- 积分
- 52
- 在线时间
- 小时
- 主题
- 好友
- 帖子
- 日志
- 精华
- 分享
- 威望
- 点
- 魅力
- 点
- 经验
- 点
|
曾经有统计表明,世界上每过一分钟就有2家企业因为信息安全问题而倒闭。而在所有信息安全事件中,有70%~80%都是由内部员工的疏忽或有意泄漏造成。
这并非耸人听闻。据调查,在2010年和2011年连续两年针对中国企业员工信息安全意识展开调查,从2011年调查情况看,被调查企业的员工信息安全意识比2010年并没有明显增强,企业员工信息安全意识依旧十分薄弱。2011年调查结果显示,仅有不到1/3受访者对敏感数据会进行分类和加密,2/3受访者电脑中数据不做备份或不定期做备份;近半受访者表示所在企业不会马上对密级资料进行粉碎处理;1/3受访者会在电脑桌面存放密级资料。
一连串不容乐观的数据让人不由得又想起当年发生的一些重大安全事件。
2011年春,索尼公司曝出数据泄漏事件,大约1亿人因此受到影响,以至于索尼公司此后花费高达1.71亿美元来处理这一重大安全事件带来的后果。事件发生后,有安全公司对此次事件进行了分析,其中一个发现令人震惊:索尼的数据是从边界防火墙外部的服务器上被泄漏。而这原本只需部署基本的安全策略就可避免,对一家有着100多年历史的产业巨头而言,这本来根本不是什么难事。
对索尼重大安全事故的发生,你也许可以以“它虽是电子娱乐产业中的翘楚,却未必是信息安全保护的专家”这一理由来解释。但是,对于RSA在同一年犯下的错误,却让人很难再找到理由为其开脱。
当年3月,RSA声明称,有人以APT方式对其发起网络攻击,与SecurID技术相关的数据遭窃取。SecurID是当前最受欢迎的双重认证系统,也是RSA王牌认证技术,广泛应用于政府机构和财务体系。当时,SecurID硬件部署量为4000万台,部署SecurID技术的移动设备数量达到2.5亿部。严格来讲,从技术角度看,这次攻击称不上有多高明,事件源头仅仅是RSA的员工下意识地点开了一封不该点开的邮件,但正是此举为攻击者制造了访问SecurID获取用户ID的机会。
由此看来,要全面做好安全防护,“人”的因素和“技术”因素同等重要。
今天,缺乏安全意识的不只是企业员工,个人信息保护意识也亟待提高,这一点,在移动安全领域体现尤甚。3G时代,智能手机在给人们带来巨大便利的同时,也带来了重大安全隐患。人们迫不及待地享受着移动互联技术的便利和快乐,安全意识却仍然停留在功能机时代。当你轻点键盘,乐此不疲地遨游于智能手机的各种应用时,可能未必想到,每一次下载和运行应用程序行为都可能被黑客钻了空子。
其实,多数从事网络运维的专业人员都深知信息安全的重要性。不过,企业安全策略总是难以执行到位,尤其是当需要在业务和安全之间找到平衡时,被牺牲的总是安全。“出了问题再说”,这是很多企业看待安全问题的真实态度。不过,只怕一旦真的出了问题,后果和代价便令人难以想象——就像索尼那样。
|
|
|安全论坛
( 晋ICP备2023016270号-1 )
发表于 2017-3-19 18:18
楼主