數據信息時代網絡安全淺析

◆張德順 朱麗娜 孫 維

（中國石油石油化工研究院大慶化工研究中心 黑龍江 163710）

0 引言

網絡安全問題----保護有價值的知識產權和數字商業信息免遭盜竊和濫用是一個日趨嚴峻的管理問題。網絡安全已經成為國內經濟發展和安全的最嚴峻挑戰之一。數據信息是企業的商業資產，與其它資產一樣，應受到保護和重視。數據信息安全作用是保護信息不受大范圍威脅所干擾，促進企業健康發展，規避商業損失。因此，企業樹立“網絡服務即是安全，網絡安全即是資產”安全發展理念，對于企業的健康發展格外重要。

1 為什么企業需要網絡安全

1.1 網絡安全重要性

網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭到破壞、更改或泄露。狹義的網絡安全僅指傳統網絡安全，而廣義的網絡安全則包括了“云安全”、“大數據”在內的網絡數字信息安全保障。無論是傳統的終端安全，還是廣義的網絡安全，需要保護信息的三個特性，即數據信息的機密性、完整性與可用性。

（1）商業價值不斷向網絡轉移，數據信息已經變成商業資產

隨著云計算、大數據從概念推廣萌芽期轉變為行業發展興盛期，大數據、云計算技術帶動了信息系統軟件與硬件結構的全新變革，市場規模快速擴張，網絡安全的范圍逐漸擴大，數據信息安全已成為廣義網絡安全的重要組成部分，一旦泄露將造成嚴重后果。數據信息是企業的重要資產和競爭力，維護信息的保密性、完整性和可用性對企業保持核心競爭力、現金流、利潤、合法性及商業形象至關重要。據IDC預測，至2020年全球所產生的數據量將達到近四萬艾字節（1EB=1024*1024TB)。這些數據中所蘊含的企業數據信息數量龐大，一旦泄露將造成不可估計的損失。目前我國網絡安全形勢較為嚴峻，亟需加強網絡安全新理念，積極應對網絡安全發展的新變化。

（2）企業網絡正比過去任何時刻更加開放

企業員工現在習慣通過移動端訪問企業網絡，而移動端設備也同樣應用與自身生活的移動網絡。移動端設備快速普及，也構成了新型網絡安全新威脅，成為惡意入侵企業網絡最薄弱端口。

1.2 網絡犯罪危害企業發展

2015年，網絡安全事件造成全球經濟損失約3150億美元，其中包括中國在內的亞太地區經濟損失為810億美元，占比超過25%。目前的國內網絡安全形勢較為嚴峻，市場亟需優秀的網絡安全產品以保護企業的信息安全。盡管企業不斷完善網絡安全保障措施，提升網絡安全防護水平，但基礎網絡和關鍵基礎設施仍面臨較大安全風險，拒絕服務攻擊、網絡安全漏洞、網頁仿冒與篡改等網絡安全事件時有發生。

隨著企業數據資源競爭博弈激烈，數據跨界、跨境流動已成為常態化，數據流動監管難度增大，針對網絡數據的安全威脅也與日俱增，給數據安全保障帶來了更為嚴峻的挑戰，使很多企業對網絡數據信息的使用從“注重共享”轉向“強調保護和治理”。

2 網絡安全理念

絕對安全與可靠的信息系統并不存在。網絡安全性的增加通常導致企業費用的增長，這些費用包括系統性能下降、系統復雜性增加、系統可用性降低和操作與維護成本增加等。網絡安全是一個過程而不是目的，自身系統弱點與威脅隨時間變化，其安全理念表現以下幾個方面。

2.1 網絡安全問題不只是技術問題而是戰略問題

目前，很多企業主管把網絡安全問題視為技術問題，缺乏了解信息安全風險及其對業務的影響，高層決策過程很難在投資、風險和和用戶之間取得平衡。數字信息的快速革命，使得企業把網絡安全作為企業戰略發展重要組成部分，網絡安全已經與企業發展、生產安全、環境治理一樣參與關鍵決策，顯示網絡安全的重要性。

