盘点网络安全的10个误区，你中招了几个？

在网络安全形势与合规双重挑战下，制定网络安全策略成为企业计划的一个重要方面。但许多企业在制定安全策略时难免走入误区。

接下来让我们盘点企业在制定网络安全策略中的10个误区。

误区1：审计走过场

进行全面的安全审计，却忽略了结果，像是“考完试”一样，过关了就放心了。

企业口头禅：后面的工作会弥补差距，查漏补缺…

误区2：部署安全工具，却无人管理

部署许多优秀的安全产品，却只将其设置为自动模式，后期管理或维护却束之高阁。

企业口头禅：这就够了。

误区3：应付合规

随着相关网络安全法律法规的施行，企业满足等级保护及其他相关安全合规成为必选项。但为应付合规要求，企业只满足等保最低要求就完事了。殊不知最低限度的合规还远远不够……

企业口头禅：我们是合规的。

误区4：寄希望于某一个安全工具

有多少企业还停留在防火墙、IDS/IPS与杀毒软件？老三样安全工具的时代早已结束，仅靠某一个安全产品来防范网络攻击，不是天真就是无知。

企业口头禅：希望别出事。

误区5：IT人员与安全人员互相扯皮

网络安全是涵盖的领域非常广泛，既包括黑客攻击这样的技术场景，也包括普通员工遭遇社会工程学攻击、勒索软件攻击或钓鱼邮件这样的场景，还包括企业内部员工导致的数据泄露等，牵涉的部门众多，绝不仅仅是安全人员自己的职责，需要包括IT部门乃至业务部门共同协作。

企业口头禅：这是IT部门的事。

误区6：陷入营销而忽视效果

当前市场网络安全产品众多，功能同质化严重。企业在不了解技术背景的情况下，过于相信销售人员的吹嘘或迷信产品参数，而忽视了实际效果。

企业口头禅：产品看上去不错。

误区7：保持默认安全设置

看到产品的强大安全能力，却只停留在默认安全设置上，无法发挥产品的真正安全能力。

企业口头禅：这样就可以了吧。

误区8：默默无闻，不会被攻击

这种心理在小企业中普遍存在，总觉得目标太小，没有价值，不会成为被攻击目标。

企业口头禅：没人注意到我们。

误区9：对安全不够重视，在战略上存在侥幸

觉得不会受到攻击，所以继续更重要的事情，把发展重点放在其他事情上，网络安全投入过少甚至忽略不计。或者说某段时间平安无事后，就开始削减安全预算。未将网络安全放到公司发展战略的高度。

企业口头禅：太贵、太复杂了，……没钱！

误区10：完全寄希望于网络保险

觉得不需要安全投入，只需购买保险就OK了，转移风险胜于降低风险。当然，对于网络保险尚不普及的国内市场来说，这一误区似乎并不常见。

企业口头禅：保险会赔付。

结语：

网络安全需要长期战略规划，更需要包括安全人员在内的每个人的共同努力，尤其是高层管理者，并最终落实到真正的安全能力上。

最后整理收纳一些网络安全学习相关书籍的PDF有需要的可以点击这里领取