近期，杭州一公司因数据安全问题被行政处罚。该公司旗下某生活类APP相关数据库服务端口直接暴露在互联网环境中，存在未授权访问漏洞，未按要求履行数据安全保护义务，违反《数据安全法》第二十七条之规定。

如今在互联网上个人信息就像是裸奔一样，数据泄露事件屡见不鲜。对于用户而言，愿意配合企业做用户实名，把自己的个人信息全盘交给企业，是对企业的信任。

而换来的却是：企业不重视数据安全，不做好预防和安全防护，多次发生数据泄露。等出了问题，再想着堵住漏洞；如果没有大的影响，甚至不吸取教训，一而再再而三地忽视软件安全。

直到大的安全问题发生时，才发现：企业除了需要承受安全事件带来的修复成本、业务中断、生产力损失等之外，造成品牌声誉受损、客户流失，最终还可能威胁企业生存！

我们总觉得软件安全问题离我们很远，特别是一些中小企业，都以为网络犯罪分子会更喜欢家大业大，可以大把获利的目标。

而事实上，如今黑客们的魔爪正在默默伸向中小微企业，因为他们拥有与大型企业相同类型的数据，而数据保存以及网络安全防护能力却远不如大企业周全。

早在09年，就有小型企业遭到网络攻击，黑客通过感染企业系统不到一周的事件，就从其银行账户中豪夺60万元，遭受“灭顶之灾”。

那该如何让企业避免陷入安全危机，变得被动呢？

信息安全问题频发，也说明了“没有攻克不了的系统”。要想从根本上避免企业陷入数据泄露的危机中，做好软件安全的保护，企业需要从以下几个方面着手——

1. 不要在没有准备的情况下，应对网络安全事件

与其被动等待危机来临，手忙脚乱采取措施，倒不如未雨绸缪：从事后修补漏洞、外部防御软件安全，转移到主动提高软件安全性上面来。

为解决企业软件安全问题，网安云推出“软件安全在线检测服务”，提供覆盖源代码、应用程序、运行环境等多维度的软件安全检测服务，自动化检测与金牌专家团队分析“双效合一”，帮助客户快速、精准定位软件脆弱点并提供专业修复建议，助力提升软件安全性，降低数据泄露风险。

2. 不要忽略员工的网络安全培训

即使公司规模小，也不能忽略掉员工的网络安全培训，因为一个网络安全事件的发生，很可能就是因为一个人无意间的小错误导致的。

特别是研发团队，普通研发人员以往获取的专业能力培训上，更多的是以完成工作任务为前提。

大部分的开发人员虽然也知道开发安全很重要，但在日常工作中，由于没有经过专业的内部培训，获取在实际工作环境中如何安全编码和安全防护的能力，导致他们在发生安全问题时，甚至不知道他们的代码易受攻击的原因。

“网安云软件安全在线检测服务”，由金牌安全专家团队提供专业审查和测试结果分析解读，对于开发而言，测试分析报告就是最好的安全意识教育的案例。

3. 不要拖延更新补丁，制定应用关键程序安全更新策略

黑客攻克系统，最容易利用的就是应用程序中的漏洞，当漏洞被披露时，企业应该及时更新安全补丁，防止黑客有机可乘。很多企业面临安全问题，就是因为存在多年未打补丁的漏洞，让软件面临容易攻克的危机。

02 总结

网络安全，就像是定期体检、家用灭火器。原本只需要花费小成本，做个提前防御，但大多数人会抱着侥幸心理，认为发生事故、生大病只是概率事件，倒霉事情不会发生在我身上的，等到发生火灾、病痛来临，才追悔莫及。

在事故发生之前，我们的“提前准备”，虽然也需要付出成本，但是：是体检花费的几百块钱贵，还是没及时发现，导致疾病恶化需要付出的代价高呢？这笔帐我们一算便知，请别在忽视你的软件安全问题了！