網絡安全“315”：帶你揭露7大網絡安全謊言

數據在云端更安全？

云架構“共享”的技術特征“牽一發而動全身”，也讓云數據存儲安全變得復雜。云數據安全保護除依賴云平臺的數據保護能力，更需要安全產品的加持。云平臺軟件通過副本/糾刪碼、快照、備份、CDP、容災等技術，可實現云上數據的完備存儲；通過鏈路加密、訪問控制等形式，可保證存儲環境的安全。同時，云平臺也需增加日志審計、數據庫審計、數據防泄漏等安全能力，擴展云端數據保護方式。只有雙管齊下，才能確保云端數據的安全。

依靠操作系統供應商足夠防止自身的網絡安全漏洞？

網絡安全是一個復雜的系統工程，僅僅依靠操作系統供應商是遠遠不夠的。操作系統是一組主管并控制計算機操作、運用和運行硬件、軟件資源和提供公共服務來組織用戶交互的相互關聯的系統軟件程序，并不是為了防止自身的網絡安全漏洞而存在的。相反，操作系統本身也存在大量的安全漏洞。與此同時，黑客和惡意軟件作者也在不斷尋找新的漏洞和攻擊方法，因此完全消除所有漏洞幾乎是不可能的。

合規等于安全？

近些年，網絡空間威脅形勢愈演愈烈，影響范圍與維度不斷擴展，這也加速著網絡安全政策法規的密集出臺。網絡安全和信息化建設是一體之兩翼、驅動之雙輪，要達到高質量的網絡安全，需要與業務同步規劃、同步建設、同步使用，并且持續完善，合規只意味著滿足最低標準。

網絡攻擊僅由外部威脅參與者造成？

由內部向外部或者是橫向發起的網絡攻擊也是常見的網絡攻擊行為。近些年，隨著勒索病毒等惡意程序的猖獗，企業對內部威脅的重視程度也在迅速上升。內部威脅是來自組織內部的威脅，這可能來自雇員、承包商或有權訪問組織系統和數據的第三方。當有惡意意圖的人獲得訪問組織系統和數據的權限時，就可能發生內部威脅；當擁有授權訪問權限的人安全意識不強、濫用其特權或操作不當時，也會發生這種情況。組織需要意識到內部威脅帶來的危害，并采取措施防護措施。

網絡安全產品，買的越多越安全？

網絡安全產品是保障網絡安全的基礎，必不可少，但日常安全運維才是安全設備持續起效的驅動力。單純依靠大量安全產品、設備堆疊的傳統靜態防護方式，想要抵御飛速發展的攻擊技術基本是不可能的，必須由安全策略、人員、手段、流程協同起效，才能將系統防護能力最大化。

實現網路防御自動化后，就不需要人工干預了？

自動化網絡防御體系的建設，能夠大幅度提升對攻擊行為的監控、處置效率，但其無法脫離技術團隊的運營。無論是企業自身業務的發展變化，還是攻擊手法的迭代更新，攻擊行為的分析研判都要求安全專家及時對現行防護系統、策略、手段做出有針對性的優化和調整，才能保證防御體系持續生效。

網絡安全建設成本太高？

如果只看網絡攻擊事件造成的直接經濟損失，據星球日報報道，僅2022年10月就有40起重大黑客攻擊事件，平均損失接近1000萬美元。這些巨額損失甚至還不包括攻擊事件造成的業務中斷、系統破壞、企業聲譽受創等一系列虧損。相比于攻擊事件發生后再想盡辦法去降低耗損，做好日常網絡安全運營、建設動態防御體系才能給企業帶來更大的收益。