{"type":"doc","content":[{"type":"blockquote","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"中國計算機界一年一度的頂級盛會 ——"},{"type":"link","attrs":{"href":"https:\/\/cncc.ccf.org.cn\/web\/html15\/index.html?globalId=m8271748750546083841617255458379&type=1","title":"xxx","type":null},"content":[{"type":"text","text":" CNCC2021( 中國計算機大會)"}]},{"type":"text","text":" 將於 12 月 16-18 日在深圳拉開帷幕。InfoQ 極客傳媒已正式成爲 CNCC2021 的戰略合作媒體。作爲合作的一部分,《InfoQ 大咖說》與 CCF 聯合推出了高端訪談欄目《技術風雲 | 對話 CNCC》。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"《技術風雲 | 對話 CNCC》高端訪談欄目將以直播對話的形式,從縱覽計算機發展的視角出發,特邀來自 CNCC2021 的頂尖專家學者、科技企業的技術領袖,圍繞 AI、數字化轉型、計算 + 、雲計算、開源、芯片等前沿技術展開廣泛探討,帶來學術、技術、產業等全方位的深度解讀,推動計算領域創新技術更廣泛的傳播、討論和變革,幫助 IT 從業者開闊視野,緊跟時代。"}]}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"各行各業的數字化轉型使得網絡安全攻擊面迅速擴大,而網絡安全人才供給不足矛盾日益突出。中小企業轉型預算有限,既要保證安全,又要保證方案預算可負擔,需要在成本和方案之間做出平衡。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"10 月 21 日,InfoQ 和 CCF 聯合推出的大咖說欄目《技術風雲 | 對話 CNCC》第 3 期直播開播。本期"},{"type":"link","attrs":{"href":"https:\/\/www.infoq.cn\/video\/8asUoClSkpmwgOHrvQDl","title":"xxx","type":null},"content":[{"type":"text","text":"大咖說"}]},{"type":"text","text":",我們邀請到了中國計算機學會 CCF 副祕書長,北京賽博英傑科技有限公司創始人、董事長——譚曉生老師和我們分享中小企業選擇網絡安全方案時需要重點考慮的因素。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"在企業數字化轉型的過程中,管理者與技術、業務部門往往都把關注的焦點放在了轉型投入的成本與預期獲得的收益等更容易“看得見”的要素上,卻往往忽視了 IT 系統安全性這一至關重要的環節。然而,很多數字化轉型案例恰恰是由於安全性缺陷而陷入困境或失敗,甚至給企業業務帶來嚴重的損失。"}]},{"type":"heading","attrs":{"align":null,"level":2},"content":[{"type":"text","text":"網絡安全是數字化轉型的成敗關鍵"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"link","attrs":{"href":"https:\/\/www.infoq.cn\/article\/Aub92hlkdiu7sBaYryEt","title":"xxx","type":null},"content":[{"type":"text","text":"數字化轉型"}]},{"type":"text","text":"在爲企業業務帶來諸多收益的同時,也大大擴張了潛在的安全攻擊面。在過去,網絡攻擊的後果主要體現在數據損壞或丟失上,而如今隨着物聯網普及,越來越多的自動化控制設備進入網絡,網絡世界的攻擊就可能會造成物理世界的事故。換言之,網絡安全主題已經不僅限於數據安全,而開始影響到了我們生活的方方面面,甚至可能威脅到人身安全。以自動駕駛技術爲例,隨着自動駕駛技術持續演進,入侵車聯網控制系統甚至可能造成《速度與激情》電影中描繪的巨大危害。因此,網絡安全已經成爲了企業數字化轉型的成敗關鍵。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"很多中小企業,當它的業務對於網絡依賴不是太重的時候,網絡安全對他們的影響不是很大。例如企業的生產線自動化程度不高,即使計算機系統遭到了安全入侵,企業的生產基本上也不會停,所以對網絡安全投入太大也沒意義。但如果企業自動化和數字化水平較高,比如生產線全自動的,這時候如果犯罪分子入侵併控制了它的系統並進行加密,然後進行勒索,就很容易成功,也可能造成重大損失。