5月26日,2017中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會在貴陽開幕,360威脅情報(bào)中心發(fā)布《“一帶一路”企業(yè)安全研究報(bào)告》(以下簡稱“報(bào)告”),這是首份針對參與“一帶一路”建設(shè)央企的網(wǎng)絡(luò)安全與信息化建設(shè)狀況的專題報(bào)告。報(bào)告詳述了央企在“一帶一路”建設(shè)中面臨的網(wǎng)絡(luò)安全挑戰(zhàn),并呼吁國家有關(guān)部門出臺政策鼓勵(lì)網(wǎng)絡(luò)安全企業(yè)隨“一帶一路”走出去為央企保駕護(hù)航,實(shí)現(xiàn)發(fā)展與安全同步推進(jìn),保衛(wèi)好這條21世紀(jì)的數(shù)字絲綢之路。
企業(yè)普遍被信息基礎(chǔ)設(shè)施與數(shù)據(jù)傳輸困擾
報(bào)告顯示,根據(jù)調(diào)研結(jié)果,走出去的央企普遍認(rèn)為,受限于當(dāng)?shù)氐慕?jīng)濟(jì)發(fā)展?fàn)顩r、信息基礎(chǔ)設(shè)施建設(shè)水平,以及央企自身業(yè)務(wù)特點(diǎn),在境外通訊、境外項(xiàng)目管理、遠(yuǎn)程數(shù)據(jù)傳輸、IT系統(tǒng)“云化”等重要的常用業(yè)務(wù)上方面的安全需求非常迫切,否則將給經(jīng)營業(yè)務(wù)帶來較大制約。
以電子郵件為例,這是國外使用的較多的通訊工具,是央企和境外客戶交流的主要途徑。但很多企業(yè)的郵件出現(xiàn)過丟失問題,給溝通雙方都造成困擾,甚至有央企被迫在海外建中轉(zhuǎn)服務(wù)器,但問題依然難以解決。
如何保障數(shù)據(jù)的安全加密、存儲和傳輸,是很多在沿線國家開展業(yè)務(wù)的央企面臨的突出問題,很多涉及商業(yè)機(jī)密的數(shù)據(jù),苦于找不到安全、適合的傳輸方案,甚至出現(xiàn)有企業(yè)被迫采用“密碼本+功能手機(jī)發(fā)短信”的方式傳輸重要數(shù)據(jù)。尤其是云數(shù)據(jù)安全方面,很多央企都擔(dān)憂云端的數(shù)據(jù)可能會遭到竊取。
隨著一帶一路的深耕,我國央企在當(dāng)?shù)氐囊恍┕こ探ㄔO(shè)、業(yè)務(wù)運(yùn)營過程中,逐步在增加IT投入與信息化管理手段,使得越來越多的信息系統(tǒng)和數(shù)據(jù)暴露在開放的互聯(lián)網(wǎng)上。隨著暴露面不斷擴(kuò)大,原有的網(wǎng)絡(luò)安全防范措施也將受到新的挑戰(zhàn)。
數(shù)家央企都把APT列為最需要關(guān)注的威脅之一
根據(jù)調(diào)查研究,木馬病毒、釣魚網(wǎng)站、信息泄露以及APT攻擊等網(wǎng)絡(luò)中常有的威脅方式均在參與“一帶一路”建設(shè)的央企中出現(xiàn)。
一帶一路項(xiàng)目中,包含很多涉及國與國之間的能源、交通、水利、民航等領(lǐng)域的重大合作,這些合作與國家的政治、經(jīng)濟(jì)、外交政策有很大相關(guān)性,因而包含諸多敏感的機(jī)密信息。
作為“一帶一路”戰(zhàn)略先行者的央企,其網(wǎng)絡(luò)信息系統(tǒng)中既有商業(yè)秘密,同時(shí)還可能涉及到國家機(jī)密,例如某些邊境上的港口、碼頭、水利工程建設(shè)項(xiàng)目,包含的部分地理位置數(shù)據(jù),還有一些海洋勘探數(shù)據(jù)等,就屬于國家機(jī)密數(shù)據(jù)。一直以來,這些機(jī)密都是境外APT組織攻擊的主要目標(biāo)。
