破除信息安全迷思

每家企业都逃不脱安全风险的威胁，确保企业安全也就成了IT人员的首要工作。即使IT人员的安全技术运用已经很熟练，有时思想上的稍微一点松懈就有可能导致企业安全问题。安全防线一旦崩溃，企业的数据将不再安全。一旦如此重要的数据不安全，则会让企业遭遇灭顶之灾。为了避免这个状况，山丽警示大家必须打破固有的逻辑，击碎一些既成事实的信息安全神话。

打破十大信息安全神话 破除安全防护的迷信

国外某信息安全媒体网站将这些让企业陷入风险的原因归结为“十个安全神话”。网站的安全分析师表示，当谈到信息安全时，人们对企业所面临的威胁以及用来保护自己重要数据资产的技术有很多“误解”和“夸大”。这些错误的假设都归因于受到广泛信奉的“安全神话”。“安全神话”的信奉者包括正在试图防止数据丢失的员工以及将违规和其他事故的责任推卸给首席信息安全人员(CISO)的业务经理。

为了打破这些所谓的安全神话，山丽网安进行了长时间分析和探讨，总结了十种打破神话，破除迷信的方法。

【十大安全神话一：“这种事情不会发生在我身上”】

形成原因：习惯了对风险的大肆宣扬，让员工做任何他们想做的事来逃避损失和责任。

破除之法：将企业的责任与安全挂钩;利用安全分类框架的帮助。而这种架构用等级保护的管理方法来实现其实最恰当。有效体现等级防护标准，严格的文件安全管理，那就要使用山丽防水墙的文件密级功能。

【十大安全神话二：“信息安全预算占整个IT支持的10%呢”】

形成原因：一厢情愿地想，某安全研究显示预算数字更接近5%呢。

破除之法：获得一些真实的数据。其实这里实际的操作应该借由一些在防护过程中的日志管理与预警分析来对企业的数据安全策略做出相应的调整。而山丽防水墙的日志管理和预警则能恰到好处的提供这项服务。

【十大安全神话三：“安全风险是可以量化的”】

形成原因：你可以在一个Excel电子表格中证明你有你的安全预算，在“数据导向的文化”中一个普遍存在的误解是“他的数字最大，他赢了”。

破除之法：开发风险的非数字表达方式，并确保业务部门承担自己的IT风险责任。

【十大安全神话四：“我们有物理安全体系(或SSL)因此数据是安全的”】

形成原因：理想化，不了解风险。

破除之法：确保安全购买匹配数据要求。其实把这种风险和应对之法扩展开来说就是，现代的企业由于引入的信息技术各不相同，数据面临的风险也各不相同，采用相同的防护策略和安全组合自然无法达到预期的防护效果。只有采用有行业针对性的数据安全和模块组合才能达到最匹配的防护效果，而这一点山丽的防水墙系列就做得很好。

【十大安全神话五：“复杂性的密码能降低风险”】

形成原因：惰性。山丽的安全密码专家说：“我们知道密码漏洞百出，但破解并不是主要的失效原因。密码不是被破解的，只是小试一下就被解开了。”

破除之法：设多个密码。这里设置多个密码是针对个人用户的。对于企业来说，应该理解为对数据采用多种加密方式，而能达到这种效果的自然要数结合对称算法和非对称算法的多模加密技术莫属，而防水墙又恰巧是这种技术的典型代表。

【十大安全神话六：“IT远离CISO自然会很安全”】

形成原因：推卸责任。山丽安全专家说道：“这是我们通过一些改变组织的‘技巧’来解决文化问题的方式。”

破除之法：针对安全程序中的弱点，分析问题的根源。适时的分析能达到很好的预警效果，同时能让针对性的安全防护策略更早出台，而这一切正是防水墙大型企业系列具有行业针对性的主要原因。

【大安全神话七：“安全实践问题是CISO的问题”】

形成原因：推卸责任。业务希望安全风险是别人的问题，即使CISO承担所有的风险，他们也觉得CISO不应该能够告诉他们要做什么。

破除之法：建立一个信息安全项目。项目的确立能使分工更明确，自然责任也就更明确。

【十大安全神话八：“购买这个工具就能解决所有的问题”】

形成原因：寻找外部的魔法来解决难题，天真的想法。

破除之法：进行系统风险分析，制定具有优先级的长期安全计划。其实安全工具达到的效果永远需要有针对性，而针对性的来源就是对于内部问题的有效分析。有了这个基础，利用适当的安全工具或者软件才能达到最好的安全防护效果。

【十大安全神话九：“制定合理的政策，并好好遵守”】

形成原因：一厢情愿。

破除之法：确定管理责任，仔细选择你的战场。安全的基础是规范的建立。

【十大安全神话十：“加密是保护敏感文件安全的最好办法”】

形成原因：加密技术正常工作时，效果很好。但对一项困难的技术抱有天真的期望时，往往弊大于利。有时就像用“寻找圣杯”或“魔术子弹”来解决监管问题。

破除之法：在做决定之前，确保自己有扎实的密码技术经验。山丽网安为了防水墙等数据安全产品达到加密保护的效果，更清楚知道加密之法和原理，常常举行与用户的交流会和派遣技术人员现场指导，使企业结合自身的安全情况，更早地合理利用加密软件达到最好的安全防护效果。

事物的发展过程总会产生些许的迷信和一些看似牢不可破的神话，这是事物发展中必然会产生的东西。但是当这些迷信和神话阻碍了事物的发展时，我们必须坚定破除和击碎。在数据安全防护发展的过程中，我们必须时刻提高警觉，从企业自身的数据安全出发，利用适当的数据安全产品或者加密软件来应对发展过程出现的各种安全问题!

(责任编辑：)