躲开网络安全的八大“神坑”

网络安全意识对企业网络安全的作用和影响往往比任何工具和技术更重要，新春开启，我们不仅要规划好前进的方向，还要摒弃陈旧的网络安全误区，特别是第8个认为威胁只来自外部，关于这个误解可以继续详读今日推送的第二条内容。

网络安全在良好商业模式中扮演着不可或缺的角色。你很难遇到一个没有把网络安全政策纳入基础设施的成功企业。但即使是出于好的意图而建立的网络安全项目也可能达不到预期目标。为什么？这是因为，这些好的意图往往是建立在由不信任、误解和信息缺乏组合而成的虚构谎言之上。下面将一一列举科技行业中最常见的8大网络安全误区。

1. 我太渺小不会被攻击

你总是能读到关于数据泄露的信息：大公司惨遭网络攻击，数百万用户数据被不明身份的黑客窃取。“好吧，”你会想，“这永远不会发生在我的生意上，我们没有足够的价值，太小了。”然而在2016年，针对中小企业的网络攻击就已达到43%。近年来日益增长，恶意软件和恶意攻击在复杂性和频率上都在不断升级。你和其他大公司一样有可能成为目标！

2. 我的密码已经足够复杂了

让你的员工记住一个12个字符的登录密码，其中包含特殊字符、大写字母和数字，认为“那一定够了! ”但事实并非如此，社会工程和复杂恶意软件攻击的结合可以轻而易举地绕过。多个平台共用一个密码使你依赖于其他任一平台的安全性，该组织的密码数据库一旦被破坏，系统上的帐户将处于危险之中。恶意第三方利用各种各样的机器人和自动攻击来加速攻击。如果没有双重认证和加密级别(尤其是在脆弱的公共网络上)，在当今危险的网络世界，一个密码极易被攻陷。

3. 我的防病毒软件已经足够好了

你很容易相信，你的企业投入了大量资金打造的高级软件一定能够阻止任何攻击者，但这不是真的。反病毒具有基础性及重要性，但良好的网络安全需要严格的程序，包括保护、检测和响应准备，以及针对用户行为的安全实践。

4. 这是IT 的问题

让IT人员来处理一切吧！这又是一个处理网络安全的愚蠢方式。一些企业缺乏资金来雇佣有经验的员工。而且，即使有一个优秀的IT团队，员工的能力也是有限的。如果你希望你的IT团队能处理每一个与技术相关的问题，从重新设置登录到管理网络基础设施以及处理潜在的入侵，那么你就是在自找麻烦。

5. BYOD是安全的

虽然自带设备（又称BYOD，Bring Your Own Device）政策很受欢迎且节约成本，但它对企业来说又是一个全新的风险。“员工带来的智能手机和移动设备是安全的”，这一假设是一个严重的判断错误。个人数据、登录以及与业务相关信息的应用程序都很容易被攻击，每个不安全的设备都是你的网络安全基础中的潜在漏洞。

6. 完全安全是可能的

为不断适应新威胁，网络安全团队需要一直进行斗争。当调整策略和战术以应对这些威胁时，攻击也会进化以应对这些变化。这是一个持续不断的战场，完全的安全是不可能实现的。企业要始终考虑到某种形式的网络攻击，并始终进行适当的备份、做好应急准备以及采取灾难恢复措施。你只能对恶意威胁采取积极主动的态度，但不能完全对抗所有的威胁。

7. 我不需要评估和测试

我想不出比这更糟糕的网络安全方案了。这就像写一篇学期论文，递交上去时，没有任何修改和审查。但如果没有评估和渗透测试，你无法合理地期望当前的网络安全计划万无一失。这些自我评价是非常宝贵的，可以告诉你企业最弱和最强的地方。

8. 威胁只来自外部

良好的安全性要求对员工和公司策略进行严格的检查，就像对各种第三方攻击的检查一样。无论是人为错误还是恶意意图，网络安全风险有可能来自你自己的企业内部，和外部风险一样。内部员工是获取最高敏感信息的途径，因此风险也最大。【来源：360企业安全】

更多资讯详见：360社区早报（2019-2-13）