石菲

2019年7月30日，美國第五大信用卡發(fā)行商 Capital One Financial Corp發(fā)生數(shù)據(jù)泄露事件，黑客通過防火墻漏洞訪問了約 1.06 億客戶和申請人的個人信息，泄露了約 14 萬個社會安全號碼和 8 萬個銀行賬號，該數(shù)據(jù)泄露事件是大型銀行有史以來最嚴(yán)重的數(shù)據(jù)泄露事件之一。

盡管信息安全和我們每個人都相關(guān)，但我們對它的重視卻遠(yuǎn)遠(yuǎn)沒有達(dá)到它應(yīng)該享有的程度。

根據(jù)CNNIC 2月底發(fā)布的第43次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》顯示，截至2018年12月，我國網(wǎng)民規(guī)模達(dá)8.29億，普及率達(dá)59.6%，全年新增網(wǎng)民5653萬。我國手機(jī)網(wǎng)民規(guī)模達(dá)8.17億，網(wǎng)民通過手機(jī)接入互聯(lián)網(wǎng)的比例高達(dá)98.6%。從上述數(shù)據(jù)可以看到，互聯(lián)網(wǎng)越來越廣的滲入人們的日常生活，從辦公到生活，互聯(lián)網(wǎng)幾乎無處不在。人們簡直無法想象離開網(wǎng)絡(luò)和移動互聯(lián)技術(shù)，但越是離不開信息技術(shù)，越是應(yīng)該加強(qiáng)信息安全防范意識。遺憾的是，人們對信息安全的認(rèn)識遠(yuǎn)遠(yuǎn)小于其所能帶來的危害。換句話說，我們現(xiàn)在無時無刻不暴露在網(wǎng)絡(luò)安全攻擊的威脅下卻不自知。

在我國，2018年的小龍蝦消費是2000億，而信息安全方面的消費卻只有區(qū)區(qū)500億。安全產(chǎn)業(yè)存在著巨大的市場機(jī)會，而與此同時，企業(yè)的安全意識也存在著巨大的提升空間。

無處不在的安全危機(jī)

對于個人來說，信息泄露產(chǎn)生的危害已經(jīng)不言而喻。而對于企業(yè)來說，網(wǎng)絡(luò)安全危機(jī)則意味著要付出更大的代價。

可能你以為網(wǎng)絡(luò)安全攻擊離自己很遙遠(yuǎn)，而真相恰恰相反。

不久之前，有媒體報道英國信息委員會辦公室 （ICO）因為萬豪集團(tuán)違反歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR），對其處以1. 23億美元的罰款。

而就在 ICO 宣布針對萬豪酒店的罰款通知前一天，英國航空公司 （BA） 也因為 2018 年的網(wǎng)站違規(guī)行為影響了 50 萬名客戶而收到了 GDPR 實施以來最高的罰款記錄——2.29億美元。

看到這里，有些企業(yè)可能會認(rèn)為只有大型企業(yè)才會被黑客覬覦，中小企業(yè)相對來說被攻擊的可能性較小。事實上，網(wǎng)絡(luò)安全危機(jī)已經(jīng)無處不在。不管你是政府，還是企業(yè)，甚至是個人，都是黑客攻擊和攫取利益的對象。

今年上半年，美國佛羅里達(dá)州的一個城市遭受勒索軟件攻擊，被迫向黑客支付了 60 萬美元的比特幣贖金。

網(wǎng)絡(luò)安全攻擊的數(shù)量和危害都在呈幾何倍數(shù)激增，如果企業(yè)還抱有僥幸心理，利用陳舊的安全觀念和技術(shù)手段來應(yīng)對新時代的網(wǎng)絡(luò)安全攻擊，一旦遭受攻擊便會產(chǎn)生巨大損失。在信息技術(shù)和企業(yè)業(yè)務(wù)連接越來越緊密的今天，如果安全措施不到位，企業(yè)就像是在互聯(lián)網(wǎng)世界中裸奔，一不小心就會“抱憾終身”。

再來看另一個例子，前幾天，北京市朝陽區(qū)法院審理了一起“智聯(lián)招聘”員工倒賣個人簡歷的案件，涉及公民個人簡歷信息多達(dá)16萬余份，而每份簡歷售價不超過10元。

在安全攻擊下，連政府都只能向黑客妥協(xié)，誰都有可能成為下一個網(wǎng)絡(luò)安全事件的受害者。

而更加可怕的是，網(wǎng)絡(luò)安全危機(jī)不光是范圍在擴(kuò)大，并且現(xiàn)在的安全漏洞會造成不可預(yù)計的危害。比如現(xiàn)在大家已經(jīng)習(xí)以為常的刷臉支付，刷臉入住，刷臉進(jìn)入景區(qū)，在提供便利的同時也帶來了安全隱患。不久之前深圳的一家人臉識別公司被曝光發(fā)生數(shù)據(jù)泄露，一共有250萬人的私人信息可以不受限制地被訪問。

