-
如何捍衛互聯網行業安全
發布時間 : 2015-05-30 09:37:32 來源 : 金站網 瀏覽次數 :
自5月27日起,支付寶、攜程和同花順、招商證券等券商軟件,先后出現無法登錄或全面“癱瘓”的情況,讓廣大網民心里七上八下。來自中國支付清算協會的數據顯示,2014年支付機構共處理了超過215億筆互聯網支付業務,金額超過17萬億元。互聯網服務的靠譜與穩定,與網民的直接利益掛鉤,不得不引起高度重視。互聯網企業頻繁“掉線”原因何在?如何才能亡羊補牢?
“互聯網企業面臨的安全形勢正變得空前嚴峻。”360網絡攻防實驗室負責人林偉告訴記者,一份來自第三方調查機構的報告顯示,2014年,61個國家的企業報告了9790個安全事件和超過2000件已被確認的數據泄露事件。
但在多位互聯網安全專家看來,若互聯網企業將安全問題全部推給外因,實在過于避重就輕。專家表示,傳統金融機構即使遇到服務器宕機,解決問題的速度是以秒級計算,而支付寶花了2個小時。攜程今年早些時候已出現用戶信息大量泄露,而此次12小時才恢復正常服務更是“嚴重事故”。“這些問題其實都折射出互聯網企業對網絡安全和信息安全的漠視。”瑞星安全專家唐威認為,“比起外部攻擊,企業大部分安全威脅其實來自內部。在國內,除了BAT三巨頭之外,大部分互聯網企業沒有整體解決方案,也沒有定期排查問題的制度。”林偉也表示,在360的補天漏洞響應平臺上,目前已有四萬多個有效漏洞,“被人惡意利用的話,將造成災難性的后果。”
“從根本上講,這些問題其實都來自于互聯網企業重體驗輕安全的慣性思維,特別是現在移動互聯網風潮下,大量創業公司將全部心思花在怎么爭取流量、圈到用戶,幾乎沒有安全意識,這是非常危險的。”唐威表示。
漏洞來自心態,解決問題也要先從“人”的角度出發。國內知名白帽子安全團隊Keen表示,互聯網企業應該做好信息安全制度設計,做好實際生產環境和測試開發環境的隔離,嚴格遵循變更管理流程,并有企業信息安全部門進行事前審核和事后審計,同時還要通過教育培訓,做好所有開發人員和運維保障人員的安全意識教育。
在“人”之外,不斷發展的網絡安全技術也在為互聯網企業提供更高級別的安全保障。拿災備來說,目前大部分互聯網企業的備份并不能即時啟用,即所謂的“冷備”。而目前更為先進的技術,是通過在異地的數據中心進行異地“熱備”,甚至在多個異地的數據中心同時進行備份,這就是所謂的“異地多活”。大數據和云計算等先進技術也在為安全保駕護航。騰訊云方面稱,藝龍在5月28日受到攻擊后,僅耗時14分鐘緊急接入騰訊云大禹系統,過濾攻擊流量,將正常流量引入網站,攻擊流量隨后被悉數清洗,藝龍網服務恢復正常。
專家表示,隨著“互聯網+”戰略的不斷延伸,網絡安全問題將直接影響傳統產業“觸網”的信心和效果,傳統企業也應從互聯網企業出現的種種安全問題中總結教訓,端正心態,用好信息安全技術。
