行不通的安全方法No.3：漏洞修复并不是灵丹妙药

多年以来，我们听得最多的安全建议就是及时修复漏洞。所有软件都有多个漏洞，必须及时进行修复。尽管存在各种修复管理系统，但不知出于何种原因，这些系统并不能提供其承诺的完美修复。

很多时候，并不是修复管理软件的问题，而是管理者的问题。他们只是修复了一些漏洞，但却漏掉了最主要的目标，例如Java、Adobe Reader、Flash等。或者说，他们没有及时修复漏洞。所以，总是存在漏洞。即使是在最好的情况下，大部分人修复漏洞都需要花几天或几周，但恶意软件只需要几分钟或者几小时。

行不通的安全方法No.4：最终用户教育只能得F

自个人电脑出现以来，我们就提醒用户不要从其软盘驱动器中的磁盘来启动，不要允许意外的宏运行，不要点击可疑的文件附件，还有，不要运行可疑的杀毒软件清理程序。尽管如此，这无济于事。

如果我们的最终用户教育政策成功的话，我们早就击败攻击者和黑客了。根据最近的趋势来看，最终用户的安全意识比以往任何时候都要糟糕。社会工程木马(诱使最终用户运行恶意程序)是迄今为止最大的威胁。大多数最终用户很容易在社交媒体网站泄露其所有隐私信息，而他们完全没有考虑过后果，这可能让他们成为攻击者的目标。

对于大多数最终用户教育计划，最终用户教育变成被迫的不必要的苦差事。并且，培训课程很随意地开展，通常并不包含与最新攻击相关的信息。如果诱骗最终用户运行木马程序的头号方法是通过假的杀毒软件，你会告诉你的员工真正的杀毒软件长什么样子吗?为什么不呢?

这种员工教育的缺失使IT系统处于危险之中。平均来说，最新威胁出现在最终用户教育计划中需要两年时间，而攻击者只需要一分钟就可以改变攻击方法，这让我们整整落后了两年。

你知道比最终用户教育更好的安全方法吗?更安全的软件和更好的默认提示。不要期待最终用户作出正确的决定，而应该为他们做决定。

最终用户教育是永远无法完成的工作，因为只要有一个人，一个错误就可以感染整个公司。但你可以通过提供更好更有针对性的最终用户教育来降低风险。

(责任编辑：)