著名電子產(chǎn)品企業(yè)Xerox(施樂)的首席信息安全官艾莉莎·約翰遜(Alissa Johnson)博士，在談到企業(yè)信息安全時(shí)表示，在未來能夠?qū)Π踩珟碛绊懙囊蛩?，主要是人的?chuàng)造力(科技的發(fā)展)，不同組織間的合作能力，以及逐漸趨向自動(dòng)化的辦公場(chǎng)景。

[[244434]]

她認(rèn)為，大數(shù)據(jù)時(shí)代已經(jīng)到來，以后人們得到的信息將會(huì)是多個(gè)數(shù)據(jù)糅合的結(jié)果，而這些信息會(huì)受到來自多方面的干擾：例如隱私政策、安全協(xié)議、潛在威脅等等。任何小問題都有可能帶來大的影響，人們總是想要一勞永逸，防患于未然沒有錯(cuò)，但是安全沒有捷徑，必須穩(wěn)扎穩(wěn)打。

所以，對(duì)于企業(yè)來說，多幾手準(zhǔn)備才是正確操作。

網(wǎng)絡(luò)安全保險(xiǎn)?還是網(wǎng)絡(luò)安全防御?

隨著網(wǎng)絡(luò)攻擊的盛行，在一些國家出現(xiàn)了網(wǎng)絡(luò)安全保險(xiǎn)，顧名思義，就是一項(xiàng)保險(xiǎn)，像保險(xiǎn)公司那樣。可以在企業(yè)遭受黑客攻擊的時(shí)候進(jìn)行一定的賠償?，F(xiàn)在已經(jīng)成為企業(yè)安全的一項(xiàng)重要措施。網(wǎng)絡(luò)安全保險(xiǎn)的出現(xiàn)，一定程度上代表了企業(yè)安全意識(shí)的進(jìn)步，算是網(wǎng)絡(luò)安全發(fā)展良好的表現(xiàn)。但是治標(biāo)不治本，保險(xiǎn)并不能代替真正的安全措施而存在。

很多企業(yè)選擇花重金購買網(wǎng)絡(luò)安全保險(xiǎn)而不注重增強(qiáng)安全防御機(jī)制，這樣做的結(jié)果是可能會(huì)招來更多的黑客攻擊。當(dāng)然，更重要的是，保險(xiǎn)的理賠并不一定能彌補(bǔ)攻擊帶來的損失，只是個(gè)心理安慰罷了。

當(dāng)企業(yè)遭到一次網(wǎng)絡(luò)攻擊，損失的可能不僅僅是數(shù)據(jù)，因?yàn)榘踩雷o(hù)能力薄弱，可能會(huì)給客戶帶來不可靠的印象。當(dāng)企業(yè)對(duì)自身數(shù)據(jù)安全不以為然的時(shí)候，它的品牌和聲譽(yù)也不復(fù)存在。想要再改善這個(gè)狀況可能需要非常大的時(shí)間和金錢成本，并且存在無法挽回的可能。

企業(yè)安全防護(hù)往往具備一定的復(fù)雜性，需要根據(jù)企業(yè)需求的不同來定制，通過多個(gè)模塊共同協(xié)作來保障系統(tǒng)、數(shù)據(jù)的正常運(yùn)營。當(dāng)然，也存在一些想要偷工減料的例子，一些企業(yè)試圖通過簡單的部署達(dá)到全然的防范，這顯然是不可能的。各項(xiàng)安全措施的存在是為了相互補(bǔ)足。想讓其中某一項(xiàng)去取代或填補(bǔ)另一項(xiàng)的空缺都是不切實(shí)際的想法。

安全帶來的收益

以施樂公司為例，由于主要業(yè)務(wù)的獨(dú)特性，因此非常容易收到APT攻擊。為保護(hù)公司的正常運(yùn)行，該公司采用了時(shí)下較為先進(jìn)、全面的安全防御技術(shù)。該技術(shù)具有設(shè)備受損檢測(cè)、文檔和數(shù)據(jù)檢測(cè)等多個(gè)功能，能夠長時(shí)間持續(xù)對(duì)設(shè)備、數(shù)據(jù)進(jìn)行監(jiān)控。

