信息安全应更重视专业服务

　　□张雨牧(IT公司高管)
　　19日，中国国家互联网应急中心(CNCERT)发布的互联网网络安全态势报告显示，去年我国大陆被篡改的政府网站达2807个；国务院部门门户网站存在低级别安全风险的比例虽已从2010年的60%高位下降，但仍高达50%；涉及基础电信运营企业的信息安全漏洞数量多，攻击形势严峻。
　　网络安全风险已呈多样化、高风险化。电信、网游、网购等行业因用户资料泄漏的情况时有发生，给整个行业带来严重的信任危机。仅去年一年，就有近20万网站被入侵，教育科研网站、网游相关网站和政府网站都成为被攻击的重点。
　　该如何应对？网民的能力肯定是有限的，要学会选择网站、学会修改个人资料、提高安全意识……这恐怕都不够，恐怕决定权还是掌握在企业手里。但是现在多数企业都没有专业的安全设备，没有经过专门的安全培训，也没有配备专业的技术人才和服务，而且严重缺乏安全意识，遇到威胁难以应付，谈信息安全简直是奢谈。
　　即便很多专业网站，在用户资料管理、安全流程上都存在问题，其他企业的安全防护水平可想而知。
　　因此要改善现状，恐怕就需要一系列的专业服务和措施，在不同阶段进行响应和干预。新的挑战摆在了我们的面前，专业服务或许是时候出发了！
　　专业服务首先是安全风险评估。人要避免得大病，体检不可或缺，发现小恙及时解决了就没事了。信息安全也有同样的道理，企业不知道自己的安全状况，又意识到了其重要性，就应该为自家企业做安全风险的评估。
　　其次是预警安全服务。即便企业“体检”正常，建立信息安全危机应对预案也有必要。好比流感易发季节打预防针，企业遇到了网站挂马，或出现了漏洞，又或某些病毒和威胁正在虎视眈眈的时候，预警安全服务的防线尤为重要。
　　然而去年以来的种种教训显示，企业似乎多是属鸵鸟的，而问题一旦爆发，后果又总是不堪设想，比如去年发生的CSDN“拖库事件”至今仍令网民和企业胆寒。
　　专业服务有赖于专业人才，甚至专家级的人才服务，而这显然是多数企业的短板。不过随着企业信息安全意识不断提高，培训工作的加强，各环节都付之以专业的干预和服务，相信信息安全事件的影响将会越来越微弱，互联网环境也会更加和谐。