【IT168 资讯】11月7日，2015年度互联网＋技术交流峰会在深圳顺利召开。作为深圳本年度最重要的一场互联网盛会，500位深耕于互联网的IT人士汇聚于此，希望通过高效运维和云安全的联袂演出，共同推进互联网行业的健康发展。知道创宇作为国内技术实力最强的一家网络安全公司，获邀参加此次盛会。旗下核心云安全产品加速乐的高级安全顾问王利伟也在会上发表了关于“怎么做好信息安全这件事”的主题演讲。

　　仅2015年上半年，光是政府机构和重要信息系统部门通报的漏洞事件就较2013年增长3倍，基础应用或通用软硬件漏洞风险凸显，漏洞威胁向传统领域泛化演进，并向新型智能设备领域延伸。大数据、云计算、工业互联网，当诸多与互联网相关的新名词深入日常生活的同时，“安全”却成了最基础也最具挑战性的问题。

　　但是，王利伟在演讲中指出：“当前静态化、程序化的管理方式，似乎跟不上高速前进的信息化步伐。因为安全隐患与客观环境的变化关系密切，如果你的网站面临严峻的安全问题，那你必须尽快进行风险评估，并采取相应方案减低风险。”

　　1.信息资产风险评估

　　目前，许多网站仍在使用windows2003操作系统，这将面临“补丁升级不及时”，漏洞被不法分子利用的风险。

　　2.IT流程风险评估

　　网站安全管理人员需要画出一个下单的完整流程，从注册到支付,再到完成交易。避免“恶意注册”、“刷单”等风险。

　　3.技术风险评估

　　网站需要进行渗透测试，以及时发现网站存在的SQL注入漏洞，防止“被脱裤”的风险。

　　进行这些风险评估后，企业网站首先应根据自身需求，从WAF、抗DDoS、扫描器、源代码审计、定期渗透测试5个方面选出最适合企业网站的解决方案，并且从成本、方案成熟度、预期收益、优先级这些方面进行合理评估。

　　解决方案确定以后，如果想要从根本上降低甚至杜绝网站可能会产生的安全问题，必须根据方案类型和自身环境等，具体确定方案的实施载体，挑选最适合自己的服务产品。

　　王利伟在会议现场以抗DDoS为例，向与会人员介绍了如何选择“成本最优、效果优秀”的解决方案。

　　1.自购DDOS清洗设备。虽然可以自己掌控清洗策略和配置，但是硬件与人员成本太高，超带宽与设备处理能力弱，适合频繁被攻击者。

　　2.CDN。可以通过DNS多点调度流量进行分散性防御。但是如果你使用了CDN，再复用加速乐节点防御攻击，就会相互影响。适合攻击流量不影响加速，但是希望免费清洗的服务者。

　　3.ISP清洗服务。可以利用运营商的带宽优势，但其主要手段为封IP，因而对善变的DDoS攻击难以及时更新策略，响应慢。适合预算足的大客户，多线接入，分布购买不同运营商的服务。

　　4.专业清洗服务。像加速乐这样的专有云清洗网络CDN，可以及时进行策略更新，并配备了专业的安全人员进行支持，响应迅速，但需要“按恶意流量计费”。特别适合希望一揽子解决大流量与应用层DDoS的网站需求及对业务实时交付有高需求的各类企业。

　　王利伟在演讲中表示:“尽管网站危机四伏，但其实通过定期扫描+渗透，是可以发现潜在威胁的，再通过云安全平台进行防护，就能实现一站式防黑、防D、加速。”基于云计算的下一代Web安全防护解决方案，加速乐云WAF可以在“零部署”、“零维护”的情况下，能有效防御诸如XSS攻击、SQL注入、木马后门、僵尸网络等各种针对网站的黑客攻击行为。相较于传统的解决方案加速乐节省了软硬件的采购成本、部署成本及运维成本。

　　近日，加速乐还最新推出了一项［走近企业］的免费安全培训活动。企业只需要在加速乐官网活动页面（https://www.jiasule.com/training/），提交简短的报名信息，即可免费获得国内知名安全专家上门培训的机会，包括管理层安全意识培训、技术人员专业知识培训、全员安全意识培训。同时，企业还将获得6大免费服务：系统检测、威胁分析、风险评估、培训讲座、安全建议、解决方案。

　　安全，已经成了信息社会化中必不可少的健康要素。然而，当静态化、程序化的管理方式已经跟不上高速前进的信息化步伐。您和您的企业，是否仍坐以待毙、无动于衷？