信息资产安全是防止信息资产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识、控制，即确保信息的完整性、可用性、保密性和可控性。信息资产包括文件、数据等。信息资产安全包括操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密、鉴别等。

人员安全

人员安全主要是指信息系统使用人员的安全意识、法律意识、安全技能等。人员的安全意识是与其所掌握的安全技能有关，而安全技能又与其所接受安全技能培训有关。因此，人员的安全意识是通过培训，以及安全技能的积累才能逐步提高，人员安全在特定环境下、特定时间内是一定的。

企业信息化(Enterprises informatization) ，企业信息化是指企业广泛利用现代信息技术，充分开发和利用企业内部或外部的，企业可能得到和利用的，并与企业生产经营活动有关的各种信息，以便及时把握机会，做出决策，增进运行效率，从而提高企业竞争力水平和经济效益的过程。

1、企业信息化，能提高企业经营管理信息的准确性和及时性，有助于企业决策的进一步科学化。

2、企业信息化，能促使企业业务办事程序和管理程序更加合理，从而有助于增强企业的快速反应能力。

3、企业信息化，能进一步促进企业资源的合理组合及利用，使其在现有资源条件下达到最佳利用效果，从而大大提高企业的生产经营效率和管理效率。

4、企业信息化能给企业提供一个的强大、快捷的信息交流平台，有助于我们紧紧跟踪一些先进经验和成果，从而有助企业的发展，提高员工的创新能力。

中国的企业信息化建设大致经历了下面四个阶段：

（一）准备阶段（1993年以前）

1982年10月4日，国务院成立了计算机与大规模集成电路领导小组。 1984年为了加强对电子和信息事业的集中统一领导，有效地推动这项工作，国务院决定将国务院计算机与大规模集成电路领导小组改为国务院电子振兴领导小组。 在“七五”期间，电子振兴领导小组重点抓了十二项应用系统工程：邮电通信系统、国家经济信息系统、银行业务管理系统、电网监控系统、京沪铁路运营系统、天气预报系统、科技情报信息系统、民航旅客服务计算机系统、航天实时测控与数据处理系统、公安信息系统、财税系统、军事指挥系统，并建立电子信息技术推广应用贴息贷款，支持应用电子信息技术改造传统产业。

1986年3月，经邓小平同志批准，投资100亿元启动了国家高技术研究发展计划，即“863”计划。 1988年5月，机电部成立并承担电子产业的任务。随后，国务院电子振兴领导小组办公室，更名为国务院电子信息系统推广应用办公室。

从1988年至1992年，国家经济委员会、机电部、国家科委和电子信息技术推广应用办公室，在推动传统产业技术改造、EDI技术、CAD/CAM以及MIS等领域，做了大量工作，不断推动电子信息技术应用向纵深发展。

（二）启动阶段（1993年3月-1997年4月）

我国信息化正式起步于1993年，党和国家领导人江泽民、李鹏、朱镕基、李岚清等提出信息化建设的任务，启动了金卡、金桥、金关等重大信息化工程，拉开了国民经济信息化的序幕。

1993年12月，成立了以国务院副总理邹家华为主席的国家经济信息化联席会议，加强统一领导，确立了推进信息化工程实施、以信息化带动产业发展的指导思想。

1994年5月成立了国家信息化专家组，作为国家信息化建设的决策参谋机构。

1996年以后，中央和地方都确立了信息化在国民经济和社会发展中的重要地位，信息化在各领域、各地区形成了强劲的发展潮流。

1996年1月，国务院成立了以国务院副总理邹家华任组长，由20多个部委领导组成的国务院信息化工作领导小组，统一领导和组织协调全国的信息化工作。

（三）展开阶段（1997年4月-2000年10月）

经过1993-1997年的建设与发展，符合我国国情的信息化发展思路已经初步形成。

经国务院批准，1997年4月18-21日，国务院信息化工作领导小组在深圳召开了首次全国信息化工作会议，会议全面部署了信息化工作，通过了规划，成为我国信息化建设发展的里程碑。

1998年，原国务院信息化工作领导小组办公室整建制并入新组建的信息产业部，成立了信息产业部信息化推进司（国家信息化办公室），负责推进国民经济和社会服务信息化的工作。