譚曉生老師表示,“當中小企業都開始越來越多去走數字化這條路的時候,那麼來自於網絡世界的攻擊對他們就會造成更大的影響。”"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"全球對比來看,我國的網絡安全及服務水平目前落後於西方世界。例如國內企業往往不願意將自己的安全日誌共享給安全服務企業,而在西方這樣的第三方安全託管服務相對更爲普及。另一方面,很多中小企業的業務在數字化轉型之前對網絡沒有很大依賴,因此缺乏網絡安全相關的意識和重視態度。但隨着這些企業逐漸踏上數字化道路,他們也更容易受到這方面的威脅和負面影響。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"從安全服務市場來看,國內"},{"type":"link","attrs":{"href":"https:\/\/mp.weixin.qq.com\/s?__biz=MjM5MDE0Mjc4MA==&mid=2651089396&idx=1&sn=f236356bcdc17cca35b7e009b15289c3&chksm=bdb991a78ace18b1c062144d2e5b0f9d795d8f0b7f1083b5e807b7f48e906b0029d3612b79e8&scene=27#wechat_redirect","title":"xxx","type":null},"content":[{"type":"text","text":"網絡安全"}]},{"type":"text","text":"領域專業人才市場存在嚴重的缺口,導致中小企業難以尋找高水平人才,更難負擔高水平安全團隊的維持成本。這裏譚老師特別提到,高水平安全人才往往需要很高的天分,又要具備足夠的計算機專業知識,因此屬於相對小衆的羣體,這種稀缺性更提高了這一市場的人才成本,有些重大項目聘用網絡安全人員一天的薪資能達到2萬多。"}]},{"type":"heading","attrs":{"align":null,"level":2},"content":[{"type":"text","text":"中小企業,如何制定安全策略?"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"面對這樣的行業現狀,而安全問題又是不容忽視的關鍵因素,那麼中小企業在數字化轉型過程中該制定怎樣的信息安全策略呢?譚曉生老師從自身的經驗出發給出了幾條建議:"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"1、準備充足的安全預算。歐美企業往往會將 IT 預算的 10% 以上用於安全投資,國內在這方面差距很大,這是首先要解決的問題。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"2、根據自身業務採取安全措施。企業應該評估各項業務受攻擊的概率與被攻擊造成的後果,並以業務遭受的損失預期爲基準分配安全投資。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"3、重視供應鏈信息安全管理。通過嚴格的審覈、安全性認證等措施減少上下游合作方帶來的潛在安全威脅。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"4、需要充分意識到,網絡安全威脅只能儘量控制,而不可能徹底消除。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"此外,企業在評價安全防護投入時需要從根本上轉變觀念,意識到安全投入並非單純的成本型業務,而是像主營業務一樣可以產生很高的價值。安全投入應該與企業的業務規模相匹配,只有充分認識到這一現實才能爲長期的安全工作打好基礎。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"譚曉生老師強調,選擇適合的安全服務對於企業的數字化轉型也十分重要。目前市面主流的安全服務類型有 MSS 和 MDR 兩種。MSS 全稱安全託管服務,是指企業網絡安全設備委託給第三方代管,後者負責收集安全設備日誌並做分析,出現問題或警告時通知委託人安全團隊進行處置。MDR 全稱託管威脅檢測與響應服務,其範圍與 MSS 相比更窄更深,主要事件響應。MSS 和 MDR 服務還可以互相配合,MSS 發現異常後交給 MDR 做深入分析和響應。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"當企業沒有足夠資源維持 7x24 安全響應能力,或針對響應進行深度處理時,就適合選擇第三方提供的 MSS 與 MDR 服務,從而獲得更專業的安全防護水平並節省成本。當然,很多企業擔心第三方團隊會引入新的安全風險,對此譚曉生老師認爲這類風險可以通過更嚴格的管理或法律追責手段控制在極低水平,相比引入第三方團隊帶來的收益而言是能夠接受的。但在實踐推廣過程中,更多企業會出於管理者的責任歸屬問題而不願意引入深度第三方服務,因此在國內 MSS 並沒有受到廣泛歡迎,MDR 更處於起步階段。