最近的一项针对信息技术和软件开发人员的调查显示许多公司并没有将应用程序的安全问题放在重要位置。尽管基于常见Web应用的攻击手段如SQL注入,跨站脚本,远程溢出等等早已令网站开发人员头痛不已,近半数(48%)的开发人员表示在过去两年内遭受过黑客攻击或入侵行为,但是有高达74%的受访软件开发人员表示仍然理不清头绪,不知道黑客是如何攻击成功的,也没有足够的信心对付未来的黑客攻击。
不过,好的消息是61%的受访公司表示将增加信息安全方面的预算,特别是65%表示准备加强在应用程序安全方面的投入。
“同全球大型跨国软件公司相比,中国本土化的软件开发公司规模都不算大,往往也只关注在中国本土市场和应用层面,软件开发人员的底层基础理论不扎实,安全知识和技能普遍相对落后,但是在无边界的互联网上,却面临同样级别的安全威胁,这种不平衡的现状越来越影响着中国信息化的进程,并且严重伤害着各家企业在网络上开展的业务。”昆明亭长朗然科技有限公司的企业信息安全市场分析人员James Dong称。
虽然软件开发人员的安全技能缺乏是最重要方面,更深层次的问题是最终用户对安全的无知或漠视,在客户不提出详细安全需求的情况下,开发人员是不会主动为客户的软件增加安全控管功能,直到出现严重的安全问题后才开始进行安全功能的修复。要改变这种现状,只能从加强最终用户的安全意识教育开始,同时加强软件开发人员的安全理论知识和技能培训。
最近电商携程信用卡门让业界对携程旅行网搜集和存储过多客户信用卡信息如CVV等充满质疑和批评,在一开始,携程称其加密保存CVV符合了金融监管及全球行业标准,但最后不得放弃这种错误的认识,承诺立即改正并不再保存CVV。
携程信用卡事件曝光除了在时间点的选择上触动了敏感的互联网金融行业,更有意思的是在竞争领域里的宣传战,携程的铺天盖地的公关响应自不用说,艺龙、去哪儿纷纷乘机或明或暗地利用携程在保护客户信息安全的薄弱之处大作文章。
可以说,官方媒体以及社交媒体的强大攻势让几大信息安全需求驱动力——法规遵循、客户权益、商业竞争、品牌信誉、赢利压力等到了充分的展现,这次携程信用卡门让大中型企业特别是在线电子商务公司充分认识到信息安全工作的重要性,特别是员工们信息安全基础培训的必要性。
关于携程“技术互联网”忽略流程及管理而造成安全事件一说,国内数家著名的大型软件开发公司、IT集成及服务公司也都表示传统上借助计算机网络安全相关的技术措施来保障客户的信息系统和信息数据安全的方法并不充分,信息安全目前面临更多的是解决“人员”安全的问题。特别是软件外包及业务流程外包公司已经准备让全体员工参加基础的安全意识培训,并且对软件市场销售、开发测试和技术支持人员强化关于应用程序安全的专门培训,以便能更好同客户沟通安全的理念、为客户提供更安全可靠的信息系统和让客户更加放心。
通过在线预览了昆明亭长朗然科技有限公司提供的电子培训课程之后,几家公司纷纷称这是很创新的一种学习模式,可以将国际上最领先的信息安全理念和技能在第一时间带到中国,也很方便用户随时随地主动学习。“为国际支付认证我们3个月闯了200多道关卡。”去哪儿网CTO吴永强说,“此次爆发的某旅行网信用卡事件也是其缺少员工培训的一个恶果。”此话真是一针见血地指出员工信息安全意识培训的强烈必要性。
同时,调查也显示大型企业也开始设置专门的网络信息安全管理和技术岗位,信息安全对商业成功的重要性越来越凸显,当然信息安全会越来越受到重视。
昆明亭长朗然科技有限公司开发制作了数百部安全、保密与合规相关教程及动画视频,员工们通过电脑、手机、平板等随时随地进行简单的移动式学习和体验,便可了解基础的安全防范理念。欢迎联系我们预览和洽谈采购使用。
电话:0871-67122372
微信:18206751343
邮件:info@securemymind.com
QQ: 1767022898