1999年2月，国家信息化专家组变更为国家信息化办公室专家委员会。

1999年12月，根据国务院领导关于恢复国务院信息化领导小组的批示，成立了由国务院副总理吴邦国担任组长的国家信息化工作领导小组，以继续推进国家信息化工作。

信息产业部努力推动电信体制改革，进行了政企分开，邮电分营、电信重组和结构调整、国营企业改革。初步形成了中国电信、中国移动、中国联通、中国网通、中国铁通等多家电信运营公司开展市场竞争的格局。与此同时，会同有关部门，积极推动政府上网工程、企业上网工程和电子商务，在国民经济信息化方面，做了大量工作。

（四）发展阶段（2000年10月至今）

《中共中央关于制定国民经济和社会发展第十个五年计划的建议》指出：信息化是当今世界经济和社会发展的大趋势，也是我国产业优化升级和实现工业化、现代化的关键环节。要把推进国民经济和社会信息化放在优先位置。大力推进国民经济和社会信息化，是覆盖现代化建设全局的战略举措。以信息化带动工业化，发挥后发优势，实现社会生产力的跨越式发展。

中国电子信息产业发展研究院曾经做过预测，针对中国中小企业调查他们对信息安全需求，企业对于信息安全的认知也跨出了一大步，有相当一部分的企业担心信息安全问题，而网络问题则是他们关心的第一位，调查还显示只有五分之一的企业没有信息泄密的事实，却也足以让人心惊胆战。企业的正常运作离不开信息资源的支持，包括企业的经营计划、知识产权、生产工艺、流程配方、方案图纸、客户资源以及各种重要数据等，这些都是企业全体员工努力拼搏、刻苦钻研、殚精竭虑、长期积累下来的智慧结晶，是企业发展的方向和动力，关乎着企业的生存与发展，企业的重要信息一旦被泄露会使企业顿失市场竞争优势，甚至会遭受灭顶之灾。

因此，企业要保持健康可持续性发展，信息安全是基本的保证之一。随着网络环境的日益恶化以及企业自身的发展伴随着越来越多的商业泄密事件的发生，信息安全问题逐渐被提上议事日程，企业管理者也逐渐走出以往的误区，信息安全建设成了企业首要任务，一些中小企业也纷纷加入到这个日益庞大的队伍中来。所以，在不久的将来，信息安全将更多的被企业所关注，会有更多的企业加入到安全行列中来的，这也是企业生存和发展的关键步骤之一。

随着计算机技术的不断发展，计算机被广泛地应用于各个领域，如数值计算、数据处理、辅助设计与制造、人工智能、家电产品等。在企业（包括政府机关、事业单位、生产企业、商品流通企业、金融财税等）中，利用计算机进行管理的目的是为了提高工作效率，使企业管理水平有一个明显的提高。例如，ERP（企业资源计划）系统、O A ( 办公自动化) 系统以及各类管理信息系统、各种信息制作和传播工具等，都要涉及信息的存储、传输与使用等信息处理问题，而尤为突出的是信息处理过程中的信息安全问题。对于存储在计算机中的重要文件、数据库中的重要数据等信息都存在着安全隐患，一旦丢失、损坏或泄露、不能及时送达，都会给企业造成很大的损失。如果是商业机密信息，给企业造成的损失会更大，甚至会影响到企业的生存和发展。

在没有使用计算机进行信息管理之前，信息通常都是以纸介质和某些设备（如录音、录像设备等）进行保存和传播，并对信息的安全管理有着严格的行政管理、法律法规约束，一旦出现安全问题，可以通过行政、执法手段进行追踪，查出问题的根源，并追究其相应的责任。而用计算机管理的信息安全问题更为复杂，象数据瞬间丢失、瞬间被盗、瞬间被破坏等问题，大大增加了管理难度。如果管理不善，如重要文件、图纸、信用卡账户等机密文件，出现安全问题时很难查清。因此，企业的信息安全问题、以及对信息的安全管理都是至关重要的。要保证企业信息安全，就必须找出存在信息安全问题的根源，并具有良好的安全管理策略。