根據(jù)國內(nèi)多家安全廠商對APT的持續(xù)跟蹤研究,國際上的APT組織對我國的攻擊活動一直比較活躍,僅2016年就曝出36份針對中國的APT事件相關(guān)報(bào)告。
處于“一帶一路”戰(zhàn)略推進(jìn)一線的央企極可能成為境外APT組織首當(dāng)其沖的目標(biāo)。報(bào)告指出,根據(jù)本次調(diào)研,以及結(jié)合2015年、2016年以來國內(nèi)主流安全廠商發(fā)布的APT專題報(bào)告,目前能源、基建、交通等領(lǐng)域的央企,在東南亞、中東地區(qū)受到APT攻擊的威脅最大。在360威脅情報(bào)中心分發(fā)給央企的問卷調(diào)查中,數(shù)家央企幾乎都把APT列為最需要關(guān)注的威脅之一。
在被調(diào)研的14家央企中,某大型企業(yè)員工就曾遭釣魚網(wǎng)站的攻擊。在該企業(yè)的日志中,曾短時(shí)間內(nèi)出現(xiàn)大量企業(yè)員工賬號境外登錄失敗記錄。這些辦公帳號的異常登陸行為均來自國外,犯罪分子利用搭建的假冒網(wǎng)站成功套取了多個(gè)員工的賬號密碼。
網(wǎng)絡(luò)安全應(yīng)納入整體規(guī)劃與發(fā)展同步推進(jìn)
在大數(shù)據(jù)和云計(jì)算環(huán)境下,網(wǎng)絡(luò)空間安全面臨更加復(fù)雜和嚴(yán)峻的形勢,離開安全談價(jià)值,一切都是空談。因此,“一帶一路”沿線各國需要加強(qiáng)合作,處理好跨境數(shù)據(jù)流動,網(wǎng)絡(luò)空間治理等問題,才能推動共贏發(fā)展,連接起21世紀(jì)的數(shù)字絲綢之路。
境外項(xiàng)目和業(yè)務(wù)的信息化建設(shè)對這些參與“一帶一路”建設(shè)的央企來說,一方面是提升海外項(xiàng)目整體運(yùn)營效率、加強(qiáng)企業(yè)內(nèi)部精細(xì)化管理的內(nèi)在要求,一方面也是保護(hù)重要數(shù)據(jù)安全的剛性需求。
報(bào)告呼吁,我國“走出去”的央企應(yīng)該加強(qiáng)統(tǒng)籌,未雨綢繆,將網(wǎng)絡(luò)安全建設(shè)納入到企業(yè)“一帶一路”整體規(guī)劃中,實(shí)現(xiàn)發(fā)展與安全同步推進(jìn),做好心理、策略和技術(shù)人員三大準(zhǔn)備,對網(wǎng)絡(luò)攻擊、信息泄密等風(fēng)險(xiǎn)高度重視,不能懈怠;要制定針對境外業(yè)務(wù)場景、境外業(yè)務(wù)特點(diǎn)的安全策略,例如建立相關(guān)的安全規(guī)范、機(jī)制、標(biāo)準(zhǔn),做好整體安全態(tài)勢監(jiān)控等,最大程度減少安全盲區(qū),降低內(nèi)外部安全風(fēng)險(xiǎn);并建議國家相關(guān)主管和監(jiān)督部門,出臺政策鼓勵(lì)網(wǎng)絡(luò)安全企業(yè)隨“一帶一路”走出去為央企保駕護(hù)航,將積極性較高的央企以及有意愿、有實(shí)力的安全廠商組織起來,共同參與建立境外的安全信息共享機(jī)制。
還應(yīng)加大網(wǎng)絡(luò)安全人才培養(yǎng)扶持,逐步建立完善由央企、安全公司、科研院校各方力量共同參與的人才培養(yǎng)體系,為“走出去”的央企提供充足的實(shí)用型技術(shù)人才,為我國央企乃至更多企業(yè)“走出去”,打下長遠(yuǎn)基礎(chǔ)。
申請創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!