信息時代，個人、企業甚至是國家除了關心信息科技對生活、對社會的影響之外，最關心的可能還是這個時代的主題，信息和數據的安全問題了吧。由于各種信息安全事件的不斷發生，人們對于安全的關注度正逐年提高，伴隨各種看不懂的信息技術和網絡攻擊事件的發生，更讓人們對于這個時代的安全有了不同的解讀。但是這些解讀中有不少是錯誤的，而真實的信息安全又是怎樣的呢？

十個對于信息安全的誤解與真實情況

誤解一：安全專業人士的晉升空間有限

事實：在過去，對于某些組織而言信息安全被視為高科技工作、專業化領域，而且通常屬于大型IT機構的組成部分。不過隨著當前業務開展與信息技術之間的聯系愈發緊密，企業已經開始理解到信息安全在關鍵性業務流程中所扮演的重要角色。

安全專業人士正在越來越多地與企業高層管理者進行互動，并成為企業獲得成功的重要推動者之一。如今高層管理隊伍中已經為安全工作保留了更多席位，相信安全專業人士能夠借此獲得更多晉升機遇，從而走的更遠。

誤解二：每一位從事安全工作的人員都是安全專家

事實：安全事務其實是個區劃明確、專業性很強的門類。IDS人員不知道如何在Web應用程序當中尋找安全漏洞，而軟件安全人員也不知道如何進行數字化取證。

誤解三：安全專業人士都是偏執狂，喜歡懷疑一切并且牢牢掌控著公共密鑰交換事務

事實：最近美國國家安全局曝出的監控丑聞確實證明，十幾年前以科幻式眼光作出的攻擊理論預測得到了應驗。盡管如此，統計數據與經濟學解讀仍然告訴我們，縱然是最為老練的攻擊者也很難撼動大多數人移動設備或者家用計算機的安全屏障。

誤解四：安全專家認為合規性意味著安全

事實：現實情況是，目前的合規性檢測還僅僅屬于一種驗證標準;如果大家的安全態度僅僅足以保證員工不至于怨聲載道，那么這樣的水準顯然還不能讓我們高枕無憂。這種誤區產生的原因之一在于，合規性往往成為CSO用來推進并獲取安全項目預算的主要手段。不過千萬別因此而誤會了安全管理者，他們只不過需要借著這個機會來完成工作、實際成效通常都會超越監管要求以滿足企業對安全的實際需求。

誤解五：安全與基礎設施/運營永遠無法和睦相處

事實：盡管在所謂的CIA(即保密性、完整性及可用性)當中，可用性往往被人們視為基礎設施/運營的根本性前提與推動力。然而對于真正互相了解彼此角色定位的部門來說，這三大支柱的作用必須全部得到承認與嚴格執行。

誤解六：信息安全屬于技術性極高的學科

事實：在通常情況下，這種指向性太過廣泛的總結都會有所偏頗或者產生遺漏。當然，在信息安全領域中確實存在對技術專長要求較高的特定角色。

不過隨著信息安全事務的角色逐步向風險管理轉化，我們需要更多了解業務部門需求而且能夠以業務語言與非專業人士順暢溝通的從業者加入進來。技術細節并不是全部內容，我們同樣需要解釋風險內容、并向管理者以及普通員工講解不同安全方案的對應執行流程及技術風險。

誤解七：黑客活動就像影視作品中表現的那樣

事實：人們應該會意識到影視作品中的一切內容都經過了夸張，但卻未必能體會到具體被夸張到了什么程度。讓我們先澄清幾點——首先，成功侵入目標設備時、其指示燈不會狂閃;其次，我們不可能一個一個字母破解他人的密碼內容。

當我們成功完成入侵之后，屏幕上絕對不可能以3D方式顯示出數據庫結構、或者讓我們像玩游戲那樣從一個模塊跳轉到另一個模塊。亂碼字符也絕不會在我們面前突然轉化為可直接閱讀的文本。雖然電影中偶爾也會出現一些真實存在的安全工具，但由于不夠花里胡哨而很難成為觀眾的關注焦點，因此往往登臺的時長也就一、兩秒鐘。

誤解八：安全專家認為安全價值高于實用性

事實：盡管以“安全”為職稱頭銜，但大多數CSO都明白只有適合作出權衡與讓步企業業務才有可能蓬勃發展。我們不可能強行要求員工生活在戰壕里，不可能用那些剛剛出現甚至之前聞所未聞的狀況當成實際威脅，更不可能僅僅以IT部門無法管理為由阻止某些方案的推廣。

這一誤區的出現主要是由于多年以來，CSO一直扮演著阻擋者角色甚至在很多人心目中成為一道不可逾越的鴻溝。不過這種情況在過去幾年中已經出現了顯著變化。盡管CSO們仍然不可能對所有新型機制大開綠燈，但IT消費化以及云計算等新興趨勢已經讓安全組織迎來了變化態勢，從而保持安全工作與業務之間的相關性。

誤解九：安全工作從來不忙也不煩

事實：沒有哪種工作能在八小時之內帶給員工100%的興奮點。大部分安全工作所涉及的都是操作安全產品，匯總并分析異常日志內容，編寫用于實現日常任務的自動化工具，而其中最糟糕的部分就是通過某些特定審計工作而不得不完成的任務或者項目。

誤解十：安全的全部內容就是防范攻擊活動

事實：對于大多數企業來說，信息安全團隊的任務應該是幫助整個企業管理風險，從而保證IT資產的保密性、完整性以及可用性。

當然，在信息安全團隊內部確實有專門負責預防類安全控制工作的資源存在。不過根據目前的威脅環境來看，企業需要將注意力集中在檢測方面，旨在保證任何成功回避了預防控制機制的攻擊活動都能被快速檢測到并得到控制。威脅環境極為活躍而且在不斷發展，企業絕不能單純將命運托付給預防這一個方面。

避免更多的誤解 客觀本源的防護或是最好的手段

從以上的十大誤解我們可以看出，其中有很多是對于安全防護人員和相關防護策略的誤讀，其中不乏許多主觀的誤區。雖然安全是一個相對的掛念，主觀的意識占了很大一部分的衡量標準，但是面對問題越來越多的信息安全防護，采用更客觀、更靈活的防護技術或是另一種選擇。而現今能做到這一點的非國際先進的多模加密技術莫屬。

多模加密技術采用對稱算法和非對稱算法相結合的技術，在確保了數據本源防護質量的同時，其多模的特性能讓用戶自主地選擇加密模式，從而展現了技術的靈活性。而這項技術的客觀性也主要體現在加密防護的特點，加密防護不同于其他安全防護技術，它是直接作用于數據本身，使得數據即使遭遇了各種泄密危機和安全危機，其真實內容依然可以在離開安全環境后得到安全防護，而在加密算法不斷進步的今天，想要破譯則比電影或電視劇中所表現的要難得多得多。

隨著信息技術和互聯網的發展，人們對于信息安全可能會有更多地看法，但為了避免這些誤讀或者誤解造成真實的損失，采用更客觀地、靈活且本源的加密技術及其軟件進行防護或是最好的選擇!