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"譚曉生老師提到,MSS、MDR 爲企業帶來的主要收益是完整的安全防護能力與更快的安全事件響應速度。尤其對於中小企業而言,這些用戶很難像大企業一樣建設按照自身業務貼身定製的安全體系,難以支付高水平安全人才的培養與維持費用,因此必須採購通用的安全防護產品與服務。對他們而言,MSS 與 MDR 提供了可負擔的優質安全防護水平。而對於大企業而言,MSS 與 MDR 的價值就要小很多。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"但需要注意的是,如果企業有複雜的內網環境,存在層層安全隔離體系,MSS 與 MDR 服務就難以順利部署和發揮作用。很多國企因爲政治風險等問題,在管理體制上很難做出將企業內部數據交由遠程第三方管理的決策,這就從根本上限制了這類第三方服務的推廣普及。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"從另一角度來看,在國內 MSS 與 MDR 領域還沒有形成比較完善和嚴格的規範體系。MSS 與 MDR 供應商並沒有相應的資格與能力審覈、評價標準,企業在選擇供應商時會面臨“無章可循”的困境。在這樣的局面下,企業管理者就更難做出與第三方合作、將敏感數據託付給他人的重大決定。隨着 MSS 與 MDR 行業的發展,譚曉生老師認爲這是全行業亟需解決的一大關鍵問題。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"第三方安全服務缺乏靈活定製的缺陷也是企業需要關注和納入考察範圍的。第三方服務往往是通用型方案,很難根據企業自身的特點和具體的安全事件進行鍼對性定製,也很難做到深度參與企業自身產品的研發維護過程,找出潛在的安全漏洞並給出相應的解決方案。因此企業依舊需要維持一定水平的安全團隊,不能將安全問題完全託付給他人。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"在諸多因素限制下,目前國內 MDR 服務市場規模很小,可選的供應商數量也較少。但隨着行業逐漸步入良性發展軌道,這一領域已經呈現出快速發展的態勢,年增長率甚至將達到 100% 的高水平。接下來的幾年這一市場會湧現越來越多的供應商和服務品牌,屆時企業能夠選擇的餘地也會擴大許多。"}]},{"type":"heading","attrs":{"align":null,"level":2},"content":[{"type":"text","text":"國內安全市場與社區現狀"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"網絡安全服務至關重要,但從行業整體來看,目前國內安全服務企業共有四千餘家,市場總規模約 531 億元,市場整體呈碎片化和激烈競爭的態勢。在全行業數字化轉型的浪潮推動下,安全服務市場的規模正在迅速擴大。譚曉生老師的企業正是爲這些安全產業創業企業提供服務,幫助他們在這一領域取得優勢,提前鎖定行業發展紅利。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"身爲 CCF 副祕書長,譚老師還介紹了 CCF 的整體概況。CCF 主要面向計算機行業從業者,目前是全球第二大計算機社區,參加 CCF 可以爲學術界、產業界的從業者帶來諸多好處。從業者只需訪問 CCF 官網(www.ccf.org.cn)即可在線申請加入。CCF 提供了很多線上資源、數字圖書館,還有大批行業大咖、產業界大牛入駐。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"link","attrs":{"href":"https:\/\/cncc.ccf.org.cn\/web\/html15\/index.html?globalId=m8271748750546083841617255458379&type=1","title":"xxx","type":null},"content":[{"type":"text","text":"CCF "}]},{"type":"text","text":"下設一系列專業委員會,如計算機視覺專業委員會、計算機安全專業委員會等等。每個專委會每年都會組織衆多會議,來探討交流前沿技術、分享產業界經驗。在網絡安全領域方面也有很多活動和專題,例如《中國計算機協會通訊》會員期刊就有安全欄目,也會組織主題閉門會議,討論各類安全話題。"}]},{"type":"heading","attrs":{"align":null,"level":2},"content":[{"type":"text","text":"數據安全法等法規對中小企業的影響"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"國家新制定的數據安全法與個人信息保護法規定了嚴格的數據安全保護要求,並設立了嚴厲的處罰措施。