效阻止大多數電腦黑客的入侵。然而從那時開始，計算機和網絡威脅的實質開始迅速轉變。當今的網絡威脅充分利用了常用服務(如電子郵件)，作為惡意軟件的傳輸載體。網絡蠕蟲和病毒目前還有其他一些特性:如Melissa 蠕蟲病毒本身帶有一個郵件引擎，該引擎可以復制郵件本身并將其發送給感染此類病毒的計算機通訊錄中的所有用戶。諸如之前提到的MDropper最新病毒目標更加明確，這表示黑客以及攻擊者開始集中于一系列目標，而不再毫無選擇的攻擊更多的機器。

隨著各種攻擊方式的涌現，單純的防火墻已無法滿足防御需求。目前的企業通常會在郵件服務器上部署防垃圾郵件(anti-spam)軟件，進行入侵探測，以及阻止非法用戶登錄網絡等。如今的防火墻已集成更多先進技術，如信息包深入檢測技術(deep packet inspection)，可通過查看網絡流的內容來糾出惡意軟件;現在臺式電腦和手提電腦上安裝的防間諜軟件以及私人防火墻主要是增大防病毒軟件的防護功能。安全軟件以及系統的多樣化和寬泛性帶來了一個新挑戰，那就是“易管理性”。

對多樣化的有效管理

為了具體說明提升“易管理性”所面臨的挑戰，我們可以假定某公司有10臺計算機，每臺機器都安裝了防病毒軟件以及單獨的防火清;如果目前只有一個網絡管理員，如果要為每臺機器都下載更新該月最新的病毒庫(盡管事實上不可能)，則需要花費很長一段時間。設想一下，如果該公司有50臺計算機，甚至100臺計算機，那工作量將不可思議!如此工作很快就會變得行不通。而如果將下載更新病毒庫的任務轉交給其用戶，任何經驗豐富的系統管理員都會告訴你，這更不現實，因為大多數非專業用戶會感覺很麻煩。

另一個問題便是技術方面的要求。目前，大多數網絡管理員對TCP/IP以及基本的防火墻或者信息包過濾技術至少有一個基本的了解。然而，我們必須保護企業免受來自郵件或者短消息客戶端、甚至內部人士訪問非法網站所導致的病毒和惡意軟件攻擊;管理員需要懂得如何配置信息過濾，如何通過關閉不使用的或是易受攻擊的端口來保護服務器，安裝并配置防垃圾郵件軟件以及防范垃圾郵件引擎等。大型企業或許有資源、人力以及內部技術來實現以上需求，但是中小型企業就可能無法實現，而黑客侵入只需找到安全策略中某些被忽略的局部漏洞就夠了。

如此說來，中小型企業就無計可施，只能坐以待斃、等待黑客攻擊么?相反的，大型企業只要有巨額預算和充足人力就能輕松應對黑客、高枕無憂么?

如果安全策略只是簡單的安裝更多的防火墻和防病毒軟件之類的問題，那么中小型企業勢必始終處于劣勢，而大型企業將無與匹敵。這顯然很荒謬，因為這是把安全看成了一門學問，而實際上它更是一門藝術。

無論網絡安全供應商如何推崇其產品，絕對安全可靠的網絡并不存在 — 只是網絡容易受到攻擊或者很難受到攻擊。如果黑客技術足夠過硬，時間足夠充足，再好的防火墻、再優秀的軟件都有可能發揮不到作用。另一方面，一個經過周密考慮和部署的安全系統，完全可以為大多數公司提供充足防護，一旦發現非法侵入，即可做出適當響應，從而可以長期有效地阻止黑客攻擊。