瑞星2011年度企业安全报告

　　企业应采取的防护建议

　　对于企业信息安全的保护，应当从企业安全流程和安全产品两方面共同着力。一方面，信息安全不再是分散的、技术上的简单概念，还应该与企业管理、基础建设、应急处理等宏观设计统一起来;另一方面，安全厂商需要进一步思考在如何将自身各项产品线进行长期规划、有机结合，从而针对不同行业、不同规模、不同安全级别的企事业及政府单位，量身定制完整的安全解决方案。

　　除了使用质量良好的软硬件系统之外，有些共通的防护措施和思路，值得所有企业参考和借鉴：

　　(1)安全风险评估

　　企业应对自己的信息资产作安全风险评估，了解自身所面临的安全威胁，主要来自外部，还是来自企业内部?对企业威胁最大的攻击方式，是窃取资料，是用户无法访问自己的网站，还是用户容易访问到被仿冒的网站?

　　(2)针对急迫的问题迅速拟定执行解决方案

　　进行了风险评估之后，应该在短时间内针对急迫的问题迅速拟定执行解决方案，由公司整体组织和进行。由于有些安全风险无法在内部自行消除，所以需要求助于外部力量。比如：有的公司名字和品牌在搜索引擎上搜索，排在前列的都是仿冒的钓鱼网站，这时候就需要公司的市场部门去与相关公司沟通，针对用户发布安全警示等等。

　　(3)根据不同行业特性规划安全风险对策

　　安全风险对策应根据不同行业的特性来规划，例如：网游企业面临的危险，主要是DDOS攻击和用户资料失窃;IM软件除了盗号风险之外，还有传送恶意文件、诈骗链接等等问题。这些都可以通过流程来弥补和减弱影响，有的网游在用户进行装备交易时设定条件，对争议进行人工审核，这样就可以降低盗号带来的影响。

　　(4)建立严格的权限管理体系和资料审核机制

　　很多企业的安全风险因素来自内部，离职员工的恶意入侵，低权限员工试图获取超越权限的资料等等，这些都需要内部建立严格的权限管理体系和资料审核机制，单纯依靠安全软硬件无法彻底消除类似风险。

　　目前，包括瑞星在内的安全厂商都会提供专业的安全风险评估、协助制定安全流程和规则等服务，如用户遇到自己无法解决的安全问题时，可向专业厂商求助。

　　总结

　　2011年，CSDN、天涯等网站发生的“泄密门”，给国内企业安全敲响了警钟。像这样的专业网站在用户资料管理、安全流程上都存在种种问题，其余企业的安全防护水平可想而知。这既给行业带来压力，同时也给企业的发展带来巨大的动力，正是因为存在问题，企业们才需要向着更好的方向去努力。

　　除了“拖库”这样显而易见的攻击之外，针对iPad、安卓等智能终端的攻击，针对各种工控系统的攻击，针对涉密网络的攻击也层出不穷地出现，尽管目前尚未出现“泄密门”那样影响巨大的案例，但只要我们放松警惕，威胁就出现在懈怠之中。

　　最后，我们也看到目前国内的安全形势不容乐观，大多数企业对于漏洞和威胁并不重视，只要不出现问题就万事大吉;很多安全研究者因为不能通过正当途径获取利益，不得不靠灰色收入牟取利益;这样就使整个行业进入“有问题的企业不肯花钱，宁肯花钱搞定媒体，导致安全研究不赚钱，不赚钱的厂商无法提供更好的产品和服务，致使有问题的企业问题越来越多，最终安全炸弹被引爆”的恶性循环。

　　瑞星呼吁国内所有的安全厂商、企业和安全研究者，大家应该把精力放在共同对付安全威胁上，对于白帽研究者提供的漏洞和建议应给予足够的重视，对利用安全漏洞进行攻击和谋取不当利益的行为给以坚决反击，只有大家共同努力，才能把安全做到更好。