局域网安全问题常常似乎不太被人们所注意，但下面这六个问题肯定会催促IT专业人士立即行动起来。

一、存在风险的服务器虚拟化值得采用吗?

从传统服务器改用虚拟机方案的优点在于，可以通过整合硬件来节省成本，并且大大提高灵活性。但是不太受人欢迎的影响是，会带来安全缺口和虚拟服务器散乱问题，这些风险遭到了审计人员的抨击。

Douglas Drew是英国电信(BT)集团新兴技术办公室的一名高级顾问，兼支付卡行业(PCI)标准的审计人员。他表示，虚拟机安全往往事后才得到处理。

他说："你如何来处理访问控制和审计工作?假设我把虚拟机实例从服务器机架A迁移到机架B：一个是需要物理徽章才能访问控制台的锁定机架、另一个不是这种机架吗?虚拟机管理程序是否允许管理员A和B相互分离，以便管理员A只能以逻辑方式访问系统；A、管理员B只能访问系统B吗?如何根据架构出现的变化来重新评估风险?"

与较为传统的网络一样，虚拟机环境――不管基于VMware、XenSource还是微软的技术――都需要采取ISO 27002标准针对安全系统而规定的最佳实践。

Drew说："我们看到有些情况下，人们正是由于对安全不放心而迟迟不愿采用虚拟机。"许多人表示，默认状态下的虚拟机软件还不够安全。

David Lynch是开发虚拟机生命周期管理软件的Embotics这家新兴公司的营销副总裁，他说："虚拟机是移动的，设计初衷就是这样。你拿来一台物理服务器后，对它进行克隆，结果就失去了物理服务器的身份;而你现有的管理工具基于这一概念：你拥有物理服务器。"

Lynch认为，照目前的设计来看，VMware公司的虚拟中心(VirtualCenter)管理软件无法阻止虚拟机散乱问题，因为虚拟机的身份号可以更改及重新设定。他补充说，不可能确保使用不止一个虚拟中心的企业只有惟一的虚拟机身份系统。

可与虚拟中心管理软件兼容的Embotics软件采用了密码散列，并结合虚拟机元数据，标明虚拟机身份的合法性与真实性，试图以此弥补这个不足。包括Fortisphere和ManageIQ在内的其他新兴公司也在着手解决虚拟机散乱问题。

一些安全厂商确信：主要几家虚拟机软件开发商在争先恐后地推出产品，试图夺取市场份额，结果用Q1 Labs公司的产品项目经理Andrew Hay的话来说，"安全成了事后才想到的问题。"

Hay强调，现在缺少有助于监控活动的具有Netflow功能的虚拟交换机。他说："你创建的一个不同网络恰好位于同一个设备上。但没有人竭力要求虚拟机领域采用流量分析。"

这一切会阻止IT管理人员走上虚拟化道路吗?据Hay声称，说到底，"最好你在积极采用之前研究一下可供选择的方案。"

二、防止数据泄漏会反而招来律师吗?

数据丢失预防(DLP)又称之为数据泄漏保护，让你可以局域网监控内容，查找未经授权的传输信息。但是用过这项技术的公司发现，由于DLP让公司网络上太多的阴暗角落暴露无遗，结果IT和业务管理人员可能发现自己在局域网监控和法律方面处于险境。

信用信息服务公司艾可飞(Equifax)主管信息安全的高级副总裁Tony Spinelli介绍了当初他公司部署赛门铁克DLP产品后的早期情况，他说："你以前是一无所知，现在却面临未遵从法规带来的危险。"DLP如同黑暗当中的一盏聚光灯，暴露了哪些数据存储方法需要加以改进。

这样一来，业务和IT管理人员就必须作出正确的行动，进行一些变化。而更多的信息安全管理人员发现，挑剔的审计人员一旦知道了DLP工具已部署到位，就要求信息安全方面有所变化;如果公司无视这些变化，法律方面就会处于险境。

那么这个"看到什么就要知道什么"的方面是不是很大的缺点、从而足以打消潜在买家的兴趣呢?更何况DLP产品的价格仍然相当昂贵。也许会吧，不过这也意味着把最有希望的内容监控方法拒之门外;但为了有助于让贵公司远离网络监管和法律方面的麻烦，你迫切需要这种方法。

安全管理人员事先知道DLP可能是一项颠覆性技术，就可以作好相应计划：让审计人员和法律人员作好准备，并且让业务管理人员作好准备――在大多数公司看来，他们是合法的数据所有者。

Ron Baklarz是用过DLP产品的信息安全专业人士，最近他离开了MedStar健康集团，加盟美国全国铁路客运公司(Amtrak)，担任首席信息系统官。他表示，自己在MedStart时对Reconnex DLP采取的办法就是，让业务人员参与数据监管过程。

Baklarz忠告："你要与业务人员在法规遵从方面进行合作。"让授权的业务人员可以登录并使用DLP技术系统，这样对方就会积极参与数据丢失预防工作。