曾經(jīng)有統(tǒng)計表明,世界上每過一分鐘就有2家企業(yè)因為信息安全問題而倒閉。而在所有信息安全事件中,有70%~80%都是由內(nèi)部員工的疏忽或有意泄漏造成。
這并非聳人聽聞。谷安天下公司在2010年和2011年連續(xù)兩年針對中國企業(yè)員工信息安全意識展開調(diào)查,從2011年調(diào)查情況看,被調(diào)查企業(yè)的員工信息安全意識比2010年并沒有明顯增強,企業(yè)員工信息安全意識依舊十分薄弱。2011年調(diào)查結(jié)果顯示,僅有不到1/3受訪者對敏感數(shù)據(jù)會進行分類和加密,2/3受訪者電腦中數(shù)據(jù)不做備份或不定期做備份;近半受訪者表示所在企業(yè)不會馬上對密級資料進行粉碎處理;1/3受訪者會在電腦桌面存放密級資料。
一連串不容樂觀的數(shù)據(jù)讓人不由得又想起當年發(fā)生的一些重大安全事件。
2011年春,索尼公司曝出數(shù)據(jù)泄漏事件,大約1億人因此受到影響,以至于索尼公司此后花費高達1.71億美元來處理這一重大安全事件帶來的后果。事件發(fā)生后,有安全公司對此次事件進行了分析,其中一個發(fā)現(xiàn)令人震驚:索尼的數(shù)據(jù)是從邊界防火墻外部的服務(wù)器上被泄漏。而這原本只需部署基本的安全策略就可避免,對一家有著100多年歷史的產(chǎn)業(yè)巨頭而言,這本來根本不是什么難事。
對索尼重大安全事故的發(fā)生,你也許可以以“它雖是電子娛樂產(chǎn)業(yè)中的翹楚,卻未必是信息安全保護的專家”這一理由來解釋。但是,對于RSA在同一年犯下的錯誤,卻讓人很難再找到理由為其開脫。
當年3月,RSA聲明稱,有人以APT方式對其發(fā)起網(wǎng)絡(luò)攻擊,與SecurID技術(shù)相關(guān)的數(shù)據(jù)遭竊取。SecurID是當前最受歡迎的雙重認證系統(tǒng),也是RSA王牌認證技術(shù),廣泛應(yīng)用于政府機構(gòu)和財務(wù)體系。當時,SecurID硬件部署量為4000萬臺,部署SecurID技術(shù)的移動設(shè)備數(shù)量達到2.5億部。嚴格來講,從技術(shù)角度看,這次攻擊稱不上有多高明,事件源頭僅僅是RSA的員工下意識地點開了一封不該點開的郵件,但正是此舉為攻擊者制造了訪問SecurID獲取用戶ID的機會。
由此看來,要全面做好安全防護,“人”的因素和“技術(shù)”因素同等重要。
今天,缺乏安全意識的不只是企業(yè)員工,個人信息保護意識也亟待提高,這一點,在移動安全領(lǐng)域體現(xiàn)尤甚。3G時代,智能手機在給人們帶來巨大便利的同時,也帶來了重大安全隱患。人們迫不及待地享受著移動互聯(lián)技術(shù)的便利和快樂,安全意識卻仍然停留在功能機時代。當你輕點鍵盤,樂此不疲地遨游于智能手機的各種應(yīng)用時,可能未必想到,每一次下載和運行應(yīng)用程序行為都可能被黑客鉆了空子。
國家互聯(lián)網(wǎng)應(yīng)急中心報告顯示,2011年,全國約有712萬部智能手機感染病毒,病毒數(shù)量比上年增長2倍多。知名安全公司F-Secure報告也顯示,今年一季度,含有惡意程序的手機應(yīng)用數(shù)量從去年一季度的139個大幅增至3069個,同比增長2107.9%。360手機安全衛(wèi)士的統(tǒng)計數(shù)據(jù)則表明,今年一季度,Android平臺新增惡意軟件和木馬3336個,同比增幅高達1784.7%。
手機病毒和惡意程序為何在近一兩年成倍激增?安全專家認為,根源是智能手機用戶的安全意識并未隨著智能手機的普及上升到應(yīng)有的高度。而隨著BYOD(Bring your own devices)和IT消費化趨勢的到來,移動設(shè)備在企業(yè)中的應(yīng)用日漸普遍,移動安全隱患也將向企業(yè)延伸。
其實,多數(shù)從事網(wǎng)絡(luò)運維的專業(yè)人員都深知信息安全的重要性。不過,企業(yè)安全策略總是難以執(zhí)行到位,尤其是當需要在業(yè)務(wù)和安全之間找到平衡時,被犧牲的總是安全。“出了問題再說”,這是很多企業(yè)看待安全問題的真實態(tài)度。不過,只怕一旦真的出了問題,后果和代價便令人難以想象——就像索尼那樣。
京公網(wǎng)安備 11010502049343號