浅谈网络安全问题 我们却缺乏安全意识

Posted 2020-08-17

随着互联网安全问题的增多，网络安全行业成了一个快速发展的行业。根据研究公司Markets and Markets的报告，网络安全行业的年增长率超过了10%，到2021年，它将是一个超2000亿美元的大产业。不过，对于互联网用户来说，这并不是什么好消息。人们需要更多的计算机安全知识，但是，大多数人对此并无兴趣，或者缺乏相应的技术能力。

目前网络安全工作正在从过去的“防护”为核心向两个方向转移，一个方向是向前，强调对于攻击事件发生之前，进行风险管理和威胁预警，尽量降低网站被攻击的可能性。一个方向是向后，强调对于攻击事件发生后的及时发现和快速响应能力，尽量降低攻击造成的影响。

通常，针对网站检查与持续监控的传统操作方式有：自主上报，定期巡查，人工检查，现场排查，事件曝光后的应急处理等。然而，随着政务工作从信息公开向综合服务不断提升，以“互联网+”为理念，将会打造更多的政务信息数据服务平台和便民服务平台。面对网站数量众多，Web攻击形式复杂变化快等安全问题，仅通过人工方式日常检查或现场排查应急保障等方式，不仅耗费大量的人力和时间，而且监测结果还不够准确，难以实现实时、有效、快速、全面的检查与监测。

另外，网站安全保障工作渐有常态化趋势。一方面是因为网络安全的形式日益严峻，网站所面临的攻击越来越多，而且重大事件也越来越多，网站是网络攻击的焦点，与其每逢重大事件做事件性处置，不如引入常态机制更加有效。另一方面是攻击往往不是发生在一个时点，而是一个长期的复杂行为，很多时候攻击所利用的后门都是较长时间以前就植入在服务器里的，所以安全检查工作要常抓不懈，持续监控。

因此，非常有必要建立一套常态化的监测工具，实现实时密码检测，及时发现系统风险，并在攻击事件发生后第一时间快速告警，减少攻击造成的危害。针对互联网服务平台及门户网站检查工作，行业与地方监管部门，建立一套常态化的利用自动化手段的检查与监测技术支撑平台，迫在眉睫。

网络安全的问题在于，许多用户缺乏必要的安全意识。在黑帽大会上，德国埃尔朗根-纽伦堡大学的研究员Zinaida Benenso展示了一项关于恶意链接的调查。他发现1/5的人会点击陌生电子邮件里的链接，而2/5的人会点击社交网络的链接。受好奇心的鼓动，精通技术的用户也难以拒绝点击的冲动。

如果你询问安全公司，消费者如何维护自己的网络安全，你会得到同样的建议：使用更好的密码、更新软件、备份数据等等。但是，许多消费者从来不做这些事情，而且，很少人会把所有事情都做到，而且经常那么做。