为什么大部分国内的企业都不太重视服务器安全问题呢?
相对于信息化发展比较好的发达国家来说,中国网络服务器安全发展是相对缓慢的。
尤其是美、俄、日等国家对网络信息安全的重视程度有目共睹。
网络环境的复杂性、多变性,以及信息系统的脆弱性,决定了网络安全威胁的客观存在。其对于战略地位越来越重要,发展越来越快的第三产业来说,网络信息安全很大程度上决定着企业的关键信息安全,对企业的持续性健康发展越来越重要。但是,对网络安全重视的严重匮乏。究其原因,主要体现在以下几个方面:
(1)国内安全市场规模较国外整体偏小
虽然近几年我国网络安全市场快速发展,但与国际市场相比,我国网络安全产业规模占全球网络安全产业规模的比重较低,整体发展水平相对较弱,产业链条不够完善,缺少具有国际市场竞争力和影响力的龙头企业。企业对网络安全的投入比例远低于信息化程度较高的发达国家。
(2)国内网络安全市场尚未形成完备的生态体系
目前,我国从事网络安全业务的公司较多,大部分企业技术水准及产品存在一定的同质化特征,行业竞争相对激烈。我国企业的产品多集中在某一个点或面上,还没有形成完备的产业链和生态体系,从基础软件到应用软件,从网络设备到服务器安全等还不成体系。
(3)网络安全人才储备不足
我国网络安全人才培养速度远跟不上快速发展的网络安全市场,巨大的需求缺口需要通过专业的安全人才培训机构填补。我国缺乏百万以上的相关网络安全方面的专业人才。网络安全是一个对技术性要求极高的领域,更多需要实战型人才的加入,目前我国教育培养的人才与现实需求尚存在一定差距,不能较好满足网络安全人才需求现状。综合来看,人才培养速度落后于网络安全技术发展。
(4)网络安全事件的惩罚力度不够
2019 年,CNCERT 全年累计发现我国重要数据泄露风险与事件 3000 余起。其中,MongoDB、ElasticSearch、SQL Server、MySQL、Redis 等主流数据库的弱口令漏洞、未授权访问漏洞导致数据泄露,成为 2019 年数据泄露风险与事件的突出特点。2019 年针对数据库的密码暴力破解攻击次数日均超过百亿次,数据泄露、非法售卖等事件层出不穷,数据安全与个人隐私面临严重挑战。目前网络服务器安全所面临的主要问题包括网络系统的防守成本过高,对攻击者的惩罚力度过低,惩罚成本过高等。
(5)企业高层没有充分认识到网络安全的重要性
除了以上说到的问题,企业的主观因素也是需要考虑的问题。任何措施或行为能够实施的先决条件都需要老板先点头。因此,让企业高层意识到安全的重要性也是刻不容缓。管理层的直接对话,既能进行有效的沟通,也是计划执行的保障。能够让管理者如实了解相关的状况,知晓存在威胁的大小,以及可能造成的损失,对安全措施的部署也能起到一些积极作用。
当然,除非科班出身,一般的管理层不说能不能意识到安全的重要性,让他们上手操作肯定也是一头雾水。所以仍然需要专业人士进行相关技能的指导或合作。对企业来说,基本上有两种选择,一是安全外包,交给专业的来;或者是自行培养服务器安全团队,这可能会是一个很长的周期,也需要巨大的成本投入。