這是一個需要安全感的時代，同時，這也是一個神話泛濫的時代。對于網絡、數據、安全的認識，我們是否存在著輕信和誤區(qū)?當心了，威脅可能就藏在我們自以為安全的情況里——

1.如果我們購買了正確的安全解決方案，那么我們的數據將會得到保護

無論你多么瘋狂的花錢給你的供應商，企業(yè)的數據仍然是容易受到攻擊，直到你花與金錢同樣多的心思來培訓人員，同時開發(fā)出數據驅動的安全進程和策略。其中對于一個企業(yè)立足于一個安全點的最積極的做法是為員工創(chuàng)立一項持續(xù)的數據防御訓練。隨后，使用類似基于角色通行的技術，自動的執(zhí)行措施以及系統(tǒng)審計來執(zhí)行規(guī)定，同時確認如果規(guī)定被忽略或者有人反對這種規(guī)定會有實實在在的后果。

2.真正的威脅源于組織內部或者外部

當企業(yè)過于狹隘地關注于防止數據受到某些特定類型攻擊時，往往會造成對其他類型的攻擊的疏忽。不要執(zhí)行那些媒體的聳人聽聞的聽起來故事一般的安全計劃，這些計劃都是根據那些過分緊張的報告或者經過很少研究而做出的。持續(xù)的將關注的重點放在管理那些眼前的威脅，這樣的結果便是很零散的安全防護，而我們要做的重點是要全面的保護數據的安全。

3.我們已經將數據存儲或者數據安全外包給其他公司，所以我們再也不必擔心有關個人身份信息的安全性

嚴峻的現實是，企業(yè)可以將數據存儲或者數據安全外包出去，但是他們無法外包保護數據的責任。如果企業(yè)必須遵守的數據保護標準或法規(guī)，而且同時其外包合作伙伴未能保護個人資料，那么擁有該數據的公司必定是被視為有責任的。企業(yè)必須承擔所有與其相關的費用、處罰甚至是伴隨數據的曝光而引起的法律行動。因此你必須確定你的合作伙伴，無論是國內的還是國外的，都必須認真的對待數據安全，同時完全的理解影響您業(yè)務的法規(guī)。

4.合格的應用程序現在是安全的，未來也是安全的

認證只有在應用程序被核準的時候才可用。沒有一種認證會永久的有效應。得到認證的應用程序與其他應用程序一樣的需要使用相同的管理方式，定期審查供應商補丁，檢測環(huán)境中使用的變化并且審計使用中存在的最高風險。

5.我們知道我們的網絡沒有弱點，因為我們定期的有規(guī)律的為我們的應用系統(tǒng)添加所需補丁

補丁能解決已知的漏洞利用但是我們卻無法知曉所有的程序缺陷。有時候那些壞孩子們第一個發(fā)現了缺陷但是他們卻無欲將缺陷告知供應商們。供應商們也并不總是能第一時間的為漏洞發(fā)布補丁，甚至，他們發(fā)布的補丁還可能帶來新的安全漏洞及其他問題。補丁升級策略是公司安全計劃中的重要組成部分，但單獨的利用補丁并不能為你帶來安全的系統(tǒng)。

6.我們不需要為那些讓IT男孩們興奮異常的但實際上概念論證上并不成熟的黑客攻擊手段擔心

你沒有必要為那些理論上可能的尤其是那些需要很高水平才可能實現的黑客攻擊整夜呆在電腦機房里，只為了能成功的處理他們。也就是說，你看待尚處概念論證上的攻擊應該跟你看一部動作電影的預告片一樣，你該知道，這部電影可能會在也可能不會在你家附近的影院上映。身處IT中，你當然需要對安全領域和那些“秘密團體”正在討論的新的、熱的話題始終有所了解，并且需要跟蹤了解那些看起來是要有所作為的威脅。預先警告方可先做防范。

7.如果一個系統(tǒng)符合工業(yè)上的數據保護條例相關標準，那么這個系統(tǒng)就是安全的

事實并非如此。條例規(guī)定更傾向于處理那些特定的有限的問題，比如為那些需要處理付費卡數據的系統(tǒng)制定安全策略，但是卻不能全面的覆蓋對安全來說非常重要的網絡和應用程序上的問題。制定安全規(guī)劃時，遵守條例標準，但不要把這作為公司數據保護措施的中心部分甚至全部。

8.可能的最強的安全措施對所有的商業(yè)系統(tǒng)和一個系統(tǒng)的所有部分來說都是很重要的

一級黑客安全防衛(wèi)標準對一些企業(yè)或者一個商業(yè)環(huán)境中的某些部分來說沒有必要也并不希望。更為明智的做法是從經濟性、可用性和有效性出發(fā)將最嚴密的安全措施集中在保護最敏感的信息上。企業(yè)應該從他們收集、利用、管理的數據的綜合的價值風險分析以及企業(yè)自身的威脅屬性配置出發(fā)來定義他們的數據安全策略。

9.開源軟件天生就比專利軟件更具安全性，反過來也是一樣

這兩種軟件開發(fā)方法都不能做到開發(fā)出的100%的程序是安全的。對程序安全性來說，全面的代碼測試、合理的布局和正確的安全規(guī)劃遠比糾纏于程序是以開源軟件還是專利軟件形式開發(fā)重要。

10.所有的安全都必須以之前的安全框架為基礎來建立

成功的企業(yè)安全策略應該是定期的對安全措施進行回顧和檢測，舊的預定目標可能需要丟棄而需要著手建立新的安全計劃，有時候一些在當時被認為是偉大想法的技術隨著計算環(huán)境的改變或那些“秘密團體”取得的突破性進展可能會給安全領域帶來一片漏洞空白區(qū)。DES加密技術就是這樣的例子。它一度被認為是安全的，直到一個專業(yè)團隊證明它因為它的56位的短密鑰而很容易受到暴力攻擊。安全往往是一個移動中的目標，需要我們愿意為條件的需求而改變我們的注意力。

【編輯推薦】

1. 內部泄密對企業(yè)數據安全構成最大威脅
2. 2009網絡災難年：數據安全不能承受之輕
3. 企業(yè)需要在應用程序開發(fā)時保證數據安全
4. 新時期新用法探索UTM安全網關(1)
5. 應用安全中小企業(yè)UTM構造
6. 企業(yè)如何選擇UTM一體化安全網關
7. 終端審計如何更好地服務內網安全(圖)
8. Chinasec細分內網安全市場挺進石化能源領域
9. 專家談內網安全技術分析與標準探討