這是一個(gè)需要安全感的時(shí)代，同時(shí)，這也是一個(gè)神話泛濫的時(shí)代。對(duì)于網(wǎng)絡(luò)、數(shù)據(jù)、安全的認(rèn)識(shí)，我們是否存在著輕信和誤區(qū)?當(dāng)心了，威脅可能就藏在我們自以為安全的情況里——

1.如果我們購(gòu)買了正確的安全解決方案，那么我們的數(shù)據(jù)將會(huì)得到保護(hù)

無論你多么瘋狂的花錢給你的供應(yīng)商，企業(yè)的數(shù)據(jù)仍然是容易受到攻擊，直到你花與金錢同樣多的心思來培訓(xùn)人員，同時(shí)開發(fā)出數(shù)據(jù)驅(qū)動(dòng)的安全進(jìn)程和策略。其中對(duì)于一個(gè)企業(yè)立足于一個(gè)安全點(diǎn)的最積極的做法是為員工創(chuàng)立一項(xiàng)持續(xù)的數(shù)據(jù)防御訓(xùn)練。隨后，使用類似基于角色通行的技術(shù)，自動(dòng)的執(zhí)行措施以及系統(tǒng)審計(jì)來執(zhí)行規(guī)定，同時(shí)確認(rèn)如果規(guī)定被忽略或者有人反對(duì)這種規(guī)定會(huì)有實(shí)實(shí)在在的后果。

2.真正的威脅源于組織內(nèi)部或者外部

當(dāng)企業(yè)過于狹隘地關(guān)注于防止數(shù)據(jù)受到某些特定類型攻擊時(shí)，往往會(huì)造成對(duì)其他類型的攻擊的疏忽。不要執(zhí)行那些媒體的聳人聽聞的聽起來故事一般的安全計(jì)劃，這些計(jì)劃都是根據(jù)那些過分緊張的報(bào)告或者經(jīng)過很少研究而做出的。持續(xù)的將關(guān)注的重點(diǎn)放在管理那些眼前的威脅，這樣的結(jié)果便是很零散的安全防護(hù)，而我們要做的重點(diǎn)是要全面的保護(hù)數(shù)據(jù)的安全。

3.我們已經(jīng)將數(shù)據(jù)存儲(chǔ)或者數(shù)據(jù)安全外包給其他公司，所以我們?cè)僖膊槐負(fù)?dān)心有關(guān)個(gè)人身份信息的安全性

嚴(yán)峻的現(xiàn)實(shí)是，企業(yè)可以將數(shù)據(jù)存儲(chǔ)或者數(shù)據(jù)安全外包出去，但是他們無法外包保護(hù)數(shù)據(jù)的責(zé)任。如果企業(yè)必須遵守的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)或法規(guī)，而且同時(shí)其外包合作伙伴未能保護(hù)個(gè)人資料，那么擁有該數(shù)據(jù)的公司必定是被視為有責(zé)任的。企業(yè)必須承擔(dān)所有與其相關(guān)的費(fèi)用、處罰甚至是伴隨數(shù)據(jù)的曝光而引起的法律行動(dòng)。因此你必須確定你的合作伙伴，無論是國(guó)內(nèi)的還是國(guó)外的，都必須認(rèn)真的對(duì)待數(shù)據(jù)安全，同時(shí)完全的理解影響您業(yè)務(wù)的法規(guī)。

4.合格的應(yīng)用程序現(xiàn)在是安全的，未來也是安全的

認(rèn)證只有在應(yīng)用程序被核準(zhǔn)的時(shí)候才可用。沒有一種認(rèn)證會(huì)永久的有效應(yīng)。得到認(rèn)證的應(yīng)用程序與其他應(yīng)用程序一樣的需要使用相同的管理方式，定期審查供應(yīng)商補(bǔ)丁，檢測(cè)環(huán)境中使用的變化并且審計(jì)使用中存在的最高風(fēng)險(xiǎn)。

5.我們知道我們的網(wǎng)絡(luò)沒有弱點(diǎn)，因?yàn)槲覀兌ㄆ诘挠幸?guī)律的為我們的應(yīng)用系統(tǒng)添加所需補(bǔ)丁

補(bǔ)丁能解決已知的漏洞利用但是我們卻無法知曉所有的程序缺陷。有時(shí)候那些壞孩子們第一個(gè)發(fā)現(xiàn)了缺陷但是他們卻無欲將缺陷告知供應(yīng)商們。供應(yīng)商們也并不總是能第一時(shí)間的為漏洞發(fā)布補(bǔ)丁，甚至，他們發(fā)布的補(bǔ)丁還可能帶來新的安全漏洞及其他問題。補(bǔ)丁升級(jí)策略是公司安全計(jì)劃中的重要組成部分，但單獨(dú)的利用補(bǔ)丁并不能為你帶來安全的系統(tǒng)。