例如個人信息保護法會對違規企業處以全年營業額 5% 的罰款,因爲企業掌握用戶數據超過一百萬條規模後,一旦出現泄漏等安全事件會造成嚴重後果,甚至直接影響國家信息安全。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"作爲中國第一位首席隱私官,譚老師認爲這兩部法律的誕生標誌着國內數據安全領域迎來了轉折點。在全社會快速全面數字化轉型的背景下,數據泄漏危害愈加嚴重,影響非常深遠。如今一系列嚴格的法律法規出臺正是爲社會整體數字化轉型做好護航與管理工作。國家希望通過這些立法的引導,能夠讓企業及時意識到數據安全保護的重要性,在這一領域加大投入,提高重視程度。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"對於數據資產已經達到較大規模的中小企業來說,建立一整套數據安全治理體系是非常必要的。數據安全治理需要解決以下幾個問題:"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"1、明確定義企業已有的數據資產;"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"2、對所有數據資產進行分類和分級。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"3、基於分類和分級結果,對敏感數據做脫敏、隱藏等適當處理;"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"4、防止敏感數據泄漏,從網絡和終端兩個層面制定數據防泄漏策略。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"譚曉生老師也提到,很多行業目前並沒有完善的數據資產分類分級標準,企業需要在實踐中自行探索,行業也要在這一領域不斷髮展進步。"}]},{"type":"heading","attrs":{"align":null,"level":2},"content":[{"type":"text","text":"網絡安全技術的未來展望"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"近年來,網絡安全領域的創新逐漸增多,新方案不斷湧現。與此同時,雲計算的推廣普及也帶來了許多新的安全問題與挑戰,反過來刺激了安全方案的創新進步。以 MSS 和 MDR 爲例,這些服務能夠很好地解決社會數字化轉型時大量企業難以建設專業安全團隊的問題,是目前唯一能夠在大範圍低成本增強安全能力的解決方案。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"那麼,在企業網絡安全體系的建設過程,最需要關注的要素有哪些?就此問題,譚曉生老師認爲:"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"bulletedlist","content":[{"type":"listitem","attrs":{"listStyle":null},"content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"根據企業業務特點進行網絡安全攻擊建模。不同企業業務差異巨大,可能面對的安全攻擊風險也大不相同。因此企業需要根據自身業務進行攻擊威脅建模,分析哪些系統最易受到攻擊,鎖定最薄弱的攻擊面。"}]}]},{"type":"listitem","attrs":{"listStyle":null},"content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"找到薄弱攻擊面後,針對性採取具體防範措施。企業建設網絡安全體系時不可能做到面面俱到,因此需要將有限的資源投入到最可能出問題的環節上,有序調整安全防護策略。"}]}]},{"type":"listitem","attrs":{"listStyle":null},"content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"重視人員與系統的配合、內部安全體系與外部服務的配合,適當選擇 MSS、MDR 等服務增強防護能力,實現對安全事件的及時響應和恰當處置。對於有興趣進入網絡安全領域的從業者而言,譚曉生老師建議大家在初步瞭解安全相關基礎知識後,根據自己對相應知識的理解和領悟來做決定。安全人員很需要天賦和悟性,對具體細分領域真正感興趣的從業者才能堅持走好自己的職業道路。"}]}]}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"作爲國內網絡安全領域的資深從業者,譚曉生老師也希望通過自身的努力幫助更多創業企業和從業人員進入這一行業,爲中國網絡安全產業貢獻更多力量。"}]}]}
請不起日薪2萬+的網絡安全人才,就做不好數字化轉型嗎?
