在这层安全区域中，基础的信任关系与访问权限都要被验证，并且经常会需要提供一个类似仲裁的功能。其中，很多企业选择建设信任仓库。因为信任仓库可以与企业的中央AD(目录服务)结合在一起，从而实现单点登陆。

　　叶宜宾认为，这种模式构造了一个更加安全的区域，它超越了防火墙的DMZ和通过代理服务器访问的模式。企业的IPS可以运行在这个环境中，以便处理可能发生的入侵。

　　区域三: 保护内部数据存储

　　该区域贯彻了深度防御原则，并且比起前面的区域来说，通过大量使用防火墙和安全网关增加了更多的保护。安全认证功能创造了一些内部安全空间，这些空间中存放着公司敏感记录、数据库、目录服务、信任/身份认证管理仓库，以及一些其他的受到保护的资料。IDS或者IPS也可以在这个环境中运行，以便处理可能的入侵行为。

　　区域四:保护应用

　　大量的企业级应用拥有其自身的应用级安全功能。然而，这些应用不能复制信任/认证管理仓库，只能依靠一个集中的企业目录服务。

　　区域五:保护操作系统

　　主要的操作系统拥有其自身的安全功能来保护中间件，包括各种微码和EXE程序。不过，很多入侵都与操作系统的漏洞有关，这点需要国内企业的IT人员留意，因为很多中文版操作系统的安全系统补丁都会比英文版慢上一段时间。

　　区域六:保护静止数据

　　企业数据当被传输和被存储在一些磁盘驱动器上的时候，它应该被加密。这里边涵盖了RAID系统、磁带或者虚拟磁带。需要注意的是，有些企业的员工发生过笔记本电脑丢失，出现信息风险的情况。这时候，很多加密手段就会形同虚设了。

　　第二招：关注安全培训

　　一套完整且详细的安全培训，可以帮助企业的IT人员明白：企业的哪些业务需要保护，需要投入什么样的资源，什么样的成本可以接受，这要比学习某种安全工具对企业更有益处。

　　去年九月份，在美国《Network World》对全美200位CIO进行的一次调查中，记者清楚地记得，超过半数的CIO表示，如果企业的员工(不仅仅是IT人员)缺乏在安全原则和政策上的培训，那么仅仅通过购买产品，很多时候是无法帮助企业做好信息安全的。

　　对此，很多国内用户表示认同。在两个月前，记者奔赴大连采访的时候，大连瓦房店轴承集团的IT负责人曾向记者表示，信息安全不像一个数据库或者文件服务器，企业IT人员只要去购买并且安装就可以实现。他认为，只有当企业建立了完善的政策，并且完成了对企业人员的安全培训，信息安全才会有可能实现。而接下来才是选择产品，并通过相关设置来确保设备有效工作。毕竟在把账号密码贴在显示器上的企业里，是没有信息安全可言的。

　　不过，这样做就足够了么?美国人非常幽默，他们的IT经理常常自嘲：“没有人会把干酪和鸡蛋交给一个没有被培训过的人，然后等待他给你端上热腾腾的蛋糕。”可惜的是，相当多的美国企业就是这么干的。

　　其实国内一些企业同样存在类似的问题，其中不乏一些国有大型企业：很多人认为，只要在硬件和软件上保证足够的投入----拿来一个硬件平台，插入需要的应用，就可以获得安全。

　　不幸的是，这样根不起作用。太平人寿的一位前IT经理向记者表示，很多企业的IT人员一样缺乏训练且没有安全的基本原则，仅仅使用拼凑出来的安全产品将不会带来好处，企业将会无果而终。

　　对于不好的案例，中美都有不少。去年《Network World》的调查显示，一些没有受过良好培训的IT员工出现在了企业的关键岗位上，更糟糕的是，他们经常作出一些糟糕的决策，以至于在很多并不需要的产品上浪费金钱，而且经常把他们拥有的产品错误地使用，甚至跳过其中的关键步骤，比如策略配置，并且

　　几乎不把安全技术对准在企业的业务上。

　　事实上，这里边反映了技术人员与业务人员的思路差异。叶宜斌的看法是，大部分技术人员对于公司的业务缺乏透彻的了解，这导致了缺乏对于企业员工行为的了解。据他曾经实施过安全方案的制造业用户来看，不少企业的业务人员在日常工作期间，会大量进行与业务无关的或者降低工作效率的IT应用，比如QQ、BBS、滥发邮件。而这些企业的技术人员，往往把主要精力花费在从外到内的安全威胁保护上，包括监控防火墙、设置防DOS攻击措施等。对于上述应用，包括一些容易导致信息泄漏的情况，都没有做到严格的控制与把关。

　　就像此前美国可口可乐公司和华为公司的泄密事件，主要原因就在于IT人员没有意识到内部安全管理的重要性，放松了对互联网信息泄露的关注，甚至在公网上传输的文档都没有进行加密。

　　“以前没有意识的行为，对安全造成了极大挑战。最近一年多，情况有所好转，因为不少企业开始关注安全培训，其中对于安全意识的培养极其重要，而IT部门亟需转变的，就是把技术对准需要保护的应用”叶宜斌如是说。

　　美国人很有意思，他们很多IT人员经常会踌躇满志地在BBS上发贴抱怨：面对上述的偏差，企业IT团队中没有人具有专家的眼光，没有人可以整合看问题。但外人看来，他们自己不就是IT专家的代表么?

　　为了扭转类似的问题，企业的IT部门需要三种培训。第一是产品的细节培训。应当与主要的新产品配合，但是这仅仅是一个开始。如果IT人员都不知道什么是SYN flood，那么指导如何在一个防火墙上设置SYN flood保护也完全没有必要。

　　第二种培训是在网络和安全结合后的产物。一些基础的技术，如TCP/IP、加密算法、VPN和状态防火墙都需要被IT安全人员良好地掌握。而一些在网络和数学方面拥有良好基础的人，公司最好给他们提供高级的技术培训机会。