企業(yè)網(wǎng)絡(luò)安全三分靠技術(shù)，七分靠管理。只有認(rèn)清現(xiàn)狀，利用有限的資源，圍繞數(shù)據(jù)安全的核心任務(wù)，從需求出發(fā)，面向安全威脅，以安全建設(shè)和安全運(yùn)營為根本手段，才能最終提高網(wǎng)絡(luò)安全相關(guān)風(fēng)險(xiǎn)管理水平。繼上一篇《大數(shù)據(jù)解讀中國網(wǎng)絡(luò)安全人才市場現(xiàn)狀》之后，我們再次邀請到智聯(lián)招聘安全總監(jiān)張坤，從安全威脅、安全管理和安全需求的角度，為我們刨析中國企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀。在《人才篇》和《需求篇》之后，我們還將發(fā)布《建設(shè)篇》，重點(diǎn)討論企業(yè)網(wǎng)絡(luò)安全團(tuán)隊(duì)建設(shè)，作為本系列中國網(wǎng)絡(luò)安全市場分析的終章。

中國企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀的四個(gè)重點(diǎn)問題

1、數(shù)據(jù)泄漏仍然是企業(yè)安全風(fēng)險(xiǎn)最大的來源。對企業(yè)而言，數(shù)據(jù)安全日漸成為核心業(yè)務(wù)系統(tǒng)體系運(yùn)轉(zhuǎn)的基石，數(shù)據(jù)已經(jīng)成為網(wǎng)絡(luò)安全行業(yè)聚焦點(diǎn)最高的一個(gè)細(xì)分領(lǐng)域。而對企業(yè)而言數(shù)據(jù)一直以來是重要生產(chǎn)資料，數(shù)據(jù)驅(qū)動業(yè)務(wù)決策也成為實(shí)踐業(yè)務(wù)創(chuàng)新的核心手段。隨著數(shù)據(jù)交易的常態(tài)化，勒索軟件開發(fā)市場的規(guī)?；?，數(shù)據(jù)衍生服務(wù)的體系化，在低成本高收益的誘惑下，企業(yè)的核心數(shù)據(jù)保護(hù)均面臨著來自內(nèi)外部的巨大風(fēng)險(xiǎn)。

2、數(shù)據(jù)泄露途徑、動機(jī)、涉案角色均呈現(xiàn)出多元化和隱蔽化的特點(diǎn)，從泄露數(shù)據(jù)類型、泄露人身份、泄露動機(jī)和泄露渠道等更精準(zhǔn)的制定數(shù)據(jù)監(jiān)控策略，更有效地落實(shí)數(shù)據(jù)安全防控一體化機(jī)制成為企業(yè)在數(shù)據(jù)泄露對抗中的當(dāng)務(wù)之急。

3、經(jīng)過我國等保標(biāo)準(zhǔn)強(qiáng)制要求以及企業(yè)自身沉淀積累，大部分企業(yè)具有或部分具有安全技術(shù)能力，整體資源投入不足，相比防護(hù)手段而言，缺少能力運(yùn)營和外部情報(bào)獲取分析能力。

4、企業(yè)安全的工作的重點(diǎn)和思路：從馬斯洛需求模型上來講，企業(yè)安全建設(shè)的當(dāng)務(wù)之急是排查自身需求層級，從需求建設(shè)能力，能力還是那個(gè)追逐熱點(diǎn)、人員上追求“吉祥物”都不會讓企業(yè)水位線顯著提高，方法和需求結(jié)合才能構(gòu)建符合企業(yè)現(xiàn)狀的能力。

企業(yè)數(shù)據(jù)風(fēng)險(xiǎn)管理的痛點(diǎn)和重點(diǎn)

如何確定數(shù)據(jù)的權(quán)屬，如何合理的跨境流動，又如何在保護(hù)個(gè)人隱私的前提下，充分發(fā)揮數(shù)據(jù)的價(jià)值，成為當(dāng)下企業(yè)最應(yīng)重視的問題和風(fēng)險(xiǎn)。