天灾，也叫“不可抗力”的灾难，通常指水火无情的自然灾害，而在科技越来越发达的今天，企业可能要面临另一种“天灾”，那就是——信息安全威胁。

二十世纪九十年代末出现的Internet标志着人类社会已经进入了信息化时代，在这个时代，越来越多的人已经开始离不开Internet。由于internet的共享性和对外开外性，如何保证信息安全就成为发展internet的重要课题。我国整体的企业信息安全防护能力还很不够，许多应用系统还处于不设防的状态或系统安全维护得很不够。

随着企业上网的迅猛发展，企业信息安全问题变得尤为重要，因为企业信息安全问题直接关系到企业的生存与发展，确保企业信息安全、以便企业不受损失应该成为各级企业用户的共识。现在许多企业没有意识到互联网的易受攻击性，盲目相信国外的加密软件，对于系统的访问权限和密钥缺乏有力度的管理。这样的系统一旦受到攻击将十分脆弱，其中的机密数据得不到应有的保护。据调查，目前国内90%的网站存在安全问题，其主要原因是企业管理者缺少或没有安全意识。某些企业网络管理员甚至认为其公司规模较小，不会成为黑客的攻击目标，如此态度，企业信息安全更是无从谈起。

当企业的业务、管理越来越多地依赖网络的时候，决策者们必须意识到企业的命运已经跟信息安全紧紧联系在一起。但令人遗憾的是，虽然信息安全将企业推上死路的例子数不胜数，因为安全问题造成的损失纪录也不断刷新，可是信息安全还没有被企业决策者们真正重视起来。

安装一个杀毒软件，设立一个IT部门，购买一个防火墙，就认为万事大吉了，企业信息安全从此彻底解决，其实这样的想法是完全错误的，甚至会给企业带来致命性的损失。

2015年12月8日最新发布的全球信息安全状况调查显示，在过去12个月中，中国大陆和香港企业检测到的信息安全事件平均数量高达1245次，与前次调查记录的241次事件相比，攀升517%。

本期调查发现，在过去一年中，全球各行业检测到的信息安全事件平均数量为6,853次。与去年同期相比，由这些网络犯罪事件所导致的全球平均财务损失下降5%至255万美金，而中国大陆和香港这一数字则提高10%，达263万美金。为了应对信息安全事件的不断升级，企业也在多方尝试以求改善。相较前一期调查，中国大陆和香港受访者在信息安全方面的预算增加了16%，平均值达790万美金，高于全球510万美金的平均值。

据了解，第18次全球信息安全状况调查于2015年5月至6月进行，收到全球127个国家的10,000余名企业高管和专业人员的反馈（其中超过330位受访者来自中国大陆和香港地区）。这些受访者包括企业的首席执行官（CEO）、首席财务官（CFO）、首席信息官（CIO）、首席信息安全官（CISO）、首席战略官（CSO）、信息技术与安全事务副总裁及总监等。

病毒木马、黑客攻击、局域网内部ARP、溢出攻击、内部人员故意泄密、内部人员无意泄密、数据信息存储设备故障、自然灾害等等。

所谓传统信息安全产品，就是指那些功能单一型的信息安全产品，他大致包括：

用户身份认证，如静态密码、动态密码（短信密码、动态口令牌、手机令牌）、USB KEY、IC卡、数字证书、指纹虹膜等。

防火墙：即访问控制系统，它在内部网络与不安全的外部网络之间设置障碍，阻止外界对内部资源的非法访问，防止内部对外部的不安全访问。但它其本身可能存在安全问题，也可能会是一个潜在的瓶颈。

安全路由器：由于WAN连接需要专用的路由器设备，因而可通过路由器来控制网络传输。通常采用访问控制列表技术来控制网络信息流。

安全服务器：安全服务器主要针对一个局域网内部信息存储、传输的安全保密问题，其实现功能包括对局域网资源的管理和控制，对局域网内用户的管理，以及局域网中所有安全相关事件的审计和跟踪。

安全管理中心：由于网上的安全产品较多，且分布在不同的位置，这就需要建立一套集中管理的机制和设备，即安全管理中心。它用来给各网络安全设备分发密钥，监控网络安全设备的运行状态，负责收集网络安全设备的审计信息等。

