石菲

2019年7月30日，美國(guó)第五大信用卡發(fā)行商 Capital One Financial Corp發(fā)生數(shù)據(jù)泄露事件，黑客通過(guò)防火墻漏洞訪問(wèn)了約 1.06 億客戶和申請(qǐng)人的個(gè)人信息，泄露了約 14 萬(wàn)個(gè)社會(huì)安全號(hào)碼和 8 萬(wàn)個(gè)銀行賬號(hào)，該數(shù)據(jù)泄露事件是大型銀行有史以來(lái)最嚴(yán)重的數(shù)據(jù)泄露事件之一。

盡管信息安全和我們每個(gè)人都相關(guān)，但我們對(duì)它的重視卻遠(yuǎn)遠(yuǎn)沒(méi)有達(dá)到它應(yīng)該享有的程度。

根據(jù)CNNIC 2月底發(fā)布的第43次《中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示，截至2018年12月，我國(guó)網(wǎng)民規(guī)模達(dá)8.29億，普及率達(dá)59.6%，全年新增網(wǎng)民5653萬(wàn)。我國(guó)手機(jī)網(wǎng)民規(guī)模達(dá)8.17億，網(wǎng)民通過(guò)手機(jī)接入互聯(lián)網(wǎng)的比例高達(dá)98.6%。從上述數(shù)據(jù)可以看到，互聯(lián)網(wǎng)越來(lái)越廣的滲入人們的日常生活，從辦公到生活，互聯(lián)網(wǎng)幾乎無(wú)處不在。人們簡(jiǎn)直無(wú)法想象離開(kāi)網(wǎng)絡(luò)和移動(dòng)互聯(lián)技術(shù)，但越是離不開(kāi)信息技術(shù)，越是應(yīng)該加強(qiáng)信息安全防范意識(shí)。遺憾的是，人們對(duì)信息安全的認(rèn)識(shí)遠(yuǎn)遠(yuǎn)小于其所能帶來(lái)的危害。換句話說(shuō)，我們現(xiàn)在無(wú)時(shí)無(wú)刻不暴露在網(wǎng)絡(luò)安全攻擊的威脅下卻不自知。

在我國(guó)，2018年的小龍蝦消費(fèi)是2000億，而信息安全方面的消費(fèi)卻只有區(qū)區(qū)500億。安全產(chǎn)業(yè)存在著巨大的市場(chǎng)機(jī)會(huì)，而與此同時(shí)，企業(yè)的安全意識(shí)也存在著巨大的提升空間。

無(wú)處不在的安全危機(jī)

對(duì)于個(gè)人來(lái)說(shuō)，信息泄露產(chǎn)生的危害已經(jīng)不言而喻。而對(duì)于企業(yè)來(lái)說(shuō)，網(wǎng)絡(luò)安全危機(jī)則意味著要付出更大的代價(jià)。

可能你以為網(wǎng)絡(luò)安全攻擊離自己很遙遠(yuǎn)，而真相恰恰相反。

不久之前，有媒體報(bào)道英國(guó)信息委員會(huì)辦公室 （ICO）因?yàn)槿f(wàn)豪集團(tuán)違反歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR），對(duì)其處以1. 23億美元的罰款。

而就在 ICO 宣布針對(duì)萬(wàn)豪酒店的罰款通知前一天，英國(guó)航空公司 （BA） 也因?yàn)?2018 年的網(wǎng)站違規(guī)行為影響了 50 萬(wàn)名客戶而收到了 GDPR 實(shí)施以來(lái)最高的罰款記錄——2.29億美元。

看到這里，有些企業(yè)可能會(huì)認(rèn)為只有大型企業(yè)才會(huì)被黑客覬覦，中小企業(yè)相對(duì)來(lái)說(shuō)被攻擊的可能性較小。事實(shí)上，網(wǎng)絡(luò)安全危機(jī)已經(jīng)無(wú)處不在。不管你是政府，還是企業(yè)，甚至是個(gè)人，都是黑客攻擊和攫取利益的對(duì)象。