數(shù)據(jù)時(shí)代與數(shù)字世界的來臨，信息數(shù)據(jù)已從資產(chǎn)保護(hù)對象成為重要的經(jīng)濟(jì)生產(chǎn)工具。數(shù)據(jù)安全面臨的威脅前所未有，數(shù)據(jù)安全與身份安全保護(hù)的難度也將面臨巨大挑戰(zhàn)。而數(shù)據(jù)泄漏泄露事件除直接損失外，對企業(yè)的聲譽(yù)、客戶滿意度、市場占有量、股價(jià)以及企業(yè)合規(guī)都會產(chǎn)生極其負(fù)面的影響。

1、任何一個(gè)在企業(yè)內(nèi)部工作的員工，或多或少都能夠接觸到企業(yè)內(nèi)部各種類型的數(shù)據(jù)。如何有效甄別數(shù)據(jù)敏感度，如何對不同敏感度數(shù)據(jù)實(shí)施差分保護(hù)，如何在不降低工作效率的前提下控制訪問權(quán)限，如何保證數(shù)據(jù)訪問和操作均具備可審計(jì)性，這是數(shù)據(jù)安全防護(hù)建設(shè)需要重點(diǎn)考慮的內(nèi)容。

2、數(shù)據(jù)風(fēng)險(xiǎn)來源80%來自內(nèi)部人員，外部人員中90%的攻擊來源是黑客，外部人員中第三方合作伙伴也是最常見數(shù)據(jù)泄露角色，由于業(yè)務(wù)合作需要共享數(shù)據(jù)，而下游合作廠商的數(shù)據(jù)保護(hù)意識或數(shù)據(jù)保護(hù)能力存在偏差從而導(dǎo)致數(shù)據(jù)泄露，這也是近年來攻擊者更愿意從數(shù)據(jù)產(chǎn)業(yè)鏈的下游發(fā)起攻擊，從而竊取數(shù)據(jù)的原因。

內(nèi)部在職人員造成的數(shù)據(jù)泄露呈現(xiàn)高速增長趨勢，待離職員工和已離職員工造成的數(shù)據(jù)泄露大多都發(fā)生在求職階段。無論是新東家要求夾帶機(jī)密數(shù)據(jù)離職，還是員工自己主動留存竊取資料給自己增加談判籌碼，都會對原所在企業(yè)造成損失。另外近一兩年隨著互聯(lián)網(wǎng)信息互通共享，合作者或者競爭廠商未經(jīng)允許私自利用共享信息牟利的案例也呈增長趨勢。

企業(yè)應(yīng)在趨于完善的安全防護(hù)體系之上，強(qiáng)化內(nèi)部數(shù)據(jù)保護(hù)宣導(dǎo)，加強(qiáng)特權(quán)賬號管理、核心操作審計(jì)，提升內(nèi)部用戶行為分析、回溯能力。從流量、終端、應(yīng)用各個(gè)方面建立預(yù)防為主，監(jiān)控為輔的數(shù)據(jù)安全能力機(jī)制。

3、牟利永遠(yuǎn)是數(shù)據(jù)竊取的最強(qiáng)原動力，針對動機(jī)的發(fā)現(xiàn)和提前預(yù)判，可以通過員工網(wǎng)絡(luò)流量，上網(wǎng)行為、數(shù)據(jù)操作行為偏差值綜合判定，如員工近期大量瀏覽求職網(wǎng)站，可判斷其有離職傾向，從而就可以調(diào)整安全策略，對該員工的某些數(shù)據(jù)訪問操作采取以阻斷防護(hù)、監(jiān)控審計(jì)為主的數(shù)據(jù)防護(hù)策略。剩余兩成數(shù)據(jù)泄露案件大多是由員工誤操作引起的，且越是技術(shù)人員的誤操作所造成的影響和破壞越是嚴(yán)重。針對誤操作，應(yīng)盡可能在高權(quán)限用戶的關(guān)鍵操作環(huán)節(jié)，增加復(fù)核審批手段。

4、泄露渠道是數(shù)據(jù)監(jiān)控的重點(diǎn)環(huán)節(jié)，移動存儲介質(zhì)（U盤/移動硬盤/存儲卡）占據(jù)近半壁江山，也符合其拷貝量大、傳輸速度快的特點(diǎn)。其次即時(shí)通訊、網(wǎng)盤類工具、郵件也常用于數(shù)據(jù)外發(fā)或數(shù)據(jù)備份，拍照常見于不能直接獲取到此類數(shù)據(jù)，只具備查看權(quán)限的案例，例如拍取屏幕顯示高敏感信息等。數(shù)據(jù)安全不應(yīng)脫離于具體業(yè)務(wù)，需要與業(yè)務(wù)場景高度耦合。這些除了數(shù)據(jù)安全的基礎(chǔ)能力建設(shè)之外，有一批懂運(yùn)營會分析，服務(wù)意識強(qiáng)的安全人員，積極在企業(yè)內(nèi)部推動數(shù)據(jù)安全的各項(xiàng)舉措，從而構(gòu)建有效（真正產(chǎn)生價(jià)值）的數(shù)據(jù)安全體系。

