陋习一、一旦发现安全漏洞就赶紧购买新软件试图补救，过于依赖和相信安全软件产品而缺乏自己动手和分析的能力

　　现在信息安全领域有个很流行但实际上很危险的思想，即相信所有问题都会有相应的工具来对付，只要我们手上有了防病毒软件、防垃圾软件、防火墙、补丁管理程序、VPN、PKI、IPS、IDS等等工具，我们就百毒不侵，就有十足的安全感。

　　问题是，工具只有到了会用的人手上才能真正发挥作用。“工具只能辅助你而不能取代你，它不会帮你完成所有工作。” Unisys的安全顾问John Pironti说。“请记住，我们至少比计算机聪明50%，计算机只知道‘是’或/和‘否’，但我们还知道‘也许是’。一个工具能发挥出多大的作用是由很多方面决定的。”

　　就拿入侵检测(IDS)和入侵防御系统(IPS)来说，并不是你从厂商那里买来，它就能直接发挥很好的作用。你首先得手把手教它该如何检测入侵，而且一旦跑起来后，你还得经常查看它的运行记录，查找所有出现过的攻击模式。有些IT人员虽然很好地完成了对IDS和IPS的配置工作，但还是为入侵者留下了可以利用的漏洞，原因就在于他们没有对工具记录中的大量报告进行足够的分析。

　　“主要问题是没有明确规定‘查看记录到底属于谁的工作范畴?’” SystemExperts公司的安全顾问Mark Mellis说，“这些产品产生了太多的记录，人们只有在磁盘被占满后才会想到看一看，然后很多数据就被丢弃了。”

　　这就犯了大错了。仔细查看记录(甚至只要很快扫一遍)你就能知道系统运行的状况和正在发生哪些攻击，这样就能将这些攻击纳入系统所能防御的范围。这是个不断调整的过程。

　　过于依赖工具有可能导致矫枉过正，举个例子：如果你为垃圾邮件所困扰，那么显然你会考虑购买一款更强力的垃圾邮件过滤器，但如果过滤器的规则太过严格的话，可能真正有用的邮件如工作邮件也会受到牵连惨遭过滤。

　　用户经常由于类似的原因而关闭桌面防火墙功能，如果在下载应用程序或者MP3音乐时不停地弹出警告信息，用户总有会烦的一天。从中得出的教训是，要想保证数据安全并非只要装上一大堆安全软件就够了，“安全不是用钱买来的，而是用你的实际行动做出来的。” Mellis说。

　　正确做法：经常检查软件产生的记录，如果你觉得数据量太大处理不过来，那么可以考虑购买安全信息管理系统(SIM)。

　　陋习二、忽视人为因素

　　安全不但是个技术问题更是个行为问题，一旦你接受了这样一个事实后，就会开始理解建立和强制施行安全策略的重要性。

　　“现在大家谈论的焦点是什么?是网络欺诈!” Burton Group的安全分析专家Eric Maiwald说，“网络欺诈实际上属于社会工程学的范畴，是关于如何诱骗别人做自己希望他们做的事，比如诱骗别人把个人私密信息交到自己手上。有什么软件产品能阻止这类事情的发生?很少，这是个意识问题。”

　　公司的安全策略则是技术和员工行为的结合。策略的建立需要全体人员的共同努力。当然，有些策略可以依靠技术来解决(比如利用域管理和其他配置来限制计算机的功能)，而其他则纯粹是个人行为问题(比如不要把密码写在纸条上)，两者都很重要。

　　正确做法：如果公司里还没有安全策略，赶快建立一个，确保公司所有人都弄懂了并认真执行。　陋习三、办事风格鲁莽，做重大改变之前欠细致考虑

　　在我们最近的一次安全战略部署调查中发现，约有43%的受访者表示他们的公司没有部署任何安全策略。IBM的企业安全战略部门主管Stuart McIrvine认为他知道问题出在哪里，“他们采取的是先吃一堑，再长一智的消极做法，出了问题才做相应补救。他们缺少一套完整的风险管理策略。” McIrvine领导着一个八人小组对IBM的众多产品线进行安全策略方面的监督。

　　而数据安全问题不断加重的原因在于大家普遍认为这一直都只是个IT相关的问题，而在这方面技术专家一直被认为起着最关键的作用，结果就是跨部门的安全规范的施行(如人力资源部、法规与培训部)就成了别人的工作。受过培训的技术专家的任务就是要用技术来解决安全问题。

　　不过还好，如果企业有一套风险管理策略的话是可以填补各种IT规范之间的缝隙的。Symantec全球服务事业部的开发主管Chris Wysopal认为很多系统管理员在推出新安全措施之前缺少足够的安全评估和测试，却理所当然地就坚持认为“难道我做的这些事情还破坏了公司的网络安全不成?” 举个例子，为系统设置缺省密码就有可能导致对其他系统未经授权的非法访问。

