近期安全事件总结分析

这一段时间安全事件焦点已经由诈骗转向信息泄露和软件漏洞上,比较受关注的有一下几个:

  1. A 站、摩拜、圆通等的信息泄露,用户资料在暗网售卖;
  2. 欧盟 GDPR 生效,Facebook、谷歌被罚;QQ 国际版暂停业务;
  3. 净网行动,网易、百度、B 站、抖音、搜狗、二更食堂等被约谈;
  4. 个人隐私法生效,高德、百度、腾讯地图以及快递行业被警告整改;
  5. 阿里云断网一小时(安全可用性);
  6. 微信爆出 XXS(跨站)漏洞,影响支付(已成为安全行业的必用案例);
  7. 新浪遭受 DNS 劫持,转到博彩网站;
  8. 新加坡四分之一用户数据泄露,包括总理的健康隐私信息;
    ......
    从以上信息可以看出:
  • 网络安全法实施以来,监管力度逐步加大,政府、国企、金融、证券等网站已经部署完毕,开始向互联网企业渗透,下一步会渗透到我们这个级别的公司
  • 软件漏洞越来越受重视,阿里和腾讯的事件也说明了,应用软件的漏洞需要重点关注(系统和网络的上问题已经有很大的改善,尤其在云端)。

对于我们公司要加强以下两点:
1. 加强软件开发安全,减少应用软件漏洞,这需要我们技术人员在完成功能需求的同时,加强代码的安全检测,在集成开发环境中增加���全插件的调用,在源端提升代码安全质量;
1. 全员安全意识的提升,安全意识是所有安全事件的基础环节;无论技术人员、还是业务人员,在涉及公司数据时,保证可用性的同时,加强数据安全保护,数据资产已经发展成数据资源,数据就是财富。网络安全法的实施确保了有法可依,您今天无意的资料泄露,可能导致巨额罚款或刑事责任。一年来,这类事件已经有上千起的案例!