等保2.0,网络安全需要冷思考

2019-09-23 18:57石菲
中国信息化 2019年8期
关键词:黑客信息安全网络安全

石菲

2019年7月30日,美国第五大信用卡发行商 Capital One Financial Corp发生数据泄露事件,黑客通过防火墙漏洞访问了约 1.06 亿客户和申请人的个人信息,泄露了约 14 万个社会安全号码和 8 万个银行账号,该数据泄露事件是大型银行有史以来最严重的数据泄露事件之一。

尽管信息安全和我们每个人都相关,但我们对它的重视却远远没有达到它应该享有的程度。

根据CNNIC 2月底发布的第43次《中国互联网络发展状况统计报告》显示,截至2018年12月,我国网民规模达8.29亿,普及率达59.6%,全年新增网民5653万。我国手机网民规模达8.17亿,网民通过手机接入互联网的比例高达98.6%。从上述数据可以看到,互联网越来越广的渗入人们的日常生活,从办公到生活,互联网几乎无处不在。人们简直无法想象离开网络和移动互联技术,但越是离不开信息技术,越是应该加强信息安全防范意识。遗憾的是,人们对信息安全的认识远远小于其所能带来的危害。换句话说,我们现在无时无刻不暴露在网络安全攻击的威胁下却不自知。

在我国,2018年的小龙虾消费是2000亿,而信息安全方面的消费却只有区区500亿。安全产业存在着巨大的市场机会,而与此同时,企业的安全意识也存在着巨大的提升空间。

无处不在的安全危机

对于个人来说,信息泄露产生的危害已经不言而喻。而对于企业来说,网络安全危机则意味着要付出更大的代价。

可能你以为网络安全攻击离自己很遥远,而真相恰恰相反。

不久之前,有媒体报道英国信息委员会办公室 (ICO)因为万豪集团违反欧盟《通用数据保护条例》(GDPR),对其处以1. 23亿美元的罚款。

而就在 ICO 宣布针对万豪酒店的罚款通知前一天,英国航空公司 (BA) 也因为 2018 年的网站违规行为影响了 50 万名客户而收到了 GDPR 实施以来最高的罚款记录——2.29亿美元。

看到这里,有些企业可能会认為只有大型企业才会被黑客觊觎,中小企业相对来说被攻击的可能性较小。事实上,网络安全危机已经无处不在。不管你是政府,还是企业,甚至是个人,都是黑客攻击和攫取利益的对象。

今年上半年,美国佛罗里达州的一个城市遭受勒索软件攻击,被迫向黑客支付了 60 万美元的比特币赎金。

网络安全攻击的数量和危害都在呈几何倍数激增,如果企业还抱有侥幸心理,利用陈旧的安全观念和技术手段来应对新时代的网络安全攻击,一旦遭受攻击便会产生巨大损失。在信息技术和企业业务连接越来越紧密的今天,如果安全措施不到位,企业就像是在互联网世界中裸奔,一不小心就会“抱憾终身”。

再来看另一个例子,前几天,北京市朝阳区法院审理了一起“智联招聘”员工倒卖个人简历的案件,涉及公民个人简历信息多达16万余份,而每份简历售价不超过10元。

在安全攻击下,连政府都只能向黑客妥协,谁都有可能成为下一个网络安全事件的受害者。

而更加可怕的是,网络安全危机不光是范围在扩大,并且现在的安全漏洞会造成不可预计的危害。比如现在大家已经习以为常的刷脸支付,刷脸入住,刷脸进入景区,在提供便利的同时也带来了安全隐患。不久之前深圳的一家人脸识别公司被曝光发生数据泄露,一共有250万人的私人信息可以不受限制地被访问。

如果说一般的数据泄露还可以修改密码来补救,但是人体的生物信息一旦泄露便没有办法挽回。虽然我们相信随着未来技术的进步,有可能解决这个问题,但从源头上防止数据泄露才是解决问题的根本。面对“危机重重”的互联网时代,我们每一个人在对待安全风险上都不可以存在侥幸心理。

厘清原因,直面危机

网络安全危机已经无处不在,我们又应该怎么做呢?

首先,我们应该厘清网络安全危机产生的原因。

一方面,大数据、人工智能、物联网、移动互联网等新兴技术的快速发展为我们带来各种便利,另一方面这些技术也使得企业用户内部的传统IT架构发生了巨大变化,企业原有的安全身份认证技术、安全设备和安全策略,已无法支撑新技术、新应用的发展。

此外,日益火爆的企业数字化转型也进一步导致了业务数据和基础数据量激增。当企业向数字化转型时,越来越多数据需要被收集、处理和分析,数据泄漏风险也与日俱增。

而云计算的日益普及更是让企业的IT架构变得日益复杂,试想一下,企业的ERP在自己内部的私有云上,应用开发和网站托管在公有云上,财务部的报销系统却选择了另外一家公有云提供的服务,混合多云的情况越来越常见,不仅增加了IT部门管理的复杂度,还进一步加大了网络安全防范的难度。

