对于中小企业来说，由于人们的保护数据的观念和技术的缺失，它们所面临的严重安全问题和那些大型企业是否一样呢？有些是，比如社会工程学会对那些“不够敏感”的员工特别有杀伤力诱使他们下载含有病毒之类的文件；黑客行动主义(hacktivism)攻击企业，而对于这些CIO还未完全考虑清楚如何应对。

不过最大的问题是，松散的访问政策和内部员工行为不当造成数据丢失和损坏。最近的一份Verizon报告显示，96%的攻击都不属于精心策划的高技术含量行为，97%的攻击都可以轻易避免。下面，我们来看看影响企业生死的十大命门：

一、过度的内部数据访问权限

拥有服务器和数据完全访问权限的系统管理员一旦与公司作对，就可能会对公司造成巨大的内部威胁。因此，这些拥有对信息过度访问权限的任何人（包括企业高管）在职位调动之后，都会对公司造成巨大威胁。

企业应加强管理人员的素质，并及时发布公司职位的变化情况，防止数据被误删或防止数据被内部人员窃取。

二、第三方访问

第三方公司员工可能会对一些未加密数据进行访问。存储在云端的数据可能位于不同国家和地区供应商的物理服务器上，而它们一般同时存在于很多数据中心主机的设施中。

企业在选用第三方提供商的时候一定要选择口碑好，名气大的企业。因为这样的企业一般服务都比较健全 ，数据保护措施都比较完善。

三、政治黑客行为主义

近年来出于政治动机的黑客行为正不断上升，例如Anonymous和LulzSec等组织的攻击行为。然而这些黑客组织表示他们的成功都源自于寻找容易攻击的目标，而不是因为特别技术专长。虽然我们不能控制自己是否会成为攻击目标，但我们可以增加攻击者攻击难度。

四、社会工程学

使用谎言、欺骗等手段来获取足够信息对不知情公司进行蛊惑，这虽然是一个非常古老的方式，但是现在不再只是局限于手机，它还可以通过社交网络来进行。用户发布在网上的任何信息都可能向数据泄露攻击者所需要的信息。

企业员工尤其是掌握企业重要信息的人员，要时刻警惕这种神不知鬼不觉的诈骗手段。通过这种方式很可能骗取你公司的重要信息。

五、内部疏忽

疏忽对于管理层来说是不可饶恕的“罪行”，“他们应该知道”。大部分数据泄露事故都涉及一些管理疏忽的因素。

企业应当加强员工的数据泄密防范意识，并对内部的数据流转有效管理，防止损失来自内部。

六、缺乏透明的云服务

永远，永远，不要对云服务器彻底的信任，虽然目前云服务提供商们正在努力的对数据进行保护，但是对于中小企业，还远远没有如今我们放在自己的地盘的数据安全。

七、假冒证书

很多白名单和应用程序控制系统都依赖于有效的数字系统它们会告诉操作系统“你可以信任我，因为我是有效的”。使用流氓证书或者假冒数字证书，攻击者几乎可以在不被人察觉的情况下发动攻击。

八、移动设备

便捷性与安全性之间应该实现平衡。越来越多的个人移动设备进入企业环境中，这让企业时刻暴露在风险之下，很容易遭受攻击。这对于还没有制定和执行BYOD政策的企业而言，是非常严重的问题。而事实上，现在的大部分公司都没有制定相关政策。

九、不合理使用（恶意或者无意）

受委托企业资源或者访问权限的不合理使用，造成信息泄漏事件时有发生。当政策没有明确定义或者执行时，也会出现滥用情况。

十、物理攻击

篡改、偷窥和偷盗往往容易发生在心怀不满的前雇员身上。离职员工很容易利用账号密码进入内部篡改，删除，复制你的资料，如果安全系统没有及时更新员工离职信息，离职员工仍可轻易获得访问。

总结：大数据时代的来临，数据安全问题尤为重要。尤其对于创新路上的中小企业，数据就是一个企业的血液。因此企业不仅需要在日常工作中要先行保护数据的观念，更重要的是，用行之有效的技术方法对企业数据加密，防堵威胁安全上述十大命门，避免因数据任意流转威胁企业安全。