保护企业网络和数据安全 十大计算机安全陋习

　　安全顾问时常会提出许多保护网络与数据安全的经验，但在安全领域里，有些点子不但没什么帮助，甚至会适得其反。本文总结出了十条“计算机安全陋习”，希望大家看看自己犯了其中哪些错误，有则改之，无则加冕。

　　陋习一、一旦发现安全漏洞就赶紧购买新软件试图补救，过于依赖和相信安全软件产品而缺乏自己动手和分析的能力

　　现在信息安全领域有个很流行但实际上很危险的思想，即相信所有问题都会有相应的工具来对付，只要我们手上有了防病毒软件、防垃圾软件、防火墙、补丁管理程序、VPN、PKI、IPS、IDS等等工具，我们就百毒不侵，就有十足的安全感。

　　问题是，工具只有到了会用的人手上才能真正发挥作用。“工具只能辅助你而不能取代你，它不会帮你完成所有工作。” Unisys的安全顾问John Pironti说。“请记住，我们至少比计算机聪明50%，计算机只知道‘是’或/和‘否’，但我们还知道‘也许是’。一个工具能发挥出多大的作用是由很多方面决定的。”

　　就拿入侵检测(IDS)和入侵防御系统(IPS)来说，并不是你从厂商那里买来，它就能直接发挥很好的作用。你首先得手把手教它该如何检测入侵，而且一旦跑起来后，你还得经常查看它的运行记录，查找所有出现过的攻击模式。有些IT人员虽然很好地完成了对IDS和IPS的配置工作，但还是为入侵者留下了可以利用的漏洞，原因就在于他们没有对工具记录中的大量报告进行足够的分析。

　　“主要问题是没有明确规定‘查看记录到底属于谁的工作范畴?’” SystemExperts公司的安全顾问Mark Mellis说，“这些产品产生了太多的记录，人们只有在磁盘被占满后才会想到看一看，然后很多数据就被丢弃了。”