【51CTO.com原创稿件】近几年,瑞卡连锁租车集团的系统经常受到网络攻击,虽然最终没有被不法分子得手,但是,攻击却时刻没有停止。
“系统上存在多多少少的漏洞,但漏洞发现的速度和契机却没有并非十分及时,每次事后才意识到。“该公司的CIO邓志豪说,他对此这种现状也十分无奈。
像瑞卡连锁租车集团一样遭受到网络攻击的企业其实不在少数,今年5月12日,WannaCry勒索病毒蠕虫爆发并迅速蔓延全球,致使我国医疗、教育、能源、金融等多个行业经济损失超过80亿美元。
2017年 6月1日,《中华人民共和国网络安全法》正式施行。对于企业而言,这部法律到底会给企业的网络安全建设带来怎样的影响?
对此,51CTO走进企业内部,与30多CIO进行交谈,共同探讨《网络安全法》实施后,企业应如何做好网络安全建设?
企业的网络安全建设情况各异
在采访中记者发现,不同企业的网络安全建设完全不同,部分企业的防护已经达到了完美的境界,有的则是在“裸奔”,但更多的是重点业务已经实现了全方位的防护,而其他环节稍弱。
青岛和川国际物流有限公司信息部陈冠宇表示,他们企业的网络安全建设比较完善,各业务均已实现全方位的防护。作为一家致力于海运出口货物的国际运输代理业务的公司,信息安全对于企业而言异常重要。
与青岛和川国际物流公司相比,前文提到的瑞卡集团的网络安全建设就稍微有些不足了。
“网络安全建设,我们遵从最高的可用原则。”邓志豪强调,除了基本的网络、设备和存储备份等基础管理以外,数据访问与存放分离,敏感数据加密,访问授权尽量细分和限时等做了安全的加强。不过还是有些环节有些薄弱,比如很难及时发现漏洞。
上述企业的网络安全建设相对完善,而下面的企业就显得有些滞后了。
“网络安全部署是相对滞后”大连市第三人民医院信息科科长张福伟在采访提到。医院内外网正在逐渐融合,已经采购网闸、防火墙、入侵防御系统、保垒机、WEB防火墙、准入管理系统等安全产品。但网络安全建设做的还是不够,仍需要继续加强。
江苏共创人造草坪有限公司的网络安全建设就更令人担忧了。“我们公司目前安全部署做得不好,只有一些基本配置,如入侵检测、防火墙、防病毒‘老三样’。”信息管理中心经理赵玉丹说。虽然“老三样”已立下了在防止网络攻击的历史上立下了赫赫战功,但它的防御能力已经很难应对时刻进化的病毒攻击。
企业网络安全建设的瓶颈
如何落实《网络安全法》要求,实现网络安全保护,是企业面临的一大难题。而难题背后,网络安全建设难以突破的瓶颈究竟是什么?
平安集团信息安全总监戎国强在一次采访中谈到,在云计算时代,企业的业务快速甚至是飞速增长,以前多少年才能达到的业务规模,现在可以用天来计算。在这样的发展“速度”下,企业的安全建设很有可能会出现“裂痕”或者说存在漏洞。
1.IT运维环境复杂。张福伟强调,他目前关注自动化运维管理和安全智能产品,希望这类服务能有效地解决医院IT运作环境复杂的问题;
2.安全产品各自为战。企业往往部署了多个安全产品,但这些产品各自为战,缺乏互操作性。教育部信息安全工程技术研究中心陈敏认为,实施统一的安全管理策略,是解决安全产品“单兵作战”的最佳途径。但这看似容易,实际操作起来却没有那么简单。
3.员工安全意识和执行规范亟需加强。“企业的整体安全水平只取决于最弱的一环,而不是最强的地方。”陈敏强调,在复杂的企业网络中,任何一个员工的疏漏、漏洞管理疏漏,都会给企业安全带来威胁;
4.安全产品以硬件为主,灵活度不够。达因海洋生物制药CIO于滨CIO出于对成本和灵活性的考虑,更愿意通过软件方式来解决企业的安全问题。他谈到,软件的安全效果并不会比硬件差,目前而言,软硬结合效果更好,但未来应该会更青睐软件,因为其性价比高。
四大举措教你如何避免《网络安全法》的“雷区”
调查突显出的这些问题反映出,企业已经具备了一定的网络安全意识,能够主动去了解法律避免雷区,并且企业业务与新兴技术如云计算、大数据集合紧密,因此安全需求存在与时俱进,安全防护手段,安全覆盖范围也俞加广泛多样。那么,结合《网络安全法》,有哪些IT举措能够帮助企业提高网络的安全性?
1.对IT合规性要求更高,安全审计需要加强。“运维管理、数据库审计、安全日志收集等方面需加强。”张福伟说,首先制定相应管理制度,其次借助技术,比如增加保垒机进行运维监控以及增加数据库审计服务器、日志服务器等安全设备和系统等等;
2.应加大对企业数据泄露和用户信息防密方面的投入。邓志豪目前十分关注信息加密、解密这方面。未来企业会把不完全加密的或者是加密力度不够的数据进行安全加强;
3.延长网络日志的保存时间,加强对数据的备份。某银行软件中心一信息安全系统工程师强调,延长网络日志保存时间一方面能为侵犯我司利益的相关犯罪行为提供相关证据;另一方面也为银行的网络正常运行故障排查提供日志查询。加强对重要数据备份则为我司受到网络攻击后提供数据恢复,保证银行业务正常运行;
4.需要建立网络安全突发状况的紧急机制,做好预案。京港地铁信息技术主管汪洋认为,不能忽视制定好突发状况的应急预案,否则,如果出现突发状况,后果将不堪设想;
结束语
51CTO团队从《网络安全法》正式实施后,就马不停蹄的进入了调研阶段。
本次的调研样本是来自不同行业的CIO,他们是基本了解《网络安全法》相关情况的。同时他们认为,《网络安全法》的实施会给企业带来直接或者间接的影响。在这次的调研中,从数据中能够看出目前CIO们所关注的,所疑惑不解的以及未来的一些趋势。
此次的调研报告仅可在51CTO技术栈微信公众号下载阅读,请有兴趣的IT管理人员、企业以及其他有兴趣的人员扫描下面的二维码关注,回复关键词“网络安全法”即可获得本次的调研报告。
51CTO技术栈微信
【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】