企業(yè)安全建設(shè)現(xiàn)狀與需求分析

在當(dāng)下的共享經(jīng)濟(jì)，對信息數(shù)據(jù)也提出了共享的概念，保障數(shù)據(jù)安全當(dāng)成為技術(shù)發(fā)展的前提。除了要保證數(shù)據(jù)不外泄，更要保證信息不被入侵者篡改，不論哪一種風(fēng)險(xiǎn)都可能給用戶帶來風(fēng)險(xiǎn)和損失。數(shù)據(jù)安全是這一切的基礎(chǔ)。在數(shù)據(jù)的應(yīng)用過程中更要嚴(yán)格遵守?cái)?shù)據(jù)物理隔絕、訪問權(quán)限控制、應(yīng)用數(shù)據(jù)分層管理、知情授權(quán)等規(guī)范化路徑。

在當(dāng)下，企業(yè)網(wǎng)絡(luò)安全建設(shè)主要面臨如下八大問題：

1.企業(yè)信息系統(tǒng)互聯(lián)互通，面臨來自外部的威脅；

2.各企業(yè)具有大量客戶各類型信息漸漸得到灰色產(chǎn)業(yè)鏈的覬覦；

3.安全事件造成的損失以及信息系統(tǒng)恢復(fù)的成本激增；

4.缺乏安全技術(shù)人員以及安全管理制度；

5.面對外部網(wǎng)絡(luò)威脅的恐慌，導(dǎo)致了某些企業(yè)信息化發(fā)展的裹足不前；

6.企業(yè)對信息共享、互聯(lián)網(wǎng)化、云服務(wù)、AI等高新技術(shù)的追求延伸出新的信息安全風(fēng)險(xiǎn)點(diǎn)；

7.安全意識的淡薄以及管理制度的不完善，面臨著來自內(nèi)部的人為失誤或蓄意破壞、信息竊??；

8.僵木蠕等問題嚴(yán)峻，勒索病毒威脅嚴(yán)重。

對傳統(tǒng)企業(yè)和傳統(tǒng)型互聯(lián)網(wǎng)企業(yè)來說機(jī)構(gòu)安全建設(shè)存在一定的復(fù)雜性，信息系統(tǒng)的封閉性、應(yīng)用間交互性、數(shù)據(jù)的多樣性、導(dǎo)致IT資產(chǎn)混亂；其次，應(yīng)用架構(gòu)龐大、數(shù)據(jù)龐雜，相關(guān)人員無法系統(tǒng)的了解應(yīng)用的架構(gòu)、數(shù)據(jù)的類型、數(shù)據(jù)的級別和相對應(yīng)的策略，系統(tǒng)間交互沒有較好的權(quán)限控制和管理。

另一方面，人員安全意識較低、缺少安全隊(duì)伍，缺少行業(yè)規(guī)范，國家法律法規(guī)也相對薄弱，導(dǎo)致安全能力和系統(tǒng)應(yīng)用的能力不匹配。

另外企業(yè)安全建設(shè)較多偏離業(yè)務(wù)和實(shí)際場景，安全不應(yīng)脫離于具體業(yè)務(wù)，需要與業(yè)務(wù)場景高度耦合。這些除了安全的基礎(chǔ)能力建設(shè)之外，和業(yè)務(wù)強(qiáng)綁定，為業(yè)務(wù)提供數(shù)據(jù)輸入、功能處理才能實(shí)現(xiàn)更高的價(jià)值，有一批懂運(yùn)營會分析，服務(wù)意識強(qiáng)的安全人員，積極在企業(yè)內(nèi)部推動數(shù)據(jù)安全的各項(xiàng)舉措，從而構(gòu)建有效（真正產(chǎn)生價(jià)值）的安全體系。

責(zé)任編輯：gt