意识比技术更重要

　　近日，惠普发布了《2015年网络风险报告》，惠普公司企业安全产品北亚区总经理姚翔就报告的调查结果做了详细阐述和解读。他认为，人是关键，意识远比技术更重要。“现在的黑客攻击再也不是以系统崩溃为主要目的，而是进行长期控制。”姚翔介绍道，就像小偷偷东西离开时不露痕迹，且他拿到了钥匙，随时可以进来。

　　常见攻击及配置错误大量存在

　　报告发现常见攻击仍然奏效。究其原因，姚翔认为除了一些企业IT人员疏忽，更多是开发人员并不支持，因为目前在大数据、云计算和移动、物联网飞速发展的趋势下，更多企业IT人员都在加班开发新应用，而打补丁耽误时间还可能导致一些软件与平台不匹配不兼容的情况，影响业务正常运行的同时会让IT人员花费更多的精力。“我们建议企业要有一个全面的补丁策略，需要一个制度化的流程来监管，防范于未然。”姚翔说道。

　　另外配置错误仍是显著问题。如现在大量互联网金融服务为方便用户，会存储大量密码账号在移动端，这些信息虽然不被这些服务商乱用，但还是产生了威胁，违反隐私保护。

　　移动互联、物联网带来立体攻击

　　数据显示，就安全功能的全球统计的结果来说，安全功能在Web上其实已经是相对比较危险的状态了，达86%是有威胁的；可手机端达97%。在Web上只有17%是有代码质量问题的，可在移动应用上多近一倍。

　　姚翔分析说：“有大量开发团队是由原来Web团队转化过来，而移动本身所涉及到的数据比Web上有更多的个人隐私，包括用户位置甚至是私人账号包括社交账号，都比Web更多，但研发人员如果不了解这些威胁的话，就会带来更大的安全威胁。”

　　物联网的使用使得万物互联不再是梦，但这种开放的便捷却暗藏隐患。原来的防护是在电脑和移动设备端，但当一个冰箱是一个入口的话，就会变成一个新的攻击路径。“大部分家电生产企业包括车企是没有安全概念的，人们往往无法知道是空调还是冰箱、热水器、电饭煲还是其他家具发生了安全隐患。这在目前还是一个空白点。”姚翔说。他特别强调，不仅是家电生产厂家没有这个意识，大部分用户对这些智能设备威胁也认知不够。

　　因此，新技术带来的攻击和其他挑战，需要移动应用和开发人员不再重复在传统应用开发中的已知错误。

　　安全意识需逐步培养

　　众所周知，黑客的组织是分工合作的，这就要求安全防护也不能各自为战，要联合起来。与传统的安全防护较为割裂不同，现在应对立体的威胁也需要与其他安全厂商进行产品上的互补、成立安全联盟定期共享威胁情报等。同时，由于人才紧缺，为了应对新技术带来的不断冲击，还应针对性地培养专业人才。惠普透露，在与其他安全厂商达成联盟的同时，也在实施人才计划，在大学设立专门的信息安全专业培养相关人才。

　　文|本刊记者 王柳