_{小型機(jī)構(gòu)的安全}

管理少于100個(gè)系統(tǒng)的小型機(jī)構(gòu)面臨特殊的挑戰(zhàn)。小型機(jī)構(gòu)中的信息安全管理常常是一個(gè)多面手的責(zé)任，他是一個(gè)單獨(dú)的安全管理員，可能會(huì)有1-2個(gè)助手來(lái)協(xié)助他管理技術(shù)工作。在小型機(jī)構(gòu)中，系統(tǒng)或網(wǎng)絡(luò)管理員一專多能的情況是很常見的。這類機(jī)構(gòu)常常在正式策略、計(jì)劃或安全方法方面沒有什么問題，他們通常會(huì)把自己的網(wǎng)頁(yè)和電子商務(wù)操作外包給其他的公司。由此，安全管理員常常是處理桌面管理、病毒防護(hù)以及本地網(wǎng)絡(luò)安全問題。

小型機(jī)構(gòu)的資源通常有限，所以安全管理員常常會(huì)求助于免費(fèi)軟件和黑客軟件以降低評(píng)估和執(zhí)行安全的成本。如第9章中所提及的，無(wú)論是在難以獲得的技術(shù)投入方面，還是在降低安全總成本方面，這些工具都很有效。

在小型機(jī)構(gòu)中，安全培訓(xùn)與安全意識(shí)提升通常實(shí)施在一個(gè)一對(duì)一的基礎(chǔ)上， 安全管理員直接向需要幫助的用戶提出建議。任何策略都可能是基于特定問題提出的需求，例如，使用網(wǎng)絡(luò)、因特網(wǎng)以及辦公設(shè)施的使用要符合有關(guān)規(guī)定。當(dāng)提出正式計(jì)劃時(shí)，它通常被作為信息系統(tǒng)主管或CIO指導(dǎo)下的IT計(jì)劃的一部分。

對(duì)小型機(jī)構(gòu)而言，它們的規(guī)模讓它們避免了一些前面提到的威脅。黑客會(huì)去攻擊更大的以及更有聲譽(yù)的目標(biāo)，而很少會(huì)去光顧小公司。當(dāng)然，把機(jī)構(gòu)的未來(lái)押在不引人注目上，這是很不明智的。所以，俗話說(shuō)“在陰暗中沒有安全可言( There is no security in obscurity).”

在員工們都擁互熟悉的環(huán)境中，就不容易發(fā)生內(nèi)部威脅。通常，一個(gè)員工的知名度越高，他就越不會(huì)認(rèn)為自己能夠在損壞、濫用或錯(cuò)用公司的資產(chǎn)之后還能順利脫身。

對(duì)于小型機(jī)構(gòu)的安全管理員來(lái)說(shuō)，在某種程度上，缺乏可用資源意味著自己成為攻擊目標(biāo)的可能性也較小。圖54說(shuō)明了小型機(jī)構(gòu)面對(duì)的挑戰(zhàn)。一般來(lái)講， 它有1個(gè)全日制安全人員對(duì)信息安全負(fù)責(zé)，或者，更可能是一個(gè)全日制IT人員在附帶管理或指導(dǎo)信息安全工作。當(dāng)然他可能會(huì)有1-2個(gè)助手協(xié)助工作。