“企業(yè)自恃身處內網(wǎng)環(huán)境中，黑客難以入侵。但實(shí)際上，無(wú)線(xiàn)網(wǎng)絡(luò )、眾多智能設備（如手機、Pad等）為黑客提供了更多便利，而企業(yè)所信任的防火墻在黑客面前形同虛設。”知名信息安全顧問(wèn)、國家信息安全最高認證（CISP）金牌講師張勝生在近日一場(chǎng)講座中，對目前國內企業(yè)普遍缺乏信息安全專(zhuān)業(yè)團隊，漠視信息安全的現狀表示擔憂(yōu)。

微軟宣布停服XP、OpenSSL漏洞，近期諸多網(wǎng)絡(luò )事件讓信息安全成為熱點(diǎn)話(huà)題。近日，北京市信息安全專(zhuān)家委員會(huì )與北京職業(yè)技術(shù)協(xié)會(huì )舉辦了“黑客揭秘與企業(yè)防御實(shí)踐”講座。

張勝生把信息安全防御喻為“一場(chǎng)無(wú)言的持久戰”，交戰雙方是“安全管理員”與“黑客”，“黑客是利用漏洞發(fā)起攻擊，破壞系統獲取相關(guān)數據從而達到某種利益的人。這場(chǎng)對抗正是從黑客展開(kāi)周密踩點(diǎn)開(kāi)始，這種踩點(diǎn)就如同一場(chǎng)精心策劃的跟蹤，有時(shí)甚至會(huì )持續瞄準一個(gè)企業(yè)數年之久。你攻我守，反反復復，雙方將開(kāi)展長(cháng)期的拉鋸戰。因此，企業(yè)需要做好人才儲備、技術(shù)儲備，打一場(chǎng)沒(méi)有硝煙的信息安全持久戰。”

在這場(chǎng)曠日持久的攻防戰中，黑客往往會(huì )對企業(yè)窮追不舍，造成企業(yè)巨大經(jīng)濟損失。當然企業(yè)會(huì )重新構建新的防御系統，在XSS (跨站)、CSRF（跨站請求偽造）、自定義腳本等日益多元化的攻擊手段下，黑客能在短時(shí)間內發(fā)現新的漏洞，進(jìn)而利用漏洞給企業(yè)造成新的損失。還會(huì )有黑客直接投遞簡(jiǎn)歷，應聘為企業(yè)的信息化管理人員，作為商業(yè)間諜長(cháng)期潛伏其中，給企業(yè)帶來(lái)致命打擊。張勝生提醒，“內部攻擊的威力更甚于外部，企業(yè)要進(jìn)一步增強防御力。而黑客的入侵手段在不斷進(jìn)化，安全管理員更要時(shí)刻保持警惕。”

張勝生介紹說(shuō)：“1998年OpenSSL誕生后，從第一個(gè)漏洞（CVE-2014-0160）到新近剛爆出的‘心血漏洞（CVE-2014-0160）’，歷經(jīng)16年，共發(fā)現漏洞153個(gè)，信息安全界一直在奮斗，企業(yè)對信息安全管理的投入也越來(lái)越多。”但是目前很多企業(yè)還沒(méi)有專(zhuān)職的安全管理人員，企業(yè)網(wǎng)站和應用系統中存在大量漏洞，一旦漏洞被利用，企業(yè)數據庫將外泄造成巨大經(jīng)濟與名譽(yù)損失。

在講座現場(chǎng)，張勝生為大家演示了自主研發(fā)的“紅黑演義攻防演練”平臺，重現了黑客入侵與安全管理員的對抗過(guò)程，他呼吁企業(yè)需要建立起自有的信息安全專(zhuān)業(yè)團隊，定期開(kāi)展信息安全應急演練，做到未雨綢繆。

張勝生認為，企業(yè)要想贏(yíng)得信息安全持久戰，不僅要熟悉黑客入侵的手段與心理，達到“知己知彼”，同時(shí)還要不斷加強企業(yè)技術(shù)人員的攻防實(shí)戰培訓和演練，訓練出一批專(zhuān)業(yè)化、職業(yè)化的攻防技術(shù)能手。他還提到，防御黑客需要各方專(zhuān)業(yè)人士達成共識，通力合作，共同致力于構建和諧安全的網(wǎng)絡(luò )信息環(huán)境。

聯(lián)軟科技網(wǎng)絡(luò )準入控制系統、業(yè)務(wù)數據防泄露，終端安全管理，內外網(wǎng)數據安全交換為您構建一個(gè)可控、和諧、安全的互聯(lián)網(wǎng)世界！詳情請轉至http://www.fuliqld.cn/cpyfa/product了解。

本文轉載自新浪。