安全优先项目和投入的资金之间的差异越来越明显，根据Forrester Research公司最近的一项调查结果显示，68%的IT安全决策者认为数据安全是最重要的问题，重要地位超过合规和移动安全，他们今年的安全预算基本与去年持平，今年占总体IT预算的12.6%，而去年为11.7%。

“这些企业能够支付所有想要的安全项目吗?答案是否定的，”Forrester研究公司的高级分析师Andrew Jaquith表示，将开支花费在最新威胁病毒的日子早已经过去了，“现在经济状况不是很理想，但企业们仍然需要面对范围不断扩大的威胁，而t他们又不得不保持预算平衡或者消减安全预算。”

eIQnetworks 公司的副总裁兼高级策略师Mike Rothman表示，暗淡的经济状况并不意味着安全项目的支出将会完全暂停，只是预算就将不会增加，“现在最重要的问题就是，如何最大限度地利用已有的工具、人员、资金和已经部署到位的流程等。”

那么，企业IT安全如何在这种艰难时期维持生计呢?安全专家为我们提供了很多方法，包括外包IT安全功能给外部公司以及要求安全厂商提供折扣等。以下就是经济危机时期保持企业安全性的6个秘诀：

1. 取消需要部署的项目

IT安全必然会涉及选择数据保护工具，但不应该需要提供要求大量自定义的分配工具(provisioning tool)，Forrester研究公司的Jaquith表示，这样可能会耗费有限的资源。

“我们认为最好的办法就是，主要选择没有涉及大量自定义和类似全盘加密操作的分配工具，”Jaquith表示，“分担工作量，确保所有的业务部门都参与。”

2.与其他部门分担安全开支

全磁盘加密(FDE)等不仅不应该是安全人员推广的事情，也不应该属于安全成本，FDE应该与企业的笔记本一样作为IT企业的开支。

另外，网络应用防火墙(WAF)也不应该属于安全费用，可以将其作为网络费用。

“很多企业在考虑使用WAF，可是商业版本的WAF都很昂贵，很多精明的安全人员发现可以将WAF开支算入IT基础设施费用，而不是IT安全费用，前者开支明显大得多，”WhiteHat安全公司的首席技术官Jeremiah Grossman表示。

3.充分利用现有安全工具和系统

看看企业现有的Citrix或者其他中断服务器，“你可能会发现一个名为Windows Terminal Server的好东西，你可以把一些敏感资源放在这里，减少另外购买单独产品的必要，” Forrester的Jaquith表示，“不需要购买昂贵的数据保护工具来保护端点数据，可以使用Citrix来帮助保护数据。”

“如果根据业务需求，用户需要能够在端点处理大量敏感数据，你将仍然需要部署加密工具或者数据泄漏防御工具。”

考虑对劳动力密集型的工具进行调整，如数据泄漏防御攻击等。Forrester研究公司建议使用DLP产品主要用于检查活动，而不是阻止数据泄漏问题。并对各个业务部门进行调查询问以获取企业数据流动的大致地图，“如果你正在寻找DLP攻击来阻止数据泄漏，似乎有点为时过晚，你需要了解用户是如何使用信息的，他们在下载什么信息等。”

与此同时，有些安全开支是绝对不可以取消的，你不能取消与合规、法规或者其他审计员相关的开支，在大多数情况下，合规开支是不可以取消的。

4.将某些安全购买与合规要求相联系

谈到合规问题，其实合规也可以帮助争取安全资金，很多企业已经采取了这种有效的途径来获取安全资金，“关键在于找到一个角度，将安全产品与合规要求联系起来，也就是越具体越好，例如处理支付数据的话，可以联系PCI标准。”Jaquith表示。 “web应用防火墙也是个很好的例子，因为PCI数据安全标准明确要求进行代码审计、代码审核，WAF可以减轻应用程序安全的风险。”

5. 外包或者自动化某些安全功能

安全功能不一定全部要在企业内部实现。将数据处理或者数据归档这些操作自动化或者外包给其他公司可以节省很大的开支，Varonis公司(销售自动化数据执行攻击的公司)的营销副总裁Johnnie Konstantas指出，数据管理任务将耗费公司大量人力资源。

“企业的很大部分资金都花在员工身上了，这样效率很低，”Konstantas表示，“很多企业花费大量资金雇佣IT员工手动分配数据访问权限，这是非常巨大的工程。”

WhiteHat的Grossman表示，企业有必要合理分配劳动力，通常情况下，外包某些特定的安全功能(如漏洞评估或者入侵检测等)，可以降低某种具体操作的成本。

6. 利用安全市场的优势

现在不仅仅是企业担心经济状况，安全供应商也是如此。

“喝令的安全厂商将会灵活调整产品价格和付款条件，特别是当他们知道客户非常了解其竞争对手的解决方案时，”WhiteHat公司的Grossman表示，“可以要求安全厂商提供额外的折扣，一旦选择了真正适合的解决方案，与安全厂商建立密切关系以保证以后的良好合作。”从长远来考虑，可以让企业获益。企业将从与安全厂商的合作伙伴关系中获得更快的支持，以及更专业的工程师的支持，更多产品折扣等。

到目前为止，已经有一些企业开始利用厂商市场的优势，企业们应该首先对要购买的产品进行调查然后再与厂商进行沟通交涉 三依中文网 www.3eeezw.com 三依。