还有一点你可能想象不到,人工智能技术的逐步成熟也从侧面加大了企业的安全管理难度。不仅因为企业对人工智能技术的运用依赖于对大量数据的采集和训练分析,进一步把数据安全放到了更加重要的位置。同时,黑客也在试图利用机器学习等技术手段掌握攻击目标的数据库规则与防护策略,从而探测网络和系统中的漏洞。

全新思考,全新体系

明确了网络安全危机产生的原因,之后要解决的就是如何预防和维护,搭建一个更加安全的网络安全防护体系。

你可能认为只要购买更多的安全工具就可以解决这些危机。其实,不安全的世界需要的并不是更多的安全工具,而是全新的安全规则和安全体系。

首先,安全工具并不是越多越好,如果安全工具之间没有对话,不能够统一进行监控,反而会提升企业安全管理的复杂度。另一方面,企业的安全人员本来就处于缺乏状态,更多的安全工具必然需要他们掌握更多的技能,反而从客观上加剧了安全技术人员缺乏的状况。

那么,企业究竟该怎样做才能保护好自己的安全呢?

在全新的IT架构下,企业应该重新审视自己的信息安全漏洞,用最新的技术和应用构建一个全新的安全规则和防护体系,并建立应急响应体系。很多企业虽然搭建了某种程度的安全运维平台,但安全系统不可能无懈可击,有时候黑客会绕开防御机制,甚至有时候攻击者就来自系统内部。所以在遭受攻击时,如何及时响应、保证系统快速恢复才是当前应该重点考虑的问题。

此外,要加快人工智能在企业安全防护体系中的导入。随着黑客攻击手段越来越智能化,如何用AI对抗AI也成为信息安全行业当下需要关注的重点。AI的导入不仅可以缩短安全人员的判断时间,也可以缓解安全技术人员人手不足的问题。

总之,网络安全攻击的数量和危害都在呈几何倍数激增,如果企业还抱有侥幸心理,利用陈旧的安全观念和技术手段来应对新时代的网络安全攻击,一旦遭受攻击便会产生巨大损失。在信息技术和企业业务连接越来越紧密的今天,如果安全措施不到位,企业就像是在互联网世界中裸奔,一不小心就会“抱憾终身”。

等保2.0,主动出击

而对于马上要进入等保2.0时代的中国企业来说,网络安全更是需要引起重视和思考。

于2016年11月7日发布,自2017年6月1日起施行的《网络安全法》规定等级保护是我国信息安全保障的基本制度。2019年5月13日,国家市场监督管理总局召开新闻发布会,正式发布等保2.0标准,并将于2019年12月1日正式实施。

自2008年起,我国进入等保1.0时代,等保制度为保障国家信息安全打下了坚实的基础。经过十多年的发展,我们面临的网络安全形势发生了很大变化,等保2.0的发布标志着我国网络安全等级保护进入了一个全新的新时代。

具體说来,新标准分成了5个部分:《网络安全等级保护基本要求第1部分安全通用要求》、《网络安全等级保护基本要求第2部分云计算安全扩展要求》、《网络安全等级保护基本要求第3部分移动互联安全扩展要求》、《网络安全等级保护基本要求第4部分物联网安全扩展要求》、《网络安全等级保护基本要求第5部分工业控制系统安全扩展要求》。

与此前的1.0标准相比,2.0覆盖的范围更加广泛,也更加符合新时代技术的发展趋势。可以说,等保2.0标准为适应新技术的发展,解决云计算、物联网和工控领域信息系统的等级保护工作的需要扩大了范围。

等保2.0在1.0的基础上,更加注重全方位主动防御、动态防御、整体防控和精准防护,除了基本要求外,还增加了对云计算、移动互联、物联网、工业控制和大数据等对象全覆盖。等保2.0标准的发布,对加强中国网络安全保障工作,提升网络安全保护能力具有重要意义。

可以说,等保1.0偏重的是对于防护的要求,而随着当前网络安全形势的变化,等保2.0标准结合《网络安全法》中对于持续监测、威胁情报、快速响应类的要求更是提出了更加具体的措施。

企业在进行IT建设时,通常会考虑拿出一定比例预算投入到相关的安全系统建设上。但系统建好之后却很少有企业会再重新梳理自己的安全流程和防护体系,并再次为信息安全进行投入。再加上过去几年,我国IT行业迅速发展,却没有对网络安全领域引发足够重视,造成网络安全支出与IT支出不成比例的情况。美国企业在网络安全领域投入占IT总投入的4.78%,全球的平均水平是3.74%,而中国企业的这个数字却连2%都不到。

等保2.0时代下,不仅中国企业有很多网络安全问题需要修补,中国网络安全市场也存在较大提升空间。希望在等保2.0的推动下,我国的信息安全产业能够迅速发展,帮助企业补全信息安全这块短板。

猜你喜欢
黑客信息安全网络安全
信息安全不止单纯的技术问题
全国多地联动2020年国家网络安全宣传周启动
基于模糊综合评价法的信息安全风险评估模型
基于模糊综合评价法的信息安全风险评估模型
新量子通信线路保障网络安全
保护个人信息安全,还看新法
黑客传说
中国网络安全产业联盟正式成立
2014第十五届中国信息安全大会奖项
最黑客等3则