央廣網(wǎng)上海3月27日消息(記者吳善陽(yáng))《安永第 20 屆全球信息安全調(diào)查報(bào)告（GISS）：重鑄網(wǎng)絡(luò)安全，直面網(wǎng)絡(luò)攻擊》今天發(fā)布，其調(diào)查結(jié)果顯示，企業(yè)之間的聯(lián)系變得空前緊密，這種聯(lián)結(jié)性使得企業(yè)面臨遭受網(wǎng)絡(luò)攻擊的極高風(fēng)險(xiǎn)。面對(duì)全球網(wǎng)絡(luò)威脅日益加劇，中國(guó)企業(yè)積極響應(yīng)加大投入。

　　安永調(diào)查表明，大部分企業(yè)均在不斷增加網(wǎng)絡(luò)安全方面的支出，超過 90%的受訪者表示他們預(yù)計(jì)今年會(huì)在這方面有更高的預(yù)算，高于去年的 55%。網(wǎng)絡(luò)威脅的日益增加要求企業(yè)給出更為積極的響應(yīng)，87%的受訪企業(yè)表示需要超過 50%的預(yù)算上浮，但僅有 12%的企業(yè)預(yù)計(jì)實(shí)際漲幅將超過 25%。相比于全球約 4%受訪企業(yè)中選擇降低網(wǎng)絡(luò)安全預(yù)算，中國(guó)（包括大陸、香港、澳門和臺(tái)灣）所有的受訪企業(yè)在過去 12 個(gè)月以及未來(lái) 12 個(gè)月內(nèi)均保持或增加預(yù)算。

　　本次調(diào)查就網(wǎng)絡(luò)安全管理工作最迫切的關(guān)注點(diǎn)，對(duì)近 1,200 名來(lái)自全球規(guī)模最大、最為知名企業(yè)的 C 級(jí)管理人員進(jìn)行了調(diào)研訪談。安永全球信息安全咨詢服務(wù)主管 Paul van Kessel 談到：“新技術(shù)所帶來(lái)的緊密聯(lián)結(jié)性和新浪潮在創(chuàng)造巨大機(jī)會(huì)的同時(shí)，也給企業(yè)引入了新的風(fēng)險(xiǎn)。不僅是數(shù)據(jù)和隱私容易遭受攻擊，物聯(lián)網(wǎng)的應(yīng)用將企業(yè)的運(yùn)營(yíng)科技暴露給攻擊者，使攻擊者有機(jī)會(huì)中斷或破壞工業(yè)控制等系統(tǒng)。因此，隨著企業(yè)逐漸進(jìn)入數(shù)字化時(shí)代，他們必須從各個(gè)角度審視自己的數(shù)字生態(tài)系統(tǒng)，以保護(hù)他們當(dāng)前、近期與未來(lái)的業(yè)務(wù)。近期最成功的網(wǎng)絡(luò)攻擊采用了常規(guī)方法，即利用企業(yè)已知漏洞�！�

　　安永亞太區(qū)信息安全咨詢服務(wù)主管 Richard Watson 表示：“身處復(fù)雜且不斷變化的格局之中，企業(yè)很容易會(huì)一葉障目而無(wú)法顧全大局，因?yàn)榫W(wǎng)絡(luò)安全威脅常常被加以偽裝，隱藏于企業(yè)的視野之外，盡管所有企業(yè)都在董事會(huì)層面探討網(wǎng)絡(luò)安全，并作出巨額投資，但是他們并不清楚應(yīng)該解決什么問題�！�

　　許多受訪企業(yè)還認(rèn)識(shí)到，缺乏充分的資源以落實(shí)適當(dāng)網(wǎng)絡(luò)安全措施將使企業(yè)難以管理其面臨的風(fēng)險(xiǎn)，有 56%的受訪企業(yè)表示，他們正在調(diào)整其戰(zhàn)略和規(guī)劃，以便將網(wǎng)絡(luò)威脅導(dǎo)致的風(fēng)險(xiǎn)納入考量，或者他們正打算在此基礎(chǔ)上重新審視其企業(yè)戰(zhàn)略。但是，有 20%的受訪企業(yè)承認(rèn)，他們尚未充分認(rèn)識(shí)到對(duì)當(dāng)前信息安全影響和漏洞進(jìn)行評(píng)估的必要性。

