首先，ChoicePoint网站包含145,000个用户信息的数据库被黑客侵入。之后不到两星期，美洲银行包含120万个账户数据的备份磁带又丢失了。

　　这两天，更有人闯入LexisNexis下属的Seisint公司的重要数据库，将32,000份档案看了个够。坏分子之所以选中公司数据库，是因为那里面就有金钱。但是更让人担心的是许多关系到企业命脉的关键数据库却很不安全。
企业战略集团(Enterprise Strategy Group)最近对229名安全专业人员进行了调查，这些人都来自员工人数在1000人以上的大公司。

　　大部分的受访者(52%)所在的公司年收入在10亿美元以上。我们的目标是客观的衡量一下内部网络安全的威胁到底糟糕到什么程度。 安全技术公司则把人们的恐惧心理转化为产品销售的动力，借机大赚一笔。

　　结果很让人震惊。比如，23%的受访者说他们的公司在过去一年中遭受过内部网络入侵，还有27%的人不知道是否被入侵过。在这里提醒大家：避免和不知道自己公司是否被入侵的人做生意。

　　在公司网络不安全引起的损失方面，40%的人回答有一次因入侵导致关键系统或服务中断，有38%的人回答入侵导致数据受损或丢失，17%的人说入侵导致知识产权被窃。

　　看到这里，你是不是想把信用卡掰碎了？别急，还有更糟的。

　　为了弄清楚问题的范围，我们要求受访者回答他们去年发现的网络漏洞类型。结果他们列出了一大串答案，其中有许多是安全大忌，包括保留前任员工的账户、设备使用默认口令、以及未经授权的人也可以用管理员身份访问关键系统。

　　或许最要命的是这一点：有16%的人认为他们的网络有漏洞，但是没有专门抽出时间来检查。

　　采取正确的行动

　　这种让人难以接受的状况引发了人们对数据安全性的再度关注。

　　美国公民感到很不安，要求采取行动。当然，政治人物免不了一通慷慨激昂的演讲，要求政府制定新法规。安全技术公司则把人们的恐惧心理转化为产品销售的动力，借机大赚一笔。每个人都有自己的做法。

　　但是所有这些做法都有问题：安全成为主流会带来一些负面影响，即每个人都提出自己的意见，会把一些例行的工作做得很过分。不错，必须要有所行动，但是重要的是先要回到最基本的地方。

　　大部分坏分子并不是寻求技术挑战的疯狂科学家。他们更像是那些欺骗乡下人和外国游客的伪艺术家。聪明的罪犯会去寻找和系统漏洞具有相同功效的东西。

　　因为找到系统漏洞是需要技术的，而不通过漏洞也可以达到同样目的。比如，入侵LexisNexis的黑客就是通过偷取合法用户的口令得手的。这跟用你哥哥的身份证去买酒一个道理(美国一些地方不准向未成年人出售酒精饮料--译者注)。美洲银行一案中，罪犯是从商用飞机的货舱中把磁带偷走的。看出来没有？

　　在发生恐慌之前，第一个需要采取的安全措施就是调查。这不需要什么高深的技术，只需要聪明的安全专业人员去寻找系统中每个部分的薄弱环节。

　　拿以上列举的网络漏洞为例，如果用户数据服务器使用默认口令，并且保留着离职员工的账户，就很危险。公司要专门来检查这一类漏洞，把它们按照危险级别排序，先解决最危险的那个。这确实很简单。

　　另一个基本的安全行动就是对员工进行培训。员工必须知道如何识别和报告威胁，不要面临威胁时手足无措。如果我想入侵工资管理系统，最简单的办法是向财务部门的工作人员问一下密码。实际上有很多人愿意提供这类机密信息。只有25%的公司对员工进行安全培训；我认为这是一个基础性的问题。

　　在这里我无意贬低法规和安全技术。这两者都是保护隐私和防止身份信息失窃的重要手段。但是我们要解决这些问题，必须依靠良好的常识，而不是惊慌失措。

　　在生活中，你会采取简单的预防措施保障个人安全，比如锁门和走路时远离黑巷。在没有发生安全事故的时候，我们也应该在工作环境中这样做。

　　文/Jon Oltsik 企业战略集团资深分析师