{"type":"doc","content":[{"type":"blockquote","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"中國計算機界一年一度的頂級盛會 ——"},{"type":"link","attrs":{"href":"https:\/\/cncc.ccf.org.cn\/web\/html15\/index.html?globalId=m8271748750546083841617255458379&type=1","title":"xxx","type":null},"content":[{"type":"text","text":" CNCC2021( 中國計算機大會)"}]},{"type":"text","text":" 將於 12 月 16-18 日在深圳拉開帷幕。InfoQ 極客傳媒已正式成爲 CNCC2021 的戰略合作媒體。作爲合作的一部分,《InfoQ 大咖說》與 CCF 聯合推出了高端訪談欄目《技術風雲 | 對話 CNCC》。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"《技術風雲 | 對話 CNCC》高端訪談欄目將以直播對話的形式,從縱覽計算機發展的視角出發,特邀來自 CNCC2021 的頂尖專家學者、科技企業的技術領袖,圍繞 AI、數字化轉型、計算 + 、雲計算、開源、芯片等前沿技術展開廣泛探討,帶來學術、技術、產業等全方位的深度解讀,推動計算領域創新技術更廣泛的傳播、討論和變革,幫助 IT 從業者開闊視野,緊跟時代。"}]}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"各行各業的數字化轉型使得網絡安全攻擊面迅速擴大,而網絡安全人才供給不足矛盾日益突出。中小企業轉型預算有限,既要保證安全,又要保證方案預算可負擔,需要在成本和方案之間做出平衡。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"10 月 21 日,InfoQ 和 CCF 聯合推出的大咖說欄目《技術風雲 | 對話 CNCC》第 3 期直播開播。本期"},{"type":"link","attrs":{"href":"https:\/\/www.infoq.cn\/video\/8asUoClSkpmwgOHrvQDl","title":"xxx","type":null},"content":[{"type":"text","text":"大咖說"}]},{"type":"text","text":",我們邀請到了中國計算機學會 CCF 副祕書長,北京賽博英傑科技有限公司創始人、董事長——譚曉生老師和我們分享中小企業選擇網絡安全方案時需要重點考慮的因素。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"在企業數字化轉型的過程中,管理者與技術、業務部門往往都把關注的焦點放在了轉型投入的成本與預期獲得的收益等更容易“看得見”的要素上,卻往往忽視了 IT 系統安全性這一至關重要的環節。然而,很多數字化轉型案例恰恰是由於安全性缺陷而陷入困境或失敗,甚至給企業業務帶來嚴重的損失。"}]},{"type":"heading","attrs":{"align":null,"level":2},"content":[{"type":"text","text":"網絡安全是數字化轉型的成敗關鍵"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"link","attrs":{"href":"https:\/\/www.infoq.cn\/article\/Aub92hlkdiu7sBaYryEt","title":"xxx","type":null},"content":[{"type":"text","text":"數字化轉型"}]},{"type":"text","text":"在爲企業業務帶來諸多收益的同時,也大大擴張了潛在的安全攻擊面。在過去,網絡攻擊的後果主要體現在數據損壞或丟失上,而如今隨着物聯網普及,越來越多的自動化控制設備進入網絡,網絡世界的攻擊就可能會造成物理世界的事故。換言之,網絡安全主題已經不僅限於數據安全,而開始影響到了我們生活的方方面面,甚至可能威脅到人身安全。以自動駕駛技術爲例,隨着自動駕駛技術持續演進,入侵車聯網控制系統甚至可能造成《速度與激情》電影中描繪的巨大危害。因此,網絡安全已經成爲了企業數字化轉型的成敗關鍵。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"很多中小企業,當它的業務對於網絡依賴不是太重的時候,網絡安全對他們的影響不是很大。例如企業的生產線自動化程度不高,即使計算機系統遭到了安全入侵,企業的生產基本上也不會停,所以對網絡安全投入太大也沒意義。但如果企業自動化和數字化水平較高,比如生產線全自動的,這時候如果犯罪分子入侵併控制了它的系統並進行加密,然後進行勒索,就很容易成功,也可能造成重大損失。