一说到安全，我们总是从应该怎样防范开始，一步步部署安全措施和产品，然后遇到新的问题再采用新的方法，周而复始。但我们是否也应该反过来想想：如果造成了一定的后果，是由哪些安全问题引起的？这种做好最坏打算的方式对安全来说永不为过。本站记者近日在OWASP大会上采访了StrozFriedberg公司的研发部主管Jack Li先生，让我们一起从安全事件的善后角度来看看企业安全解决方案应注意什么。

　　Jack首先介绍了他们公司的主要业务是计算机取证，电子发现（e-discovery），网络攻击响应，数据泄漏调查等。具体说，就是在法律诉讼中处理商业纠纷。比如一个公司告另一个公司，这就需要取证，那么用什么作为证据呢？公司内的所有资料都可以作为证据。

　　“从我们公司自身的角度来看，OWASP做的是防护，找出漏洞然后看怎样防止，而我们做的是在事情发生以后去处理，比如一个公司攻击了某个公司，造成数据泄漏等，我们要帮公司找证据，看哪些恶意软件和病毒等都做过什么，是处理攻击以后的东西。”Jack说道，“现在技术上的一个难题就是数据太多了，以前用的数据库现在太慢了，要找新的办法了。”

　　风险评估很重要

　　Jack所在的公司处理过很多高端案例，他说道，“即使是这么高端的公司，你会发现他们的安全做得还是很差，很多基本的东西根本没有实现，否则那些安全事件也不可能发生。”

　　“可能对于公司来说，他们没有一个办法去估计风险，不知道这么做会有什么风险。风险中有些损失是间接的，比如打官司也是要花钱的，他们都没有预计过。很多公司存在侥幸心理，在事情没发生前就认为自己是安全的。每个公司都应该估计风险面临的损失，包括直接损失和间接损失。”

图为StrozFriedberg公司的研发部主管Jack Li先生在采访现场

　　不止在网上　防止数据泄漏应该做什么？

　　Jack说道，应用安全只是安全的一部分，公司整个的安全还有很多方面要考虑。最大的威胁并不是那些曝光率高的。比如，大部分公司面临最多的是员工在离职时造成了数据泄漏，还有移动设备的丢失等等。

　　“针对数据泄漏，企业首先应该有规章规定，让员工有安全意识，不会随便把信息乱放。物理安全其实也非常重要，大部分的安全漏洞都源于此，安全应该是一个整合性体系，企业安全不应只关注在网上。”

　　对于移动设备的普及带来的安全问题，Jack表示，不能不让员工做某些事情，但一定要有管理，有记录。比如我把文档放在某些地方，要记录是谁把这份文档放在了什么地方，这种记录很简单，但是非常重要。

　　云计算带来的挑战

　　关于云计算，Jack表示，目前比较机密的东西是不会放在云里面的，但以后肯定会放进去。企业将数据放进云里后，将给他们的工作带来更多挑战。虽然应该可以找到作为证据的文件，但法庭是否承认这个文件具有法律效应，就还有很多工作要做了，比如调查和认证。

　　“在我们工作中，有时律师希望把一些文件做成图像，认为这样可以减少被人篡改的可能性，可实际上，还是会被人篡改的，”Jack说，“安全这件事情是没有绝对性的。要做到什么安全程度，投资多少去做，都需要根据自身情况而定。”

　　化被动为主动

　　现在很多黑客都是在网上买工具，然后进行攻击，非常容易。传统的安全方法是，呆在这里，等别人告诉你有攻击来了再采取措施，但这时已经晚了。抵御黑客攻击最重要的是防范未知的威胁，要主动去找威胁。Jack说道，“真想保护自己的话，要知道黑客在做什么，到底这些人在使用什么样的方法，怎么进行攻击。”

　　最后，Jack表示，从本质上来说，网络就是让人们进行交流的，信息流通是比较容易和自然的事情，而拦截和防御是很难的，应该提倡安全方面的信息共享。OWASP是一个比较好的工具，可以为政府企业提供免费的咨询和帮助。