入侵检测系统（IDS）：入侵检测，作为传统保护机制（比如访问控制，身份识别等）的有效补充，形成了信息系统中不可或缺的反馈链。

入侵防御系统（IPS）：入侵防御，入侵防御系统作为IDS很好的补充，是信息安全发展过程中占据重要位置的计算机网络硬件。

安全数据库：由于大量的信息存储在计算机数据库内，有些信息是有价值的，也是敏感的，需要保护。安全数据库可以确保数据库的完整性、可靠性、有效性、机密性、可审计性及存取控制与用户身份识别等。

数据容灾设备：数据容灾作为一个重要的企业信息安全管理体系中的一个重要补救措施，在整个企业信息安全管理体系中有着举足轻重的作用。数据容灾设备包括数据恢复设备、数据复制设备、数据销毁设备等。应用较多的数据容灾设备包括效率源HD Doctor、Data Compass数据指南针、Data Copy King硬盘复制机、开盘机等。

其实任何一种企业信息化安全产品产品，不论是软件还是硬件都不可能做到100%的防护企业信息化安全，何况新的信息安全隐患也在不断的出现，这在一定程度上也导致了企业信息安全产品的局限性。欧美等信息化发展较早的国家在2004年前就发现了这个问题，因此在2000年左右就开始着手研发侧重于信息安全事故应急补救，也就是专业数据恢复和安全数据擦除销毁的信息安全产品，为了与以前的防火墙、杀毒软件等信息安全产品相区别，国际企业信息安全行业称这种信息安全产品为“现代企业信息安全产品”。

据了解，我国大多数的数据信息安全产品都局限于杀毒软件、防火墙、备份工具等等这些欧美国家早在2004年前就已经淘汰了的传统数据信息安全产品。这些过时产品功能大多只能抵御外部攻击、简单数据信息二次存储等等，对于内部泄密的防范、信息系统的日常维护、以及数据信息安全事故发生后的补救等都没有很好的解决办法。这些落后的数据信息安全产品早已经远远不能适应信息化高速发展时代数据信息安全保障的需求。因此研发出具有全球顶尖数据安全保障技术的数据信息安全保障系统，对于数据信息安全来说就显得尤为重要。

随着中国企业信息化发展的不断完善，国产企业信息安全产品的研发也进入了现代企业信息安全产品阶段，其中代表作就是国家高新技术企业效率源科技的数据信息安全保障系统SD-DSM，他将数据信息安全防御、数据信息安全日常监管、数据信息安全事故应急补救融为一体，可以彻底排查数据信息安全隐患，为单位的数据信息系统提供全程、全方位的数据信息安全保障。

据效率源技术总工张彬介绍，近几年，国家发改委、科技部、国家保密局都大力支持全领域数据信息安全保障系统的研制，2014年更是将信息产业作为了“十二五”信息化发展的基础产业。SD-DSM是此次国家大力扶植的高新技术产品之一，也是国内首款功能最完善、技术最先进的全领域数据信息安全保障系统，他融合了效率源数十项国际尖端数据安全保障专利技术，将高速离线数据备份、数据恢复和安全数据擦除销毁等国际主流数据安全技术汇聚一身，是我国数据信息安全保障从此进入全领域防护结合时代的代表作。他可以为企事业单位的信息系统提供三位一体的数据信息安全保护，从而保障企事业单位信息运维管理高效、有序的进行。该系统核心技术已通过国家保密局检测中心和军队信息评测中心的认证，获得了由国家科技部发放的专项项目资金扶植，成功配备于中国工程物理研究院、国家保密局、总参部57研究所、中粮集团、四川长虹集团等百余家国家重点单位和部门，获得了广泛的好评。

多数防火墙损害是由于其错误配置造成的，而不是由防火墙的缺陷造成的。这至少说明一点，保障安全设备的正确配置很有意义。在防御自己的网络时，实施恰当的安全工具和策略是很重要的。因而，如果企业的设备过期了，遗漏了关键的补丁或没有配置，企业网络遭受暴露的可能性就很大了。有人也许会说，我拥有强健的防火墙规则，我的网络固若金汤。但是，如果路由器运行在一个有严重漏洞的老操作系统上，其中的安全漏洞随时可被利用，这不是相当于搂着一颗随时有可能发生爆炸的定时炸弹吗?

企业的低效安全是企业文化问题的一个症状。IT和IT运营团队都要为管理、支持、保障越来越复杂的网络环境负责，并呼吁更多的资源参与到安全工作中。随着工作日益增多，每一个部门都非常重视自己的业务应用，复杂的连通性需求也牵涉到多个方面，如应用程序的所有者和防火墙的管理员等。企业应当考虑打破无形的壁垒，让有关各方都能够相互有效交流，在不影响工作效率的前提下改善安全性。

如果你解决了上述两个问题，就需要自动化来强化安全和运营了。许多企业认为，在管理网络安全设备时，耗时过多、手工操作、易于出错等是最大的困难。如果让人工去发现由于某个变化而影响的防火墙规则，这是相当耗时且易于出错的。企业不妨借助自动化技术来保障准确性，减少风险，极大地减少处理变化时所花费的时间。这时，IT就可以更快捷地应对变化的业务需求。

企业IT环境中往往有多种设备和策略都与关键业务应用紧密联系，因而在保障网络、应用程序、信息安全时，往往存在诸多困难。而且通常一种设备、策略或应用对另一种设备或策略、应用的影响并不明显。例如，如果安全策略发生了变化，那么它对维持企业运行的关键业务应用会产生怎样的影响?反过来也是一样，如果应用程序发生了变化，对安全策略和网络会有影响吗?这不仅是一个安全问题(应当移除与退役应用程序相关的不再使用的规则)，而且还是一个保障业务高效运行的问题。

上述标题是什么意思？在规划防御时，根据一个干净的没有遭受损害的网络来制定计划也为了一种标准。但是，如今恶意软件深藏不露，针对性攻击日益强烈，而且网络越来越开放，上述标准就成为了一种错误的假设。反思网络安全意味着IT要从一种不同的假设开始，要假定自己已经遭受了黑客攻击。IT应当重新规划企业防御，只有这样才能使安全状况焕然一新。

在关于企业信息安全的报告中，专家们都期望着信息安全能够随着近几年来几项截然不同的技术的不断发展，而得到进步。这几项技术所包含的元素毫不相干，例如，Web应用防火墙，应用程序安全测试解决方案，数据库活动监测（DAM），数据标记以及身份管理等等。

对于如何整合这些完全不同的技术以及来自于他们的数据就成了一个关键性的需求。根据一位ESI的一位分析师的观点，当前这些互不相干的数据安全技术，实际上限制了安全分析系统来获得监控日志并取得报告，缺乏必要的数据管理，分析以及规划的能力。而当前确有很多企业采用这些独立的安全技术，由于很多独立的产品之间并不能很好的协作，这实际上是对追求完整的企业信息安全体系是一种阻碍。

而且从另一方面来讲，获得安全信息并不意味着只是收集安全日志，你还需要了解到你的敏感数据在哪，数据的内容是什么。在2014年的四月，得克萨斯州审计办公室曾经发生一起数据泄露事件，大约350万人的姓名、社会安全号码和邮寄地址，另外还有一些人的出生日期和驾驶执照号码在网上被公开泄露。正是由于得克萨斯州审计办公室的一台没有加密的谁都可以访问的服务器，得克萨斯州三个政府机构的数据库所收集的敏感信息被泄密了将近整整一年，这三个政府机构是得克萨斯州教师退休中心、得克萨斯州劳动力委员会和得克萨斯州雇员退休系统。据称负责把数据发布到网上的几个员工违反了部门的工作程序，这起泄密事件披露后已被开除。

得克萨斯州因这起泄密事件而面临两起集体诉讼，其中一起要求对该州判以向每个受影响的人赔偿1000美元的赔偿处罚，考虑到这起事件影响到数百万人，这笔费用无疑如同天文数字。

因此，一个真正全面的安全体系，还要考虑到执行程序的员工的角色以及职责。例如，如果某个雇员可以接触到实际的客户数据，那么他会不会利用工作之便取得这些数据，这是一个不得不考虑的问题。而采用一套合理的规则就成了防范此类时间发生的关键，例如，对那些可以接触到客户数据的员工强制执行“最低权限”可以有效的防止发生员工数据泄露事件，因为无论是谁，都可能因为贪婪或者其他原因获得企业的数据。

可以肯定的是，这些数据所能驱动的商业价值是肯定要远远超出部署安全体系所花费的成本的。厂商通过分析数据来做出更好的商业决策就是一个很明显的证据。就像商业情报提供商可以通过软件来让一家保险公司利用客户数据来取得更好的决策一样，数据安全提供商也可以通过帮助企业保护他们的关键性数据来使企业充分利用这些数据做出最有利的决策，从而促进整个企业的发展。

IT专家认为分布式拒绝服务攻击就是：大量数据包涌入受害者的网络，让有效请求无法通过。但这只是最基本的DDoS攻击形式，防御方面的改进已经迫使攻击者改变了他们的攻击方式。DDoS攻击使用的数据包越来越多，攻击流量最多达到100Gbps。

攻击者还开始针对基础设施的其他部分，其中企业域名服务的服务器的攻击者最喜欢的目标。因为当攻击者成功攻击DNS服务器后，客户将无法访问企业的服务。

大规模DDoS攻击通常会采用“低且慢”的攻击，这种攻击使用特制的请求来让web应用程序或设备来处理特定的服务，以快速消耗处理和内存资源。这种应用层攻击占所有攻击的四分之一。

此外，攻击者还会寻找目标网站的网址，然后呼叫该网站的后端数据库，对这些网页的频繁呼叫将很快消耗掉网站的资源。

在速度慢的攻击中，路由器将崩溃，因此，企业无法使用设备来阻止不好的流量。这些攻击还可以通过云DDoS防护服务。企业应该采用混合的方法，使用web应用程序防火墙、网络安全设备和内容分发网络来建立一个多层次的防御，以尽可能早地筛选出不需要的流量。

每年涉及数百万美元的银行账户欺诈网络攻击都是利用浏览器漏洞，更常见的是，利用处理Oracle的Java和Adobe的Flash及Reader的浏览器插件。漏洞利用工具包汇聚了十几个针对各种易受攻击组件的漏洞利用，如果企业没有及时更新，攻击者将通过这种工具包迅速侵入企业的系统。例如，最新版本的Blackhole漏洞利用工具包包含7个针对Java浏览器插件的漏洞利用，5个针对Adobe PDF Reader插件，2个针对Flash。

企业应该特别注意Oracle的Java插件，因为Java被广泛部署，但却鲜少修复。 企业应该利用补丁修复管理产品来阻止这种漏洞利用攻击。

知名的合法网站开始成为攻击者的目标，因为攻击者可以利用用户对这些网站的信任。企业不可能阻止员工访问这些知名网站，并且企业的技术防御总是不够。

还有另一种更阴险的攻击--恶意广告攻击，这种攻击将恶意内容插入广告网络中，恶意广告可能只是偶尔出现在广告跳转中，这使这种攻击很难察觉。

同样的，企业应该采用多层次的防御方法，例如，安全代理服务器结合员工计算机上的反恶意软件保护来阻止已知威胁的执行。

BYOD趋势导致企业内消费者设备激增，但移动应用程序安全性很差，这使企业数据处于危险之中。

60%的移动应用程序从设备获取独特的硬件信息并通过网络接口传出去，更糟糕的是，10%的应用程序没有安全地传输用户的登录凭证。

此外，支持很多移动应用的Web服务也很不安全。由于用户不喜欢输入密码来使用移动设备上的服务，移动应用经常使用没有过期的会话令牌。而攻击者可以在热点嗅探流量并获取这些令牌，从而访问用户的账户。

