今日頭條
官方微信
官方抖音
資訊頻道隨著越來越多企業(yè)使用移動辦公,以及物聯(lián)網(wǎng)應用爆發(fā)式增長,企業(yè)所面臨的網(wǎng)絡信息安全風險成倍放大。但是,很多企業(yè)還沒有意識到信息安全形勢之嚴峻,防護力量普遍不足。必須“雙管齊下”,一方面通過自主創(chuàng)新為企業(yè)安全防護提供更加可靠的技術支持;另一方面加強企業(yè)網(wǎng)絡安全制度建設,從管理上堵住漏洞——
從5月份的“Wannacry”到6月份的“Petya”,勒索病毒今年的兩次爆發(fā)給全球企業(yè)敲響了安全警鐘。信息安全廠商奇虎360公司董事長周鴻祎坦言:“在一定程度上,這是對我國網(wǎng)絡安全狀況的一次小小壓力測試。”中國工程院院士沈昌祥表示:“這也說明傳統(tǒng)的封堵查殺被動式防御已經(jīng)過時,企業(yè)的安全形勢發(fā)生了巨大的變化。”
信息安全產(chǎn)業(yè)的迅猛發(fā)展也從側面印證了企業(yè)網(wǎng)絡安全形勢嚴峻。來自市場研究機構前瞻產(chǎn)業(yè)研究院的數(shù)據(jù)顯示,2016年全球信息安全行業(yè)市場規(guī)模約為2392.51億元,同比增長19.16%。從2006年的452.91億元發(fā)展到2016年的2392.51億元,11年間,市場規(guī)模增長了5倍;在我國,2016年信息安全產(chǎn)業(yè)市場規(guī)模也達到了477億元,未來5年預計將保持10%以上的增長。是什么讓企業(yè)面對的網(wǎng)絡安全形勢發(fā)生了前所未有的變化?新的安全鎖又在哪里?
“萬物互聯(lián)”新考驗
“從電腦端向移動端遷徙,包括企業(yè)員工開始大量使用包括手機在內(nèi)的自有設備工作,給企業(yè)安全形勢帶來了巨大的改變。好比過去你只是守一個孤島,比較容易,現(xiàn)在卻打開了很多扇窗。”企業(yè)級移動工作平臺藍信商務總監(jiān)李悅告訴記者。
的確,來自市場研究機構IDC一份調(diào)查顯示,60%的企業(yè)員工會將商業(yè)機密數(shù)據(jù)儲存在其智能手機中。2016年,中國移動辦公人數(shù)達4.45億人,同比增長13%;預計到2018年,移動辦公人員數(shù)量將超過6億。互聯(lián)網(wǎng)安全廠商瑞星安全專家唐威表示,由于員工頻繁使用智能手機等個人辦公設備連入外網(wǎng),一方面病毒防御成為嚴重的安全隱患,另一方面手機也有可能成為信息泄露的出口。
在移動互聯(lián)網(wǎng)普及后,“無處不在”的物聯(lián)網(wǎng)又讓網(wǎng)絡安全形勢變得更為復雜。中國移動通信集團信息安全與運行中心總經(jīng)理張濱表示,有數(shù)據(jù)顯示,到2020年全球連入物聯(lián)網(wǎng)的設備將達500億個,無論智能家居、智慧城市,還是智慧交通、智能制造,物聯(lián)網(wǎng)應用將無所不在,這也讓病毒攻擊的后果更加嚴重。
亞信安全首席技術官張偉欽則在C3安全峰會上表示:“物聯(lián)網(wǎng)設備的操作系統(tǒng)五花八門,且存在漏洞,有漏洞就會受到攻擊。想象一下,如果有人控制了企業(yè)的攝像頭,并以此竊密呢?這樣的攻擊會比我們想象中來得更快。”
不過,企業(yè)對安全形勢的變化開始有所準備。市場研究機構Gartner的報告指出,盡管目前僅有16%的企業(yè)應用網(wǎng)絡安全產(chǎn)品來為其至少一款移動或者物聯(lián)網(wǎng)關鍵應用提供防護,但有26%的企業(yè)預計會在2019年之前使用應用保護產(chǎn)品。
