“企業(yè)自恃身處內(nèi)網(wǎng)環(huán)境中，黑客難以入侵。但實際上，無線網(wǎng)絡(luò)、眾多智能設(shè)備（如手機、Pad等）為黑客提供了更多便利，而企業(yè)所信任的防火墻在黑客面前形同虛設(shè)。”知名信息安全顧問、國家信息安全最高認證（CISP）金牌講師張勝生在近日一場講座中，對目前國內(nèi)企業(yè)普遍缺乏信息安全專業(yè)團隊，漠視信息安全的現(xiàn)狀表示擔憂。

微軟宣布停服XP、OpenSSL漏洞，近期諸多網(wǎng)絡(luò)事件讓信息安全成為熱點話題。近日，北京市信息安全專家委員會與北京職業(yè)技術(shù)協(xié)會舉辦了“黑客揭秘與企業(yè)防御實踐”講座。

張勝生把信息安全防御喻為“一場無言的持久戰(zhàn)”，交戰(zhàn)雙方是“安全管理員”與“黑客”，“黑客是利用漏洞發(fā)起攻擊，破壞系統(tǒng)獲取相關(guān)數(shù)據(jù)從而達到某種利益的人。這場對抗正是從黑客展開周密踩點開始，這種踩點就如同一場精心策劃的跟蹤，有時甚至?xí)掷m(xù)瞄準一個企業(yè)數(shù)年之久。你攻我守，反反復(fù)復(fù)，雙方將開展長期的拉鋸戰(zhàn)。因此，企業(yè)需要做好人才儲備、技術(shù)儲備，打一場沒有硝煙的信息安全持久戰(zhàn)。”

在這場曠日持久的攻防戰(zhàn)中，黑客往往會對企業(yè)窮追不舍，造成企業(yè)巨大經(jīng)濟損失。當然企業(yè)會重新構(gòu)建新的防御系統(tǒng)，在XSS (跨站)、CSRF（跨站請求偽造）、自定義腳本等日益多元化的攻擊手段下，黑客能在短時間內(nèi)發(fā)現(xiàn)新的漏洞，進而利用漏洞給企業(yè)造成新的損失。還會有黑客直接投遞簡歷，應(yīng)聘為企業(yè)的信息化管理人員，作為商業(yè)間諜長期潛伏其中，給企業(yè)帶來致命打擊。張勝生提醒，“內(nèi)部攻擊的威力更甚于外部，企業(yè)要進一步增強防御力。而黑客的入侵手段在不斷進化，安全管理員更要時刻保持警惕。”

張勝生介紹說：“1998年OpenSSL誕生后，從第一個漏洞（CVE-2014-0160）到新近剛爆出的‘心血漏洞（CVE-2014-0160）’，歷經(jīng)16年，共發(fā)現(xiàn)漏洞153個，信息安全界一直在奮斗，企業(yè)對信息安全管理的投入也越來越多。”但是目前很多企業(yè)還沒有專職的安全管理人員，企業(yè)網(wǎng)站和應(yīng)用系統(tǒng)中存在大量漏洞，一旦漏洞被利用，企業(yè)數(shù)據(jù)庫將外泄造成巨大經(jīng)濟與名譽損失。

在講座現(xiàn)場，張勝生為大家演示了自主研發(fā)的“紅黑演義攻防演練”平臺，重現(xiàn)了黑客入侵與安全管理員的對抗過程，他呼吁企業(yè)需要建立起自有的信息安全專業(yè)團隊，定期開展信息安全應(yīng)急演練，做到未雨綢繆。

張勝生認為，企業(yè)要想贏得信息安全持久戰(zhàn)，不僅要熟悉黑客入侵的手段與心理，達到“知己知彼”，同時還要不斷加強企業(yè)技術(shù)人員的攻防實戰(zhàn)培訓(xùn)和演練，訓(xùn)練出一批專業(yè)化、職業(yè)化的攻防技術(shù)能手。他還提到，防御黑客需要各方專業(yè)人士達成共識，通力合作，共同致力于構(gòu)建和諧安全的網(wǎng)絡(luò)信息環(huán)境。

聯(lián)軟科技網(wǎng)絡(luò)準入控制系統(tǒng)、業(yè)務(wù)數(shù)據(jù)防泄露，終端安全管理，內(nèi)外網(wǎng)數(shù)據(jù)安全交換為您構(gòu)建一個可控、和諧、安全的互聯(lián)網(wǎng)世界！詳情請轉(zhuǎn)至http://xhyy8.com/cpyfa/product了解。

本文轉(zhuǎn)載自新浪。