譚曉生老師表示,“當中小企業都開始越來越多去走數字化這條路的時候,那麼來自於網絡世界的攻擊對他們就會造成更大的影響。”"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"全球對比來看,我國的網絡安全及服務水平目前落後於西方世界。例如國內企業往往不願意將自己的安全日誌共享給安全服務企業,而在西方這樣的第三方安全託管服務相對更爲普及。另一方面,很多中小企業的業務在數字化轉型之前對網絡沒有很大依賴,因此缺乏網絡安全相關的意識和重視態度。但隨着這些企業逐漸踏上數字化道路,他們也更容易受到這方面的威脅和負面影響。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"從安全服務市場來看,國內"},{"type":"link","attrs":{"href":"https:\/\/mp.weixin.qq.com\/s?__biz=MjM5MDE0Mjc4MA==&mid=2651089396&idx=1&sn=f236356bcdc17cca35b7e009b15289c3&chksm=bdb991a78ace18b1c062144d2e5b0f9d795d8f0b7f1083b5e807b7f48e906b0029d3612b79e8&scene=27#wechat_redirect","title":"xxx","type":null},"content":[{"type":"text","text":"網絡安全"}]},{"type":"text","text":"領域專業人才市場存在嚴重的缺口,導致中小企業難以尋找高水平人才,更難負擔高水平安全團隊的維持成本。這裏譚老師特別提到,高水平安全人才往往需要很高的天分,又要具備足夠的計算機專業知識,因此屬於相對小衆的羣體,這種稀缺性更提高了這一市場的人才成本,有些重大項目聘用網絡安全人員一天的薪資能達到2萬多。"}]},{"type":"heading","attrs":{"align":null,"level":2},"content":[{"type":"text","text":"中小企業,如何制定安全策略?"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"面對這樣的行業現狀,而安全問題又是不容忽視的關鍵因素,那麼中小企業在數字化轉型過程中該制定怎樣的信息安全策略呢?譚曉生老師從自身的經驗出發給出了幾條建議:"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"1、準備充足的安全預算。歐美企業往往會將 IT 預算的 10% 以上用於安全投資,國內在這方面差距很大,這是首先要解決的問題。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"2、根據自身業務採取安全措施。企業應該評估各項業務受攻擊的概率與被攻擊造成的後果,並以業務遭受的損失預期爲基準分配安全投資。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"3、重視供應鏈信息安全管理。通過嚴格的審覈、安全性認證等措施減少上下游合作方帶來的潛在安全威脅。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"4、需要充分意識到,網絡安全威脅只能儘量控制,而不可能徹底消除。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"此外,企業在評價安全防護投入時需要從根本上轉變觀念,意識到安全投入並非單純的成本型業務,而是像主營業務一樣可以產生很高的價值。安全投入應該與企業的業務規模相匹配,只有充分認識到這一現實才能爲長期的安全工作打好基礎。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"譚曉生老師強調,選擇適合的安全服務對於企業的數字化轉型也十分重要。目前市面主流的安全服務類型有 MSS 和 MDR 兩種。MSS 全稱安全託管服務,是指企業網絡安全設備委託給第三方代管,後者負責收集安全設備日誌並做分析,出現問題或警告時通知委託人安全團隊進行處置。MDR 全稱託管威脅檢測與響應服務,其範圍與 MSS 相比更窄更深,主要事件響應。MSS 和 MDR 服務還可以互相配合,MSS 發現異常後交給 MDR 做深入分析和響應。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"當企業沒有足夠資源維持 7x24 安全響應能力,或針對響應進行深度處理時,就適合選擇第三方提供的 MSS 與 MDR 服務,從而獲得更專業的安全防護水平並節省成本。當然,很多企業擔心第三方團隊會引入新的安全風險,對此譚曉生老師認爲這類風險可以通過更嚴格的管理或法律追責手段控制在極低水平,相比引入第三方團隊帶來的收益而言是能夠接受的。但在實踐推廣過程中,更多企業會出於管理者的責任歸屬問題而不願意引入深度第三方服務,因此在國內 MSS 並沒有受到廣泛歡迎,MDR 更處於起步階段。