在人人谈云的今天，多少企业与组织正在追赶云计算的风潮？又有多少围观群众正等待良机准备插上一脚？在我们大展拳脚迈向云之前，我们是不是要问问自己，云计算有必要吗？

2010年早期，PDF漏洞利用还是最常见的恶意软件伎俩之一。年中时，漏洞利用的头把交椅被Java漏洞占据。尽管这样，PDF仍是极受“欢迎”的攻击目标。

2004年，当我初次担任西雅图港口的首席信息安全官时，除了建立一个安全方案以外，我首要的任务就是同公司风险管理部门一道，为防止公司出现数据泄漏而去调查购买网络安全保险的可行性。

　在一些情况下，设备锁加上远程擦除就足以减轻用于有限业务的个人设备的风险了。如果移动设备被用于检查无毒的电子邮件且不保存附件，或者只是一台用以进行远程桌面访问的平板电脑，那么它不需要储存那些永久保护的业务数据。

中小型企业对其网络和数据的保护变得日益重要，因为各种威胁和黑客入侵日渐猖獗，同时数据受损、丢失的问题也不断增多。疏忽大意仍是最常见的威胁之一，这也反映了确保雇员、合伙人等遵循安全策略依然是一个巨大的挑战。

随着移动互联网的普及，企业越来越需要开发适用于多种移动平台的应用程序，从而深化其客户体验，扩展其顾客购买产品的方式方法。

我们已经对大量知名企业的数据外泄事件见怪不怪，但在2011年泛滥的数据外泄事件出现时，这些知名公司在保护他们宝贵的数字资产时所表现出来的无能为力，让我感到震惊。

现今有许多基于云服务提供的安全，包括Web和邮件过滤、网络流量访问控制和监控以及用于支付卡业务的标记化。不同安全服务的一个重要区别是“在云中”的、或“为了云”的，即那些集成到云环境中作为虚拟设备提供给用户使用和控制的安全服务。

在虚拟主机和虚拟机上运行反病毒扫描是应该做的事情。但是即使在McAfee去年的差错之前，IT管理员已经开始避免在虚拟坏境中运行反病毒扫描。

专家表示，那些急于把内部开发的应用程序放在云上，以节省成本并提高效率的企业，需要慎重考虑云环境中应用程序的安全环境变化。

接受调查的400名IT专业人士中，93%%的目前部署了令牌的受访者表示，三月份披露的RSA漏洞影响SecurID令牌事件让他们有所觉醒。而且，44%%的人正重新评估他们目前使用的令牌，15%%的人加快了已经计划好的令牌选项评估。

Stuxnet是迄今为止最为复杂的威胁，不仅在于它利用了“有趣的”防病毒规避技术以及复杂的过程注入代码，而且在病毒设计方面还利用了最新的漏洞，包括利用四个独立的零日漏洞以及专门针对可编程控制器系统的有史以来第一个rootkit。

微软发布一次带外更新，针对其恶意软件清除工具（Malicious Software Removal Tool，MSRT），提供了检测Coreflood僵尸网络感染的能力，加强对Coreflood的清除。

虽然企业尽其全力确保了自身网络安全，但在电子商务和网上银行的时代，这些还远远不够。IT管理人员应该要问：与我们业务往来的合作伙伴的安全保护工作是否到位?

相关的审计需求包括，全面记录每一次DML活动的新值和旧值。例如，你可能需要为雇员表中存储年金的那一“列”创建审计跟踪线索。在这种情况下，你有两种不同的要求。

财力雄厚的公司都有一些共同点，比如在公司运行应用安全程序方面紧缩预算。一位前首席信息安全官（CISO）表示，无论预算是多少，如果该项目没有正确的领导者，软件修复肯定会遇到组织上的问题。

　审计由数据库返回的错误也是很重要的，它是你应实施的首个审计日志之一。从安全的观点来看，这尤其重要。例如，在许多情况下，攻击者会进行很多尝试直至得逞。

当今，一个网络威胁的产生速度已经缩短到两秒钟。美国OstermanResearch《云端客户端企业安全防护影响评估报告》显示，在当今网络环境下，一家拥有5000名员工的企业，在已经部署了传统终端防护的情况下，一年内依然会有2/3的端点被感染，企业会因此而损失250万元的费用。

互联网的迅猛发展也带来了更多的安全威胁。员工或许还不完全了解什么是在线漏洞，从而在无意间触发安全泄漏，而企业却会为此花费高额的系统维护费用。为了告诫企业如何面对及避免这类威胁，我们编译了五个最主要的互联网安全漏洞，供大家参考：

在互联网工程任务组(Internet Engineering Task Force ，IETF)发布修复SSL协议中存在的漏洞(主要影响服务器、浏览器、智能卡和VPN产品，以及很多低端设备，如摄像头等)的安全补丁的一年多后，仍然有四分之一的SSL网站没有安装这个补丁，这让这些网站很容易收到中间人攻击。