30多位CIO的总结:勒索病毒肆虐全球后,企业网络安全建设如何做?
近几年,瑞卡连锁租车集团的系统经常受到网络攻击,虽然最终没有被不法分子得手,但是,攻击却时刻没有停止。
“系统上存在多多少少的漏洞,但漏洞发现的速度和契机却并不十分及时,每次事后才意识到。“瑞卡 CIO 邓志豪说,他对此种现状也十分无奈。
像瑞卡连锁租车集团一样遭受到网络攻击的企业其实不在少数,今年 5 月 12 日,WannaCry 勒索病毒蠕虫爆发并迅速蔓延全球,致使我国医疗、教育、能源、金融等多个行业经济损失超过 80 亿美元。
2017 年 6 月 1 日,《中华人民共和国网络安全法》正式施行。对于企业而言,这部法律到底会给企业的网络安全建设带来怎样的影响?
为此,51CTO 走进企业内部,与 30 多位 CIO 进行交谈,共同探讨《网络安安全法》实施后,企业应该如何做好网络安全建设?
企业的网络安全建设情况各异
在采访中记者发现,不同企业的网络安全建设完全不同,部分企业的防护已经达到了完美的境界,有的则是在“裸奔”,但更多的是重点业务已经实现了全方位的防护,而其他环节稍弱。
青岛和川国际物流有限公司信息部陈冠宇表示,他们企业的网络安全建设比较完善,各业务均已实现全方位的防护。作为一家致力于海运出口货物的国际运输代理业务的公司,信息安全对于企业而言异常重要。
与青岛和川国际物流公司相比,前文提到的瑞卡集团的网络安全建设就稍微有些不足了。
“网络安全建设,我们遵从最高的可用原则。”瑞卡 CIO 邓志豪强调,除了基本的网络、设备和存储备份等基础管理以外,数据访问与存放分离,敏感数据加密,访问授权尽量细分和限时等做了安全的加强。不过还是有些环节有些薄弱,比如很难及时发现漏洞。
上述企业的网络安全建设相对完善,而下面的企业就显得有些滞后了。
“网络安全部署是相对滞后”,大连市第三人民医院信息科科长张福伟在采访提到。医院内外网正在逐渐融合,已经采购网闸、防火墙、入侵防御系统、保垒机、Web防火墙、准入管理系统等安全产品。但网络安全建设做的还是不够,仍需要继续加强。
江苏共创人造草坪有限公司的网络安全建设就更令人担忧了。“我们公司目前安全部署做得不好,只有一些基本配置,如入侵检测、防火墙、防病毒‘老三样’。”信息管理中心经理赵玉丹说。
虽然“老三样”在防止网络攻击的历史上立下了赫赫战功,但它的防御能力已经很难应对时刻进化的病毒攻击。
企业网络安全建设的瓶颈
如何落实《网络安全法》要求,实现网络安全保护,是企业面临的一大难题。而难题背后,网络安全建设难以突破的瓶颈究竟是什么?
平安集团信息安全总监戎国强在采访中谈到,在云计算时代,企业的业务快速甚至是飞速增长,以前多少年才能达到的业务规模,现在可以用天来计算。
在这样的发展“速度”下,企业的安全建设很有可能会出现“裂痕”或者说存在漏洞。具体表现在如下四个方面:
IT运维环境复杂。来自人民医院的张福伟强调,他目前关注自动化运维管理和安全智能产品,希望这类服务能有效地解决医院IT运作环境复杂的问题;
安全产品各自为战。企业往往部署了多个安全产品,但这些产品各自为战,缺乏互操作性。教育部信息安全工程技术研究中心陈敏认为,实施统一的安全管理策略,是解决安全产品“单兵作战”的最佳途径。
员工安全意识和执行规范亟需加强。“企业的整体安全水平只取决于最弱的一环,而不是最强的地方。”教育部陈敏强调,在复杂的企业网络中,任何一个员工的疏漏、对漏洞管理的疏漏,都会给企业安全带来威胁。
安全产品以硬件为主,灵活度不够。达因海洋生物制药 CIO 于滨出于对成本和灵活性的考虑,更愿意通过软件方式来解决企业的安全问题。
他谈到,软件的安全效果并不会比硬件差,目前而言,软硬结合效果更好,但未来应该会更青睐软件,因为其性价比高。
四大举措教你如何避免《网络安全法》的“雷区”
调查突显出的这些问题反映出,企业已经具备了一定的网络安全意识,能够主动去了解法律、避免雷区,并且企业业务与新兴技术如云计算、大数据结合紧密,因此安全需求正在与时俱进,安全防护手段,安全覆盖范围也更加广泛多样。那么,结合《网络安全法》,有哪些IT举措能够帮助企业提高网络的安全性?
对IT合规性要求更高,安全审计需要加强。“运维管理、数据库审计、安全日志收集等方面需加强。”人民医院张福伟说,首先制定相应管理制度,其次借助技术,比如增加保垒机进行运维监控以及增加数据库审计服务器、日志服务器等安全设备和系统等等。
应加大对企业数据泄露和用户信息保密方面的投入。瑞卡 CIO 邓志豪目前十分关注信息加密、解密这两方面,他认为未来企业会对不完全加密或者是加密力度不够的数据进行安全加强。
延长网络日志的保存时间,加强对数据的备份。某银行软件中心信息安全系统工程师强调,延长网络日志保存时间一方面能为侵犯公司利益的相关犯罪行为提供相关证据。
另一方面也为银行的网络正常运行的故障排查提供日志查询。加强对重要数据备份则为公司受到网络攻击后提供数据恢复,保证银行业务正常运行。
需要建立网络安全突发状况的紧急机制,做好预案。京港地铁信息技术主管汪洋认为,不能忽视制定应对突发状况的应急预案,否则,如果出现突发状况,后果将不堪设想。
结束语
51CTO 团队从《网络安全法》正式实施后,就马不停蹄的进入了调研阶段。
本次的调研样本来自不同行业的 CIO,他们基本了解《网络安全法》的相关情况。同时,他们认为《网络安全法》的实施会给企业带来直接或者间接的影响。
通过这次的调研报告,你可以从数据中看出 CIO 们所关注的热点,所疑惑不解的问题以及未来的一些发展趋势。
回复关键词“网络安全法”,即可下载阅读调研报告
精彩文章推荐: