我们通常都关注攻击者通过互联网对公司的侵犯，不过对公司数据的攻击并非都来自网络。公司必须要牢记：维持一个强健的网络并不能保证对物理设备的损害或数据窃取拥有免疫力，也不能完全保证包含机密信息的网络资源的安全。

　　攻击者可能来自公司外部，也有可能来自内部—那些贪婪的雇员或承包人。在攻击者能够从物理上访问一个系统时，他们会造成大量的破坏。

　　这些攻击者通常能够导致系统瘫痪，通过运用一个可移动的启动盘来访问系统，攻击者能够损害有口令保护的计算机。攻击者通过增加或重新部署连接，能够直接访问网络。

　　现在的PC部件越来越轻巧，物理安全变得越来越重要。下面让我们看看如何保护公司及其数据的另类措施。

　　我们不但应该在公司内部实施物理访问控制程序，还应该强制执行有关措施。在最少的程度上，这些措施应能够处理个人访问以及信息和设备访问。

　　1.请遵循下面这些限制个人访问的指南：

　　·实施徽章标记制度，使其可以包含雇员的照片，并对其访问的特定区域用不同色彩标记或分类。

　　·制定一项规则，对没有可视化ID徽章的任何人都要进行询问。

　　·对来宾的整个访问过程都实施护卫、监督。

　　·不要允许任何人（包括厂商、销售人员等）将其个人的笔记本电脑连接到公司的网络上。

　　·如果没有恰当的授权，不要允许任何人向计算机中增加硬件或软件。

　　·当心那些“跟进者。这些人等着拥有访问权的某人进入一个受控区域（如进入一个加锁的门），然后跟着授权人员进门。“跟进者在无需使用自己的钥匙、密码卡等就可以进入。

　　2.遵循以下这些措施可以保护数据和设备安全：

　　·将监视器和打印机放置在未授权人员不能轻易看到的区域。

　　·在敏感信息不再需要时将有关的资料和媒体毁掉。

　　·在无人看管的情况下，不要将文档放置在传真机或打印机上。

　　·在工作日结束时，要求所有的用户注销或关闭其工作站

　　·在夜间，对移动设备上锁（举例来说，笔记本电脑、PDA设备、介质、存储卡）并放置在一个安全的地方。

　　·在没有确信某人拥有合适的权限与合法的理由时，不允许将计算机从网络移开或将存储媒体从设备上移开。

　　·提供锁、绳等，给计算机机箱上锁。

　　结束语

　　未授权人员对公司数据的物理访问有可能是对公司安全性的破坏。一旦某人获得了对数据的物理访问权，不管是窃取笔记本电脑还是偷窃数据或介质，你的公司在面临下一步的攻击时就显得无能为力了，更别说对公众形象的损害了。你可以根据企业的实际情况，通过这些措施来防止数据或设备丢失。

　　目前，市场上的入侵检测产品大大小小有上百家，如何选择适合自己的产品，是一件摆在广大安全管理员和企业技术决策者面前很头痛的事。下面我们就根据产品的综合性能，谈谈采购过程中的基本原则。

　　1.产品的攻击检测数量为多少?是否支持升级?

　　IDS的主要指标是它能发现的入侵方式的数量，几乎每个星期都有新的漏洞和攻击方法出现，产品的升级方式是否灵活直接影响到它功能的发挥。一个好的实时检测产品应该能经常性升级，并可通过互联网或下载升级包在本地升级。

　　2.对于网络入侵检测系统，最大可处理流量(PPS)是多少?

　　首先，要分析网络入侵检测系统所布署的网络环境，如果在512K或2M专线上布署网络入侵检测系统，则不需要高速的入侵检测引擎，而在负荷较高的环境中，性能是一个非常重要的指标。

　　3.产品容易被攻击者躲避吗?

　　有些常用的躲开入侵检测的方法，如：分片、TTL欺骗、异常TCP分段、慢扫描、协同攻击等。产品在设计时是否考虑到这一点。

　　4.能否自定义异常事件?

　　IDS对特殊的监控需求只能通过用户自己定制监控策略实现。一个优秀的IDS产品，必须提供灵活的用户自定义策略能力，包括对服务、访问者、被访问者、端口、关键字以及事件的响应方式等策略。

　　5.产品系统结构是否合理?

　　一个成熟的产品，必须是集成了基于百兆网络、基于千兆网络、基于主机的三种技术和系统。

　　传统的IDS大多是两层结构，即"控制台→探测器"结构，一些先进的IDS产品开始采用三层架构进行部署，即"控制台→事件收集器+安全数据库→探测器"结构，对于大型网络来说，三层结构更加易于实现分布部署和集中管理，从而提高安全决策的集中性。如果没有远程管理能力，对于大型网络基本不具备可用性。

　　6.产品的误报和漏报率如何?

　　有些IDS系统经常发出许多假警，假警报常常掩盖了真攻击。这些产品在假警报重负下一再崩溃，而当真正攻击出现时，有些IDS产品不能捕获攻击，而另一些IDS产品的报告混杂在假警报中，很容易被错过。过分复杂的界面使关掉假警报非常困难，几乎所有IDS产品在默认设置状态下都会产生非常多的假警报，给用户带来许多麻烦。

　　7.系统本身是否安全?

　　IDS系统记录了企业最敏感的数据，必须有自我保护机制，防止成为黑客的攻击目标。

　　8.产品实时监控性能如何?

　　由IDS通信造成的对网络的负载不能影响正常的网络业务，必须对数据进行实时分析，否则无法在有攻击时保护网络，所以必须考虑网络入侵检测产品正常工作的最大带宽数。

　　9.系统是否易用?

　　统的易用性包括五个方面：

　　界面易用--全中文界面，方便易学，操作简便灵活。

　　帮助易用--在监控到异常事件时能够立刻查看报警事件的帮助信息，同时在联机帮助中能够按照多种方式查看产品帮助。

　　策略编辑易用--能否提供单独的策略编辑器?可否同时编辑多个策略?是否提供策略打印功能。

　　日志报告易用--是否提供灵活的报告定制能力。

　　报警事件优化技术--是否针对报警事件进行优化处理，将用户从海量日志中解放出来，先进的IDS能够将一定时间内的类似事件经过优化处理后合并进行报警，这样，用户面对的日志信息不仅更为清晰而且避免错过重要报警信息。

　　10.特征库升级与维护的费用怎样?

　　像反病毒软件一样，入侵检测的特征库需要不断更新才能检测出新出现的攻击方法。

　　11.产品是否通过了国家权威机构的评测?

　　主要的权威评测机构有：国家信息安全评测认证中心、公安部计算机信息系统安全产品质量监督检验中心等。另外，购买IDS产品需要考虑多种因素，上面只是基本的要点。由于用户的实际情况不同，用户可根据自己的安全需要综合考虑。