其中，入侵檢測(cè)技術(shù)，依賴于企業(yè)內(nèi)部部署的防火墻、用戶訪問機(jī)制以及McAfee的身份驗(yàn)證和白名單功能。檢測(cè)受損的設(shè)備則是采用固件驗(yàn)證的方式。對(duì)企業(yè)信息數(shù)據(jù)采用多種加密功能，保障個(gè)人隱私和敏感信息的安全。同時(shí)，施樂長期與McAfee保持合作關(guān)系，也保證了設(shè)備更新的時(shí)效性。

通過與專業(yè)的安全公司、技術(shù)團(tuán)隊(duì)合作，能夠有效的提升企業(yè)安全素養(yǎng)。并且相對(duì)自動(dòng)化的防護(hù)也為日常工作帶來了極大的便利。

約翰遜表示，長時(shí)間保持對(duì)信息安全的關(guān)注，除了能確保第一時(shí)間處理問題之外，還對(duì)企業(yè)文化的建立帶來一定的影響。安全意識(shí)的提升，不僅對(duì)自身有益，還能增加合作伙伴的信任和好感度。

網(wǎng)絡(luò)安全人才短缺

據(jù)統(tǒng)計(jì)以及預(yù)測(cè)，至2022年，網(wǎng)絡(luò)安全領(lǐng)域的崗位不飽和度將達(dá)70%。也就是說，各行各業(yè)對(duì)信息安全人才的需求量將持續(xù)增大，并且人才市場(chǎng)供不應(yīng)求。

對(duì)此狀況，約翰遜的理解是，網(wǎng)絡(luò)攻擊的多樣化導(dǎo)致安全需求擴(kuò)大，同時(shí)整個(gè)市場(chǎng)也會(huì)面臨勞動(dòng)力短缺的狀況。

未來的工作將更多的向自動(dòng)化、人工智能方面偏移，一方面能夠提高效率、精確度，另一方面也能夠降低人工帶來的風(fēng)險(xiǎn)。而這些都將依托互聯(lián)網(wǎng)或物聯(lián)網(wǎng)，這正是黑客重點(diǎn)關(guān)注的目標(biāo)。

因此，企業(yè)之間應(yīng)當(dāng)進(jìn)行更多的交流溝通，群策群力，互相之間取長補(bǔ)短。

企業(yè)仍需關(guān)注安全問題

除了人才方面的供應(yīng)，企業(yè)的主觀因素也是需要考慮的問題。任何措施或行為能夠?qū)嵤┑南葲Q條件都需要老板先點(diǎn)頭。因此，讓企業(yè)高層意識(shí)到安全的重要性也是刻不容緩。管理層的直接對(duì)話，既能進(jìn)行有效的溝通，也是計(jì)劃執(zhí)行的保障。能夠讓管理者如實(shí)了解相關(guān)的狀況，知曉存在威脅的大小，以及可能造成的損失，對(duì)安全措施的部署也能起到一些積極作用。

當(dāng)然，除非科班出身，一般的管理層不說能不能意識(shí)到安全的重要性，讓他們上手操作肯定也是一頭霧水。所以仍然需要專業(yè)人士進(jìn)行相關(guān)技能的指導(dǎo)或合作。對(duì)企業(yè)來說，基本上有兩種選擇，一是安全外包，交給專業(yè)的來;或者是自行培養(yǎng)安全團(tuán)隊(duì)，這可能會(huì)是一個(gè)很長的周期，但對(duì)企業(yè)未來的發(fā)展來說，是有益的。

當(dāng)安全成為企業(yè)文化的一部分，也就是說當(dāng)企業(yè)自身成為了安全的保障，那么不論是對(duì)客戶還是對(duì)用戶都將是一個(gè)喜聞樂見的結(jié)果。