瑞星：国内企业信息安全体系建设极其糟糕

近日，国家信息中心信息安全研究与服务中心联合瑞星公司发布了《2013年上半年中国信息安全综合报告》，报告揭示了目前国内企业对信息安全的认知及防范意识不尽如人意，大部分企业对信息安全问题的解决办法仍停留在安装杀毒软件上。企业在信息安全系统建设和信息安全制度的建设上并不理想，瑞星呼吁企业首先要扭转对安全的边缘化投资态度，在信息安全产品和制度上筑起堡垒。

信息安全认知差、意识薄弱

当前国内很多企业对信息安全问题的认知，仍旧处于空白状态。除了少数大型互联网企业，大部分企事业机关单位都习惯把信息安全问题等同于“电脑中毒”、“网络拥堵”这类在办公网络中常见的现象，通常都简单采用安装杀毒软件的方法解决。“信息安全带来的问题远不止如此，”瑞星安全专家指出，“中病毒、网速慢都只是表象，杀毒软件只能解决病毒相关问题，无法在最开始就将病毒拒之门外，更无法解决由系统管理不严、员工操作不当和黑客入侵引发的机密信息外泄、单位账户被窃等问题。”

瑞星安全专家唐威

瑞星安全专家唐威介绍，目前多数企事业机关单位的内网没有经过严格过滤，外界互联网的病毒可以随意下载至本地电脑。虽然少部分保密级别高的单位采取了内外网物理隔离的办法，但是仍无法阻止病毒由USB存储设备(如U盘、移动硬盘等)入侵网络。前面提到过的“超级工厂”和“超级火焰”病毒就是典型案例，这两种病毒主要依靠USB存储设备传播。病毒一旦进入单位内网，就可以悄无声息地获得许多重要电子设备的控制权限，同时电脑并不会表现出明显的中毒症状。因此，普及信息安全知识，提高安全意识，规范电脑操作是现下的当务之急。

信息安全问题事前无防备 事后弥补不及

目前，大部分政企单位都存在对信息安全事件缺乏防范的问题。多数单位都在问题爆发后才开始想办法补救，然而这个时候，已经不能阻止遭到泄露的机密文件继续被“有心人士”传播，而被洗劫的钱财也无法追回。

今年上半年，一封E-Mail在微博上疯传，该邮件是由凤凰网内部流出的，邮件内曝光了凤凰网一高管的性丑闻，一时间成为网民争相关注的焦点。瑞星安全专家指出，这类事件其实就是典型的信息安全事件，如果凤凰网对电子邮件的管理足够严格，这类事件不应流传到外部互联网。而无论其后凤凰网做何种弥补，该事件所造成的不良影响也已经无法消除。

6月，迅雷公司也发生一起因系统漏洞造成的安全事件，该漏洞导致用户可以仅花费1分钱，就获得原本价值180元的迅雷白金年卡。在迅雷公司发现之前，已经有5000多张年卡被一抢而光，迅雷公司因此不得不为这个漏洞买单，直接损失达百万元。

信息安全体系建设尚未开始

前面提到，现今国内大部分企业对信息安全问题的解决办法仍停留在安装杀毒软件上，这也意味着，大多数企业的信息安全体系建设尚未真正开始。

瑞星安全专家表示，信息安全体系建设，应包括两个部分：首先是信息安全系统建设，这是指在政企单位的内网中，针对网关、服务器、电脑终端、监控设备、企业生产设备等所有电子设备安装相应的安全产品，并组成统一的、可管控的安全系统。其次，是建立完善的信息安全制度，严格规范员工的操作，并对各类电子设备、各级员工进行权限设置，以便最大程度保障单位内部信息无法外泄。

“信息安全体系建设，不仅是用信息安全产品搭建一个堡垒，更重要的是企业自身建立一套完善的信息安全制度”，瑞星安全专家指出，“只有有形的产品和无形的制度相互配合，才能根除信息安全事故为企业带来的重大隐患。”

不仅如此，针对政府、军队、金融、能源和电信等核心政企，建立完整的企业信息安全体系不是“一次性工程”，企业应不断学习了解最新的网络安全技术，并组织专业安全人员定期进行模拟攻防演习，通过不断的发现问题、解决问题，逐步提升网络安全水平，做到“知己知彼”。