企業網是國家網信安全的重頭戲
責編:admin |2014-08-11 12:49:35隨著交通、供電、飲用水等基礎設施的控制系統都通過網絡相連,交通中斷可能不再是因為路斷橋塌,而是網絡攻擊引發的整個系統的癱瘓和秩序的混亂。人們在面對工業控制系統的網絡安全風險時變得十分脆弱,因為無論是發電還是保證列車的準點抵達,這些系統對日常生活至關重要。也正因此,政府內網、國防工業以外的企業的網絡安全備受矚目,并成為各國構建充滿活力和靈活性的安全網絡空間的重要部分。
數據泄露帶來嚴重商業損失
在過去的幾年里,企業已經經受了越來越多的網絡攻擊。從2013年5月~2014年5月,在美國證券交易委員會提交的年度報表里提到網絡安全問題的報告達到1174份。各公司還報告稱,它們所受攻擊的數量和技術含量都在不斷上升。菲亞特克萊斯勒的美國分支克萊斯勒在今年3月報告,其受到“復雜性和頻度不斷提高”的網絡攻擊的威脅。根據美國證券交易委員會的數據庫,對網絡攻擊的擔憂大幅上升的行業包括商業銀行、石油和天然氣產業。
企業已經成為工業間諜活動和知識產權盜竊的受害者,因數據泄露遭遇了嚴重的損失。2013年年末,美國第二大百貨零售集團塔吉特公司遭受了有史以來最大的一次數據泄露事件,數百萬的客戶支付信息和其他私人記錄丟失。據獨立調研機構美國波耐蒙研究所的報告,2013年數據泄露的平均成本上升至350萬美元。
另外,企業運營著一些重要的基礎設施,這也讓政府安全風險上升。關鍵基礎設施遭受攻擊,已成為我們所面臨的最嚴重的國家安全挑戰之一。一項由英國航空航天系統公司完成的研究顯示,網絡威脅的目標正從數據泄露轉向全球關鍵基礎設施。對于電力公司和公用事業機構來說,由國家發起的網絡攻擊帶來的威脅非常嚴重且在不斷演變。其他機構的報告也在不斷印證,由國家資助的黑客組織發起的網絡安全事件呈增長趨勢。歐洲網絡與信息安全局在2013年年底發布的最新威脅形勢分析報告中坦承,多個國家都已發展了能夠滲入政府及私營目標的能力,歐洲國家已經加入發展進攻性網絡攻擊能力的全球競賽。
企業缺乏針對性安全策略
面對日益嚴峻的網絡安全形勢,企業在有意識地加大網絡安全支出。在美國零售巨頭塔吉特等大型公司宣布其客戶信息被盜之后,美國、加拿大、英國以及澳大利亞近60%的頂級公司都增加了對網絡防御的支出,但企業及其員工的網絡安全意識與應對措施仍不足。
英國信息專員辦公室2014年發布的一份安全報告強調,數據泄露的首要原因是各組織機構疏于做好個人數據安全工作,這些行為導致了嚴重的安全漏洞問題。聯網及IT調研公司Forrester2013年10月發布的報告也指出,內部威脅正成為數據泄露的首要原因。調查顯示,在截至2013年10月的12個月里,內部人員方面的問題是數據泄露的頭號來源,約36%的泄露事件源于企業員工在使用數據方面的疏忽,而問題的關鍵在于對員工的培訓不足。美國波耐蒙研究所的研究也表明,企業缺乏有針對性的安全策略,且沒有合適的技術對重要的網絡安全威脅進行防御。
企業安全關乎國家網信安全
提高企業網絡安全意識,敦促其參與網絡安全項目。英國政府于2011年推出了網絡安全戰略,承諾投資6.5億英鎊用來增強英國的網絡防御,而提升企業的安全意識并使其采取最佳實踐一直是該安全戰略的重要部分。英國內閣辦公廳把開展公眾網絡安全意識運動列入2013年工作計劃,政府官員把企業和公眾網絡安全意識上的改變稱作“大目標”。英國政府可以利用國家網絡可靠性研究追蹤系統定期跟蹤公眾的網絡安全觀念及網絡行為。此外,英國政府還敦促企業參與網絡安全活動以提升網絡生存能力。2014年年初,英國政府推出了“精明上網”活動,為企業提供網絡安全方面的交互式指南、視頻和相關文章。
美國推出網絡安全保險等刺激措施。2014年2月美國正式推出一項可自愿加入的“網絡安全框架”項目,旨在加強電力、運輸和電信等所謂“關鍵基礎設施”部門的網絡安全。企業可在自愿基礎上使用該框架制定自己的綜合網絡安全方案。美國政府力邀發電廠、自來水公司以及交通運輸網絡加入國家網絡安全項目,系列優惠措施包括為參與該計劃的公司提供網絡安全保險等,相關公司一旦遭受網絡攻擊,政府會確保其獲得相應賠付補償。
政府與企業共享網絡威脅信息。英國情報機構政府通信總部2014年6月表示,政府對企業正遭到愈加復雜的攻擊表示擔憂,它將與企業共享機密的網絡威脅信息。信息共享的對象將從政府網絡的供應商開始,逐步向其他的國家關鍵基礎設施部門推進。
加拿大、日本等國也在網絡安全戰略中指出,政府和企業共同承擔網絡安全風險,加強與企業的網絡威脅信息共享。加拿大政府認為,網絡攻擊者進入政府網站盜取重要的工業信息會嚴重削弱加拿大工業的競爭力,進入企業網站獲得重要情報,也會對加拿大的國家安全造成威脅,因而雙方建立良好的合作關系有助于降低此類風險。加拿大公共部門與企業已建立了長期的合作,但還需進一步加強,要通過建立跨部門合作機制為公共部門和企業提供寬廣的合作平臺,對于潛在的和已顯現的威脅分享精確的實時信息、防護技術和其他有效做法。
開展網絡安全檢查和網絡攻擊壓力測試。這在金融部門中最為廣泛。2013年,韓國對金融部門的網絡安全系統進行了徹底檢查,保障這些部門在未來免受網絡攻擊的困擾,從而避免客戶敏感信息泄露。2014年2月,英國政府宣布計劃,將對關鍵基礎設施領域有關的公共行業部門和企業的防御能力進行壓力測試。這些測試與2013年舉行的、用于測試金融行業攻擊恢復能力的“醒鯊I”和“醒鯊II”行動類似。2013年7月,紐約舉行了金融業機構參與的“量子黎明2”演習,以測試銀行業如何應對協同爆發的計算機黑客攻擊。
加強國際社會網絡安全協作。云計算的興起以及大數據技術的發展能使人們隨時隨地存儲和訪問諸如知識產權信息等重要數據,但同時也意味著此類數據存在被攻擊的風險。保障數據安全需要國家間的協作。以英國為例,隨著越來越多的公司將業務外包給印度塔塔咨詢服務公司等IT服務公司,英國有相當數量的企業及個人數據存儲在印度的服務器中。英國與印度簽署了網絡安全協議,以此來保障這些走出國門的數據的安全。