互聯(lián)網(wǎng)高速發(fā)展的今天，黑客活動(dòng)十分猖獗，各種重大事件泄露事件層出不窮，從而引發(fā)了各界的廣泛關(guān)注。

Web安全、數(shù)據(jù)安全、電子文檔安全、數(shù)據(jù)信息安全及數(shù)據(jù)泄露防護(hù)(DLP)解決方案提供商北京億賽通科技有限公司在認(rèn)真分析近年來(lái)重大泄密事件的細(xì)節(jié)后，總結(jié)出當(dāng)前造成企業(yè)安全防護(hù)體系松動(dòng)，并引發(fā)數(shù)據(jù)泄露的隱患可分為業(yè)務(wù)層面及技術(shù)層面：十大原因

一、業(yè)務(wù)層面：

1、 缺乏對(duì)安全角色的正確理解

人們對(duì)便利性的需求遠(yuǎn)勝于安全，為了加速盈利而輕視安全問(wèn)題的例子不在少數(shù)。安全防護(hù)其實(shí)是一套自上而下的業(yè)務(wù)解決方案，各企業(yè)的CTO需要積極參與產(chǎn)品及服務(wù)的研發(fā)過(guò)程中，并將安全整合到企業(yè)的發(fā)展戰(zhàn)略中，促進(jìn)安全智能轉(zhuǎn)化為商業(yè)價(jià)值。

2、 認(rèn)為安全方案達(dá)標(biāo)即萬(wàn)事大吉

在數(shù)據(jù)安全的監(jiān)管壓力下，所投入的預(yù)算及考量往往僅為滿足項(xiàng)目的需求，而不是以保護(hù)數(shù)據(jù)安全為出發(fā)點(diǎn)。而實(shí)際上，達(dá)到監(jiān)管部門的要求也只是讓系統(tǒng)正常運(yùn)作的基本而已，黑客們可以通過(guò)網(wǎng)絡(luò)跳板或是竊取特權(quán)訪問(wèn)到企業(yè)的敏感數(shù)據(jù)。如常見(jiàn)的網(wǎng)絡(luò)分段其實(shí)是不堪一擊的，通過(guò)數(shù)字證書盜用，入侵者可以輕易的騙取更深層網(wǎng)段用戶的信任，方便以周詳?shù)挠?jì)劃套取到更多的機(jī)密信息。

3、 安全體系更多是圍繞基礎(chǔ)設(shè)施而非數(shù)據(jù)安全

多數(shù)企業(yè)更習(xí)慣于在項(xiàng)目的基礎(chǔ)設(shè)施和業(yè)務(wù)方案中投入精力與預(yù)算，如安裝殺毒軟件與防火墻等，但這沒(méi)有真正考慮到當(dāng)前高級(jí)安全威脅帶來(lái)的挑戰(zhàn)，這些手段雖然還能保持一定的作用，但卻會(huì)因相對(duì)無(wú)效性從未來(lái)的安全體系中逐漸淡出。

4、 過(guò)于關(guān)注先進(jìn)技術(shù)

誠(chéng)然，關(guān)注先進(jìn)的技術(shù)無(wú)可厚非，但單純的技術(shù)往往治標(biāo)不治本。要成功實(shí)現(xiàn)全面的IT安全，必須整合進(jìn)成套的員工管理方法及業(yè)務(wù)安全操作流程，作為企業(yè)文化的一部分被長(zhǎng)期貫徹。

5、 未能充分調(diào)用員工的能動(dòng)性

僅僅提升員工對(duì)威脅的識(shí)別能力是永遠(yuǎn)不夠的，許多員工并不了解他們正在使用的數(shù)據(jù)的價(jià)值所在，并錯(cuò)誤地以為數(shù)據(jù)安全是由專人負(fù)責(zé)的，并未充分認(rèn)識(shí)到自己也是在企業(yè)數(shù)據(jù)安全中的重要角色。企業(yè)需要對(duì)員工進(jìn)行縱向及交叉的培訓(xùn)，讓各部門對(duì)彼此在安全防護(hù)中職責(zé)和戰(zhàn)略有相互的了解，并結(jié)合周期性的安全攻擊演習(xí)，以檢驗(yàn)培訓(xùn)的成果。

二、技術(shù)層面：

1、 新舊技術(shù)之間的融合問(wèn)題

企業(yè)所面臨的最大挑戰(zhàn)之一就是如何在現(xiàn)有的基礎(chǔ)設(shè)施上融入新興的技術(shù)，以提升安全體系的等級(jí)。為了與新興技術(shù)相匹配，許多企業(yè)將基礎(chǔ)設(shè)施作為發(fā)展的重點(diǎn)，卻忽略了所要保護(hù)的數(shù)據(jù)本身，也沒(méi)有意識(shí)到一些先進(jìn)的技術(shù)很可能導(dǎo)致部署的不一致，白白耗費(fèi)大量時(shí)間、人力與財(cái)力，反而留下了安全隱患。

2、 移動(dòng)與云計(jì)算將弱化基礎(chǔ)設(shè)施的作用

在移動(dòng)互聯(lián)及云計(jì)算高度發(fā)展的今天，數(shù)據(jù)可能出現(xiàn)在任何位置。這也是企業(yè)必須將關(guān)注重心由基礎(chǔ)設(shè)施轉(zhuǎn)為數(shù)據(jù)的另一個(gè)重要原因，移動(dòng)化及數(shù)據(jù)增值正弱化在基礎(chǔ)設(shè)施中在多層架構(gòu)中的安防效果，加大基礎(chǔ)設(shè)施的建設(shè)力度并不能對(duì)云數(shù)據(jù)提供相匹配的安全保障。

3、 傳統(tǒng)安全解決方案沒(méi)有完全跟上各類威脅的快速演變

即便擁有充足的預(yù)算，新技術(shù)的落實(shí)與安全解決方案的開發(fā)都很難與威脅的演變同步，二者之間的差距使得多數(shù)的解決方案在用戶覆蓋上有所不足。如何覆蓋移動(dòng)用戶、顧及https與私有VPN的盲點(diǎn)、以行為分析擺脫對(duì)簽名技術(shù)的過(guò)度依賴，才是真正需要預(yù)算投入的地方。

4、 多數(shù)安全系統(tǒng)沒(méi)有自主學(xué)習(xí)能力

在傳統(tǒng)的安全技術(shù)下，攻擊者可以通過(guò)改變代碼的方式繞過(guò)安全監(jiān)測(cè)，讓防火墻和反病毒解決方案失效。若系統(tǒng)不能實(shí)時(shí)升級(jí)以應(yīng)對(duì)新的亂碼攻擊，就會(huì)留下許多極易被利用的漏洞。

5、 缺乏整合是大多數(shù)企業(yè)的致命弱點(diǎn)

多少情況下，網(wǎng)絡(luò)上附加的安全功能并不是越多越好，他們?cè)诠δ苄陨系闹丿B不會(huì)讓系統(tǒng)變得更為強(qiáng)大，相反會(huì)因?yàn)椴荒芄蚕肀舜说男畔⒍速M(fèi)資源。企業(yè)需要一些新的途徑部署統(tǒng)一的控制面板，在實(shí)現(xiàn)對(duì)安全項(xiàng)目高度統(tǒng)合管理的同時(shí)，將各自的安全智能相整合，實(shí)時(shí)收集相關(guān)數(shù)據(jù)，供安全團(tuán)隊(duì)作出明智的決策。