□张雨牧(IT公司高管)
19日,中国国家互联网应急中心(CNCERT)发布的互联网网络安全态势报告显示,去年我国大陆被篡改的政府网站达2807个;国务院部门门户网站存在低级别安全风险的比例虽已从2010年的60%高位下降,但仍高达50%;涉及基础电信运营企业的信息安全漏洞数量多,攻击形势严峻。
网络安全风险已呈多样化、高风险化。电信、网游、网购等行业因用户资料泄漏的情况时有发生,给整个行业带来严重的信任危机。仅去年一年,就有近20万网站被入侵,教育科研网站、网游相关网站和政府网站都成为被攻击的重点。
该如何应对?网民的能力肯定是有限的,要学会选择网站、学会修改个人资料、提高安全意识……这恐怕都不够,恐怕决定权还是掌握在企业手里。但是现在多数企业都没有专业的安全设备,没有经过专门的安全培训,也没有配备专业的技术人才和服务,而且严重缺乏安全意识,遇到威胁难以应付,谈信息安全简直是奢谈。
即便很多专业网站,在用户资料管理、安全流程上都存在问题,其他企业的安全防护水平可想而知。
因此要改善现状,恐怕就需要一系列的专业服务和措施,在不同阶段进行响应和干预。新的挑战摆在了我们的面前,专业服务或许是时候出发了!
专业服务首先是安全风险评估。人要避免得大病,体检不可或缺,发现小恙及时解决了就没事了。信息安全也有同样的道理,企业不知道自己的安全状况,又意识到了其重要性,就应该为自家企业做安全风险的评估。
其次是预警安全服务。即便企业“体检”正常,建立信息安全危机应对预案也有必要。好比流感易发季节打预防针,企业遇到了网站挂马,或出现了漏洞,又或某些病毒和威胁正在虎视眈眈的时候,预警安全服务的防线尤为重要。
然而去年以来的种种教训显示,企业似乎多是属鸵鸟的,而问题一旦爆发,后果又总是不堪设想,比如去年发生的CSDN“拖库事件”至今仍令网民和企业胆寒。
专业服务有赖于专业人才,甚至专家级的人才服务,而这显然是多数企业的短板。不过随着企业信息安全意识不断提高,培训工作的加强,各环节都付之以专业的干预和服务,相信信息安全事件的影响将会越来越微弱,互联网环境也会更加和谐。