遭遇严重安全事件的公司几乎总是犯过安全领域七宗罪当中的一项或多项罪名。贵公司也犯有这些罪名吗？

    任何一位称职的信息安全从业人士都会告诉你，坚固的防御系统建立在技术、政策和方法组成的多层防线上。这就是深层防御（defense-in-depth）。

    当然，技术这层防线是其中的一个关键部分。但遭遇重大网络安全事件的公司经常在一个更加根本的方面没有做到位。以下是网络安全领域的七宗罪，专家们表示它们在企业界“蔚然成风”。你若能避免这几宗罪，无异于向安全网络迈出了关键的一步。

    一、没有评估风险

    这宗罪通常是指没有全面地评估公司里面最重要的资产以及这些资产的网络配置信息。有句老话说得好，要是不知道王冠上的宝石有哪些、放在哪里，也就无法保护它们。

    许多人把“没有网络拓扑结构图或者资产发现软件，因而没法确认网络上有哪些资产、网络运行情况”列为一宗罪，美国邮政总局的公司信息安全服务经理Chuck McGann也是其中之一。

    思科系统公司的安全信息经理Michael Leigh表示，如果公司没有准确地评估风险，管理人员就常常会产生虚假的舒适感，以为单单使用反病毒软件和防火墙就很安全了。可坏消息是，其中一些安全技术恰恰会成为公司竭力预防的那个问题。

    Leigh说：“我发现，许多公司以为自己的安全硬件/设备（路由器、防火墙和交换机等）很安全，于是没有在这些设备上增设其他防线。这些设备往往坏人是进入公司企业的立足点。”

    Forsythe Technology公司的安全解决方案架构师Ken Smith表示，他好多次见过这个问题：还没有明白公司的要求和需求，就贸然实施安全控制和政策。他说：“这是安全从业人士常常被认为刻板或者没有为本公司增添价值的主要原因。如果是这样，用户就会另外想变通办法，而这些办法可能比你所要预防的问题还要来得糟糕。”