今年上半年，美國(guó)佛羅里達(dá)州的一個(gè)城市遭受勒索軟件攻擊，被迫向黑客支付了 60 萬(wàn)美元的比特幣贖金。

網(wǎng)絡(luò)安全攻擊的數(shù)量和危害都在呈幾何倍數(shù)激增，如果企業(yè)還抱有僥幸心理，利用陳舊的安全觀念和技術(shù)手段來(lái)應(yīng)對(duì)新時(shí)代的網(wǎng)絡(luò)安全攻擊，一旦遭受攻擊便會(huì)產(chǎn)生巨大損失。在信息技術(shù)和企業(yè)業(yè)務(wù)連接越來(lái)越緊密的今天，如果安全措施不到位，企業(yè)就像是在互聯(lián)網(wǎng)世界中裸奔，一不小心就會(huì)“抱憾終身”。

再來(lái)看另一個(gè)例子，前幾天，北京市朝陽(yáng)區(qū)法院審理了一起“智聯(lián)招聘”員工倒賣個(gè)人簡(jiǎn)歷的案件，涉及公民個(gè)人簡(jiǎn)歷信息多達(dá)16萬(wàn)余份，而每份簡(jiǎn)歷售價(jià)不超過(guò)10元。

在安全攻擊下，連政府都只能向黑客妥協(xié)，誰(shuí)都有可能成為下一個(gè)網(wǎng)絡(luò)安全事件的受害者。

而更加可怕的是，網(wǎng)絡(luò)安全危機(jī)不光是范圍在擴(kuò)大，并且現(xiàn)在的安全漏洞會(huì)造成不可預(yù)計(jì)的危害。比如現(xiàn)在大家已經(jīng)習(xí)以為常的刷臉支付，刷臉入住，刷臉進(jìn)入景區(qū)，在提供便利的同時(shí)也帶來(lái)了安全隱患。不久之前深圳的一家人臉識(shí)別公司被曝光發(fā)生數(shù)據(jù)泄露，一共有250萬(wàn)人的私人信息可以不受限制地被訪問(wèn)。

如果說(shuō)一般的數(shù)據(jù)泄露還可以修改密碼來(lái)補(bǔ)救，但是人體的生物信息一旦泄露便沒(méi)有辦法挽回。雖然我們相信隨著未來(lái)技術(shù)的進(jìn)步，有可能解決這個(gè)問(wèn)題，但從源頭上防止數(shù)據(jù)泄露才是解決問(wèn)題的根本。面對(duì)“危機(jī)重重”的互聯(lián)網(wǎng)時(shí)代，我們每一個(gè)人在對(duì)待安全風(fēng)險(xiǎn)上都不可以存在僥幸心理。

厘清原因，直面危機(jī)

網(wǎng)絡(luò)安全危機(jī)已經(jīng)無(wú)處不在，我們又應(yīng)該怎么做呢？

首先，我們應(yīng)該厘清網(wǎng)絡(luò)安全危機(jī)產(chǎn)生的原因。

一方面，大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)等新興技術(shù)的快速發(fā)展為我們帶來(lái)各種便利，另一方面這些技術(shù)也使得企業(yè)用戶內(nèi)部的傳統(tǒng)IT架構(gòu)發(fā)生了巨大變化，企業(yè)原有的安全身份認(rèn)證技術(shù)、安全設(shè)備和安全策略，已無(wú)法支撐新技術(shù)、新應(yīng)用的發(fā)展。

此外，日益火爆的企業(yè)數(shù)字化轉(zhuǎn)型也進(jìn)一步導(dǎo)致了業(yè)務(wù)數(shù)據(jù)和基礎(chǔ)數(shù)據(jù)量激增。當(dāng)企業(yè)向數(shù)字化轉(zhuǎn)型時(shí)，越來(lái)越多數(shù)據(jù)需要被收集、處理和分析，數(shù)據(jù)泄漏風(fēng)險(xiǎn)也與日俱增。

而云計(jì)算的日益普及更是讓企業(yè)的IT架構(gòu)變得日益復(fù)雜，試想一下，企業(yè)的ERP在自己內(nèi)部的私有云上，應(yīng)用開(kāi)發(fā)和網(wǎng)站托管在公有云上，財(cái)務(wù)部的報(bào)銷系統(tǒng)卻選擇了另外一家公有云提供的服務(wù)，混合多云的情況越來(lái)越常見(jiàn)，不僅增加了IT部門管理的復(fù)雜度，還進(jìn)一步加大了網(wǎng)絡(luò)安全防范的難度。