6.我們不需要為那些讓IT男孩們興奮異常的但實(shí)際上概念論證上并不成熟的黑客攻擊手段擔(dān)心

你沒有必要為那些理論上可能的尤其是那些需要很高水平才可能實(shí)現(xiàn)的黑客攻擊整夜呆在電腦機(jī)房里，只為了能成功的處理他們。也就是說，你看待尚處概念論證上的攻擊應(yīng)該跟你看一部動(dòng)作電影的預(yù)告片一樣，你該知道，這部電影可能會(huì)在也可能不會(huì)在你家附近的影院上映。身處IT中，你當(dāng)然需要對(duì)安全領(lǐng)域和那些“秘密團(tuán)體”正在討論的新的、熱的話題始終有所了解，并且需要跟蹤了解那些看起來是要有所作為的威脅。預(yù)先警告方可先做防范。

7.如果一個(gè)系統(tǒng)符合工業(yè)上的數(shù)據(jù)保護(hù)條例相關(guān)標(biāo)準(zhǔn)，那么這個(gè)系統(tǒng)就是安全的

事實(shí)并非如此。條例規(guī)定更傾向于處理那些特定的有限的問題，比如為那些需要處理付費(fèi)卡數(shù)據(jù)的系統(tǒng)制定安全策略，但是卻不能全面的覆蓋對(duì)安全來說非常重要的網(wǎng)絡(luò)和應(yīng)用程序上的問題。制定安全規(guī)劃時(shí)，遵守條例標(biāo)準(zhǔn)，但不要把這作為公司數(shù)據(jù)保護(hù)措施的中心部分甚至全部。

8.可能的最強(qiáng)的安全措施對(duì)所有的商業(yè)系統(tǒng)和一個(gè)系統(tǒng)的所有部分來說都是很重要的

一級(jí)黑客安全防衛(wèi)標(biāo)準(zhǔn)對(duì)一些企業(yè)或者一個(gè)商業(yè)環(huán)境中的某些部分來說沒有必要也并不希望。更為明智的做法是從經(jīng)濟(jì)性、可用性和有效性出發(fā)將最嚴(yán)密的安全措施集中在保護(hù)最敏感的信息上。企業(yè)應(yīng)該從他們收集、利用、管理的數(shù)據(jù)的綜合的價(jià)值風(fēng)險(xiǎn)分析以及企業(yè)自身的威脅屬性配置出發(fā)來定義他們的數(shù)據(jù)安全策略。

9.開源軟件天生就比專利軟件更具安全性，反過來也是一樣

這兩種軟件開發(fā)方法都不能做到開發(fā)出的100%的程序是安全的。對(duì)程序安全性來說，全面的代碼測(cè)試、合理的布局和正確的安全規(guī)劃遠(yuǎn)比糾纏于程序是以開源軟件還是專利軟件形式開發(fā)重要。

10.所有的安全都必須以之前的安全框架為基礎(chǔ)來建立

成功的企業(yè)安全策略應(yīng)該是定期的對(duì)安全措施進(jìn)行回顧和檢測(cè)，舊的預(yù)定目標(biāo)可能需要丟棄而需要著手建立新的安全計(jì)劃，有時(shí)候一些在當(dāng)時(shí)被認(rèn)為是偉大想法的技術(shù)隨著計(jì)算環(huán)境的改變或那些“秘密團(tuán)體”取得的突破性進(jìn)展可能會(huì)給安全領(lǐng)域帶來一片漏洞空白區(qū)。DES加密技術(shù)就是這樣的例子。它一度被認(rèn)為是安全的，直到一個(gè)專業(yè)團(tuán)隊(duì)證明它因?yàn)樗?6位的短密鑰而很容易受到暴力攻擊。安全往往是一個(gè)移動(dòng)中的目標(biāo)，需要我們?cè)敢鉃闂l件的需求而改變我們的注意力。

【編輯推薦】

1. 內(nèi)部泄密對(duì)企業(yè)數(shù)據(jù)安全構(gòu)成最大威脅
2. 2009網(wǎng)絡(luò)災(zāi)難年：數(shù)據(jù)安全不能承受之輕
3. 企業(yè)需要在應(yīng)用程序開發(fā)時(shí)保證數(shù)據(jù)安全
4. 新時(shí)期新用法探索UTM安全網(wǎng)關(guān)(1)
5. 應(yīng)用安全中小企業(yè)UTM構(gòu)造
6. 企業(yè)如何選擇UTM一體化安全網(wǎng)關(guān)
7. 終端審計(jì)如何更好地服務(wù)內(nèi)網(wǎng)安全(圖)
8. Chinasec細(xì)分內(nèi)網(wǎng)安全市場(chǎng)挺進(jìn)石化能源領(lǐng)域
9. 專家談內(nèi)網(wǎng)安全技術(shù)分析與標(biāo)準(zhǔn)探討