当前，对于企业而言，企业安全性之最佳实践早已广为人知，但为什么绝大多数企业仍然无法真正实现？ 面对不断发生的网络安全事故所带来的可怕后果，安全意识的重要性已经被提升到了前所未有的高度。但几乎可以肯定，今年年内我们还将亲眼见证更多令人心惊的灾难。为什么悲剧总会反复发生？我给出以下几点猜测。

　　1、高层采取忽视态度

安全事务不仅带来额外成本，而且可能会给正常业务流程带来额外步骤、并因此影响生产力水平。没有哪位高管会因为安全事务处理得宜而备受关注，但却往往因短期盈利丰厚而得到赞誉。此外，首席执行官们往往会频繁跳槽，这更使得安全事务这类长期性工作遭到严重忽视。

　　2、受到供应商的错误引导

安全方案供应商们永远走在安全威胁炒作的第一线(旨在宣传自己的安全保护品牌)，并致力于销售其所谓包治百病的保护妙药。从技术层面讲，这些威胁的确真实存在，但相较于这些小打小闹、为未受保护的系统安装正确补丁往往能带来更理想的保护效果。如果一味听从供应商的建议，大家很可能会把最宝贵的资源从最紧要的领域挪出来并移为它用。

　　3、运营惯性导致问题拖延

假设企业管理层高度关注，并希望快速解决组织内的头号安全风险，即客户端Java。但就在这时，几位LoB经理提出了反对意见，表示几款关键性应用程序的正常运行需要以客户端Java为基础。事实上，也确实存在着一部分需要陈旧且满是安全漏洞的Java版本才能正常运行的应用方案。那么企业有可能先把运营放在一边，利用安全技术对此类应用程序进行重新创建吗？或者说，他们更倾向于先把问题搁置起来，等到明年的大规模技术更新规划上马时再一道加以解决？

　　4、在最明显的问题上缺乏正确引导

管理员们往往认为只有白痴才会轻易点击某个文件附件、打开某个指向被恶意软件所感染之网站的链接，或者轻信伪造的病毒警报而安装名为杀毒软件、实乃恶意软件的程序。但事实上，钓鱼邮件的效果确实非常、非常好，而且如果普通员工从来没见过真正的反恶意木马检测软件，他们根本不可能知道如何加以分辨。用户需要系统的安全培训，并在遭遇钓鱼活动时得到正确的提示及引导。每次培训时间不需要太长，但此类活动必须长期推进。

　　5、自以为安全无忧

防火墙、入侵检测系统、安全事件监控、网络监控、双因素认证、身份管理……我们的企业已经把这些方案全部部署到位，没人能够随便闯得进来!然而残酷的事实证明，如果大家已经被贼惦记上了，那么以上机制根本不足以彻底消灭数字化资产损失。要防止问题的发生，大家必须拥有审慎的心态——对闲置中的关键性信息进行加密、避免设置永久性管理员权限并通过各种举措降低恶意人士得逞后可能带来的交叉性损失。

　　6、抱有听天由命的心态

在我看来，大多数企业都很清楚安全问题的严重性。然而面对残酷的现实，他们几乎放弃了抵抗。那些有能力组织APT(即先进持续性威胁)攻击的专业黑客几乎不可阻挡。金融行业每年遭受的欺诈与犯罪活动损失高达数十亿美元，而这已经成为其运营成本中的组成部分。走了这么多过场，笑到最后的还是那帮恶意分子。

这种心态也有其合理性，毕竟在安全对抗当中、漏洞总是抢先于防御机制出现。是的，攻击活动确实无法避免，但这并不能成为我们放弃最佳实践以显著减小攻击面的理由。

(责任编辑：安博涛)