如果說一般的數(shù)據(jù)泄露還可以修改密碼來補(bǔ)救，但是人體的生物信息一旦泄露便沒有辦法挽回。雖然我們相信隨著未來技術(shù)的進(jìn)步，有可能解決這個問題，但從源頭上防止數(shù)據(jù)泄露才是解決問題的根本。面對“危機(jī)重重”的互聯(lián)網(wǎng)時代，我們每一個人在對待安全風(fēng)險上都不可以存在僥幸心理。

厘清原因，直面危機(jī)

網(wǎng)絡(luò)安全危機(jī)已經(jīng)無處不在，我們又應(yīng)該怎么做呢？

首先，我們應(yīng)該厘清網(wǎng)絡(luò)安全危機(jī)產(chǎn)生的原因。

一方面，大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)等新興技術(shù)的快速發(fā)展為我們帶來各種便利，另一方面這些技術(shù)也使得企業(yè)用戶內(nèi)部的傳統(tǒng)IT架構(gòu)發(fā)生了巨大變化，企業(yè)原有的安全身份認(rèn)證技術(shù)、安全設(shè)備和安全策略，已無法支撐新技術(shù)、新應(yīng)用的發(fā)展。

此外，日益火爆的企業(yè)數(shù)字化轉(zhuǎn)型也進(jìn)一步導(dǎo)致了業(yè)務(wù)數(shù)據(jù)和基礎(chǔ)數(shù)據(jù)量激增。當(dāng)企業(yè)向數(shù)字化轉(zhuǎn)型時，越來越多數(shù)據(jù)需要被收集、處理和分析，數(shù)據(jù)泄漏風(fēng)險也與日俱增。

而云計算的日益普及更是讓企業(yè)的IT架構(gòu)變得日益復(fù)雜，試想一下，企業(yè)的ERP在自己內(nèi)部的私有云上，應(yīng)用開發(fā)和網(wǎng)站托管在公有云上，財務(wù)部的報銷系統(tǒng)卻選擇了另外一家公有云提供的服務(wù)，混合多云的情況越來越常見，不僅增加了IT部門管理的復(fù)雜度，還進(jìn)一步加大了網(wǎng)絡(luò)安全防范的難度。

還有一點你可能想象不到，人工智能技術(shù)的逐步成熟也從側(cè)面加大了企業(yè)的安全管理難度。不僅因為企業(yè)對人工智能技術(shù)的運(yùn)用依賴于對大量數(shù)據(jù)的采集和訓(xùn)練分析，進(jìn)一步把數(shù)據(jù)安全放到了更加重要的位置。同時，黑客也在試圖利用機(jī)器學(xué)習(xí)等技術(shù)手段掌握攻擊目標(biāo)的數(shù)據(jù)庫規(guī)則與防護(hù)策略，從而探測網(wǎng)絡(luò)和系統(tǒng)中的漏洞。

全新思考，全新體系

明確了網(wǎng)絡(luò)安全危機(jī)產(chǎn)生的原因，之后要解決的就是如何預(yù)防和維護(hù)，搭建一個更加安全的網(wǎng)絡(luò)安全防護(hù)體系。

你可能認(rèn)為只要購買更多的安全工具就可以解決這些危機(jī)。其實，不安全的世界需要的并不是更多的安全工具，而是全新的安全規(guī)則和安全體系。

首先，安全工具并不是越多越好，如果安全工具之間沒有對話，不能夠統(tǒng)一進(jìn)行監(jiān)控，反而會提升企業(yè)安全管理的復(fù)雜度。另一方面，企業(yè)的安全人員本來就處于缺乏狀態(tài)，更多的安全工具必然需要他們掌握更多的技能，反而從客觀上加劇了安全技術(shù)人員缺乏的狀況。

那么，企業(yè)究竟該怎樣做才能保護(hù)好自己的安全呢？

在全新的IT架構(gòu)下，企業(yè)應(yīng)該重新審視自己的信息安全漏洞，用最新的技術(shù)和應(yīng)用構(gòu)建一個全新的安全規(guī)則和防護(hù)體系，并建立應(yīng)急響應(yīng)體系。很多企業(yè)雖然搭建了某種程度的安全運(yùn)維平臺，但安全系統(tǒng)不可能無懈可擊，有時候黑客會繞開防御機(jī)制，甚至有時候攻擊者就來自系統(tǒng)內(nèi)部。所以在遭受攻擊時，如何及時響應(yīng)、保證系統(tǒng)快速恢復(fù)才是當(dāng)前應(yīng)該重點考慮的問題。

此外，要加快人工智能在企業(yè)安全防護(hù)體系中的導(dǎo)入。隨著黑客攻擊手段越來越智能化，如何用AI對抗AI也成為信息安全行業(yè)當(dāng)下需要關(guān)注的重點。AI的導(dǎo)入不僅可以縮短安全人員的判斷時間，也可以緩解安全技術(shù)人員人手不足的問題。