2.2 網絡安全即是服務，網絡服務即是資產

隨著網絡快速發展，企業觀念開始由硬件資源轉向數據資源變革。企業開始逐漸向包括云安全、大數據在內的廣義網絡安全服務轉型，將云安全相關產品與服務納入企業的服務平臺中。在過去的幾年里，實現網絡安全服務的途徑已經轉變，以適應安全服務周期發生變化，以客戶價值為中心，實現“網絡安全即是服務，網絡服務即是資產”。

數據信息是企業重要的商業資產。為維持企業核心競爭力，數據信息的保密性、完整性和可用性是至關重要的。因此，對網絡系統和硬件設備的安全管理必然是一個復雜的、高負荷的服務工作。那些針對關鍵數據資產的安全漏洞發起的攻擊，會對企業資產形成新威脅。通過對數據資產進行安全評估，掌握數據資產安全狀況，這些服務工作是安全保護技術的基礎，也是數據資產安全的基石。

2.3 培養企業員工網絡安全意識

企業發生網絡入侵事故的原因，基本包括以下因素（2015年，國家網絡安全指揮中心數據）：

（1）底層缺陷（10%）：網絡技術與企業具體業務鏈接滯后導致無法避免的弱點；

（2）資源匱乏（15%）：企業缺乏先進安全防護產品與技術投入；

（3）人員不足（25%）：缺乏必要的人才與應急保障團隊儲備；（4）數據信息安全意識薄弱（50%）：企業員工對網絡泄密風險認識不足，存在僥幸。

因此，提高企業基層員工網絡安全意識是促進網絡安全健康發展必須工作。

3 提高網絡安全措施

面對層出不窮的網絡安全問題，國家出臺了包括《網絡安全法（草案）》、新《國家安全法》等多項法律法規，明確提出建設網絡與信息安全保障體系，將網絡安全上升至國家戰略高度。國家領導人習近平強調，“網絡安全和信息化是相輔相成的。安全是發展的前提，發展是安全的保障，安全和發展要同步推進。要樹立正確的網絡安全觀，加快構建關鍵信息基礎設施安全保障體系，全天候全方位感知網絡安全態勢，增強網絡安全防御能力和威懾能力”。

為有效應對云計算、大數據革命，針對數據信息安全的全新挑戰，需要建立統一、完整數據安全保護管理體系；企業應重點關注用戶數據資產保護、數據共享合作、數據跨境流動等關鍵問題的安全管理。

3.1 加強用戶信息使用管理

（1）對用戶信息進行關聯分析應僅限于提供服務的用戶；

（2）脫敏后的用戶信息進行恢復性評估；

（3）未脫敏的用戶信息不應用于業務系統開發測試；

（4）MAC、IP地址等可能涉及用戶數據信息謹慎使用；

（5）用戶敏感信息的數據慎重使用。

3.2 數據泄露通知機制

（1）涉事主體在發生用戶信息泄露事件后，應及時通知受影響用戶，提醒其采取防范措施；

（2）建立數據信息跨界、跨境流動數據安全評估機制；

（3）明確責任部門、評估流程、估標標準。

4 結束語

數據信息規模化生產、分享、應用的時代已經來臨，數據信息資源和用戶的安全保障和治理，已經成為企業網絡空間博弈的新焦點。面對新形勢新問題，堅持安全與網絡開放并重，責任與發展兼顧，實現“網絡安全即是服務，網絡服務即是資產”，共同完善網絡安全體系，為中國石油網絡數據資源和用戶信息提供全方位的保護。

[1]李曉蕾.大數據時代跨國石油公司的網絡安全防范措施.網絡安全技術與應用，2014.

[2]阿里巴巴公司.網絡安全年會報告，2015.

[3]國家網絡安全指揮中心.網絡報告，2015.

[4]螞蟻金服.網絡安全年會報告，2016.