千万别被99%的网络安全所蒙蔽，要问清楚，那1%的不安全会是什么。

如今，企业用户对防火墙、防病毒等名词早已耳熟能详，随之而来的是网络安全公司如雨后春笋般冒了出来，安全产品也开始鱼龙混杂。

很多用户在出大价钱配备了各种网络安全产品后，安全厂商或系统集成商都会拍着胸脯对客户说：好了，这下你们的网络就安全了。可是看看那些被攻击的系统：Yahoo、美国中情局、Amazon……，究竟凭什么说网络是安全的，或者是99%安全的呢？那1%的不安全可能会是什么原因造成的？如果出现系统被攻破的情况，责任应该由谁来负？

很多时候责任分担不如利润分配那么清楚。在系统出现安全问题时，企业客户会被告知：没有绝对的安全。安全方案部署公司要做的就是把产品放在那里、完成配置、为用户培训，然后把钱装在兜里，不用承担任何风险，所有的风险要用户来担，为什么？就是因为安全是相对的。往往在出事之后，企业会被告知，一道防火墙不够，要两道；在某某地方还要放个IDS；网络管理员的业务水平要提高，等等。总之，把自己摘得干干净净。

 有旁观者说：用户也应该提高自己的安全知识，自己的眼睛亮一些，知道该用什么产品，有先进的安全理念。没错，对于系统安全来说，这也很重要。但是，用户花了钱，用户买到了什么？

 用户有可能买的是一整套的安全方案，包括产品及其部署、培训和维护。可是因为集成商方案设计的疏忽，导致攻击者轻松绕过防火墙。有的用户买的是单一的安全产品，可是由于该设备运行过程中出现死机或漏报，使用户蒙受损失。

 这些都应该有明确的责任界定，方案或产品提供者承诺了什么。在出现问题时，如果在责任范围内，就应该赔偿损失。

在这个链条上，我们还有若干环节需要完善。首先，甲方乙方在责任划分上需要细化。可是，用户对技术细节可能并不了解，难免在责任分担上不知如何下手，这时就需要资质良好的第三方咨询机构的帮助。再有，出现因网络安全问题引发的法律纠纷时，就像法医分析遇害者的死因一样，有关部门应能够给出准确的分析报告。当然，有些网络，由于安全方案的不完备、管理者的疏忽，一旦被攻破，常常是无迹可寻。因此，单从这个角度看，就应该在部署方案之前把日志、报警等任务作为责任提出来。

其实网络安全就像坐飞机，一旦发生了意外，总要处理后事，追究责任，是谁的责任就要由谁来承担。

事实上，用户的钱不是用来防范未知攻击的，绝大部分攻击的规律是已知的，只要责任分配明晰，它们都是可控的，事后也是可以分清责任的。网络安全的相对性不能成为逃避责任的借口。

千万别被99%的网络安全所蒙蔽，问清楚，那1%是什么。