還有一點(diǎn)你可能想象不到，人工智能技術(shù)的逐步成熟也從側(cè)面加大了企業(yè)的安全管理難度。不僅因?yàn)槠髽I(yè)對(duì)人工智能技術(shù)的運(yùn)用依賴于對(duì)大量數(shù)據(jù)的采集和訓(xùn)練分析，進(jìn)一步把數(shù)據(jù)安全放到了更加重要的位置。同時(shí)，黑客也在試圖利用機(jī)器學(xué)習(xí)等技術(shù)手段掌握攻擊目標(biāo)的數(shù)據(jù)庫(kù)規(guī)則與防護(hù)策略，從而探測(cè)網(wǎng)絡(luò)和系統(tǒng)中的漏洞。

全新思考，全新體系

明確了網(wǎng)絡(luò)安全危機(jī)產(chǎn)生的原因，之后要解決的就是如何預(yù)防和維護(hù)，搭建一個(gè)更加安全的網(wǎng)絡(luò)安全防護(hù)體系。

你可能認(rèn)為只要購(gòu)買更多的安全工具就可以解決這些危機(jī)。其實(shí)，不安全的世界需要的并不是更多的安全工具，而是全新的安全規(guī)則和安全體系。

首先，安全工具并不是越多越好，如果安全工具之間沒(méi)有對(duì)話，不能夠統(tǒng)一進(jìn)行監(jiān)控，反而會(huì)提升企業(yè)安全管理的復(fù)雜度。另一方面，企業(yè)的安全人員本來(lái)就處于缺乏狀態(tài)，更多的安全工具必然需要他們掌握更多的技能，反而從客觀上加劇了安全技術(shù)人員缺乏的狀況。

那么，企業(yè)究竟該怎樣做才能保護(hù)好自己的安全呢？

在全新的IT架構(gòu)下，企業(yè)應(yīng)該重新審視自己的信息安全漏洞，用最新的技術(shù)和應(yīng)用構(gòu)建一個(gè)全新的安全規(guī)則和防護(hù)體系，并建立應(yīng)急響應(yīng)體系。很多企業(yè)雖然搭建了某種程度的安全運(yùn)維平臺(tái)，但安全系統(tǒng)不可能無(wú)懈可擊，有時(shí)候黑客會(huì)繞開(kāi)防御機(jī)制，甚至有時(shí)候攻擊者就來(lái)自系統(tǒng)內(nèi)部。所以在遭受攻擊時(shí)，如何及時(shí)響應(yīng)、保證系統(tǒng)快速恢復(fù)才是當(dāng)前應(yīng)該重點(diǎn)考慮的問(wèn)題。

此外，要加快人工智能在企業(yè)安全防護(hù)體系中的導(dǎo)入。隨著黑客攻擊手段越來(lái)越智能化，如何用AI對(duì)抗AI也成為信息安全行業(yè)當(dāng)下需要關(guān)注的重點(diǎn)。AI的導(dǎo)入不僅可以縮短安全人員的判斷時(shí)間，也可以緩解安全技術(shù)人員人手不足的問(wèn)題。

總之，網(wǎng)絡(luò)安全攻擊的數(shù)量和危害都在呈幾何倍數(shù)激增，如果企業(yè)還抱有僥幸心理，利用陳舊的安全觀念和技術(shù)手段來(lái)應(yīng)對(duì)新時(shí)代的網(wǎng)絡(luò)安全攻擊，一旦遭受攻擊便會(huì)產(chǎn)生巨大損失。在信息技術(shù)和企業(yè)業(yè)務(wù)連接越來(lái)越緊密的今天，如果安全措施不到位，企業(yè)就像是在互聯(lián)網(wǎng)世界中裸奔，一不小心就會(huì)“抱憾終身”。

等保2.0，主動(dòng)出擊

而對(duì)于馬上要進(jìn)入等保2.0時(shí)代的中國(guó)企業(yè)來(lái)說(shuō)，網(wǎng)絡(luò)安全更是需要引起重視和思考。