技術創(chuàng)新增強“戰(zhàn)斗力”
在國家保密局科技司司長劉艷看來,想要“魔高一尺道高一丈”,首先要技術創(chuàng)新,“通過自主創(chuàng)新來為企業(yè)安全防護提供更加可靠的技術支持”。
技術創(chuàng)新來自對實際情況的清晰把握。李悅表示,移動端泄密有多種情況,需要通過技術創(chuàng)新加以控制。“比如藍信不僅能實現(xiàn)閱后即焚、轉發(fā)限制等功能,甚至如果企業(yè)員工用手機截屏操作,后臺也會有所記錄,知道是誰截屏了什么內(nèi)容,文檔閱讀器也是內(nèi)嵌的,可以給分發(fā)給每個人的工作文檔加水印,同時不再需要調(diào)用第三方應用,這樣就能有效保障工作文檔不流出。”
技術創(chuàng)新也需要不斷融入前沿技術成果。張濱表示,解決物聯(lián)網(wǎng)的安全風險,態(tài)勢感知是關鍵。“比如對基于物聯(lián)網(wǎng)終端的業(yè)務數(shù)據(jù)、業(yè)務流量、外部情報信息,如果能及時發(fā)現(xiàn)異常行為,并及時處理,就能主動預防安全風險。”亞信網(wǎng)絡安全產(chǎn)業(yè)技術研究院副院長童寧則告訴記者,安全廠商正試圖將人工智能中的機器學習應用于態(tài)勢感知,“機器學習可以將病毒攻擊或者異常行為的特征抽取出來,并加以過濾,使判斷更加快速準確,同時前端主動攔截的成功率也能大幅提高”。
不過,要想全方位應對威脅入侵,需要的不僅僅是技術。唐威表示:“一方面在技術上需要選擇專業(yè)化更高、覆蓋更全面的安全產(chǎn)品;另一方面也要在管理上建立嚴格和切實可行的機制。”
機制帶來“長效化”
“企業(yè)的安全保障要靠技術,也要靠制度和管控。”沈昌祥說。在他看來,企業(yè)網(wǎng)絡安全制度的建設,需要在分析風險的基礎上,實行準確的等級劃分。“從保護業(yè)務信息和系統(tǒng)服務兩維資源出發(fā),根據(jù)在國家安全、經(jīng)濟建設、社會生活中的重要程度,以及系統(tǒng)遭受破壞后的危害程度等因素來確定等級。比如,最高等級在頂層設計上,就需要以專門監(jiān)督檢查、實時監(jiān)控實時處置為原則。”
Gartner全球研究總監(jiān)張毅則認為,企業(yè)網(wǎng)絡安全制度建設還要從單純的防御防護,逐漸遷徙到對整個流程的優(yōu)化,“除了通過技術防護之外,還需要重新梳理業(yè)務流程,來減少安全漏洞,比如各個業(yè)務部門的工作如何協(xié)調(diào)與整合”。
在思杰大中華區(qū)總裁曹衡康看來,企業(yè)網(wǎng)絡安全制度的建設,還要重視人的因素。“比如企業(yè)制定從上到下的安全策略時,需要讓盡可能多的部門員工、利益相關方提出意見和建議,同時要為所有員工提供必要的工具、指導和培訓,以提升員工保護企業(yè)安全的主觀能動性。通過提供認證、全面的課程培訓以及免費的學習機會,提高員工識別潛在攻擊并及時作出響應的能力。”
亞信安全董事長何政表示,各企業(yè)需要在網(wǎng)絡安全防護上相互配合。“隨著網(wǎng)絡安全形勢的變化,靠一家企業(yè)的力量很難應對挑戰(zhàn),必須齊抓共管,同時引入更多社會化服務提供安全保障。”
摘自《經(jīng)濟日報》
北京市公安局海淀分局備案號:11010802023656號