前面我有说到,有太多太多的不懂企业信息安全的人,直接误以为防范黑客攻击和网络病毒就是信息安全的全部。其实,黑客的攻击和病毒的侵袭,只是信息安全需要应对的一个风险场景,并且也不是所有企业需要重点去关注这个风险场景的,比如绝大多数中小企业和一些制造型企业。

那怕黑客攻击和病毒侵袭这个风险场景,是某个企业需要重点聚焦的,也不能纯粹的倚靠漏洞挖掘,渗透测试和攻防演练就能应对这个风险的。信息安全风险的应对,绝对不是依靠单一措施就能够保障企业资产和企业业务不遭受重大影响的。漏洞挖掘,渗透测试和攻防演练等就是属于单一措施,所以一旦企业把大量的资源和精力去搞漏洞挖掘,渗透测试和攻防演练等,看似安全可靠,万无一失,但是一旦被人攻破防线,就毫无搬回局面,挽救损失的机会了,因为往往沉迷于漏洞挖掘,渗透测试和攻防演练这些单一措施的人,都是没有能力建立和实施系统化的风险应对管理,例如事前数据备份和应急演练,事中应急和响应方案,事后恢复方案,对于这些系统化的管理,立体的防护措施,这群人基本上是不懂的。