2016年8月5日，首届C3安全峰会在成都世纪城会展中心召开。本届峰会以“安全可控•御未来”为主题，议题紧密契合国家网络安全战略，更包含了网络安全标准、云安全、大数据安全，移动安全、网络安全治理以及覆盖政府、金融、医疗等行业的十余个技术论坛、70多场立意高远的精彩演讲。其中，CLOUDSEC全球理事Jon Clay带来了题为《掌控网络安全：防范祸起萧墙内》的精彩演讲。

Jon Clay表示：“世界瞬息万变，未来将不再是大鱼吃小鱼的时代，而是速度制胜的时代。目前我们看到全球范围内的网络攻击和威胁非常普遍，各种网络勒索、数据泄露等问题层出不穷，需要主动掌控安全问题，乱中求序，从服务器、网络、用户各个方面内外结合、全方位保护，同时借助一些新型工具让自身具备抵御攻击的能力，防患于未然。”

资料显示，仅仅在5分钟内，就有1800个应用正在诞生，同时会发生80万次安全事件，有超过6300多条记录被破坏，全球范围内每5分钟有73美元的损失。这是个全球化的问题，我们必须面对。

据相关数据表明，网络勒索正处在历史最高的水平。首先，无论是学校、医院，甚至一家网络安全企业本身都被邮件入侵遭遇假冒CEO的欺诈。其次，数据泄露问题也已经非常严重，特别是针对金融行业等关键机构，数以亿计的数据正在泄露。

网络勒索形势尤其严峻

2016年，无疑将是一个网络勒索年。这是去年就预测的情况，而目前已得到证明。

那么，我们该如何应对这些情况，不让这种勒索情况来掌控你?

首先要保护服务器，无论是实体的、虚拟的还是云端的。因为网络安全第一步是控制服务器。

第二是你的网络层面内部外部都需要保护。在网络层面进行保护，无论是从外到内还是内部之间的沟通，都必须有防范措施。

第三是移动用户的防范。现在移动用户遭到越来越多的攻击，包括员工、合作伙伴等。

目前企业的安全准备工作不够充分

Jon Clay在现场展示了以下调研研究结果：

26%的用户认为自己已经为网络事件做好了充分准备。

56%仍然没有在应对APT方面采取措施。

59%认为员工失误或缺乏网络知识是最令人堪忧的内部威胁。

47%的公司没有网络安全计划。

以上数据表明：组织并没有做好充足准备!因此，企业需要掌握控制权。

企业需要掌握控制权

◆掌握控制权，企业需要选择合适的方式

我们需要：

1，制定和落实信息安全计划。包括网络计划、云计划、服务器计划等，识别网络风险威胁。

2，安装网络漏洞检测程序。快速识别网络风险和漏洞——能在几周了解风险，

3，组件事件响应小组。这个小组不仅仅是IT的小组，还要有合法合规等其他人员。

4，进行及时调查并解决事件。我们需要一些工具，进行及时的审计和分析。这种能力很关键。

5，通知客户。作为一个组织，如果客户数据损失了，必须及时判断什么时候联系客户，以及如何去补救。

6，学习并改进。我们必须了解谁对我进行了攻击，怎么攻击的，然后进行学习。

◆掌握控制权，需要借助正确的人员帮助掌控

首先，我们需要合适的人员，并且对他们进行正确的培训。其次，甄别和甄选：我们要对人员进行甄别，对网络风险进行甄别。这方面我们要投入一些资金和时间。这些培训需要全职人员来工作，用大数据等方法来检查一些异常。

演讲最后，Jon Clay呼吁企业组织：“由您掌控，不要让网络犯罪分子将掌控权从您手中夺走。”

51CTO是本次2016年首届C3安全峰会暨中国云安全峰会的独家直播媒体。更多相关信息，请参见直播专题http://netsecurity.51cto.com/act/C3/201607。