黑帽大会每年都会准时在拉斯维加斯与全球IT同仁相聚，共同探讨最新最值得关注的黑客活动、破解消息以及IT安全隐患。这次盛会吸引到全球范围内各行各业对安全问题充满热情的参与者，其中既不乏身着绘有神秘语言符号的T恤、经验老道的编程高手，也召集到了西装笔挺、不苟言笑，一副CIA特派员甚至是黑衣人范儿的现场安保。而CIO们面对安全这个最令他们头痛的话题，也不得不拿出积极的态度，积极参与进来——毕竟我们不关注安全，麻烦就来骚扰我们。

　　下面我们就来总结本届黑帽大会上最值得吸取的五大安全经验。

　　1. 理解自己到底要保护什么

　　传统IT安全观念中最核心的“防火墙机制”与“外围保护”概念已经完全跟不上时代变化，移动设备与社交网络的兴起令旧有防范手段在新型安全威胁下显得不堪一击。CIO必须集中精神，深刻理解哪些信息需要广泛的可靠性保障、哪些信息又需要严格的约束机制加以控制。

　　在本届黑帽大会上，前FBI执行助理部门主管Shawn Henry(他目前担任CrowdStrike公司总裁)就安全保障方面的问题进行了主题演讲。尽管Henry的演讲有点头大身小——一味宣扬未来网络侵袭之迅猛与可怕，却没有具体提出防范策略——但他对于数据保护的概念性理解仍然值得借鉴。在他看来，要想真正保护数据安全，首先要确保敏感信息不会进入公共可用数据池。举例来说，在统计分析工作中将企业客户的全部数据都归纳进去显然不够明智，事实上我们只要把过去一年中客户的活跃数据(且不包含验证信息)作为统计对象就足以得出准确结论了。

　　2. 不要马虎大意，对云合同中的内容锱铢必较

　　大家还记得那些触目惊心的血泪史吗?软件供应商故意在产品介绍及合作协议中隐瞒或忽略其固有缺陷，并由此给买家带来重大损失。如果我们仔细阅读这些协议文件，常常会发现供应商绝不会把自己的赔偿责任扩大到软件购买价格的范围之外。在这种情况下，即使能够证明正是由于软件供应商提供的文字编辑工具存在问题，才导致我们的知识产权文件因为内容错乱而失效，这帮无良卖家也绝不会踏踏实实为客户承担损失。他们通常会找各种理由拖延诉讼进展，并最终根据原始合同，仅仅赔付对应软件的购置费用。

　　在大家将包括云服务在内的各类新兴技术引入自身IT基础设施之前，请务必搞清楚服务供应商的安全责任与为此承担的义务。因为一旦有人通过这些新的途径窃取数据，明确的责任划分是解决问题的必要前提。阅读合同及协议内容的过程无疑枯燥甚至令人抓狂，但这是保护自身安全的最佳办法。作为CIO，即使不亲自处理这一工作，也要把它交给团队中值得依赖的同事负责。有证据表明，大多数企业的管理层在云计算领域反应迟缓，很少有人提前对技术、业务以及法律问题做出明确分析。

　　3. 在移动安全问题方面多思考。

　　智能手机从设计理念上就秉持着以不同运营商及Wi-Fi热点为载体，始终保持接入移动世界的连通状态。因此智能手机供应商必须从一开始就把安全保护机制与产品本身融为一体。在企业应用领域，智能手机的保护措施主要包括应用程序沙箱环境、操作系统与用户数据彼此隔离、内置加密机制以及远程数据清除技术等等，这一系列特色方案都是企业长久以来使用的台式机及笔记本电脑所不具备的。

　　明智的CIO会选择一套理想的移动安全保护模式，并以此为基准贯彻到企业中的每一台用户设备上。这种积极的应对方式显然比消极等待、力图通过降低移动设备普及率的办法减少安全威胁要科学得多。今年的黑帽大会首次邀请到苹果公司的参与，这家新兴移动设备巨头在大会上演示了iPhone iOS软件在安全保护方面的心得及具体措施。

　　4. 开发人员与安全专家不需要也不可能经常碰头，但他们必须协同合作。

　　大部分技术人员在从事软件开发工作时，都喜欢将关注重点放在用户界面及快速部署等表面工夫上，而安全问题则被放在一边。与此同时，安全专家则花费大量时间与精力用于检测并修改开发者已经犯下的错误，而不是在应用程序设计早期就参与进来、将问题扼杀在摇篮中。“开发人员一直是软件产品的主导者，”安全研究员Dan Kaminsky在黑帽大会上不无抱怨地指出。

　　5. 最终，数据与设备物理安全将合二为一。

　　所谓“物联网”及机对机通信的出现，意味着可能遭受恶意活动侵袭的不再只是数据基础设施，现在任何一套采用计算机加以控制的物理系统(例如采暖、电气等等)都必然要面临各种安全威胁。在本届黑帽大会中，安全专家演示了如何对一系列架构相似的酒店门卡系统进行破解，结果令人心惊同时发人深省。

(责任编辑：)