【51CTO.com原創(chuàng)稿件】近幾年，瑞卡連鎖租車集團(tuán)的系統(tǒng)經(jīng)常受到網(wǎng)絡(luò)攻擊，雖然最終沒有被不法分子得手，但是，攻擊卻時刻沒有停止。

??

[[195602]]

   “系統(tǒng)上存在多多少少的漏洞，但漏洞發(fā)現(xiàn)的速度和契機(jī)卻沒有并非十分及時，每次事后才意識到?！霸摴镜腃IO鄧志豪說，他對此這種現(xiàn)狀也十分無奈。

像瑞卡連鎖租車集團(tuán)一樣遭受到網(wǎng)絡(luò)攻擊的企業(yè)其實不在少數(shù)，今年5月12日，WannaCry勒索病毒蠕蟲爆發(fā)并迅速蔓延全球，致使我國醫(yī)療、教育、能源、金融等多個行業(yè)經(jīng)濟(jì)損失超過80億美元。

2017年 6月1日，《中華人民共和國網(wǎng)絡(luò)安全法》正式施行。對于企業(yè)而言，這部法律到底會給企業(yè)的網(wǎng)絡(luò)安全建設(shè)帶來怎樣的影響？

對此，51CTO走進(jìn)企業(yè)內(nèi)部，與30多CIO進(jìn)行交談，共同探討《網(wǎng)絡(luò)安全法》實施后，企業(yè)應(yīng)如何做好網(wǎng)絡(luò)安全建設(shè)？

企業(yè)的網(wǎng)絡(luò)安全建設(shè)情況各異

??

在采訪中記者發(fā)現(xiàn)，不同企業(yè)的網(wǎng)絡(luò)安全建設(shè)完全不同，部分企業(yè)的防護(hù)已經(jīng)達(dá)到了完美的境界，有的則是在“裸奔”，但更多的是重點業(yè)務(wù)已經(jīng)實現(xiàn)了全方位的防護(hù)，而其他環(huán)節(jié)稍弱。

       青島和川國際物流有限公司信息部陳冠宇表示，他們企業(yè)的網(wǎng)絡(luò)安全建設(shè)比較完善，各業(yè)務(wù)均已實現(xiàn)全方位的防護(hù)。作為一家致力于海運出口貨物的國際運輸代理業(yè)務(wù)的公司，信息安全對于企業(yè)而言異常重要。

 與青島和川國際物流公司相比，前文提到的瑞卡集團(tuán)的網(wǎng)絡(luò)安全建設(shè)就稍微有些不足了。

“網(wǎng)絡(luò)安全建設(shè)，我們遵從最高的可用原則?！编囍竞缽娬{(diào)，除了基本的網(wǎng)絡(luò)、設(shè)備和存儲備份等基礎(chǔ)管理以外，數(shù)據(jù)訪問與存放分離，敏感數(shù)據(jù)加密，訪問授權(quán)盡量細(xì)分和限時等做了安全的加強。不過還是有些環(huán)節(jié)有些薄弱，比如很難及時發(fā)現(xiàn)漏洞。

上述企業(yè)的網(wǎng)絡(luò)安全建設(shè)相對完善，而下面的企業(yè)就顯得有些滯后了。

“網(wǎng)絡(luò)安全部署是相對滯后”大連市第三人民醫(yī)院信息科科長張福偉在采訪提到。醫(yī)院內(nèi)外網(wǎng)正在逐漸融合，已經(jīng)采購網(wǎng)閘、防火墻、入侵防御系統(tǒng)、保壘機(jī)、WEB防火墻、準(zhǔn)入管理系統(tǒng)等安全產(chǎn)品。但網(wǎng)絡(luò)安全建設(shè)做的還是不夠，仍需要繼續(xù)加強。

 江蘇共創(chuàng)人造草坪有限公司的網(wǎng)絡(luò)安全建設(shè)就更令人擔(dān)憂了?！拔覀児灸壳鞍踩渴鹱龅貌缓?，只有一些基本配置，如入侵檢測、防火墻、防病毒‘老三樣’?！?/span>信息管理中心經(jīng)理趙玉丹說。雖然“老三樣”已立下了在防止網(wǎng)絡(luò)攻擊的歷史上立下了赫赫戰(zhàn)功，但它的防御能力已經(jīng)很難應(yīng)對時刻進(jìn)化的病毒攻擊。

企業(yè)網(wǎng)絡(luò)安全建設(shè)的瓶頸?

??

