2015年“互联网+”战略计划的提出,加速了国内企业与互联网的融合,同时也使更多的企业暴露在网络黑客的视野中。
【51CTO记者李玲玲 北京报道】对企业而言,当业务与网络结合成为常态时,就不可避免地陷入了高风险。
其危害性从近两年频繁爆出的企业敏感信息泄露事件中不难看出。
那么,这些高风险主要来自哪里?乌云高级安全顾问程浩翔认为,当前企业面临的风险主要分为几大块,它们分别是漏洞风险、内容风险、数据风险、资产风险以及更多的高危应用风险。
企业安全风险为何在近年呈现明显的上升趋势?最直接的原因就是企业业务与网络的融合正在变得更为紧密。
而目前过半数的网站因为缺乏统一的监管使之没有经过严格的安全检测,并且大多数网站在数据保护和信息加密方面的能力是极为薄弱的。特别是云计算正在演变成为企业信息化发展的一条必然之路时,更是将企业的信息资产置于全网渗透、边界消融的状态之下。而一旦企业完全处于云计算及海量数据的全网运营模式下,对IT资源的不可控,将无形中增大企业对信息资产的安全管理难度。
云计算应用和多数据出口的隐患
事实上,尽管很多企业业务尚未云化,或着只是部分云化,但实际业务已经与网络密不可分。因此,在这种网络时代,云不云化,企业都不能心存侥幸。
Vormetric在其2015年《内部威胁报告》中,通过对世界多个国家的818位IT决策者的调查统计结果显示,其中美国调查受访者中,93%的人认为,他们所在的企业比较容易受到内部威胁的影响;46%的人认为,云环境丢失企业内部敏感信息的风险***。
首发集团信息化办公室主任兼总工程师徐志斌曾在近期召开的QingCloud大会上表明,目前国家相关云平台的等保规范尚未出台。所以在考虑云化的信息安全方面,他们仍采用的是传统的等级保护要求来部署边界防护的相关安全设备,而应用安全也依旧采取的是传统方式进行身份认证设计和加固。相信像首发集团这样采用传统安全防护措施应对云化的企业不在少数。
云计算给企业带来IT资源配置的便捷,但也将自己的IT资产完全交付他人,这种不可控本身就增大了安全管理和应急的风险。
但是,我们都知道,云计算重塑了整个社会信息生产和交流的方式,它从根本上改变了传统IT的资源调配模式。当我们过去一直沿用的基础架构、应用和服务模式都发生彻底改变的时候,谁都难以预计传统安全防护体系究竟能够在全新的模式下发生多大的作用。这种未知就将产生风险。
阿里云资深总监吴翰清此前曾在WOT企业安全技术峰会上指出,传统检测方法已经跟不上云计算时代的威胁事件频率和规模。
那么,出于安全的考虑,多数企业会在未来选择混合云的业务模式。而混合云就一定是安全的***模式吗?对此,吴翰清曾表示,混合云部署下的一个特点是去中心化,企业部分资产甚至全部离开本地移到云端,甚至不只一个云端,这就导致了跨云跨地域的安全管理挑战。当企业面临部分业务在云上,部分业务在自建的IDC机房的这种混合云场景时,是不能够把安全割裂开来看的,一旦安全变成两套或多套体系去保护,采用不同标准,其实就相当于破坏了整个安全的完整性。
“安全是永恒的课题。”加强网络时代信息安全体系建设也是企业决策者们一再强调和关注的重要议题。从安全管理机制的建设、到设备、网络、系统、人员的安全意识教育,步步设防,可总是防不胜防。
“现在从个人到企业,就算内外网隔离,可一旦到了公网,包括无线网络在内,数据出口增多,很难说清数据到底怎么出去的。”一位医疗企业用户谈到信息安全,表示了他的担忧,“如果不是***的防范,就有风险。”
安全防护,先从内部对资产有整体认识
其实,无论何种原因的风险,都与企业现有的信息资产密不可分。而海量数据的产生,伴随着网络的融合,使企业在对信息资产的管理,特别是数据资产的安全管理增加了难度,随之产生的管理成本也难以预计。这是企业试图利用云计算更加合理配置IT资源的同时,必然会增加风险管控带来的隐形成本。
面对云化这条必经之路,究竟从何处入手,构建合理可控的安全管理机制?程浩翔认为,现在来看,特别是基于云的安全,更多是先对自己企业内部拥有的资产要有一个比较宏观的、比较清晰的认识,知道哪些资产是可能存在高危风险隐患的,一旦出现问题,正常情况下也是先从内部资产做个入手点。
在与多名行业企业用户交流中,记者发现企业在信息化建设中将安全作为首要考虑的因素已是普遍的共识。但是,企业在信息化建设中对安全的管理仍然暴露出几个显著的问题。
一个是在企业内部安全管理机制中基本缺乏专人专职去做安全管控的事情。其弊端就是企业在执行安全策略时,缺乏宏观、统一、有效的监督,一旦遇到安全问题,在庞杂的IT资源和人员面前,无形中会减缓追溯和应急响应时间,同时也因职责不明晰而使企业的安全防护变得被动。
再就是企业内部因海量数据资产的叠加,普遍对信息资产缺乏清晰系统的梳理和识别,基本是“只知大概,而不知其所以然”的状态。什么资产是短时有价值的、什么样的资产对企业的长期战略发展是有益的、什么资产可挖掘、什么资产的价值已经过时,什么资产在一段时间之后可丢弃,什么样的资产是完整的,什么样的资产是缺失的,所有信息资产是否是可控的、可追溯,甚至是可视化的等等。这些问题都暴露出企业对自身信息资产缺乏系统的认识。认识不清自然不可避免会带来维护和管理上的难题。
面对日益严峻的信息资产安全,特别是数据资产的安全挑战,企业该从何处着手进行防范?埃森哲曾指出,企业应当在数据安全保护成本高涨之前,尽快重新从内部审视数据资产的安全和合规框架,并制定具体的改进措施,譬如建立企业统一的数据安全标准。
诚然,构建企业整体、长效的信息资产安全防护体系非一日之功。但是,在当下面对企业应用上云的迫切需求,***从内部梳理信息资产,形成宏观、系统的有效识别和可追溯机制,并建立相应统一的数据标准,做到主动防护也是企业信息化建设中做到安全可控所不可缺少的关键一环。(完)
