最近安全的话题突然就爆了，几个月前我在公司内组织的安全培训的内容完全得到了验证。而稍早发的关于md5撞库和社工扫描库的博文简直就成了未卜先知。(罪过，真不是故意的，纯属巧合)。考虑到这个话题还是蛮多人在问，微博发不开，特此将一些培训中的观点整理出来，分享一下。

    1. 安全是技术人员的事情

    错！太多著名互联网公司因为客服，市场人员的安全意识疏忽，导致严重安全事故。安全意识必须是全员的，每一个接入公司网络的员工，每一个拥有公司邮件账号的员工，都应该具有基本的安全素质。

    2.安全就是严防死守，封堵一切入侵途径

    错！封堵入侵途径是必要的，但是并不充分，要有意识的考虑，被侵入会怎样？爆库就是典型的例子，在一个真正安全的系统里，数据库被爆仍然要保障密码的安全。要做到多层防御。

    3.勤打补丁，永远第一时间更新最新版本，就不会出问题。

    错！了解0day后就不会有这个想法了

    4.用正版的软件就安全

    这种2b观念不解释。

    5.请了最牛的黑客，就不怕人入侵了

    错！入侵只需一点突破，防护需要面面俱到。最牛的黑客来做运维，一样会有缺陷。

    6.，买了最贵的防火墙，就不怕入侵了

    错！防火墙挡不住0day，当然，这话有点绝对，应该说，防火墙能不能挡住0day，基本上靠运气。此外，很多防火墙自己也会出洞。

    7，我的网站没啥价值，黑客不会盯着我的

    错！黑客是不会盯着你，但是也会在路过打酱油的时候干掉你。黑客有工具撒网的，不是针对你，但是很不幸你在网内。

    8，哪个无聊的黑客老盯着我？！

    错！黑客没盯着你，路过打酱油的时候干掉你的。原理同上。

    9，我太懂安全了，我发现神马随机salt也好，神马前端加密也好，都不够安全，这些方法都有被破的可能，根本不值得去做！

    错！继续提醒，黑客很可能是过路的，除非他死盯着你，否则计算成本稍微高一点，他就放弃了，你要相信一点，在这个互联网上有太多网站都没做好这些，黑客会先去搞那些简单的。

    10，有个安全专家给我们诊断过了，说我们系统坚如磐石，万无一失。

    请向那位专家竖起您的中指。

建议继续学习：

1. 洋葱式信息安全观察：信息安全与业务浪涌    (阅读：931)