國內企業信息安全現狀堪憂

實習生 魯軍宜 本報記者 李新玲

“企業自恃身處內網環境中，黑客難以入侵。但實際上，無線網絡、多智能設備(如手機、Pad等)為黑客提供了更多便利，而企業所信任的防火墻在黑客面前形同虛設。”知名信息安全顧問、國家信息安全最高認證(CISP)金牌講師張勝生在近日一場講座中，對目前國內企業普遍缺乏信息安全專業團隊，漠視信息安全的現狀表示擔憂。

微軟宣佈停服XP、OpenSSL漏洞，近期諸多網絡事件讓信息安全成為熱點話題。近日，北京市信息安全專家委員會與北京職業技術協會舉辦了“黑客揭秘與企業防禦實踐”講座。

張勝生把信息安全防禦喻為“一場無言的持久戰”，交戰雙方是“安全管理員”與“黑客”，“黑客是利用漏洞發起攻擊，破壞系統獲取相關數據從而達到某種利益的人。這場對抗正是從黑客展開周密踩點開始，這種踩點就如同一場精心策劃的跟蹤，有時甚至會持續瞄準一個企業數年之久。你攻我守，反反復復，雙方將開展長期的拉鋸戰。因此，企業需要做好人才儲備、技術儲備，打一場沒有硝煙的信息安全持久戰。”

在這場曠日持久的攻防戰中，黑客往往會對企業窮追不捨，造成企業巨大經濟損失。當然企業會重新構建新的防禦系統，在XSS (跨站)、CSRF(跨站請求造)、自定義腳本等日益多元化的攻擊手段下，黑客能在短時間內發現新的漏洞，進而利用漏洞給企業造成新的損失。還會有黑客直接投遞簡歷，應聘為企業的信息化管理人員，作為商業間諜長期潛伏其中，給企業帶來致命打擊。張勝生提醒，“內部攻擊的威力更甚於外部，企業要進一步增強防禦力。而黑客的入侵手段在不斷進化，安全管理員更要時刻保持警惕。”

張勝生介紹：“1998年OpenSSL誕生后，從第一個漏洞(CVE-2014-0160)到新近剛爆出的‘心血漏洞(CVE-2014-0160)’，歷經16年，共發現漏洞153個，信息安全界一直在奮鬥，企業對信息安全管理的投入也越來越多。”但是目前很多企業還沒有專職的安全管理人員，企業網站和應用系統中存在大量漏洞，一旦漏洞被利用，企業資料庫將外泄造成巨大經濟與名譽損失。

在講座現場，張勝生為大家演示了自主研發的“紅黑演義攻防演練”平台，重現了黑客入侵與安全管理員的對抗過程，他呼籲企業需要建立起自有的信息安全專業團隊，定期開展信息安全應急演練，做到未雨綢繆。

張勝生認為，企業要想贏得信息安全持久戰，不僅要熟悉黑客入侵的手段與心理，達到“知己知彼”，同時還要不斷加強企業技術人員的攻防實戰培訓和演練，訓練出一批專業化、職業化的攻防技術能手。他還提到，防禦黑客需要各方專業人士達成共識，通力合作，共同致力於構建和諧安全的網絡信息環境。