　　安永大中華區(qū)信息安全咨詢服務(wù)主管阮祺康先生表示：“將信息安全影響充分納入當(dāng)前戰(zhàn)略，并在其風(fēng)險(xiǎn)地圖中對(duì)相關(guān)網(wǎng)絡(luò)威脅、漏洞和風(fēng)險(xiǎn)加以考慮和監(jiān)控是十分具有前瞻意識(shí)的表現(xiàn)，并且也將是未來(lái)企業(yè)風(fēng)險(xiǎn)管理的新趨勢(shì)。將網(wǎng)絡(luò)安全置于企業(yè)戰(zhàn)略的核心地位有助于維持，甚至提高客戶、監(jiān)管方與媒體對(duì)企業(yè)的信任�！�

　　在如今的互聯(lián)世界里，所有企業(yè)都默認(rèn)應(yīng)用了數(shù)字化的模式。企業(yè)運(yùn)營(yíng)無(wú)處不體現(xiàn)著互聯(lián)網(wǎng)時(shí)代的文化特質(zhì)、科技以及流程，廣袤的數(shù)字化藍(lán)圖使得企業(yè)占有或使用的每一項(xiàng)資產(chǎn)都是網(wǎng)絡(luò)中的一個(gè)節(jié)點(diǎn)。網(wǎng)絡(luò)攻擊者在這樣的環(huán)境中可能是無(wú)差別或具有高度針對(duì)性的攻擊者，攻擊著或大或小的、或公共或私營(yíng)部門的組織。

　　2017 年發(fā)生的多起勒索軟件事件對(duì)全球各企業(yè)造成極大影響。安永調(diào)查顯示全球有 43%的受訪企業(yè)認(rèn)為惡意軟件是其面臨的最大威脅，與釣魚郵件并列首位，明顯高于中國(guó)區(qū)的 16%（惡意軟件）和 12%（釣魚郵件）。從漏洞角度來(lái)看，中國(guó)受訪企業(yè)表示最有可能的攻擊來(lái)源依次為黑客（54%），粗心的員工（50%） 和惡意員工（47%），這與全球的調(diào)查結(jié)果有著較大差異：粗心的員工（77%），犯罪集團(tuán)（56%）和惡意員工（47%）。

　　關(guān)注合規(guī)風(fēng)險(xiǎn)，打造 層次分明的防御體系

　　安永信息安全咨詢服務(wù)合伙人胡立基先生提到：“企業(yè)可能會(huì)面對(duì)水平參差不齊的攻擊者，他們能夠也必須與之進(jìn)行對(duì)抗。企業(yè)既要專注抵御那些最為常見或較容易應(yīng)對(duì)的攻擊，同時(shí)也要有意識(shí)地采取細(xì)致入微的方法來(lái)應(yīng)對(duì)那些高級(jí)和新興類型攻擊。鑒于某些攻擊不可避免地會(huì)影響企業(yè)的防御系統(tǒng)，因此企業(yè)同樣需要關(guān)注怎樣才能最快發(fā)現(xiàn)及修復(fù)這些漏洞，及其如何提高應(yīng)對(duì)措施的有效性�！�

　　55%的大中華區(qū)受訪企業(yè)表示在未來(lái) 12 個(gè)月中，將把數(shù)據(jù)防泄漏作為高優(yōu)先級(jí)的信息安全任務(wù)，而業(yè)務(wù)連續(xù)性/災(zāi)難恢復(fù)（42%）和隱私保護(hù)（39%）緊隨其后，這三個(gè)領(lǐng)域都遠(yuǎn)遠(yuǎn)高于全球水平的 11%，11%和 20%。這與 2017 年 6 月 1 日起正式生效的《網(wǎng)絡(luò)安全法》密切相關(guān)，該法是中國(guó)境內(nèi)首部涉及網(wǎng)絡(luò)安全的專門性綜合性法律，中國(guó)企業(yè)除了應(yīng)對(duì)各類攻擊與威脅，還必須及時(shí)跟進(jìn)與了解日益嚴(yán)峻的監(jiān)管要求，關(guān)注合規(guī)風(fēng)險(xiǎn)。

　　企業(yè)的防御網(wǎng)絡(luò)遭到攻破，只是時(shí)間的問題，能夠認(rèn)清這一點(diǎn)并在此基礎(chǔ)上運(yùn)營(yíng)的企業(yè)是明智的。如果企業(yè)具備一套能夠在發(fā)現(xiàn)漏洞時(shí)自動(dòng)啟動(dòng)的網(wǎng)絡(luò)漏洞響應(yīng)計(jì)劃（CBRP），那么企業(yè)將會(huì)最大程度減輕網(wǎng)絡(luò)安全事件的影響。但是，CBRP 必須覆蓋整個(gè)企業(yè)，而且必須由某個(gè)具有相關(guān)經(jīng)驗(yàn)和知識(shí)的人來(lái)管理企業(yè)在運(yùn)營(yíng)和戰(zhàn)略層面的響應(yīng)。