◆张德顺 朱丽娜 孙 维
(中国石油石油化工研究院大庆化工研究中心 黑龙江 163710)
网络安全问题----保护有价值的知识产权和数字商业信息免遭盗窃和滥用是一个日趋严峻的管理问题。网络安全已经成为国内经济发展和安全的最严峻挑战之一。数据信息是企业的商业资产,与其它资产一样,应受到保护和重视。数据信息安全作用是保护信息不受大范围威胁所干扰,促进企业健康发展,规避商业损失。因此,企业树立“网络服务即是安全,网络安全即是资产”安全发展理念,对于企业的健康发展格外重要。
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改或泄露。狭义的网络安全仅指传统网络安全,而广义的网络安全则包括了“云安全”、“大数据”在内的网络数字信息安全保障。无论是传统的终端安全,还是广义的网络安全,需要保护信息的三个特性,即数据信息的机密性、完整性与可用性。
(1)商业价值不断向网络转移,数据信息已经变成商业资产
随着云计算、大数据从概念推广萌芽期转变为行业发展兴盛期,大数据、云计算技术带动了信息系统软件与硬件结构的全新变革,市场规模快速扩张,网络安全的范围逐渐扩大,数据信息安全已成为广义网络安全的重要组成部分,一旦泄露将造成严重后果。数据信息是企业的重要资产和竞争力,维护信息的保密性、完整性和可用性对企业保持核心竞争力、现金流、利润、合法性及商业形象至关重要。据IDC预测,至2020年全球所产生的数据量将达到近四万艾字节(1EB=1024*1024TB)。这些数据中所蕴含的企业数据信息数量庞大,一旦泄露将造成不可估计的损失。目前我国网络安全形势较为严峻,亟需加强网络安全新理念,积极应对网络安全发展的新变化。
(2)企业网络正比过去任何时刻更加开放
企业员工现在习惯通过移动端访问企业网络,而移动端设备也同样应用与自身生活的移动网络。移动端设备快速普及,也构成了新型网络安全新威胁,成为恶意入侵企业网络最薄弱端口。
2015年,网络安全事件造成全球经济损失约3150亿美元,其中包括中国在内的亚太地区经济损失为810亿美元,占比超过25%。目前的国内网络安全形势较为严峻,市场亟需优秀的网络安全产品以保护企业的信息安全。尽管企业不断完善网络安全保障措施,提升网络安全防护水平,但基础网络和关键基础设施仍面临较大安全风险,拒绝服务攻击、网络安全漏洞、网页仿冒与篡改等网络安全事件时有发生。
随着企业数据资源竞争博弈激烈,数据跨界、跨境流动已成为常态化,数据流动监管难度增大,针对网络数据的安全威胁也与日俱增,给数据安全保障带来了更为严峻的挑战,使很多企业对网络数据信息的使用从“注重共享”转向“强调保护和治理”。
绝对安全与可靠的信息系统并不存在。网络安全性的增加通常导致企业费用的增长,这些费用包括系统性能下降、系统复杂性增加、系统可用性降低和操作与维护成本增加等。网络安全是一个过程而不是目的,自身系统弱点与威胁随时间变化,其安全理念表现以下几个方面。
目前,很多企业主管把网络安全问题视为技术问题,缺乏了解信息安全风险及其对业务的影响,高层决策过程很难在投资、风险和和用户之间取得平衡。数字信息的快速革命,使得企业把网络安全作为企业战略发展重要组成部分,网络安全已经与企业发展、生产安全、环境治理一样参与关键决策,显示网络安全的重要性。
随着网络快速发展,企业观念开始由硬件资源转向数据资源变革。企业开始逐渐向包括云安全、大数据在内的广义网络安全服务转型,将云安全相关产品与服务纳入企业的服务平台中。在过去的几年里,实现网络安全服务的途径已经转变,以适应安全服务周期发生变化,以客户价值为中心,实现“网络安全即是服务,网络服务即是资产”。
数据信息是企业重要的商业资产。为维持企业核心竞争力,数据信息的保密性、完整性和可用性是至关重要的。因此,对网络系统和硬件设备的安全管理必然是一个复杂的、高负荷的服务工作。那些针对关键数据资产的安全漏洞发起的攻击,会对企业资产形成新威胁。通过对数据资产进行安全评估,掌握数据资产安全状况,这些服务工作是安全保护技术的基础,也是数据资产安全的基石。
企业发生网络入侵事故的原因,基本包括以下因素(2015年,国家网络安全指挥中心数据):
(1)底层缺陷(10%):网络技术与企业具体业务链接滞后导致无法避免的弱点;
(2)资源匮乏(15%):企业缺乏先进安全防护产品与技术投入;
(3)人员不足(25%):缺乏必要的人才与应急保障团队储备;(4)数据信息安全意识薄弱(50%):企业员工对网络泄密风险认识不足,存在侥幸。
因此,提高企业基层员工网络安全意识是促进网络安全健康发展必须工作。
面对层出不穷的网络安全问题,国家出台了包括《网络安全法(草案)》、新《国家安全法》等多项法律法规,明确提出建设网络与信息安全保障体系,将网络安全上升至国家战略高度。国家领导人习近平强调,“网络安全和信息化是相辅相成的。安全是发展的前提,发展是安全的保障,安全和发展要同步推进。要树立正确的网络安全观,加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力”。
为有效应对云计算、大数据革命,针对数据信息安全的全新挑战,需要建立统一、完整数据安全保护管理体系;企业应重点关注用户数据资产保护、数据共享合作、数据跨境流动等关键问题的安全管理。
(1)对用户信息进行关联分析应仅限于提供服务的用户;
(2)脱敏后的用户信息进行恢复性评估;
(3)未脱敏的用户信息不应用于业务系统开发测试;
(4)MAC、IP地址等可能涉及用户数据信息谨慎使用;
(5)用户敏感信息的数据慎重使用。
(1)涉事主体在发生用户信息泄露事件后,应及时通知受影响用户,提醒其采取防范措施;
(2)建立数据信息跨界、跨境流动数据安全评估机制;
(3)明确责任部门、评估流程、估标标准。
数据信息规模化生产、分享、应用的时代已经来临,数据信息资源和用户的安全保障和治理,已经成为企业网络空间博弈的新焦点。面对新形势新问题,坚持安全与网络开放并重,责任与发展兼顾,实现“网络安全即是服务,网络服务即是资产”,共同完善网络安全体系,为中国石油网络数据资源和用户信息提供全方位的保护。
[1]李晓蕾.大数据时代跨国石油公司的网络安全防范措施.网络安全技术与应用,2014.
[2]阿里巴巴公司.网络安全年会报告,2015.
[3]国家网络安全指挥中心.网络报告,2015.
[4]蚂蚁金服.网络安全年会报告,2016.