通付盾安全滲透專家爲您解析: 如何應對網絡安全威脅？

 據外媒報道，雅虎2億用戶帳號信息被竊取，正在黑客網絡上出售。對此，雅虎正在對這樁疑似數據泄漏事件展開調查並確認其真實性。據消息稱是一名爲Peace—of—Mind （簡稱Peace）的黑客盜取了2億雅虎用戶的用戶名和密碼，而且已將這些信息以3個比特幣的價格出售給了黑客網絡，其中包括他們的用戶名、密碼和生日等信息。今年5月，「Peace」也曾出售職業社交網站LinkedIn和社交網絡MySpace的數據。不過，此次被竊取的雅虎數據也頗有多是2012年的舊信息。

 

     早在2012年，雅虎就被黑客公開出售過用戶信息的數據。那時被泄露的有45萬用戶基本數據，是一個名叫D33ds的黑客團隊所爲。不過雅虎表示，這些數據的密碼大部分是無效的。對於這次2億用戶數據被出售的消息，雅虎還未明確認可，可是也並未進行否定。

 

針對這次安全事件筆者認爲，隨着互聯網的飛速發展，特別是近幾年移動移動互聯網的快速發展，大大小小的平臺不斷涌現，可是，平臺之間安全缺陷和安全漏洞確層出不窮，好比近幾年來，漢庭2000萬開房記錄遭泄露、12306網站超13萬用戶數據遭泄露、智聯招聘86萬條求職簡歷數據遭泄露、機鋒網2700萬用戶數據泄露、快遞公司官網遭入侵 泄露1400萬用戶快遞數據、攜程信息「安全門」事件敲響網絡消費安全警鐘 、甚至我國境內全部通用頂級域遭DNS劫持等等這一系列沉重的網絡安全事件，一次次在警醒咱們每個互聯網企業以及網民用戶。面對以上重大安全事件，筆者根據在安全企業(通付盾)多年工做經驗，給你們提供一些相應地應對方案。

 

1.滲透測試方案-企業按期檢測、監測網絡平臺以及網絡產品的安全缺陷

    企業應該採用模擬黑客攻擊方式，對業務系統進行漏洞挖掘、漏洞利用，從應用漏洞、服務器與網絡弱點、安全意識隱患等方面進行測試，並評估漏洞影響力，同時驗證漏洞掃描結果的有效性和安全策略的有效性,及時發下產品的安全

2.風險評估方案-按期對平臺系統全面體檢，提高平臺安全級別

    信息系統全面安全體檢。依據《信息安全技術信息安全風險評估規範》GB/T20984標準要求，結合行業規範，對信息系統相關的物理環境、網絡架構、操做系統、數據庫、業務應用及數據、安全管理等進行全面評估，發現潛在的安全隱患，給出風險等級，提出風險處置建議。

 

3.安全培訓方案-從最原始根除安全漏洞，提高業務安全性

   從密碼安全、wifi安全、郵件安全、權限安全以及第三方服務安全使用等上百種應用場景，爲不一樣用戶提供定製課程，爲信息化部門提供安全技術培訓，爲普通員工提供安全意思培訓等，提升員工的安全防禦能力。

    將來的時代是大數據時代，而網絡信息安全是大數據安全的重要組成部分。網絡安全防禦與對抗，其實是人與人的對抗，它具體體如今安全防禦策略與網絡進攻策略上。爲了避免斷加強互聯網企業平臺的安全防護能力，必須制定充分平臺安全防禦策略和對技術員的技能安全培訓上來，要讓每一位程序員都能深刻理解系統內核及網絡協議的實現，真正作到洞察對方網絡系統的「細枝末節」，同時應該熟知針對各類攻擊手段的預防措施，只有這樣才能作到「知己知彼，百戰百勝」。