概述

      曾经在拉斯维加斯Interop大会上，有一位网络安全专家曾向大众告知了企业IT负责人必须要注意到影响到公司网络安全的七个小秘密。

      的确，现在网络技术的发展日新月异，随之网络安全问题也是日益增多，这位专家就沿用了20世纪60年代Ralph Nader针对汽车安全出版的书《任何速度都不安全》中的话来表明了自己的观点，他表示任何速度都不安全，安全产业的七个秘密。

安全认证误导性很强

      所谓的网络安全认证是有一个安全认证标准的，这种网络安全认证标准会经常确认所对应的产品能够百分之百的阻挡所有的可复制恶意代码。然而被捕获到的恶意代码中有75%是不可复制的，例如木马。当标准设定之后，Corman说：“不可复制的恶意代码仅占恶意代码的5%”。认证意味着一个产品只能捕获100%恶意代码中的25%。

      我们平常所说的安全世界是需要安全厂商们进行严密的设置防御系统和平台的，但是细心地朋友都会发现，一般大部分数据的丢失都没有经过防火墙，而又多一半的数据是通过笔记本电脑或者一些其他终端设备那里丢失的，因此网络是否安全，用户的数据是否真正得到保障应该是由企业对自身网络安全进行加强，甚至包括加强企业的上网流程方面的管理，就像保障他们的网络边界一样系统的进行安全防护策略，只有这样用户的数据才有可能真正得到有效的保护。

风险是不可规避的

      作为安全厂商，他们当然希望自己所研发生产的产品可以尽可能多的阻挡外来的安全威胁和尽可能多的阻挡黑客病毒的数量，就好像NAC可以用来解决一些很实际的问题，但是对于企业来说这些做法并不会给企业的主要业务带来哪些有效的影响，那其实也就根本不用考虑安全方面了。

      Corman说：“风险评估应能确定改进业务流程或固化配置是必须的，你需要了解所处的环境和大的优先级。”的确，安全厂商力推如何保护 和修复软件的漏洞，但是Cormen说这些问题仅占被成功利用的漏洞的一部分。弱口令、弱配置，特别是缺省配置，以及易被社会工程突破的缺乏安全意识的人 才是最大的问题。Cormen说：“即使软件是完美的，仍有病毒木马会肆虐，他们其实并不完全依赖于软件问题。”

厂商盲点有可能导致黑客爆发

      网络安全制定安全规范其实是很有必要的，例如HIPAA或行业的标准如PCI并不是以使你的网络更安全。问题在于政策法规制造了规范要求与网管认为对业务来 说最需要做的事之间的落差，影响到预算和资源的投入。遵从这样的标准，同时意味着可能引发针对此类相同防御的可能攻击能被实施。

      公司层面的企业级安全防护可以有效的防止一些不法分子利用行为检测这些技术对网络进行破坏，但是广大的个人用户并没有从中受益，当然行为检测技术在分析在个人安全产品上的运用方面上有一定的作用，但是从另一方面分析，这种技术存在的不足和盲点还是有很多的，而且还有大量从来没试用过这种技术的用户，也就是说像类似于Storm这样的蠕虫病毒仍然有爆发的可能。

安全玩儿DIY靠不靠谱

      很多安全厂商希望通过自身的努力让用户相信安全是具有很高复杂性的，并且用户不能独自面对这些，由于不同的业务需求仅仅靠选择产品是不够的，还需要针对实际环境进行正确的安装部署，对于这项工作IT部门的员工是最适合不过的。

      曾有安全专家认为，所谓的国际安全认证其实就是一个安全行业的规则，正如近些年国内的安全厂商VB100，但是随着商业利益的驱使，目前都带有浓厚的商业味 道。是否是组织内部人士，甚至是否是组织内的核心圈人士能直接影响到该次测试的样本集，从而直接影响到测试的结果。所以围绕这些组织的公关是愈演愈烈。

      所以说安全是一个持续长久的话题，这中间不仅需要用户的应用支持，更需要每个安全厂商对产品的不断研发和更新，只有这样我们才能够在这个病毒更新换代很快的网络时代让自己站在一个安全的“岛”上。