由于商业企业和科研机构在网络系统中存储和处理的商业信息、个人数据和研究数据越来越普遍和丰富,导致其成为黑客越来越喜爱的攻击目标。对此,昆明亭长朗然科技有限公司国际互联网安全研究院的副院长董志军称:大量的商业企业和科研机构没有政府机关那么多网络安全预算,造成网络安全防护体系还停留在上一代,整体比较薄弱,无法应对新的计算环境和安全形势下的网络威胁,容易被网络不法分子成功击破,进而造成重要数据泄露,招致网络勒索、客户流失、机密失窃、竞争力丧失、法律惩戒等等不良后果。
严峻的网络安全现状
如物联网、自带移动计算设备、高速互联网、云计算、大数据、人工智能等技术对人们的生活、生产和学习方式产生了巨大的影响,商业企业和科研机构如果不能保持快速响应,将失去对网络安全阵地的守护。 在不断变化的大规模数据协作与共享的计算背景下,用户们可以随时随地访问、使用、存储、分享、传递这些数据,这让传统的办公区域隔离和企业边界防火墙等安全措施几近失效,终端计算设备的安全以及设备使用人员的安全意识变得尤为重要。
根据工信部《信息快报》从腾讯安全联合实验室、360安全应急响应中心、天融信、蓝盾、安恒信息等渠道获得的新数据,过去两年来,网络安全漏洞增加了三倍,网络钓鱼及社会工程学攻击增加了五倍,勒索软件攻击也很猖狂。网络不法分子不断越来越狡诈,而且都是掌握新型漏洞信息以及人类弱点的犯罪团伙,甚至有不少受到拥有举国之力的政府资源支持。
那么商业企业和科研机构的网络安全负责人该如何应对这种复杂的局面呢?对于涉密级别的信息系统,以及关键信息基础设施,国家有大量的法律法规可以遵循,通常会有足够的网络安全资源保障。而大量的信息系统并不能被划入重要的等级保护级别之中,就需要网络安全负责人尽心尽力“自谋生路”了。如下,我们简要整理一些应对之策,以供参考、探讨和指正。
改进安全防御战略
网络安全负责人需要重新考虑网络安全策略,以必胜的信念,确保内部网络信息系统及终端计算设备的操作系统、浏览器软件和应用程序是最新的,以抢占先机堵住新型漏洞,有效防御最新出现的网络威胁。IT团队必须评估数据的存储位置,并确保以安全为核心构建网络,并且确保每个连接的设备都具有最高级别的保护。设备和系统的自动更新以及持续的病毒扫描至关重要。设置最低安全要求,并对终端设备的使用人员进行安全使用等方面的教育培训。
对数据进行备份和加密
不怕一万就怕万一,定期使用物理存储和基于云的存储来启动数据备份非常重要。即使有先进的外围保护,但是通常无法充分保护应用程序中的重要数据。同时,为防范计算设备丢失、被盗或黑客闯入系统以挟持重要数据进行勒索,对数据进行加密则显得至关重要。
教会用户如何确保安全
年轻一代的用户们比以入更加信息化和数据化,但他们不一定掌握足够的安全知识。安全培训专员在这里负有重大责任。应该建立强有力的安全意识提升计划,从一开始就推动终端安全最佳实践,包括桌面清洁、在线安全、邮件钓鱼防范、社交媒体使用、无线网络安全、在外工作安全等等话题,当然,也应该包括信息的分级、保密要求以及在怀疑信息泄露时应采取的应对措施。所有的网络安全意识培训计划都必须与工作需求保持一致,随着越来越多的设备和网络混合使用,每个时空节点都可能面对很高级别的威胁。
继续教育用户最佳安全实践
技术型防御措施已经为网络安全防线带来了空前的收益,需要继续坚守以确保其发挥积极价值。同时,针对人性弱点的网络安全威胁正不断突破网络安全防线,因此,可持续的网络安全成就是一个持续对用户进行教育、让用户形成人员防线的过程。这需要用户们持续不断地关注安全势态、遵守安全要求和运用安全指导,在如今这种越来越开放式的计算环境下,终端设备使用人员的安全意识已经成为没人能承受失败的课题。
安全意识成败经验分享
昆明亭长朗然科技有限公司为可口可乐、诺基亚、欧姆龙、唯品会、厦门航空、中国电信等公司构建了一些非常有趣、影响深远的安全意识宣传计划。对比于其他大量客户,从中我们也学到了大量的成功经验和失败教训,虽然列举的这些都是知名的大公司,尽管有些是外资,有些是中资,有制造业、有电商业、有服务业、有生产商、也有科研机构,但是员工们、学员们都是生活在这一片热土上的中国人民。我们发现,缺乏成文的公司信息安全政策及规则是安全意识计划失败的首要原因,而员工们对公司信息安全政策及规则的认识不足是安全意识计划失败的次要原因。极少中资公司员工们会认为保护网络安全应对网络威胁是公司员工的共同责任,只有一成不到的中资公司员工表示他们完全了解公司的信息安全政策。
在移动计算、在家工作和云计算的新时代,员工们被公认为是网络安全体系中最重要的风险因素和最薄弱的环节,因为每年大约有85%的信息安全事件与员工们对安全的无知和大意有关,当然也应该由员工们负责。同时,员工们也是加强网络安全状况的关键,因此,商业企业和科研机构必须开展强有力的宣传活动以保持网络安全。昆明亭长朗然科技有限公司专注于帮助各类型的组织机构,特别是商业企业和科研机构提升员工们的网络安全意识、发展网络安全文化,进而拥有强大的网络安全防御力量,让技术类的安全解决方案及管理类的安全制度体系得以贯彻实施,进而保障组织的成功。欢迎有兴趣了解更多的客户及合作伙伴联系我们,洽谈业务合作。
