People-Centric Security是安全行业一个最新理念，以人为中心，用信任与责任代替控制的安全策略。不过这种信任与责任感，仍然要求企业用严密的措施建立一种安全氛围，用详细而有序的培训来宣扬安全意识。否则这就仍是一种乌托邦式理想，看上去很美而已。

全球统计的数据显示，没有企业能完全避免内部威胁所带来的数据泄露，但安全团队仍然要支付数十亿来预防它，给机密资料打上“昂贵维护”的标签。这种维护使得安全团队处身于一场全天候无休止的战争之中，除了恶意软件、APT攻击，更多精力与投入在内部行为威胁。没人愿意怀疑与被怀疑，但企业总要为昂贵的内部资料有所准备。

企业安全威胁的人员分为两类——恶意人群，无意人群；前者通常来自对现下环境的不满或者精心策划的间谍事件，难以发现，难以预防；后者就相对无辜很多，他们只是被当作了攻击与窃取身份的目标。防护与威胁的对峙始终存在，就像是旋转中的木马，一项新安全技能的提升，攻击者马上又在突破新的安全缺口，是一个没有放缓迹象的恶性循环。

企业该如何摆脱这种旋转木马安全困境？在既有的安全系统上设置审计机制，在威胁行为触发时及时预警。这也许会让安全团队被成千上万触发警报所淹没，但是IT队伍可以通过IT资源正当分配、定期审查来为企业保证合规的用户行为。

别主动制造恶意人群。不要站在员工对立面，不要武断的切除一切。这也是实现PCI安全理念很重要的一点。