这是一个需要安全感的时代,同时,这也是一个神话泛滥的时代。对于网络、数据、安全的认识,我们是否存在着轻信和误区?当心了,威胁可能就藏在我们自以为安全的情况里——
1.如果我们购买了正确的安全解决方案,那么我们的数据将会得到保护
无论你多么疯狂的花钱给你的供应商,企业的数据仍然是容易受到攻击,直到你花与金钱同样多的心思来培训人员,同时开发出数据驱动的安全进程和策略。其中对于一个企业立足于一个安全点的最积极的做法是为员工创立一项持续的数据防御训练。随后,使用类似基于角色通行的技术,自动的执行措施以及系统审计来执行规定,同时确认如果规定被忽略或者有人反对这种规定会有实实在在的后果。
2.真正的威胁源于组织内部或者外部
当企业过于狭隘地关注于防止数据受到某些特定类型攻击时,往往会造成对其他类型的攻击的疏忽。不要执行那些媒体的耸人听闻的听起来故事一般的安全计划,这些计划都是根据那些过分紧张的报告或者经过很少研究而做出的。持续的将关注的重点放在管理那些眼前的威胁,这样的结果便是很零散的安全防护,而我们要做的重点是要全面的保护数据的安全。
3.我们已经将数据存储或者数据安全外包给其他公司,所以我们再也不必担心有关个人身份信息的安全性
严峻的现实是,企业可以将数据存储或者数据安全外包出去,但是他们无法外包保护数据的责任。如果企业必须遵守的数据保护标准或法规,而且同时其外包合作伙伴未能保护个人资料,那么拥有该数据的公司必定是被视为有责任的。企业必须承担所有与其相关的费用、处罚甚至是伴随数据的曝光而引起的法律行动。因此你必须确定你的合作伙伴,无论是国内的还是国外的,都必须认真的对待数据安全,同时完全的理解影响您业务的法规。
4.合格的应用程序现在是安全的,未来也是安全的
认证只有在应用程序被核准的时候才可用。没有一种认证会永久的有效应。得到认证的应用程序与其他应用程序一样的需要使用相同的管理方式,定期审查供应商补丁,检测环境中使用的变化并且审计使用中存在的最高风险。
5.我们知道我们的网络没有弱点,因为我们定期的有规律的为我们的应用系统添加所需补丁
补丁能解决已知的漏洞利用但是我们却无法知晓所有的程序缺陷。有时候那些坏孩子们第一个发现了缺陷但是他们却无欲将缺陷告知供应商们。供应商们也并不总是能第一时间的为漏洞发布补丁,甚至,他们发布的补丁还可能带来新的安全漏洞及其他问题。补丁升级策略是公司安全计划中的重要组成部分,但单独的利用补丁并不能为你带来安全的系统。
6.我们不需要为那些让IT男孩们兴奋异常的但实际上概念论证上并不成熟的黑客攻击手段担心
你没有必要为那些理论上可能的尤其是那些需要很高水平才可能实现的黑客攻击整夜呆在电脑机房里,只为了能成功的处理他们。也就是说,你看待尚处概念论证上的攻击应该跟你看一部动作电影的预告片一样,你该知道,这部电影可能会在也可能不会在你家附近的影院上映。身处IT中,你当然需要对安全领域和那些“秘密团体”正在讨论的新的、热的话题始终有所了解,并且需要跟踪了解那些看起来是要有所作为的威胁。预先警告方可先做防范。
7.如果一个系统符合工业上的数据保护条例相关标准,那么这个系统就是安全的
事实并非如此。条例规定更倾向于处理那些特定的有限的问题,比如为那些需要处理付费卡数据的系统制定安全策略,但是却不能全面的覆盖对安全来说非常重要的网络和应用程序上的问题。制定安全规划时,遵守条例标准,但不要把这作为公司数据保护措施的中心部分甚至全部。
8.可能的最强的安全措施对所有的商业系统和一个系统的所有部分来说都是很重要的
一级黑客安全防卫标准对一些企业或者一个商业环境中的某些部分来说没有必要也并不希望。更为明智的做法是从经济性、可用性和有效性出发将最严密的安全措施集中在保护最敏感的信息上。企业应该从他们收集、利用、管理的数据的综合的价值风险分析以及企业自身的威胁属性配置出发来定义他们的数据安全策略。
9.开源软件天生就比专利软件更具安全性,反过来也是一样
这两种软件开发方法都不能做到开发出的100%的程序是安全的。对程序安全性来说,全面的代码测试、合理的布局和正确的安全规划远比纠缠于程序是以开源软件还是专利软件形式开发重要。
10.所有的安全都必须以之前的安全框架为基础来建立
成功的企业安全策略应该是定期的对安全措施进行回顾和检测,旧的预定目标可能需要丢弃而需要着手建立新的安全计划,有时候一些在当时被认为是伟大想法的技术随着计算环境的改变或那些“秘密团体”取得的突破性进展可能会给安全领域带来一片漏洞空白区。DES加密技术就是这样的例子。它一度被认为是安全的,直到一个专业团队证明它因为它的56位的短密钥而很容易受到暴力攻击。安全往往是一个移动中的目标,需要我们愿意为条件的需求而改变我们的注意力。
【编辑推荐】
