增強信息安全意識不應只是口號
來源：比特網

      曾經有統計表明，世界上每過一分鐘就有2家企業因爲信息安全問題而倒閉。而在所有信息安全事件中，有70%~80%都是由內部員工的疏忽或有意泄漏造成。
 
　　這並非聳人聽聞。谷安天下公司在2010年和2011年連續兩年針對中國企業員工信息安全意識展開調查，從2011年調查情況看，被調查企業的員工信息安全意識比2010年並沒有明顯增強，企業員工信息安全意識依舊十分薄弱。2011年調查結果顯示，僅有不到1/3受訪者對敏感數據會進行分類和加密，2/3受訪者電腦中數據不做備份或不定期做備份;近半受訪者表示所在企業不會馬上對密級資料進行粉碎處理;1/3受訪者會在電腦桌面存放密級資料。
 
　　一連串不容樂觀的數據讓人不由得又想起當年發生的一些重大安全事件。
 
　　2011年春，索尼公司曝出數據泄漏事件，大約1億人因此受到影響，以至於索尼公司此後花費高達1.71億美元來處理這一重大安全事件帶來的後果。事件發生後，有安全公司對此次事件進行了分析，其中一個發現令人震驚：索尼的數據是從邊界防火牆外部的服務器上被泄漏。而這原本只需部署基本的安全策略就可避免，對一家有着100多年曆史的產業巨頭而言，這本來根本不是什麼難事。
 
　　對索尼重大安全事故的發生，你也許可以以“它雖是電子娛樂產業中的翹楚，卻未必是信息安全保護的專家”這一理由來解釋。但是，對於RSA在同一年犯下的錯誤，卻讓人很難再找到理由爲其開脫。
 
　　當年3月，RSA聲明稱，有人以APT方式對其發起網絡攻擊，與SecurID技術相關的數據遭竊取。SecurID是當前最受歡迎的雙重認證系統，也是RSA王牌認證技術，廣泛應用於政府機構和財務體系。當時，SecurID硬件部署量爲4000萬臺，部署SecurID技術的移動設備數量達到2.5億部。嚴格來講，從技術角度看，這次攻擊稱不上有多高明，事件源頭僅僅是RSA的員工下意識地點開了一封不該點開的郵件，但正是此舉爲攻擊者製造了訪問SecurID獲取用戶ID的機會。
 
　　由此看來，要全面做好安全防護，“人”的因素和“技術”因素同等重要。
 
　　今天，缺乏安全意識的不只是企業員工，個人信息保護意識也亟待提高，這一點，在移動安全領域體現尤甚。3G時代，智能手機在給人們帶來巨大便利的同時，也帶來了重大安全隱患。人們迫不及待地享受着移動互聯技術的便利和快樂，安全意識卻仍然停留在功能機時代。當你輕點鍵盤，樂此不疲地遨遊於智能手機的各種應用時，可能未必想到，每一次下載和運行應用程序行爲都可能被黑客鑽了空子。
 
　　國家互聯網應急中心報告顯示，2011年，全國約有712萬部智能手機感染病毒，病毒數量比上年增長2倍多。知名安全公司F-Secure報告也顯示，今年一季度，含有惡意程序的手機應用數量從去年一季度的139個大幅增至3069個，同比增長2107.9%。360手機安全衛士的統計數據則表明，今年一季度，Android平臺新增惡意軟件和木馬3336個，同比增幅高達1784.7%。
 
　　手機病毒和惡意程序爲何在近一兩年成倍激增？安全專家認爲，根源是智能手機用戶的安全意識並未隨着智能手機的普及上升到應有的高度。而隨着BYOD(Bring your own devices)和IT消費化趨勢的到來，移動設備在企業中的應用日漸普遍，移動安全隱患也將向企業延伸。
 
　　其實，多數從事網絡運維的專業人員都深知信息安全的重要性。不過，企業安全策略總是難以執行到位，尤其是當需要在業務和安全之間找到平衡時，被犧牲的總是安全。“出了問題再說”，這是很多企業看待安全問題的真實態度。不過，只怕一旦真的出了問題，後果和代價便令人難以想象——就像索尼那樣。

原文鏈接：http://sec.chinabyte.com/224/12371724.shtml