2014年春天OpenSSL出现了“Heartbleed”漏洞，攻击者从服务器内存中读取包括用户名、密码和信用卡号等隐私信息在内的数据，波及到了大量的互联网公司。此外于2014年9月24日公开的 Shellshock安全漏洞，使得攻击者在未授权的情况下可以访问计算机系统。这两个严重漏洞事件表明，在移动互联网时代，信息安全行业需要不断提高对新型威胁的警惕。互联网以及物联网应用发展的同时，也意味着众多的网络移动设备的更加广泛化和移动化，这也将产生新一轮的安全威胁。

近日，赛门铁克针对亚太地区所面对的网络安全问题，发布了2015年十大威胁趋势，这十大威胁趋势如下：

1、对物联网的攻击主要集中在智能家居自动化；

2、移动设备将会成为更具吸引力的目标；

3、机器学习将会扭转网络安全格局；

4、移动应用将继续牺牲用户的个人隐私；

5、诈骗分子将继续通过勒索软件进行诈骗；

6、网络安全继续成为2015年的关注重点；

7、分布式拒绝服务的威胁将更趋向严重；

8、安全性超越密码范畴，用户行为将成为焦点；

9、云将为我们打开无限广阔的空间；

10、通过加强企业联合协作，强化网络安全防线。

 

由上述可以看出，信息安全威胁持续升级, 为了更好的保障信息安全，企业需要新的策略思路来应对，这将决定信息安全在2015年将走向何处。

　　第一 深化互联网安全意识

行动与思考的关系一直是很矛盾，是行动大于思考，或者是思考大于行动，这里不予讨论，但是在信息安全领域中，首先就是要有这样的一种意识，那就是被攻击和泄露是不可避免的。作为攻击者，攻击只需要成功一次就可以，而作为信息安全的守护者则需要始终成功。其实这本身就是一个不公平，更是也不对等的游戏。所以，各个行业以及各个企业都要做好一旦发生被攻击事件的准备。

 

企业信息安全中，如何在安全体系中有效彻底的贯彻安全制度，以及不断深化全员安全意识才是重要所在。光依靠技术是不能完全解决安全问题的，所以首先要有安全意识，重视企业的安全措施。 这些安全措施包括，培养员工的安全意识等；还有就是对相关的技术管理人员进行技能培训，对于重要数据一定要做好数据备份，否则会导致灾难性的后果。

　　第二 企业需具备一套综合的安全策略以及相关技术

企业不仅要把威胁阻挡在大门之外，而且需要识别出那些已经在门内的威胁，并且强有力地将之彻底根除。

 

以赛门铁克公司为例，其高层表示，这个综合的体系包括五个部分：

1、识别：在可能的攻击实施之前加以识别；

2、防护在攻击发生的时候最大程度地保护企业资产，减轻受损；

3、检测：发现并修补系统漏洞，侦测并阻挡外部入侵；

4、响应：威胁发生时加以有效遏制和修复；

5、恢复：让企业运营回复正常，同时更新安全管理系统。

　　第三 物联网安全需要从设计入手

在为人们的工作和生活带来高度互联和智能化的同时，物联网的发展同样也隐含着信息安全管理方面的巨大挑战。但是这样的发展状况没有那么直观地被普通公众觉察到。

这些威胁实际上已经在我们身边存在。例如，日益流行的运动跟踪记录App和设备每天都在产生大量的个人信息和数据，这些设备和信息如果被黑客盯上，就会存在安全性问题了。

 

有人认为，目前大量存在的物联网安全隐患，原因在于在系统设计阶段没有很好地重视和认真规划信息安全管理。同时提出了物联网安全端到端的解决方案，统一规划三个层面的安全体系，分别为：

1、服务层面的设备管理、威胁情报和安全分析；

2、网络系统层面的登陆控制、App沙盒以及针对恶意软件和外部入侵的侦测和防护；

3、设备和网关层面的认证、数字或电子签名保护代码、App沙盒以及针对外部入侵的侦测和防护；同时，要设计和管理好贯彻整个体系的身份和密钥系统。

(责任编辑：安博涛)