不論是何種規(guī)模的企業(yè)，都面臨相同的安全問題：如何保護個人信息不被入侵者竊取。盡管如此，大部分的企業(yè)都在犯同樣的錯誤。John McCormick詳細(xì)介紹了大企業(yè)和小企業(yè)都會犯的五大安防錯誤。

　　個人使用的單個工作站，只有兩三臺電腦，通過高速網(wǎng)線調(diào)制解調(diào)器上網(wǎng)的小公司，擁有安全部門的企業(yè)網(wǎng)絡(luò)：無論企業(yè)的規(guī)模大小，他們都需要應(yīng)對如何保護個人信息不被盜取的安全問題。

　　很不幸，擔(dān)負(fù)著安全問題的人們都在犯著同樣的基本錯誤，我列出五個不論中小企業(yè)都會犯的嚴(yán)重錯誤。

1.安全規(guī)定執(zhí)行不力

首當(dāng)其沖的第一個錯誤就是未能制訂妥善的安全規(guī)定，沒有對所有使用計算機的人員進(jìn)行培訓(xùn)，而且對制訂好的規(guī)定執(zhí)行越來越松。

人們總是更關(guān)注自己應(yīng)該得到的東西而不留意自己被禁止做什么。所以，如果你的企業(yè)希望很好的解決安全問題，就必須建立一套清晰嚴(yán)謹(jǐn)?shù)陌踩摺Ｔ谶@些政策中必須對一些基本的使用規(guī)則做出規(guī)定，比如不要打開不熟悉的郵件，不要出于個人目的上網(wǎng)瀏覽，不要從網(wǎng)上下載文件等等。

其實多年以來安全專家一直在說這個問題，但為什么還是沒起作用？道理很簡單：盡管早有政策，但是對于違規(guī)者并沒有什么嚴(yán)重的處罰，而執(zhí)行政策的人也沒有任何獎勵。

　　有很少幾家企業(yè)，比如哈佛醫(yī)學(xué)院，貝絲以色列女執(zhí)事醫(yī)院就規(guī)定，任何級別的人只要違反了一條安全規(guī)定就會被開除。除了這種極端少見的做法，也只有少數(shù)的機構(gòu)會建立積分制度對遵守規(guī)定的人給予獎勵。

我們可以想象如果對安全記錄最好的雇員以重大的獎勵會給公司安全帶來什么樣的影響。舉例來說，每個人一開始都有100點，不論是否給公司帶來實際的危險和損失，每違反規(guī)定一次都會被扣掉一分。

制定的安全政策不應(yīng)僅僅停留在紙面上，更應(yīng)該激勵員工去執(zhí)行它，這樣才能長期的幫助企業(yè)提高安全性。

2.對新漏洞的忽視

五大錯誤的第二名是當(dāng)新漏洞產(chǎn)生時沒有采取相應(yīng)的措施。

大部分安全部門經(jīng)理都會自動收到新補丁的通知，或者他們會留意至少一個安全網(wǎng)站的最新消息。很多人曾經(jīng)訂閱IT Locksmith這樣的安全通訊來濾掉雜亂信息直接獲得最重要的信息。

盡管獲得信息的方式如此簡單，許多人甚至懶得去讀他們訂閱的通訊。當(dāng)然也就只有更少的人會真的按照獲得的消息去調(diào)整策略或者進(jìn)行升級。

3. 對科技過于依賴

另一個重大錯誤是過度依賴技術(shù)修復(fù)的能力以及對于工具的實際運用關(guān)注太少。

如果你對領(lǐng)導(dǎo)說你已裝好了頂級殺毒軟件或者最新的防火墻，他們就會認(rèn)為你完成了工作。但實際上，如果防火墻沒有正確配置，防病毒軟件也沒有進(jìn)行維護，有跟沒有是一樣。

在特定環(huán)境下正確設(shè)置防火墻需要很高的技巧。它不是一項設(shè)置完就可以丟到腦后的工作，它要比安裝殺病毒軟件清除惡意軟件復(fù)雜得多。防火墻需要經(jīng)常調(diào)整以滿足最新的要求，當(dāng)一個新的端口掃描攻擊出現(xiàn)時，必須在幾周內(nèi)阻斷會受其影響的那些端口。

問題又回到前面的第二個重大錯誤，人們必須在新的升級和漏洞出現(xiàn)時就給予注意。比如，了解最容易被攻擊的10個端口，把計算機安全組織SANS的網(wǎng)頁加入收藏夾。對于防病毒程序，不僅僅要及時升級，還必須要留意最新的彌補反病毒軟件自身缺陷的補丁。

反間諜軟件要比反病毒軟件簡單得多，所以很少需要打補丁。盡管如此，它們也要和反病毒軟件一樣要注意經(jīng)常下載最新的數(shù)據(jù)庫文件。

最后不要忘記，如果忽視安全檢測程序發(fā)出的報告，所有的安全裝置都會失去意義。

4.未能全面考察應(yīng)聘人員

第四大錯誤在于未能全面考察應(yīng)聘者的犯罪記錄或財務(wù)決策失誤等，特別是那些IT部門以外的應(yīng)聘人。

在美國個人隱私被認(rèn)為是最重要的基本個人權(quán)利，他們比較尊重別人的隱私權(quán)，所以在招聘過程中一般不愿意考察應(yīng)聘人員的背景情況。最近一期IT Locksmith就討論了用某人的財務(wù)歷史來判斷他或者她是否可靠的方式是否合理的問題。

盡管有許多讀者質(zhì)疑了這個方法，但是出于兩點原因，這一方法正在被企業(yè)廣泛運用。首先，如果一個人在自己的財務(wù)問題上粗心大意，那他在保護公司財產(chǎn)上又能有多認(rèn)真呢？其次，如果某人面臨財務(wù)壓力，他或者她更容易因外界壓力而做出危害公司安全的行為。

無論是因為計劃不善還是沒有控制好自己的沖動，亦或僅僅是由于粗心大意，不論如何解釋，破產(chǎn)經(jīng)歷都是一個紅色警告。這也許很悲哀，也許很不幸，但這是最常用的做法，因為這很有效。

5.對技術(shù)能力期望太多

第五大錯誤是在制定安全計劃時過分的信任IT員工的技術(shù)能力。

在挑選安全部門負(fù)責(zé)人時，大部分經(jīng)理考慮到網(wǎng)絡(luò)和軟件的復(fù)雜程度，會認(rèn)為技術(shù)能力最強的人就是最合適的人選。其實，除了必需的技術(shù)知識，安全直覺和偏執(zhí)對于安全工作更為重要，它可以保證IT部門工作人員都具有軟硬件安全技術(shù)相關(guān)的知識和技巧。

我擁有很強的與大學(xué)安全政策部門合作的安全背景和偵探社工作經(jīng)歷，我經(jīng)常在某家公司轉(zhuǎn)一圈，就會發(fā)現(xiàn)十幾個致命的安全問題，任何一個錯誤都可使最好的軟件安全措施完全失去作用。如果我想危害某家企業(yè)的IT安全，我要么會去清潔公司謀個職位，或者弄套假冒的UPS或FedEx制服。我會背著個大包走進(jìn)公司然后把我要的東西塞進(jìn)大包再背出公司。你的公司也可能遭到這樣的攻擊么？