企业很难限制员工使用的应用程序，但企业可以限制员工放到其设备的数据以及限制进入企业的设备。

对于SQL注入攻击，最简单的办法就是检查所有用户提供的输入，以确保其有效性。

企业在修复SQL漏洞时，通常专注于他们的主要网站，而忽视了其他连接的网站，例如远程协作系统等。攻击者可以利用这些网站来感染员工的系统，然后侵入内部网络。

为了减少SQL注入问题的风险，企业应该选择自己的软件开发框架，只要开发人员坚持按照该框架来编程，并保持更新，他们将创造出安全的代码。

企业不能盲目地信任证书，攻击者可能使用偷来的证书创建假的网站和服务，或者使用这些证书来签署恶意代码，使这些代码看起来合法。

此外，糟糕的证书管理也会让企业付出巨大的代价。企业应该跟踪证书使用情况，并及时撤销问题证书。

跨站脚本利用了浏览器对网站的信任，代码安全公司Veracode发现，超过70%的应用程序包含跨站脚本漏洞，这是影响商业开源和内部开发软件的首要漏洞问题。

企业可以利用自动代码检查工具来检测跨站脚本问题，企业还应该修改其开发流程，在将程序投入生产环境之前，检查程序的漏洞问题。

在物联网中，路由器、打印机、门锁等一切事物都通过互联网连接，在很多情况下，这些设备使用的是较旧版本的软件，而这通常很难更新。 攻击者很容易利用这些设备来侵入企业内部网络。

企业应该及时发现和禁用其环境中任何UPnP端点，并通过有效的工具来发现易受攻击的设备。

并非所有攻击的目的都是攻击企业的防御系统。自动web机器人可以收集你网页中的信息，从而让你的竞争对手更了解你的情况，但这并不会破坏你的网络。

企业可以利用web应用程序防火墙服务来判断哪些流量连接到良好的搜索索引机器人，而哪些连接到竞争对手的市场情报机器人或者假的谷歌机器人。这些服务可以防止企业信息流到竞争对手。

不同企业可能会遇到不同的威胁，有网上业务的企业可能会有SQL注入和HTML5问题，有很多远程办公人员的企业可能会有移动问题。企业不应该试图将每一种威胁降到最低，而应该专注于最常被利用的漏洞，并解决漏洞问题。同时，培养开发人员采用安全做法，并让开发人员互相检查代码以减少漏洞。

进程集中化，信息本土化

瘦客户端很早就被零信托计划策略采用，它集中了很多技术。像流媒体服务器、虚拟主机桌面技术和虚拟工作间技术。为了加强它的安全性，须将敏感数据集中在安全性能更好的设备里，远程设备只有通过瘦客户机的终端应用程序才能进行数据访问。由于这里需要与网络对接，所以瘦客户端不支持脱机使用。

出于设备安全考虑，使用备份数据

瘦形设备模式通过限制允许访问数据的设备类型来控制访问途径。智能手机等设备只能储存一定量的敏感信息。它们所储存的信息是复制而来的，原始数据则储存在数据中心。由于它们的体积、储存容量和处理速度的限制，应用程序被局限在电子邮件、小规模浏览网页和简单的网页程序中，根本谈不上通常的数据处理。而在薄形设备模式中，IT安全团队仍能控制设备的安全，即使他们并不具备设备的拥有权。

在一个安全的环境中处理本地信息

瘦客户机模式中用户设备不储存敏感信息，但进程保护模式与此不同，它允许数据运行在非IT所有的设备中。一个独立进程环境中的敏感信息，即从用户的本地操作系统环境中分离出来——基本上是一个“气泡”——其中的安全和备份性能是由IT控制。进程保护模式有很多优势：本地执行、脱机操作、中央管理和一个高精度的安全控制，包括远程擦除功能。

文档自我保护不受位置限制

鉴于以前的模式都设法通过控制运行环境来处理信息，而数据保护模式保护的是数据本身。如企业版权管理（ERM）这样的技术可直接访问文件规则。无论文件放置在何处，这些依靠密码方式强制执行的规则都是适用的，这是一个重要的优势。所有零信托数据安全战略里的模式保护数据都是最精细、最有效的，因为它的重点是信息，而不是信息的载体。

这种模式缺点之一是，ERM的每个终端都需要客户端代理。

明确重要的信息移除的时间

零信托数据安全设计的第五种模式使用的是补充数据检测控制技术，用来检测、记录和选择性封杀物理或逻辑企业边界的敏感数据。数据泄漏防护（DLP）技术和较小程度的安全信息和事件管理（SIEM）工具，是这一模式的重要组成部分。