网络安全风险的规避

       网络安全的风险已经被越来越多的人意识到。企业面临的风险其实非常多，但是网络安全的风险却具有隐秘性，很多人是没法意识到的。有很多风险已经存在，并且已经造成了损失，还是没有被发现。这是件非常恐怖的事情。需要越来越多的人提高警惕。关于风险的管控我觉得应该从一下几个方面来着手。

     1. 风险发现

       风险的发现可以从自身的管理制度着手，可以以相关法律条款为准则，进行风险的发现。比如：相关数据的审计，漏洞的发现，网络的实时监控，员工的安全意识的培训和考核等等。公司运维的压力很大，项目上线带来不可控的风险也很多。能否在项目上线前期就做好相关检测其实非常重要。比如代码的审计，这样可以在将问题发现在问题爆发前，可以避免很多损失。漏洞的发现，我相信很多公司都有自己的防护措施。我曾参加过上海很大的一个互联网公司的SRC的会议，他们的安全同事都明确的说了，自己公司有多少系统，多少应用，这里面有多少漏洞，多少漏洞已经被发现和利用，他们自身都不知道，黑客比他们自己更了解他们自己。所以让专业的安全服务公司来做安全的评估（比如，漏洞扫描，渗透测试等等）效果绝对强过自己动手发现的网络风险。如果发现已经被攻击了，那么取证是非常关键的。如果没有实时的网络监控设备其实非常难得到这些数据。所以，日志的存储和审计也显得很重要。最后，还是我们一直强调的，人才是所有安全问题的最大的不确定因素，一定要加强员工的安全意识的素养。

      2. 减少

        风险的减少是在风险的问题发现之后。是增加自己的安全防护内功，还是让专业的人来帮你解决一些安全风险，每个公司情况不同，所以肯定也会有不同的选择。要想做好安全的防护，需要有专业的团队来维护，但是大部分公司是没有安全团队的。即使招聘了少量安全的人员负责公司安全，局限于自己的能力和经费，也很难将安全做的很好。所以，我们觉得业务上云，购买云安全服务，是个省时省力效果好的方式。

      3. 转嫁

        风险一旦发生，我们怎么来办？第一时间请应急响应专业公司来做处理。但是发生的损失怎么来解决？我们碰到过很多公司遇到过网络攻击数据库数据被盗取或被删除，然后直接用自己的备份数据恢复一下就行了。在我们来看其实是隐藏着很大风险的。因为他们不知道黑客通过何种方法来攻击的。漏洞依然未被发现，那么你的损失可能会再次发生。另外，因为安全事件造成的企业名义受损，利益受损等，怎么样转嫁出去，这点也是企业运营者需要考虑的问题，那么在国内新兴起来的安全保险业务确实是个非常不错的选择。我和国内外很多保险公司交流过，发现国内的网络安全保险业务还很不成熟，但是外资保险公司的经验就比较丰富了。所以我们可以将风险转嫁给这些保险公司。