2011年，国内多个行业发生了较为严重的安全事件。包括互联网行业的密码泄漏（拖库攻击）、网游行业遭到针对服务器的挂马攻击、教育科研网站遇到的“黑链攻击”等等，均给相关行业带来严重影响。

 

　　据瑞星公司近期发布的《2011年度企业安全报告》数据显示，2011年有近20万的企业网站被入侵；几乎所有互联公司都曾遭遇了渗透测试、漏洞扫描、内网结构分析等安全事件；而在传统企业领域，绝大多数企业内网发生过安全事故；对于国内少量的高等级、涉密网络和单位来讲，2011更是危险的一年，来自国外IP的攻击有增无减，包括数据库、自动工控系统、移动终端设备等爆出的安全问题，使这些单位面临严重的安全风险。

 

　　在瑞星检测过的高等级涉密网络中，常见的安全问题包括XSS漏洞、文件读写权限不规范、泄漏敏感信息、弱口令等。而且许多企业最基本的安全保护措施都未得到贯彻执行，抽样调查中，有45%的主机系统未及时弥补高风险补丁，70%以上的内网存在可被黑客轻易猜解的弱口令，还有未装防火墙不能防范黑客攻击等问题。

 

　　针对这些目前国内企业所共有的安全危险，瑞星报告提醒企业，应当从企业安全流程和安全产品两方面共同着力。一方面，信息安全不再是分散的、技术上的简单概念，还应该与企业管理、基础建设、应急处理等宏观设计统一起来；另一方面，安全厂商需要进一步思考在如何将自身各项产品线进行长期规划、有机结合，从而针对不同行业、不同规模、不同安全级别的企事业及政府单位，量身定制完整的安全解决方案。

 

　　企业安全是一个涵盖多个环节的复杂问题，已经不再只是技术上的简单概念，除了使用质量良好的软硬件系统之外，有些共通的防护措施和策略，值得所有企业参考和借鉴：1、进行安全风险评估，了解自身面临的威胁来自何方，是内部还是外部，什么样攻击方式；2、进行风险评估之后，应该在短时间内针对急迫的问题迅速拟定执行解决方案，由公司整体组织和进行，必要时借助外部力量；3、根据不同行业特性规划安全风险对策。例如：网游企业面临的主要是DDOS攻击和用户资料失窃，那么在用户进行装备交易时设定条件，对争议进行人工审核，这样就可以降低盗号带来的影响；4、建立严格的权限管理体系和资料审核机制，防范离职员工的恶意入侵、低权限员工试图获取超越权限的资料等问题。

 

　　目前，包括瑞星在内的国内安全厂商，都会提供专业的安全风险评估、协助制定安全流程和规则等服务，如企业遇到自己无法解决的安全问题时，可向专业厂商求助。