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"譚曉生老師提到,MSS、MDR 爲企業帶來的主要收益是完整的安全防護能力與更快的安全事件響應速度。尤其對於中小企業而言,這些用戶很難像大企業一樣建設按照自身業務貼身定製的安全體系,難以支付高水平安全人才的培養與維持費用,因此必須採購通用的安全防護產品與服務。對他們而言,MSS 與 MDR 提供了可負擔的優質安全防護水平。而對於大企業而言,MSS 與 MDR 的價值就要小很多。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"但需要注意的是,如果企業有複雜的內網環境,存在層層安全隔離體系,MSS 與 MDR 服務就難以順利部署和發揮作用。很多國企因爲政治風險等問題,在管理體制上很難做出將企業內部數據交由遠程第三方管理的決策,這就從根本上限制了這類第三方服務的推廣普及。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"從另一角度來看,在國內 MSS 與 MDR 領域還沒有形成比較完善和嚴格的規範體系。MSS 與 MDR 供應商並沒有相應的資格與能力審覈、評價標準,企業在選擇供應商時會面臨“無章可循”的困境。在這樣的局面下,企業管理者就更難做出與第三方合作、將敏感數據託付給他人的重大決定。隨着 MSS 與 MDR 行業的發展,譚曉生老師認爲這是全行業亟需解決的一大關鍵問題。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"第三方安全服務缺乏靈活定製的缺陷也是企業需要關注和納入考察範圍的。第三方服務往往是通用型方案,很難根據企業自身的特點和具體的安全事件進行鍼對性定製,也很難做到深度參與企業自身產品的研發維護過程,找出潛在的安全漏洞並給出相應的解決方案。因此企業依舊需要維持一定水平的安全團隊,不能將安全問題完全託付給他人。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"在諸多因素限制下,目前國內 MDR 服務市場規模很小,可選的供應商數量也較少。但隨着行業逐漸步入良性發展軌道,這一領域已經呈現出快速發展的態勢,年增長率甚至將達到 100% 的高水平。接下來的幾年這一市場會湧現越來越多的供應商和服務品牌,屆時企業能夠選擇的餘地也會擴大許多。"}]},{"type":"heading","attrs":{"align":null,"level":2},"content":[{"type":"text","text":"國內安全市場與社區現狀"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"網絡安全服務至關重要,但從行業整體來看,目前國內安全服務企業共有四千餘家,市場總規模約 531 億元,市場整體呈碎片化和激烈競爭的態勢。在全行業數字化轉型的浪潮推動下,安全服務市場的規模正在迅速擴大。譚曉生老師的企業正是爲這些安全產業創業企業提供服務,幫助他們在這一領域取得優勢,提前鎖定行業發展紅利。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"身爲 CCF 副祕書長,譚老師還介紹了 CCF 的整體概況。CCF 主要面向計算機行業從業者,目前是全球第二大計算機社區,參加 CCF 可以爲學術界、產業界的從業者帶來諸多好處。從業者只需訪問 CCF 官網(www.ccf.org.cn)即可在線申請加入。CCF 提供了很多線上資源、數字圖書館,還有大批行業大咖、產業界大牛入駐。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"link","attrs":{"href":"https:\/\/cncc.ccf.org.cn\/web\/html15\/index.html?globalId=m8271748750546083841617255458379&type=1","title":"xxx","type":null},"content":[{"type":"text","text":"CCF "}]},{"type":"text","text":"下設一系列專業委員會,如計算機視覺專業委員會、計算機安全專業委員會等等。每個專委會每年都會組織衆多會議,來探討交流前沿技術、分享產業界經驗。在網絡安全領域方面也有很多活動和專題,例如《中國計算機協會通訊》會員期刊就有安全欄目,也會組織主題閉門會議,討論各類安全話題。"}]},{"type":"heading","attrs":{"align":null,"level":2},"content":[{"type":"text","text":"數據安全法等法規對中小企業的影響"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"國家新制定的數據安全法與個人信息保護法規定了嚴格的數據安全保護要求,並設立了嚴厲的處罰措施。