网络安全的5个误解

在Information Security领域，存在一些会影响高层管理者、业务经理，有时甚至影响行业专业人士的误解，导致人们夸大或误解信息系统面临的威胁以及用于应对威胁的技术。许多误解之所以存在，是因为人们在陌生情境中倾向于过度和情绪化反应，而不是进行客观分析。结果要么高估问题并依赖别人提出的第一个解决方案，要么低估风险，以为这样就能避免额外开支。

误解 #1 - 不会发生在我身上

相信自己的公司永远不会遇到网络安全问题。很多时候，这句话来自不愿花钱（更准确地说是不愿投资）的人，他们希望风险不要变成现实。相反，当一个问题被识别，甚至只是被假设存在时，就应该进行风险分析；如有必要，应投入资源来缓解或彻底解决它。

另一些时候会发生相反情况：人们夸大漏洞影响。最好的做法是使用指标框架，为漏洞风险赋予客观价值。

误解 #2 - 所有风险都可以量化

企业里有一种错误观念，认为任何事情都能对应一个数字。人们幻想security manager只有用Excel表格证明，才能获得所需预算。实际上，应帮助高层理解哪些可以量化、哪些不能量化，并获得必要预算来实施稳健的基础安全控制架构。

误解 #3 - 我们有物理安全或SSL，所以数据是安全的

更简单地说：我们有杀毒软件和防火墙，所以安全！这并不真实。很多时候，这种观念由试图销售产品的外部供应商灌输，他们把全部重点放在产品特性上。请停止购买产品和appliance，并期待它们神奇地让您安全！即便产品“不错”，我们是否也要确保它配置正确，并发挥最大潜力？

实际上，安全应从风险评估出发，作为架构来建设，并考虑正在保护什么，从而实施正确控制。这样才能不被与安全无关的元素分散注意力。

误解 #4 - 使用复杂且定期过期的密码能降低风险

并非如此。密码并不真正有效，整个机制存在很大缺口。它只是企业抓住不放的一个过时历史遗留。

密码并不足够，因为cracking并不是绕过障碍的唯一方式：还有sniffing，以及在不同安全级别系统之间复用凭据。找到密码的有效替代方案很难，而且双因素或多因素认证并不总是容易实施。与此同时，企业可以建议员工不要在工作中使用个人密码，并定期检查密码强度。

误解 #5 - 买一个网络安全设备就能解决所有问题

我们刚被告知有一款新产品，能解决95%的问题，安装简单，价格相当于公司里许多服务器之一。也许吧……如前所述：不要再购买软件和“硬件”，并期待它们神奇解决问题。如果没有严肃分析和审计业务真正暴露的关键风险，我们只会白白花钱，并增加基础设施复杂度。这个误解代表了对“安全”整体问题常见且错误的理解。

依赖误解是错误的。因此才有EasyAudit：一个专业且经济的工具，为您的企业网络安全提供第二意见！