[[195603]]

如何落實《網(wǎng)絡(luò)安全法》要求，實現(xiàn)網(wǎng)絡(luò)安全保護(hù)，是企業(yè)面臨的一大難題。而難題背后，網(wǎng)絡(luò)安全建設(shè)難以突破的瓶頸究竟是什么？

平安集團(tuán)信息安全總監(jiān)戎國強在一次采訪中談到，在云計算時代，企業(yè)的業(yè)務(wù)快速甚至是飛速增長，以前多少年才能達(dá)到的業(yè)務(wù)規(guī)模，現(xiàn)在可以用天來計算。在這樣的發(fā)展“速度”下，企業(yè)的安全建設(shè)很有可能會出現(xiàn)“裂痕”或者說存在漏洞。

1.IT運維環(huán)境復(fù)雜。張福偉強調(diào)，他目前關(guān)注自動化運維管理和安全智能產(chǎn)品，希望這類服務(wù)能有效地解決醫(yī)院IT運作環(huán)境復(fù)雜的問題；

2.安全產(chǎn)品各自為戰(zhàn)。企業(yè)往往部署了多個安全產(chǎn)品，但這些產(chǎn)品各自為戰(zhàn)，缺乏互操作性。教育部信息安全工程技術(shù)研究中心陳敏認(rèn)為，實施統(tǒng)一的安全管理策略，是解決安全產(chǎn)品“單兵作戰(zhàn)”的最佳途徑。但這看似容易，實際操作起來卻沒有那么簡單。

3.員工安全意識和執(zhí)行規(guī)范亟需加強。“企業(yè)的整體安全水平只取決于最弱的一環(huán)，而不是最強的地方?！标惷魪娬{(diào)，在復(fù)雜的企業(yè)網(wǎng)絡(luò)中，任何一個員工的疏漏、漏洞管理疏漏，都會給企業(yè)安全帶來威脅；

4.安全產(chǎn)品以硬件為主，靈活度不夠。達(dá)因海洋生物制藥CIO于濱CIO出于對成本和靈活性的考慮，更愿意通過軟件方式來解決企業(yè)的安全問題。他談到，軟件的安全效果并不會比硬件差，目前而言，軟硬結(jié)合效果更好，但未來應(yīng)該會更青睞軟件，因為其性價比高。

四大舉措教你如何避免《網(wǎng)絡(luò)安全法》的“雷區(qū)”?

??

[[195604]]

調(diào)查突顯出的這些問題反映出，企業(yè)已經(jīng)具備了一定的網(wǎng)絡(luò)安全意識，能夠主動去了解法律避免雷區(qū)，并且企業(yè)業(yè)務(wù)與新興技術(shù)如云計算、大數(shù)據(jù)集合緊密，因此安全需求存在與時俱進(jìn)，安全防護(hù)手段，安全覆蓋范圍也俞加廣泛多樣。那么，結(jié)合《網(wǎng)絡(luò)安全法》，有哪些IT舉措能夠幫助企業(yè)提高網(wǎng)絡(luò)的安全性？

1.對IT合規(guī)性要求更高，安全審計需要加強。“運維管理、數(shù)據(jù)庫審計、安全日志收集等方面需加強?！睆埜フf，首先制定相應(yīng)管理制度，其次借助技術(shù)，比如增加保壘機(jī)進(jìn)行運維監(jiān)控以及增加數(shù)據(jù)庫審計服務(wù)器、日志服務(wù)器等安全設(shè)備和系統(tǒng)等等；

2.應(yīng)加大對企業(yè)數(shù)據(jù)泄露和用戶信息防密方面的投入。鄧志豪目前十分關(guān)注信息加密、解密這方面。未來企業(yè)會把不完全加密的或者是加密力度不夠的數(shù)據(jù)進(jìn)行安全加強；

3.延長網(wǎng)絡(luò)日志的保存時間，加強對數(shù)據(jù)的備份。某銀行軟件中心一信息安全系統(tǒng)工程師強調(diào)，延長網(wǎng)絡(luò)日志保存時間一方面能為侵犯我司利益的相關(guān)犯罪行為提供相關(guān)證據(jù)；另一方面也為銀行的網(wǎng)絡(luò)正常運行故障排查提供日志查詢。加強對重要數(shù)據(jù)備份則為我司受到網(wǎng)絡(luò)攻擊后提供數(shù)據(jù)恢復(fù)，保證銀行業(yè)務(wù)正常運行；

4.需要建立網(wǎng)絡(luò)安全突發(fā)狀況的緊急機(jī)制，做好預(yù)案。京港地鐵信息技術(shù)主管汪洋認(rèn)為，不能忽視制定好突發(fā)狀況的應(yīng)急預(yù)案，否則，如果出現(xiàn)突發(fā)狀況，后果將不堪設(shè)想；

結(jié)束語

51CTO團(tuán)隊從《網(wǎng)絡(luò)安全法》正式實施后，就馬不停蹄的進(jìn)入了調(diào)研階段。

本次的調(diào)研樣本是來自不同行業(yè)的CIO，他們是基本了解《網(wǎng)絡(luò)安全法》相關(guān)情況的。同時他們認(rèn)為，《網(wǎng)絡(luò)安全法》的實施會給企業(yè)帶來直接或者間接的影響。在這次的調(diào)研中，從數(shù)據(jù)中能夠看出目前CIO們所關(guān)注的，所疑惑不解的以及未來的一些趨勢。

此次的調(diào)研報告僅可在51CTO技術(shù)棧微信公眾號下載閱讀，請有興趣的IT管理人員、企業(yè)以及其他有興趣的人員掃描下面的二維碼關(guān)注，回復(fù)關(guān)鍵詞“網(wǎng)絡(luò)安全法”即可獲得本次的調(diào)研報告。

??

51CTO技術(shù)棧微信

【51CTO原創(chuàng)稿件，合作站點轉(zhuǎn)載請注明原文作者和出處為51CTO.com】