报告》显示,个人信息泄露主要是黑客利用网站存在的安全漏洞非法入侵和网站内部人员非法盗卖;金融行业网站漏洞威胁更加复杂化,传统的银行、保险,新兴的第三方支付、互联网P2P等领域都曝出不少高危漏洞;网站漏洞实施挂马攻击重新兴起,并呈现一定程度爆发趋势。
此外,一个更加令人担忧的问题是,在移动互联网时代越發重要的手机也存在众多安全漏洞。上述《报告》指出,目前大多数安卓系统手机都存在安全漏洞,而用户手机未能及时更新而存在安全漏洞的重要原因之一,是手机厂商普遍未能实现其定制开发的安卓系统与安卓官方同步更新,而且延时较大。
漏洞安全治理急盼良方
为应对与日俱增的网络漏洞威胁,目前不少科技公司都设立了漏洞奖励机制,只要“白帽黑客”或其他技术人员发现并提交漏洞,就会获得奖励。而乌云、补天等漏洞反馈、众测平台也会接收并公布漏洞,以帮助企业发现漏洞并及时补救。另外,也有一些安全企业提供代码审计类的产品,希望在产品上线之前先发现是否存在漏洞。
不过,在华建乐看来,在数量众多且复杂多样的网络漏洞威胁面前,上述做法似乎都不太够用。因为高危漏洞往往需要人工发掘才能发现,而且在发现后很容易就会被转入地下黑色产业链,直到利用价值逐渐减低,才逐渐浮出水面。
“三分靠技术,七分靠制度。”华建乐说,在网络漏洞安全防范中,已经积累了许多经验和技术,但这些经验和技术的推广仍受制于现实的制度障碍和执行困难。对此,林东岱也深有体会。据他介绍,企业(集团)漏洞扫描漏洞、等级保护测评高危漏洞等技术手段是目前比较合适的网络漏洞防范手段,也有一部分企业在推行。“但很多还是没做,所以怎么推行到位还是一个问题。”
为何合适的网络漏洞防范技术难以推行?这跟网络安全行业的特殊性有关。“出了事都很关心,不出事大家都不愿去做,这也是我们做安全行业的人经常遇到的一个苦恼。”林东岱曾接触过许多企事业单位的网络安全管理部门,他发现很多企业在一开始不愿意去做网络安全的事,总是把安全放到业务和营利后考虑。
相关热词搜索: 警告 发出 网络
