不少企业抱有一种侥幸心理，认为眼下没有发生安全事件，或者没有造成较大危害，就是安全。殊不知表明的风平浪静跟真正的安全根本是两个概念。

　　作为企业IT管理人员，尤其是做信息安全管理的人员，应该采取必要的防护措施以保证公司企业的信息安全。如下是企业安全防护的两大关键：

　　关键一、定期评估风险，全面警惕

　　企业应该定岗、定人、定期对内部风险进行全面评估，实时掌握潜在风险。根据IT Policy Compliance Group2011调查，企业进行风险评估的频率会对企业的风险系数产生直接影响，风险评估较为频繁的企业，如每周到每两个月之间一次，其业务风险就会较低;而每季度一次或者间隔更长的企业，面临的风险则相对较高。因此，笔者建议，企业应多进行风险评估，降低企业风险系数，时间间隔一个月内为佳。

　　另外评估的全面性非常重要，许多企业在评估风险时，会人为地设定某区域为绝对安全，或者安全与否无所谓，因此留下风险评估的盲区，为企业的整体安全埋下隐患。在安全问题上，往往是企业认为“无所谓”的地方，成为入侵者的入口。如果企业在一处疏忽，则很可能造成整体防护措施的失效，就正如二战中法国用以防御德意入侵的马其诺防线，被敌方出其不意，攻其不备，等到想要力挽狂澜时，只能望洋兴叹了。

　　关键二、加强防护措施，确保防御系统持续有效

　　在风险评估后，企业要根据评估结果，部署防护措施，不能因为某部分风险程度相对较低，便置之不理，让其暴露在空白防护状态。信息安全，就如买保险，无事故发生之时，我们看不到保险的作用，事故发生之后才明白预先防护的重要性。“养兵千日，用在一时”，防护措施的作用不在于时刻都在防御攻击，而在于当攻击来临之时，它也能从容应对。

　　企业进行信息安全防护切不可安于目前无事的现状，莫以概率低而忽视安全防护，因为安全隐患随时可能被引爆，谨小慎微，及时做好防御工作才能保证信息安全。好的IT管理人员，应该像棋手一样思考，能够全盘分析自己的风险，预计对手后几步的走法，并依此来策划自己的胜利路线，这样才能在信息安全的博弈中，立于不败之地。

(责任编辑：闫小琪)