數據遭泄露的事件多次見諸媒體，這應當引起任何公司管理層的重視。管理者認為安全的很多方面未必得到了應有的適當保護。有時，企業在不知不覺間就有可能將自身暴露于風險之中，且還不知道如何應對。

[[129979]]

保障企業安全是一個需要考慮到很多方面的復雜問題。例如，攻擊者可以借助第三方廠商取得企業網絡的訪問權，這進一步表明在內部和外部邊界之間的安全漏洞。有時，在雇員打開了一個被惡意軟件感染的郵件附件后，就會發生數據泄露的風險，這進一步凸顯了在整個企業中進行安全培訓的重要性。例如，前些日子鬧得沸沸揚揚的索尼被黑事件中，美國的聯邦調查局曾認為是朝鮮黑客所為，但事后的證據表明：內部心懷不滿的人員在攻擊中扮演了重要角色。

總體說來，這類嚴重的安全事件表明漏洞存在于技術和人這兩方面因素中，而漏洞利用可能源自內部或外部的有意或無意的行動中。因而，全面的企業安全策略要求關注業務環境的所有方面，其中包括技術、策略、編制、人的行為分析等。

因而，企業進一步反省在信息安全方面的錯誤是很有必要的。本文將涉及企業在信息安全方面的常犯的錯誤，并指出了解決此類問題的出發點。

錯誤1:各自為戰的陣營

在很多大型的企業，實施安全的責任存在于兩個分離的陣營中：一個是應用程序的開發人員，其責任就是將安全性構建到業務應用中，另一個是信息安全人員，其重要職責是圍繞業務應用構建安全防護。

上述做法雖然看似全面，但強健的外圍和應用程序安全仍不能足以挫敗針對當今網絡的復雜攻擊。應用程序開發者和信息安全的從業者之間的這種各自為戰的狀態會造成二者之間的知識差距，進而影響系統過程和策略的緊密結合,因而會造成其連接界面中的漏洞。兩個陣營在安全問題上的差距持續存在，因為他們以不同的眼光看待應用或程序，并且其看問題的優先次序也不同。

解決此問題的出發點

全面的企業安全得益于整體化的方法，其中的安全從業者和應用程序的開發者在項目的一開始就緊密合作。上文談及的分離的陣營可以通過形成一個軟件安全小組而連接起來。軟件安全小組應當有全面的背景和觀點。相關人員在項目開始時就參與到小組中能夠為跨陣營的協作提供有效途徑。這種企業安全的整體化方法為應用程序開發、安全功能、網絡架構、策略、過程的整合提供了基礎。

錯誤2：標準不統一

企業環境的特點是多種操作系統、計算平臺、設備構成日益復雜的網絡。其中的某些設備是由企業擁有并控制的，當然還有一些不易控制的設備，如BYOD。此外，企業網絡往往在多個水平上跨越不同的邊界，例如，企業內部的不同邊界(例如，不同部門)、企業之間的邊界(供應商、客戶、合作伙伴等)、不同地理位置(例如，攜帶移動設備的移動雇員)。關于如何保障這種復雜網絡的安全性，企業的策略和過程需要不斷地發展，而制定這種策略和過程的相關人員都有其自己領域內的安全觀念。

這種情況的麻煩在于，雖然對于特定的設備來說，其要求和想法可能有效，但真正的安全漏洞存在于這些設備之間、不同系統的接口處及不同設備和系統之間的數據流中。在跨邊界的設備和網絡出現問題時，就可能導致安全失效問題。任何人要想理全面地理解安全和功能時都會感到非常困難。

解決此問題的出發點

制定跨邊界的融合性標準可以有助于企業在日益復雜的環境中增強安全性。企業可以考慮在其“安全意識”培訓項目中增加基本培訓和融合性(“混搭”)培訓?；九嘤柕闹攸c是安全和軟件開發中的基本概念，即那些在培訓項目中可能會涉及到的概念。融合性(“混搭”)培訓圍繞這些概念展開，并將其放在企業環境中，促進跨企業的協作。

錯誤3：將業務過程和可用性作為后添加的東西

例如，有的企業非常重視用戶體驗，認為用戶必須能夠輕松地使用系統，復雜的安全要求不應影響自然的業務流程。當業務流程和安全性產生矛盾時，安全性要向業務流程讓步。在便捷性和安全發生沖突時，便捷性往往能夠取勝。這個事實反映在口令問題上就是：把寫有口令的紙條粘在顯示器上，等等。

解決此問題的出發點

企業要確認所有相關人員，其中涉及高級經理、項目經理、管理員、終端用戶、網絡和系統管理員、安全運維人員、測試人員、開發者、法律事務人員等，總之要確認與企業運營的安全性有關的一切人員，要確保在項目的初始階段就考慮到業務的優先次序、工作流程、可用性問題等。在決定相關的人員時，不妨思考以下問題：為什么這些人很重要?這些人的一般背景是什么?這些人在工作中有可能遇到的挑戰是什么?如何克服這些困難?這種對安全團隊的更廣義的觀點可以促進不同相關人員的相互協作。強健的安全并不僅僅指的是技術;安全還應當構建到工作流程中。#p#

錯誤4：安全測試不充分

系統的功能操作規程描述了系統可以做什么。但安全漏洞往往與應用程序的非功能性方面聯系在一起：即利用系統功能和目的之外的東西。不幸的是，許多企業將安全測試限定在功能測試上，而沒有測試應當被禁止的系統功能上。即使在交付軟件之前進行了一些滲透測試，這種安全測試也無法充分地確認有可能被攻擊者利用的潛在漏洞的范圍。

解決此問題的出發點

企業應該對功能操作規程進行擴展，使其既包括應用程序的目的和功能，又包括不希望其實現的功能。同樣，安全測試也應進行相應的擴展，使其既可以測試期望其實現的功能，又能夠測試不期望業務應用實現的功能。在測試時要有這種清醒的認識，還要認識到攻擊者可獲得的資源也越來越豐富，并且能夠采用逃避防御的技術。有了這種認識后，保證測試人員和測試技術的多樣化是一個好方法。因為對手是動態變化的，是多種多樣的，他們有著各種動機、背景、方法等等，所以安全保護團隊也應實現多樣化。

企業安全的聯手

企業安全是一種共同的責任，而且每個雇員都有其需要扮演的角色。企業信息安全責任不應當獨立于業務和運營的決策。企業應當構建一個由有著安全、業務、技術等多種背景基礎的人員組成的多樣化團隊，其目的是為了形成一種全面的安全決策。企業應向所有的雇員強調以下三方面的重要性，一是維護適當的安全制度，以保護私密和敏感數據;二是形成一種關于公司業務、安全、私密的策略;三是理解出現安全問題后的補救過程，并考慮運營和道德問題。

當今的企業環境包含著一種由技術和人員兩方面的漏洞構成的動態交互。攻擊者不但可以攻擊設備、網絡、人員的漏洞，而且還可以利用這些因素之間的接口漏洞。這種環境要求對企業的安全使用一種整體化的方法，也就是將相關人員(如軟件開發者、安全專家等)鏈接起來的整體化方法。

具體說來，實施一種融合性方法有助于軟件開發者和安全人員客服相互協作的困難，也助于企業管理分層安全的復雜性，并可以將新的應用整合到已有的安全架構中。從更廣義的角度說，隨著企業面臨的環境日益復雜多變，采用融合性方法的企業將會更好解決上述問題。