總之，網(wǎng)絡(luò)安全攻擊的數(shù)量和危害都在呈幾何倍數(shù)激增，如果企業(yè)還抱有僥幸心理，利用陳舊的安全觀念和技術(shù)手段來應(yīng)對新時代的網(wǎng)絡(luò)安全攻擊，一旦遭受攻擊便會產(chǎn)生巨大損失。在信息技術(shù)和企業(yè)業(yè)務(wù)連接越來越緊密的今天，如果安全措施不到位，企業(yè)就像是在互聯(lián)網(wǎng)世界中裸奔，一不小心就會“抱憾終身”。

等保2.0，主動出擊

而對于馬上要進(jìn)入等保2.0時代的中國企業(yè)來說，網(wǎng)絡(luò)安全更是需要引起重視和思考。

于2016年11月7日發(fā)布，自2017年6月1日起施行的《網(wǎng)絡(luò)安全法》規(guī)定等級保護(hù)是我國信息安全保障的基本制度。2019年5月13日，國家市場監(jiān)督管理總局召開新聞發(fā)布會，正式發(fā)布等保2.0標(biāo)準(zhǔn)，并將于2019年12月1日正式實施。

自2008年起，我國進(jìn)入等保1.0時代，等保制度為保障國家信息安全打下了堅實的基礎(chǔ)。經(jīng)過十多年的發(fā)展，我們面臨的網(wǎng)絡(luò)安全形勢發(fā)生了很大變化，等保2.0的發(fā)布標(biāo)志著我國網(wǎng)絡(luò)安全等級保護(hù)進(jìn)入了一個全新的新時代。

具體說來，新標(biāo)準(zhǔn)分成了5個部分：《網(wǎng)絡(luò)安全等級保護(hù)基本要求第1部分安全通用要求》、《網(wǎng)絡(luò)安全等級保護(hù)基本要求第2部分云計算安全擴(kuò)展要求》、《網(wǎng)絡(luò)安全等級保護(hù)基本要求第3部分移動互聯(lián)安全擴(kuò)展要求》、《網(wǎng)絡(luò)安全等級保護(hù)基本要求第4部分物聯(lián)網(wǎng)安全擴(kuò)展要求》、《網(wǎng)絡(luò)安全等級保護(hù)基本要求第5部分工業(yè)控制系統(tǒng)安全擴(kuò)展要求》。

與此前的1.0標(biāo)準(zhǔn)相比，2.0覆蓋的范圍更加廣泛，也更加符合新時代技術(shù)的發(fā)展趨勢?？梢哉f，等保2.0標(biāo)準(zhǔn)為適應(yīng)新技術(shù)的發(fā)展，解決云計算、物聯(lián)網(wǎng)和工控領(lǐng)域信息系統(tǒng)的等級保護(hù)工作的需要擴(kuò)大了范圍。

等保2.0在1.0的基礎(chǔ)上，更加注重全方位主動防御、動態(tài)防御、整體防控和精準(zhǔn)防護(hù)，除了基本要求外，還增加了對云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制和大數(shù)據(jù)等對象全覆蓋。等保2.0標(biāo)準(zhǔn)的發(fā)布，對加強(qiáng)中國網(wǎng)絡(luò)安全保障工作，提升網(wǎng)絡(luò)安全保護(hù)能力具有重要意義。

可以說，等保1.0偏重的是對于防護(hù)的要求，而隨著當(dāng)前網(wǎng)絡(luò)安全形勢的變化，等保2.0標(biāo)準(zhǔn)結(jié)合《網(wǎng)絡(luò)安全法》中對于持續(xù)監(jiān)測、威脅情報、快速響應(yīng)類的要求更是提出了更加具體的措施。

企業(yè)在進(jìn)行IT建設(shè)時，通常會考慮拿出一定比例預(yù)算投入到相關(guān)的安全系統(tǒng)建設(shè)上。但系統(tǒng)建好之后卻很少有企業(yè)會再重新梳理自己的安全流程和防護(hù)體系，并再次為信息安全進(jìn)行投入。再加上過去幾年，我國IT行業(yè)迅速發(fā)展，卻沒有對網(wǎng)絡(luò)安全領(lǐng)域引發(fā)足夠重視，造成網(wǎng)絡(luò)安全支出與IT支出不成比例的情況。美國企業(yè)在網(wǎng)絡(luò)安全領(lǐng)域投入占IT總投入的4.78%，全球的平均水平是3.74%，而中國企業(yè)的這個數(shù)字卻連2%都不到。

等保2.0時代下，不僅中國企業(yè)有很多網(wǎng)絡(luò)安全問題需要修補(bǔ)，中國網(wǎng)絡(luò)安全市場也存在較大提升空間。希望在等保2.0的推動下，我國的信息安全產(chǎn)業(yè)能夠迅速發(fā)展，幫助企業(yè)補(bǔ)全信息安全這塊短板。