近期,杭州一公司因数据安全问题被行政处罚。该公司旗下某生活类APP相关数据库服务端口直接暴露在互联网环境中,存在未授权访问漏洞,未按要求履行数据安全保护义务,违反《数据安全法》第二十七条之规定。
如今在互联网上个人信息就像是裸奔一样,数据泄露事件屡见不鲜。对于用户而言,愿意配合企业做用户实名,把自己的个人信息全盘交给企业,是对企业的信任。
而换来的却是:企业不重视数据安全,不做好预防和安全防护,多次发生数据泄露。等出了问题,再想着堵住漏洞;如果没有大的影响,甚至不吸取教训,一而再再而三地忽视软件安全。
直到大的安全问题发生时,才发现:企业除了需要承受安全事件带来的修复成本、业务中断、生产力损失等之外,造成品牌声誉受损、客户流失,最终还可能威胁企业生存!
我们总觉得软件安全问题离我们很远,特别是一些中小企业,都以为网络犯罪分子会更喜欢家大业大,可以大把获利的目标。
而事实上,如今黑客们的魔爪正在默默伸向中小微企业,因为他们拥有与大型企业相同类型的数据,而数据保存以及网络安全防护能力却远不如大企业周全。
早在09年,就有小型企业遭到网络攻击,黑客通过感染企业系统不到一周的事件,就从其银行账户中豪夺60万元,遭受“灭顶之灾”。
那该如何让企业避免陷入安全危机,变得被动呢?
信息安全问题频发,也说明了“没有攻克不了的系统”。要想从根本上避免企业陷入数据泄露的危机中,做好软件安全的保护,企业需要从以下几个方面着手——
1. 不要在没有准备的情况下,应对网络安全事件
与其被动等待危机来临,手忙脚乱采取措施,倒不如未雨绸缪:从事后修补漏洞、外部防御软件安全,转移到主动提高软件安全性上面来。
为解决企业软件安全问题,网安云推出“软件安全在线检测服务”,提供覆盖源代码、应用程序、运行环境等多维度的软件安全检测服务,自动化检测与金牌专家团队分析“双效合一”,帮助客户快速、精准定位软件脆弱点并提供专业修复建议,助力提升软件安全性,降低数据泄露风险。
2. 不要忽略员工的网络安全培训
即使公司规模小,也不能忽略掉员工的网络安全培训,因为一个网络安全事件的发生,很可能就是因为一个人无意间的小错误导致的。
特别是研发团队,普通研发人员以往获取的专业能力培训上,更多的是以完成工作任务为前提。
大部分的开发人员虽然也知道开发安全很重要,但在日常工作中,由于没有经过专业的内部培训,获取在实际工作环境中如何安全编码和安全防护的能力,导致他们在发生安全问题时,甚至不知道他们的代码易受攻击的原因。
“网安云软件安全在线检测服务”,由金牌安全专家团队提供专业审查和测试结果分析解读,对于开发而言,测试分析报告就是最好的安全意识教育的案例。
3. 不要拖延更新补丁,制定应用关键程序安全更新策略
黑客攻克系统,最容易利用的就是应用程序中的漏洞,当漏洞被披露时,企业应该及时更新安全补丁,防止黑客有机可乘。很多企业面临安全问题,就是因为存在多年未打补丁的漏洞,让软件面临容易攻克的危机。
02 总结
网络安全,就像是定期体检、家用灭火器。原本只需要花费小成本,做个提前防御,但大多数人会抱着侥幸心理,认为发生事故、生大病只是概率事件,倒霉事情不会发生在我身上的,等到发生火灾、病痛来临,才追悔莫及。
在事故发生之前,我们的“提前准备”,虽然也需要付出成本,但是:是体检花费的几百块钱贵,还是没及时发现,导致疾病恶化需要付出的代价高呢?这笔帐我们一算便知,请别在忽视你的软件安全问题了!