曾經有統計表明,世界上每過一分鐘就有2家企業因為資訊保安問題而倒閉。而在所有資訊保安事件中,有70%~80%都是由內部員工的疏忽或有意洩漏造成。
這並非聳人聽聞。紅黑聯盟在2023年和2023年連續兩年針對中國企業員工資訊保安意識展開調查,從2023年調查情況看,被調查企業的員工資訊保安意識比2023年並沒有明顯增強,企業員工資訊保安意識依舊十分薄弱。2023年調查結果顯示,僅有不到1/3受訪者對敏感資料會進行分類和加密,2/3受訪者電腦中資料不做備份或不定期做備份;近半受訪者表示所在企業不會馬上對密級資料進行粉碎處理;1/3受訪者會在電腦桌面存放密級資料。
一連串不容樂觀的資料讓人不由得又想起當年發生的一些重大安全事件。
2023年春,索尼公司曝出資料洩漏事件,大約1億人因此受到影響,以至於索尼公司此後花費高達1.71億美元來處理這一重大安全事件帶來的後果。事件發生後,有安全公司對此次事件進行了分析,其中乙個發現令人震驚:索尼的資料是從邊界防火牆外部的伺服器上被洩漏。而這原本只需部署基本的安全策略就可避免,對一家有著100多年歷史的產業巨頭而言,這本來根本不是什麼難事。
對索尼重大安全事故的發生,你也許可以以「它雖是電子娛樂產業中的翹楚,卻未必是資訊保安保護的專家」這一理由來解釋。但是,對於rsa在同一年犯下的錯誤,卻讓人很難再找到理由為其開脫。
當年3月,rsa宣告稱,有人以apt方式對其發起網路攻擊,與securid技術相關的資料遭竊取。securid是當前最受歡迎的雙重認證系統,也是rsa王牌認證技術,廣泛應用於**機構和財務體系。當時,securid硬體部署量為4000萬台,部署securid技術的移動裝置數量達到2.5億部。嚴格來講,從技術角度看,這次攻擊稱不上有多高明,事件源頭僅僅是rsa的員工下意識地點開了一封不該點開的郵件,但正是此舉為攻擊者製造了訪問securid獲取使用者id的機會。
由此看來,要全面做好安全防護,「人」的因素和「技術」因素同等重要。
今天,缺乏安全意識的不只是企業員工,個人資訊保護意識也亟待提高,這一點,在移動安全領域體現尤甚。3g時代,智慧型手機在給人們帶來巨大便利的同時,也帶來了重大安全隱患。人們迫不及待地享受著移動互聯技術的便利和快樂,安全意識卻仍然停留在功能機時代。當你輕點鍵盤,樂此不疲地遨遊於智慧型手機的各種應用時,可能未必想到,每一次**和執行應用程式行為都可能被黑客鑽了空子。
國家網際網路應急中心報告顯示,2023年,全國約有712萬部智慧型手機感染病毒,病毒數量比上年增長2倍多。知名安全公司f-secure報告也顯示,今年一季度,含有惡意程式的手機應用數量從去年一季度的139個大幅增至3069個,同比增長2107.9%。360手機安全衛士的統計資料則表明,今年一季度,android平台新增惡意軟體和木馬3336個,同比增幅高達1784.7%。
手機病毒和惡意程式為何在近一兩年成倍激增?安全專家認為,根源是智慧型手機使用者的安全意識並未隨著智慧型手機的普及上公升到應有的高度。而隨著byod(bring your own devices)和it消費化趨勢的到來,移動裝置在企業中的應用日漸普遍,移動安全隱患也將向企業延伸。
其實,多數從事網路運維的專業人員都深知資訊保安的重要性。不過,企業安全策略總是難以執行到位,尤其是當需要在業務和安全之間找到平衡時,被犧牲的總是安全。「出了問題再說」,這是很多企業看待安全問題的真實態度。不過,只怕一旦真的出了問題,後果和代價便令人難以想象——就像索尼那樣。
有效的資訊保安意識培訓
為什麼要做安全意識培訓?安全意識培訓的結果是一大堆文件,但是對企業員工來說沒有根本的意義,資料洩露事件 攻擊事件依然發生,一方面除了是安全建設存在問題,另一方面主要是我們資訊部門的工程師大部分是網路工程師出生,對安全的理解大部分停留在防火牆層面,而企業更加注重技能培訓,對意識培訓不是很重視,也不太想...
退潮之後,誰在裸泳?資訊保安意識公升級了?
退潮之後,才知道誰在裸泳 事件發生了,才知道 暗藏資訊保安危機 大約在2017 5 12這個時間點,全球開始遭受到一波嚴重的 wannacrypt0r 亦簡稱為wannacry wanacry 勒索軟體攻擊。其實,此次利用的漏洞微軟早在 2017 3 14 發布了 ms17 010 patch 的更...
「網路黑客」就在我們身邊 需提高安全意識
小心,黑客 隨時都可能侵入我們的網路。資料 許多人以為只有 部門的計算機網路才會遭到網路 黑客 攻擊,黑客 離我們十分遙遠。但是,記者從14日召開的海口市資訊保安等級保護工作會上獲悉,近兩年發生在海口的幾起網路 黑客 案件,說明 網路黑客 離我們並不遙遠。本報記者 李雲川 公司遭攻擊損失千萬 漏洞 ...