如何解决数据外泄和数据库安全的热潮涌起，但是急于见效、仓促执行的风气却让问题的解决进展迟缓，甚至南辕北辙，人们刚想挣脱一个危险的漩涡，却又陷入了另一个误区。面对信息安全事件，时刻保持警惕和理性。国内最大程序员社区CSDN的数据库泄露事件横扫整个中国互联网，引起了亿万网民的关注、怀疑互联网的安全性， 一夜之间数据外泄和数据库安全成为热门话题，让这个潜伏了十数年的领域顿时异常沸腾。

1、防止信息安全头痛医头脚痛医脚

这次事件引发了很多互联网企业、电子商务、电子政务等诸多在线业务系统关于数据库防泄露的探讨与分析，安全厂商也纷纷拿出了各自的防数据库信息泄露的解决方案。深入分析这次事件，不难看出，数据库泄露事件仅仅是信息安全事件的一种表现形式而已。这次被公布的账户信息不过是黑客产业链输出的已经失去价值的信息残渣；这背后可能存在修改核心数据库的记录、获取特定社会公众人物的重要信息、涉嫌大宗商业诈骗等违法行为等更为严重的不为人知的恶性安全事件。亡羊补牢为时不晚，但若我们安全建设的策略仅聚焦在数据泄露这个安全事件的表象上，这将会是危险的。

信息安全建设切忌头痛医头脚痛医脚，如前些年网站出现的大量篡改事件，从而导致防篡改解决方案、防篡改产品，防篡改要求纷纷上阵；去年医药价格的暴光推动了防护方的需求。这都表现为过于被动的安全策略，如果没有CSDN账户信息的大量丢失事件，可能我们对信息安全依然陌生，对WEB应用系统的安全仍然停留在防篡改的层面，对WEB攻击的认识只会知道有SQL注入，对数据库安全认识也只是弱口令。这些事件给我们的信息安全建设敲响了警钟。值得庆幸的是这次事件的很多受害网友都是程序员，因此也直接增强了程序员安全意识教育。

2、错误认为技术手段可以完全解决安全问题

很多人都听说过“七分管理，三分技术”，也听说过“70%风险来自内部”，这两个准黄金分割其实没有必然联系，其实谁在管理，如何管理，如何运用合理的技术，如何控制风险，如何把风险降到可控的范围，里面最重要的是人，特别是管理层的决策。从我这些年的观察来看，在实践中大部分都体现了人性的一些弱点“不遇到痛处，不会意识到”。伴随着08奥运安保、09建国60周年、10年世博会和亚运会安保活动的成功，一个功劳是进行全国性的信息安全教育和安全意识的提高（尤其是在领导层面），这方面的影响将是深远的，而且这次数据库信息泄露事件我想最值得总结的教训就是应当提高管理层的安全意识和决策层对信息安全的重视。很多企业信息安全没有专职部门，甚至只是网管部门某个职工的兼职工作内容。这样的组织架构是很难落实信息安全工作的。我们应优化组织架构，尽可能建立专职部门并赋予一定的权限，这样才能较好地展开信息安全建设工作。

3、想当然以为信息安全只要解决点上的问题

信息安全是一项系统工程，我们在进行安全的规划就是应立足系统安全的高度来分析需求。从基本的物理安全、：机房门禁制度、网络访问控制、操作系统安全、应用安全、安全访问人员的认证、授权、审计管理等，其中任何一个环节安全措施处理的不当都有可能带来严重的后果。比如我们信息资产的价值与敏感程度是与相应的访问角色相对应，从核心数据库的维护、管理、中间件读取再到普通用户的浏览的每一个层面的权限控制、访问审计等安全措施是否到位都应纳入其中。

信息安全是技术和管理的统一体，内部运维和外部访问的安全管理同等重要。安全管理制度要建立，但更需采用一定的手段来监测我们的管理制度能否落到实处。比如我们的制度要求定期修改密码、敏感数据访问需要审批、权限调整变更需要审批，但这些制度是否得到执行我们不得而知。内部管理工作应采用制度建设与技术手段相结合的方式来展开，如我们对数据库的操作进行审计，上述的制度是否得到有效执行将能直观的体现到审计报表中，从而促使管理制度得到良好的执行。

4、不能简单以产品价格权衡安全的投入

我想强调的是我们做信息安全规划时应当以信息资产的价值重要程度和相应的安全风险来决定信息安全的投入。网站仅为了发布一些日常信息时，可能部署一套防篡改软件就足够了，但如果我们是一个重要的交易系统，或者是涉及大量用户信息的社交网络则需要更为全面的安全考虑。

比如我们的网上应用系统由大量服务器群构成，如文件服务器、缓存服务器、多媒体服务器、广告服务器、交易应用服务器、账户会话服务等等，我们在制定安全策略时应当对风险指数高的交易服务器、账户会话服务器进行较多的安全投入，而不需要对所有的服务器都采用相同的安全策略从而带来巨大的信息安全投入成本。