开发者社区> 问答> 正文

新型安全威胁将来袭信息安全要如何应对



2014年春天OpenSSL出现了“Heartbleed”漏洞,攻击者从服务器内存中读取包括用户名、密码和信用卡号等隐私信息在内的数据,波及到了大量的互联网公司。此外于2014年9月24日公开的
Shellshock安全漏洞,使得攻击者在未授权的情况下可以访问计算机系统。这两个严重漏洞事件表明,在移动互联网时代,信息安全行业需要不断提高对新型威胁的警惕。互联网以及物联网应用发展的同时,也意味着众多的网络移动设备的更加广泛化和移动化,这也将产生新一轮的安全威胁。


  近日,赛门铁克针对亚太地区所面对的网络安全问题,发布了2015年十大威胁趋势,这十大威胁趋势如下:
  1、对物联网的攻击主要集中在智能家居自动化;
  2、移动设备将会成为更具吸引力的目标;
  3、机器学习将会扭转网络安全格局;
  4、移动应用将继续牺牲用户的个人隐私;
  5、诈骗分子将继续通过勒索软件进行诈骗;
  6、网络安全继续成为2015年的关注重点;
  7、分布式拒绝服务的威胁将更趋向严重;
  8、安全性超越密码范畴,用户行为将成为焦点;
  9、云将为我们打开无限广阔的空间;
  10、通过加强企业联合协作,强化网络安全防线。


  由上述可以看出,信息安全威胁持续升级, 为了更好的保障信息安全,企业需要新的策略思路来应对,这将决定信息安全在2015年将走向何处。
  第一 深化互联网安全意识
  行动与思考的关系一直是很矛盾,是行动大于思考,或者是思考大于行动,这里不予讨论,但是在信息安全领域中,首先就是要有这样的一种意识,那就是被攻击和泄露是不可避免的。作为攻击者,攻击只需要成功一次就可以,而作为信息安全的守护者则需要始终成功。其实这本身就是一个不公平,更是也不对等的游戏。所以,各个行业以及各个企业都要做好一旦发生被攻击事件的准备。

  企业信息安全中,如何在安全体系中有效彻底的贯彻安全制度,以及不断深化全员安全意识才是重要所在。光依靠技术是不能完全解决安全问题的,所以首先要有安全意识,重视企业的安全措施。
这些安全措施包括,培养员工的安全意识等;还有就是对相关的技术管理人员进行技能培训,对于重要数据一定要做好数据备份,否则会导致灾难性的后果。
  第二 企业需具备一套综合的安全策略以及相关技术
  企业不仅要把威胁阻挡在大门之外,而且需要识别出那些已经在门内的威胁,并且强有力地将之彻底根除。

  以赛门铁克公司为例,其高层表示,这个综合的体系包括五个部分:
  1、识别:在可能的攻击实施之前加以识别;
  2、防护在攻击发生的时候最大程度地保护企业资产,减轻受损;
  3、检测:发现并修补系统漏洞,侦测并阻挡外部入侵;
  4、响应:威胁发生时加以有效遏制和修复;
  5、恢复:让企业运营回复正常,同时更新安全管理系统。
  第三 物联网安全需要从设计入手
  在为人们的工作和生活带来高度互联和智能化的同时,物联网的发展同样也隐含着信息安全管理方面的巨大挑战。但是这样的发展状况没有那么直观地被普通公众觉察到。
  这些威胁实际上已经在我们身边存在。例如,日益流行的运动跟踪记录App和设备每天都在产生大量的个人信息和数据,这些设备和信息如果被黑客盯上,就会存在安全性问题了。

  有人认为,目前大量存在的物联网安全隐患,原因在于在系统设计阶段没有很好地重视和认真规划信息安全管理。同时提出了物联网安全端到端的解决方案,统一规划三个层面的安全体系,分别为:
  1、服务层面的设备管理、威胁情报和安全分析;
  2、网络系统层面的登陆控制、App沙盒以及针对恶意软件和外部入侵的侦测和防护;
  3、设备和网关层面的认证、数字或电子签名保护代码、App沙盒以及针对外部入侵的侦测和防护;同时,要设计和管理好贯彻整个体系的身份和密钥系统。

展开
收起
bluesea 2015-01-19 13:25:50 9146 0
0 条回答
写回答
取消 提交回答
问答排行榜
最热
最新

相关电子书

更多
企业安全短板和智能威胁感知 立即下载
掌控企业安全威胁 企业安全2.0与威胁情报 立即下载
掌控企业安全威胁 立即下载

相关实验场景

更多