雅虎公司近日宣布，在2013年黑客入侵雅虎的事件中，30億個用戶賬號信息被盜，這一數字是此前公布被盜賬號數量的三倍。

有中國互聯網分析師表示，其中至少有幾千萬中國用戶。他提醒，所有用雅虎郵箱登錄微博的用戶，都存在信息泄露的風險。

“半個世界”的用戶數據被盜

去年9月，雅虎公司宣布，黑客2013年8月盜走其至少5億用戶的賬戶信息。當年12月，雅虎又表示，被盜賬戶數量約10億個。據今年10月3日發布的信息，雅虎公司證實，其所有30億個用戶賬號應該都受到了黑客攻擊的影響，目前公司已經向更多用戶發送提示，請其更改登錄密碼以及相關登錄信息。

在本次被盜事件中，被盜信息內容包括用戶名、郵箱地址、電話號碼、生日以及部分用戶加密或未加密安全識別的問題和答案。雖然在10月3日，雅虎再次強調，黑客應該沒有獲得存有不受保護的密碼、支付卡數據和銀行賬戶信息的計算機的訪問權，就是說，用戶賬號信息被部分竊取，但是此次事件被披露后，各國媒體、用戶都高度重視，并且對該企業的信任感也產生了諸多質疑。

如果中國企業發生類似事件

諸如此類大范圍、大量的用戶信息泄露事件如果發生在中國企業中，不管從名譽、品牌形象還是從用戶忠誠度等各方面，都會對企業造成嚴重損失。同時隨著我國各項網絡安全法律法規的完善，當發生此類安全事件時，對應的企業也將面臨國家法律法規的處罰。因此，企業應該以此為鑒，不斷完善網絡安全建設工作，避免類似安全事件的發生。

企業需加強網絡安全建設

隨著網絡環境的日益復雜和IT技術的發展，企業網絡安全建設需要不斷完善與升級，針對易發生安全隱患的網絡邊界、管理控制、數據安全、服務器安全等各方面進行加強防護。

作為14年在企業網絡信息安全領域深耕的專業廠商，聯軟科技建議企業用戶，可以從服務器、網絡管控、數據交互三大方面進行重點建設，從根源杜絕安全隱患。

針對服務器的安全管控需建立安全基線

如今，不安全的配置導致系統被惡意攻擊的事件越來越多，究其原因是在大規模的網絡環境下，安全運維人員需要面對網絡中種類繁雜、數量眾多的IT設備和服務器軟件，很難對所有的服務器和服務器軟件進行全面、快速、有效的安全配置檢查，所以，一個能真正幫助用戶解決安全基線管理的解決方案，必須要定位于支撐用戶的安全運維，必須要以信息資產基礎驅動企業的安全基線管理流程。

因此，聯軟科技認為企業需要建立標準的安全基線，即該信息系統最基本需要滿足的安全要求。

安全基線是實現信息安全風險評估和風險管理的前提，其中包含諸如身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、資源控制、系統安全的一些脆弱性檢查，堵塞已知漏洞，消除已知風險，達到有效縮小被攻擊面。

安全基線管理必須綜合考慮易用性和安全性，嚴格設置用戶自定義的檢查內容和檢查規范，所以一定要建立一整套的標準。

因此，聯軟科技的網絡安全產品讓企業用戶定義每個檢查項的檢查內容和檢查邏輯，同時通過大量的面向用戶的接口讓用戶無需考慮各種邏輯檢查規則如何定義，只需要通過圖形界面來進行相關參數設置和選項設定即可輕松的創建自定義的安全檢查項，同時聯軟還允許企業用戶基于自身的業務需求精細化調整各類安全基線。

綜上所述，通過設備自動化發現、資產自動化發現采集支持安全基線自動化檢查，企業可以實現對設備、資產變化持續化跟蹤及對基線安全趨勢的持續化跟蹤，最終實現用PDCA循環管理思路實現基線真正落地。

針對網絡的管理控制的5項措施

要保證企業信息安全，首先要保證接入內部網絡的設備是安全的、有明確使用者的，從而可確保從終端的接入到各項操作的整個過程都是可控的。

結合國家網絡安全法和等保要求，聯軟建議企業可以通過如下幾個方面加強內部網絡安全：

接入終端實名：接入企業內網的設備，需要通過統一的用戶身份驗證，保證使用設備的用戶具有合法身份；

執行統一檢查：從設備接入網絡開始，評估設備的安全性。通過檢查防病毒軟件、及時更新新的防病毒庫、更新系統安全補丁。保證接入網絡的設備沒有已知的安全隱患。

強訪問控制：根據用戶的角色分配網絡訪問權限（Role-Based Access Control）實現網絡資源訪問最小原則。

監測網絡中異常行為：高級持續性威脅一般會長期潛伏在網絡中，短時間內難以發現。通過長期監測網絡中的異常行為，能夠感知網絡中存在的安全隱患。盡早清除，以免產生的信息泄漏事件。

及時清理“僵尸”帳號：在企業中常常存在一些長期不使用的帳號，往往帳號的管理不當會導致信息泄漏。

機密數據交互實時監控

針對敏感信息的特點，結合國家相關法律法規和保護制度，聯軟建議從定義、識別、管控、審計四個方面來開展防護工作，首先明確哪些數據是企業需要保護的以及明確分類的數據，然后需要知道這些數據在哪里，通過對數據分布的梳理，得出數據面臨哪些風險，在哪個環節存在泄露的可能，才能制定保護措施，最后對違反保護措施的行為進行告警，對數據進行實時監控和保護。

·企業可以將業務系統、常見辦公文檔、常用文檔類型以及存在的已知的敏感信息進行定義，制定敏感信息標準；

·根據敏感信息定義，通過自動聚類、文檔DNA等機器學習技術針對企業內常見敏感文檔進行主動學習，通過關鍵字、正則、數據標識符等技術對企業明確定義的敏感信息進行精準識別，并針對業務系統的訪問行為制定安全控制策略；

·對敏感信息從業務數據導出行為進行及時監控和告警，對數據導出的位置進行嚴格限定，并加密存儲。在本地敏感數據進行郵件外發、網絡傳輸、打印、內部分享等動作時進行審計和阻斷，對于敏感信息的查詢要進行脫敏，對于信息的日常分享具有防擴散的能力，對于惡意泄密的行為要具備取證能力；

·審計工作要獨立，審計信息要完整，系統需要具備數據分析和挖掘能力，能夠完整的還原整個泄密事件，并具備風險趨勢預警的能力。

雖然雅虎公司3日宣布，雅虎將繼續與執法機構合作，致力于打造高標準的問責制和透明度，并在不斷變化的網絡威脅中為用戶提供安全保護，但是網絡輿論與媒體報道普遍都持懷疑態度。因此，中國企業應當更加警醒，對網絡安全防護建設工作更加重視。

更多行業資訊請關注聯軟科技官方微信：聯軟科技