于2016年11月7日發(fā)布，自2017年6月1日起施行的《網(wǎng)絡(luò)安全法》規(guī)定等級(jí)保護(hù)是我國(guó)信息安全保障的基本制度。2019年5月13日，國(guó)家市場(chǎng)監(jiān)督管理總局召開(kāi)新聞發(fā)布會(huì)，正式發(fā)布等保2.0標(biāo)準(zhǔn)，并將于2019年12月1日正式實(shí)施。

自2008年起，我國(guó)進(jìn)入等保1.0時(shí)代，等保制度為保障國(guó)家信息安全打下了堅(jiān)實(shí)的基礎(chǔ)。經(jīng)過(guò)十多年的發(fā)展，我們面臨的網(wǎng)絡(luò)安全形勢(shì)發(fā)生了很大變化，等保2.0的發(fā)布標(biāo)志著我國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)進(jìn)入了一個(gè)全新的新時(shí)代。

具體說(shuō)來(lái)，新標(biāo)準(zhǔn)分成了5個(gè)部分：《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第1部分安全通用要求》、《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第2部分云計(jì)算安全擴(kuò)展要求》、《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第3部分移動(dòng)互聯(lián)安全擴(kuò)展要求》、《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第4部分物聯(lián)網(wǎng)安全擴(kuò)展要求》、《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第5部分工業(yè)控制系統(tǒng)安全擴(kuò)展要求》。

與此前的1.0標(biāo)準(zhǔn)相比，2.0覆蓋的范圍更加廣泛，也更加符合新時(shí)代技術(shù)的發(fā)展趨勢(shì)?？梢哉f(shuō)，等保2.0標(biāo)準(zhǔn)為適應(yīng)新技術(shù)的發(fā)展，解決云計(jì)算、物聯(lián)網(wǎng)和工控領(lǐng)域信息系統(tǒng)的等級(jí)保護(hù)工作的需要擴(kuò)大了范圍。

等保2.0在1.0的基礎(chǔ)上，更加注重全方位主動(dòng)防御、動(dòng)態(tài)防御、整體防控和精準(zhǔn)防護(hù)，除了基本要求外，還增加了對(duì)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制和大數(shù)據(jù)等對(duì)象全覆蓋。等保2.0標(biāo)準(zhǔn)的發(fā)布，對(duì)加強(qiáng)中國(guó)網(wǎng)絡(luò)安全保障工作，提升網(wǎng)絡(luò)安全保護(hù)能力具有重要意義。

可以說(shuō)，等保1.0偏重的是對(duì)于防護(hù)的要求，而隨著當(dāng)前網(wǎng)絡(luò)安全形勢(shì)的變化，等保2.0標(biāo)準(zhǔn)結(jié)合《網(wǎng)絡(luò)安全法》中對(duì)于持續(xù)監(jiān)測(cè)、威脅情報(bào)、快速響應(yīng)類的要求更是提出了更加具體的措施。

企業(yè)在進(jìn)行IT建設(shè)時(shí)，通常會(huì)考慮拿出一定比例預(yù)算投入到相關(guān)的安全系統(tǒng)建設(shè)上。但系統(tǒng)建好之后卻很少有企業(yè)會(huì)再重新梳理自己的安全流程和防護(hù)體系，并再次為信息安全進(jìn)行投入。再加上過(guò)去幾年，我國(guó)IT行業(yè)迅速發(fā)展，卻沒(méi)有對(duì)網(wǎng)絡(luò)安全領(lǐng)域引發(fā)足夠重視，造成網(wǎng)絡(luò)安全支出與IT支出不成比例的情況。美國(guó)企業(yè)在網(wǎng)絡(luò)安全領(lǐng)域投入占IT總投入的4.78%，全球的平均水平是3.74%，而中國(guó)企業(yè)的這個(gè)數(shù)字卻連2%都不到。

等保2.0時(shí)代下，不僅中國(guó)企業(yè)有很多網(wǎng)絡(luò)安全問(wèn)題需要修補(bǔ)，中國(guó)網(wǎng)絡(luò)安全市場(chǎng)也存在較大提升空間。希望在等保2.0的推動(dòng)下，我國(guó)的信息安全產(chǎn)業(yè)能夠迅速發(fā)展，幫助企業(yè)補(bǔ)全信息安全這塊短板。