　　一些非常重要的安全问题也可以采用综合手段来解决。“通过更改Cisco路由器的访问控制列表我就能解决很多Windows的问题。” Mellis说。

　　企业风险管理策略可以为相关人等提供一份关于轻重缓急的优先级列表。如果你是一个在线零售商，而你的系统里有五台核心服务器每天能产生一千七百万美元的收入，那比起普通员工的计算机，在这五台服务器上肯定要做更多的安全保护工作。数字安全系统公司的总裁Sanford Sherizen建议在做任何大的系统加强和软硬件环境变化前需要进行细致的安全影响调查。

　　正确做法：组建一个覆盖公司各个部门的综合小组，决定企业内部哪些是在安全方面需要注意的危险区域。

　　陋习四、安全管理过于苛刻死板，以安全的名义扮演扼杀者的角色

　　信息安全管理员最爱干的事可能就是先摇摇头再大声说“这样不行!”。一些IT部门长久以来形成了一种不好的名声，就是以安全管理的名义对什么能做什么不能做持最终“一票决定权”。

　　但长此以往这样下去是有害的。“负责安全的人员会倾向于否定其他人的想法，当然主要是从安全管理的角度来看。” Eric Maiwald说，“如果安全管理人员总是用没有时间来搪塞，长期下来其他人可能就会觉得或多或少受到了排斥。”

　　芝加哥安全咨询公司Neohapsis的首席执行管Kelly Hansen认为总说“不行”只是懒人推卸责任的借口而已。“很多时候他们说不行只是担心万一出问题自己要承担后果而已，他们觉得有可能会出问题，但是又没有时间去调查，相比之下仅仅说一声‘不行’则要简单多了。长此以往，其他人就会觉得安全管理员并没有起到任何帮助和推动公司业务的作用，而实际上却坏了很多事。” Hansen说。

　　Hansen所工作的一个信息安全部门则推行着一套“只说可以”的制度。设想这样一个场景，如果一位业务主管想在某个敏感的区域安装一个无线接入点的话，他来征求安全管理员的意见，这位管理员很可能会回答说“我明白你的需求，这主意不错，不过对这件事我总结了一份风险概要，你能不能看一下，然后在上面签个字?” 如果业务主管看了后觉得确实有问题的话，他很可能就会征求并最终采纳安全管理员的建议。这种做法就能让双方在解决问题时积极配合。

　　实际上，公司的安全措施应扮演业务推动者而不是扼杀者的角色。“应该这么看：有了安全措施，什么是你以前做不了而现在可以做的事?它又是怎样去推动公司业务的发展的?” Maiwald说。

　　正确做法：引入一套变化管理系统(CMS)可以有效地解决推动新业务，同时对安全进行维护的矛盾。陋习五、对内对外不设置或不细分访问权

　　现在很多企业网络缺少有效的访问权控制，只要你有了一个可以进入的用户名和密码，企业所有的机密都将暴露在你眼前。如果你是企业的业务合作伙伴而你只

　　需要访问企业的某个特定的网站，你很可能会发现自己手中的数字护照简直像隐身衣一样可以让你畅通无阻。

　　如果企业内部系统或网络没有一套访问控制和授权机制，那简直就和坐在火山口上一样危险。“如果被攻击者侵入了，或者内部出现了心怀叵测之人，那就彻底玩完了。” Wysopal说道。“在企业内部网络实施访问控制或对关键网络进行适当的隔离，就不会像现在这样离危险只有一步之遥了。”

　　那些现在已经完成或正在部署无线局域网的公司，问题尤其严重。其中很多根本没有对无线接入点进行配置以限制只许公司员工进入，于是只要任何人处在无线信号覆盖到的区域他就能轻松进入公司网络。“只要把笔记本带到纽约的金融区或市中心，你就能发现大量不设防的无线接入点。” Mellis说道。

　　为员工和访问者分配不同的访问权限使其能完成各自的工作，是相当重要的，安全管理员应该也值得为此付出相应的时间和劳动。而且别忘了系统管理员也不能例外，同样不能赋予系统管理员不该有的访问权。

　　正确做法：要重视访问权控制，对用户身份进行集中管理，并采取一些切实有效的安全措施，比如对登录系统失败的行为进行记录，把关闭所有不需要的网络服务作为一种习惯保持下去，任何人离开公司后就应该马上收回其访问权。

　　陋习六、对所有数据一视同仁

　　大型的网络攻击和对信息进行选择性窃取是不一样的。访问权控制和网络隔离只是对未授权数据访问进行防护的方法之一。

　　“不对数据进行分类会导致公司很多重要数据的泄漏。” 一家安全咨询公司的CEO Bill Burk说，“相比较，政府就精于此道：从一级机密、机密、内部数据，一直到向大众公开的信息，分类详尽清晰。”

　　数据分类不但适用于存在计算机中的数字文件，同样也适用于打印出来的文本文件。“一份明年的市场战略计划不应该随便出现在某人的桌面上。” Burk说。

　　正确做法：对数据按重要程度进行划分，并采取相应的保护措施。