例如個人信息保護法會對違規企業處以全年營業額 5% 的罰款,因爲企業掌握用戶數據超過一百萬條規模後,一旦出現泄漏等安全事件會造成嚴重後果,甚至直接影響國家信息安全。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"作爲中國第一位首席隱私官,譚老師認爲這兩部法律的誕生標誌着國內數據安全領域迎來了轉折點。在全社會快速全面數字化轉型的背景下,數據泄漏危害愈加嚴重,影響非常深遠。如今一系列嚴格的法律法規出臺正是爲社會整體數字化轉型做好護航與管理工作。國家希望通過這些立法的引導,能夠讓企業及時意識到數據安全保護的重要性,在這一領域加大投入,提高重視程度。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"對於數據資產已經達到較大規模的中小企業來說,建立一整套數據安全治理體系是非常必要的。數據安全治理需要解決以下幾個問題:"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"1、明確定義企業已有的數據資產;"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"2、對所有數據資產進行分類和分級。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"3、基於分類和分級結果,對敏感數據做脫敏、隱藏等適當處理;"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"4、防止敏感數據泄漏,從網絡和終端兩個層面制定數據防泄漏策略。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"譚曉生老師也提到,很多行業目前並沒有完善的數據資產分類分級標準,企業需要在實踐中自行探索,行業也要在這一領域不斷髮展進步。"}]},{"type":"heading","attrs":{"align":null,"level":2},"content":[{"type":"text","text":"網絡安全技術的未來展望"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"近年來,網絡安全領域的創新逐漸增多,新方案不斷湧現。與此同時,雲計算的推廣普及也帶來了許多新的安全問題與挑戰,反過來刺激了安全方案的創新進步。以 MSS 和 MDR 爲例,這些服務能夠很好地解決社會數字化轉型時大量企業難以建設專業安全團隊的問題,是目前唯一能夠在大範圍低成本增強安全能力的解決方案。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"那麼,在企業網絡安全體系的建設過程,最需要關注的要素有哪些?就此問題,譚曉生老師認爲:"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"bulletedlist","content":[{"type":"listitem","attrs":{"listStyle":null},"content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"根據企業業務特點進行網絡安全攻擊建模。不同企業業務差異巨大,可能面對的安全攻擊風險也大不相同。因此企業需要根據自身業務進行攻擊威脅建模,分析哪些系統最易受到攻擊,鎖定最薄弱的攻擊面。"}]}]},{"type":"listitem","attrs":{"listStyle":null},"content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"找到薄弱攻擊面後,針對性採取具體防範措施。企業建設網絡安全體系時不可能做到面面俱到,因此需要將有限的資源投入到最可能出問題的環節上,有序調整安全防護策略。"}]}]},{"type":"listitem","attrs":{"listStyle":null},"content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"重視人員與系統的配合、內部安全體系與外部服務的配合,適當選擇 MSS、MDR 等服務增強防護能力,實現對安全事件的及時響應和恰當處置。對於有興趣進入網絡安全領域的從業者而言,譚曉生老師建議大家在初步瞭解安全相關基礎知識後,根據自己對相應知識的理解和領悟來做決定。安全人員很需要天賦和悟性,對具體細分領域真正感興趣的從業者才能堅持走好自己的職業道路。"}]}]}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"作爲國內網絡安全領域的資深從業者,譚曉生老師也希望通過自身的努力幫助更多創業企業和從業人員進入這一行業,爲中國網絡安全產業貢獻更多力量。"}]}]}
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章