许多企业的网络安全防护纷繁复杂，但泄密事件依然频频上演，如金融大鳄某通、零售巨头某塔。他们难道没钱做防护吗？当然不是！据调查显示，2014年全球企业信息安全投入高达711亿美元，较2013年增长了7.9%，并且预计2015年将继续增长8.2%，到达769亿美元。

看清真相！

企业投入的大量花费都是用于传统的网络边界防护，但越来越多的安全事件表明，大部分网络边界方向的防护投入收效甚微。索尼影业就是一个活生生的例子，采用了数量繁多的安全工具和产品服务，也未能阻止黑客盗走其高度敏感的数据。

攻击者们到底想攻击啥？

咱来看看例子：去年抢票软件火车票达人遭攻击，300万用户信息泄露。再者，今年最新发生的Anthem医疗保险公司信息泄密事件，8000万医疗用户信息泄露！它们的共同点在哪？就是泄露的数据都是——不加密的！另外还有一项统计，2014年全球企业信息泄密事件中，有35%以上的企业并没有对其数据进行加密，这说明啥？

安全防护究竟该防啥？

对于攻击者和窃密者来说，很显然，他们最直接的目标就是数据，为什么企业要把很多的资源和精力投入到保护网络边界，而不是防止数据泄露或篡改方面呢？如果能保证数据不被盗取或不被篡改，是不是数据本身的防护会比边界保护更有成效呢？

很显然，数据是网络攻击的最终目标，企业安全防护仅仅是网络边界的保护，是不够的。在IT安全环境下，企业的目标应该是防止数据库中的数据遭到意外、故意和未授权的修改或破坏！

企业应该这样保护数据：

首先，按业务需求分类保护数据。如分成“公开”、“内部”、“秘密”和“绝密”等类别。

其次，数据分类之后就是数据加密。加密技术在最近几年来有着良好的发展，企业应该确保把加密机制正确地实施到所有敏感数据，无论数据在哪里保存，也不管数据如何传输。

其中，访问控制是安全防护中最薄弱的点，由于安全部署必须平衡数据可用性与未授权数据的使用（如盗用、泄露、篡改和破坏）。而且，攻击者通常的目标是特权用户，因为这些人的账户是入侵整个网络的桥头堡。因此，要严格执行界定良好的访问控制政策并持续监控访问路径，以确保访问控制策略的正常执行。

最后，企业应该保护数据的传输安全性。此为保证数据安全的基本要素，加密数据传输的不便利是企业不愿意对数据本身加密的原因，因此在做数据防护时对数据传输的考虑是关键而又基本的方面。