文 本刊記者 王 柳

意識(shí)比技術(shù)更重要

云時(shí)代，技術(shù)的革新速度增快，邊界的控制被削弱，安全的威脅變得更多也更復(fù)雜。但研究數(shù)據(jù)顯示，很多威脅并非由于新技術(shù)產(chǎn)生，而是人們的意識(shí)不到位。

近日，惠普發(fā)布了《2015年網(wǎng)絡(luò)風(fēng)險(xiǎn)報(bào)告》，惠普公司企業(yè)安全產(chǎn)品北亞區(qū)總經(jīng)理姚翔就報(bào)告的調(diào)查結(jié)果做了詳細(xì)闡述和解讀。他認(rèn)為，人是關(guān)鍵，意識(shí)遠(yuǎn)比技術(shù)更重要?！艾F(xiàn)在的黑客攻擊再也不是以系統(tǒng)崩潰為主要目的，而是進(jìn)行長(zhǎng)期控制?！币ο杞榻B道，就像小偷偷東西離開(kāi)時(shí)不露痕跡，且他拿到了鑰匙，隨時(shí)可以進(jìn)來(lái)。

常見(jiàn)攻擊及配置錯(cuò)誤大量存在

報(bào)告發(fā)現(xiàn)常見(jiàn)攻擊仍然奏效。究其原因，姚翔認(rèn)為除了一些企業(yè)IT人員疏忽，更多是開(kāi)發(fā)人員并不支持，因?yàn)槟壳霸诖髷?shù)據(jù)、云計(jì)算和移動(dòng)、物聯(lián)網(wǎng)飛速發(fā)展的趨勢(shì)下，更多企業(yè)IT人員都在加班開(kāi)發(fā)新應(yīng)用，而打補(bǔ)丁耽誤時(shí)間還可能導(dǎo)致一些軟件與平臺(tái)不匹配不兼容的情況，影響業(yè)務(wù)正常運(yùn)行的同時(shí)會(huì)讓IT人員花費(fèi)更多的精力?！拔覀兘ㄗh企業(yè)要有一個(gè)全面的補(bǔ)丁策略，需要一個(gè)制度化的流程來(lái)監(jiān)管，防范于未然?！币ο枵f(shuō)道。

另外配置錯(cuò)誤仍是顯著問(wèn)題。如現(xiàn)在大量互聯(lián)網(wǎng)金融服務(wù)為方便用戶，會(huì)存儲(chǔ)大量密碼賬號(hào)在移動(dòng)端，這些信息雖然不被這些服務(wù)商亂用，但還是產(chǎn)生了威脅，違反隱私保護(hù)。

移動(dòng)互聯(lián)、物聯(lián)網(wǎng)帶來(lái)立體攻擊

數(shù)據(jù)顯示，就安全功能的全球統(tǒng)計(jì)的結(jié)果來(lái)說(shuō)，安全功能在Web上其實(shí)已經(jīng)是相對(duì)比較危險(xiǎn)的狀態(tài)了，達(dá)86%是有威脅的；可手機(jī)端達(dá)97%。在Web上只有17%是有代碼質(zhì)量問(wèn)題的，可在移動(dòng)應(yīng)用上多近一倍。

姚翔分析說(shuō)：“有大量開(kāi)發(fā)團(tuán)隊(duì)是由原來(lái)Web團(tuán)隊(duì)轉(zhuǎn)化過(guò)來(lái)，而移動(dòng)本身所涉及到的數(shù)據(jù)比Web上有更多的個(gè)人隱私，包括用戶位置甚至是私人賬號(hào)包括社交賬號(hào)，都比Web更多，但研發(fā)人員如果不了解這些威脅的話，就會(huì)帶來(lái)更大的安全威脅。”

物聯(lián)網(wǎng)的使用使得萬(wàn)物互聯(lián)不再是夢(mèng)，但這種開(kāi)放的便捷卻暗藏隱患。原來(lái)的防護(hù)是在電腦和移動(dòng)設(shè)備端，但當(dāng)一個(gè)冰箱是一個(gè)入口的話，就會(huì)變成一個(gè)新的攻擊路徑。“大部分家電生產(chǎn)企業(yè)包括車(chē)企是沒(méi)有安全概念的，人們往往無(wú)法知道是空調(diào)還是冰箱、熱水器、電飯煲還是其他家具發(fā)生了安全隱患。這在目前還是一個(gè)空白點(diǎn)?！币ο枵f(shuō)。他特別強(qiáng)調(diào)，不僅是家電生產(chǎn)廠家沒(méi)有這個(gè)意識(shí)，大部分用戶對(duì)這些智能設(shè)備威脅也認(rèn)知不夠。

因此，新技術(shù)帶來(lái)的攻擊和其他挑戰(zhàn)，需要移動(dòng)應(yīng)用和開(kāi)發(fā)人員不再重復(fù)在傳統(tǒng)應(yīng)用開(kāi)發(fā)中的已知錯(cuò)誤。

安全意識(shí)需逐步培養(yǎng)

眾所周知，黑客的組織是分工合作的，這就要求安全防護(hù)也不能各自為戰(zhàn)，要聯(lián)合起來(lái)。與傳統(tǒng)的安全防護(hù)較為割裂不同，現(xiàn)在應(yīng)對(duì)立體的威脅也需要與其他安全廠商進(jìn)行產(chǎn)品上的互補(bǔ)、成立安全聯(lián)盟定期共享威脅情報(bào)等。同時(shí)，由于人才緊缺，為了應(yīng)對(duì)新技術(shù)帶來(lái)的不斷沖擊，還應(yīng)針對(duì)性地培養(yǎng)專業(yè)人才?；萜胀嘎?，在與其他安全廠商達(dá)成聯(lián)盟的同時(shí)，也在實(shí)施人才計(jì)劃，在大學(xué)設(shè)立專門(mén)的信息安全專業(yè)培養(yǎng)相關(guān)人才。