近年来,个人信息被泄漏、隐私安全遭威胁、“数据黑市”已经成为越来越猖獗的存在。从身份证、邮箱到银行卡信息等,每个人都不得不承认自己的个人信息数据正在以并不昂贵的价格反复倒卖。 随着各类泄露事件的不断曝光,大众开始担忧起来:在各种数据泛滥的时代,互联网还有安全可言吗? 现实很残酷,网络安全形势并不美好 网络上的个人信息并不能得到安全的保障,很大一部分原因,在于个人不良的上网习惯。在不同网站使用同名账户和密码,随意在平台上填写个人信息,都会给不法分子创造窃取信息的机会。 比如,近期国内发生了多起用户苹果ID账号被盗、锁定、以及远程抹掉并遭遇锁机以此来恶意敲诈的情况,而被盗的用户多数使用的是QQ邮箱。 事实上,苹果ID被盗,首先是因为注册用的QQ邮箱被盗。不法分子通过钓鱼等手段盗取QQ邮箱密码仿冒合法用户,之后才能将苹果ID锁定,并进行一系列勒索敲诈等犯罪活动。 而这种程度的个人信息泄露只不过是漏洞黑市的冰山一角。危害更大的状况,则是公司数据库被黑导致的信息外泄。 2016年一月,凯悦连锁酒店超过50% 遭安全入侵;四月土耳其出现重大数据泄露事件,5000w公民信息被泄露;5月俄国黑客盗取2.73亿邮箱信息以1美元价钱贩卖;9月,雅虎被曝出隐瞒了5亿账户信息被窃事件……2016年还没到头,大规模信息泄露事件便已不一而足。 眼观国内,网络安全事故发生的频率也在不断上升。比如今年3月,开源的加密工具OpenSSL被爆出新的安全漏洞“水牢”,允许黑客攻击网站,并读取密码、信用卡账号等加密信息,我国有十万余家网站受到影响。 而除了信息泄露,其他种类的安全事故也并不少见。今年5月,携程网由于员工错误操作导致长达十几个小时的宕机,大量用户无法访问网站的事件。刚刚过去的9月份,阿里云安全产品云盾“安骑士”升级触发bug,将所有新启动的可执行文件都当成恶意文件进行隔离,也造成了较大范围的影响。 由此可见,在互联网安全领域,即使大企业也不一定做得有多好。究其根源,网络安全并不是一个简单的漏洞问题,系统的网络安全问题,往往是背后综合性原因导致的。 互联网企业网络安全状况堪忧,背后隐藏多重原因 近两年,互联网创业极端狂热,不少公司都将精力花在能够直接带来公司业务增长的层面,长期忽视底层技术的加固。同时,网络安全领域的尖端人才高度缺乏,各方面因素导致企业增长速度和技术投入程度完全不成正比。互联网安全问题时有发生,可以归结出一些共因: 安全意识问题。如上文所说,目前国内不少互联网运营公司缺乏网络安全意识,不重视对用户信息的安全保护。这也造成了整个公司员工的安全意识缺失,比如密码强度,离开电脑及时锁屏等习惯,和被钓鱼社工等。 软件开发人员的视觉盲区。在过去,对开发工程师的要求仅仅停留在代码质量的层面,开发人员对信息安全的理解其实是比较浅薄的。在开发过程中,很可能因为没有考虑到位或者引用了存在问题的开源项目,导致代码有先天性漏洞。 系统运维人员和测试等技术盲区。无法第一时间发现被攻击,直播,不能及时发现漏洞,修补漏洞,造成后天性漏洞。 黑客、同行攻击、敲诈勒索现象严重,会消耗公司的技术资源和增加技术成本,导致有些公司对其运营的互联网服务平台没有能力或不愿意投入巨额来部署高级的风险控制或主动防御体系。 互联网的特征之一即为开放,过去从来没有像今天这样,不同的行业在互联网的框架下紧密关联。加上现代科技的日新月异,各种形式的攻击层出不穷,想要杜绝安全问题是过于理想化了,任何一个系统都存在百密一疏的风险。 比如这次的苹果账号被锁事件,虽然是发生在用户身上的个人事件,但苹果公司在用户ID发生被盗之后并没能及时预警,在很大程度上就是被自己开发的“远程锁定”功能坑了。 安全事件防不胜防,在互联网世界欣欣向荣的背后,网络安全状况比大多数人想得都要糟糕。互联网领域的所有参与者都面临着不安全的风险,企业能做的只能是用高度的预警意识来对抗这种不安全性,而这种防范又必须是动态的、持续的。 互联网企业安全需求增长,安全行业往纵深方向发展 (责任编辑:本港台直播) |