论文部分内容阅读
2015年2月,一个全球性的黑客组织从30个国家的100多家银行窃取了10亿美元;5月底携程网遭攻击导致网站全面瘫痪,携程网称这是内部操作失误所致;7月,研究人员成功地通过互联网攻入并控制一辆汽车,导致一系列类似的漏洞曝光,引发消费者对物联网产品的担忧……2015年信息安全形势依旧严峻,互联网的推广应用,特别是物联网的应用,带来了新的安全挑战。
普华永道最新发布的全球信息安全状况调查(简称调查)结果显示,信息安全事故数量不断增加,网络安全仍然是关注的焦点。在中国,过去12个月中,平均每家受访企业检测到的信息安全事件从去年的241次上升到今年的1245次,增加了517%。
从全球来看,调查发现,在过去一年中各行业检测到的信息安全事件平均数量为6853次。与去年同期相比,由这些网络犯罪事件所导致的全球平均财产损失为255万美元,下降了5%;而中国这一数字达到263万美元,提高了10%。
普华永道中国网络安全服务合伙人冼嘉乐表示:“这一年,中国各重要行业检测到的安全事件都在增加,这也是全球普遍需要应对的状况。当下,网络攻击来自各个方面与维度,其中消费与零售、科技等领域尤为严重。”
在中国,企业的客户数据、内部信息和知识产权成为网络攻击主要锁定的目标。其中,针对客户数据的安全事件数量上升64%,远高于35%的全球平均值。
物联网应用安全正在成为一个新的关注点。然而,调查显示,许多受访者都还没有为物联网应用带来的安全风险做好准备:目前只有约44%的中国企业拥有相应的安全策略。
值得注意的是,在所有检测到的安全事件中,有50%归因于企业现有和离任雇员等内部人员。此外,大量的内部攻击来源尚不确定,未知内部人士参与的安全事件占42%。事实上,携程网瘫痪就是其中的一个典型案例。
为了应对不断升级的信息安全事件,企业也在多方尝试以求改善。很多受访的中国企业主动采用风险导向的信息安全框架(如信息安全管理体系ISO27001),强化外部合作,雇佣相关的高级管理人员(如首席隐私官),以提高信息安全并降低风险。
与此同时,企业在信息安全方面的投入显著增加。其中,中国受访者所在企业在信息安全方面的预算增加了16%,平均值达790万美元,高于全球平均值510万美元。
冼嘉乐告诉记者,相比过去企业更多地将预算用于购买设备,如今企业更多地将预算用于优化防御手段,提高检测、分析能力。特别是当前各企业正在积极完善安全管理体系,将很多预算投入到人员培训、安全意识宣贯等领域。
“企业需要持续完善其安全防护机制以应对日益增加的信息安全风险。”冼嘉乐表示,“我们建议企业搭建和实施稳健的安全控制系统,以快速识别来自内部的安全威胁,提高安全管控能力。此外,企业应当将网络安全融入企业的战略层面,渗透到企业关注的各个领域,制定针对物联网等新技术的发展计划,结合网络安全法。”
普华永道最新发布的全球信息安全状况调查(简称调查)结果显示,信息安全事故数量不断增加,网络安全仍然是关注的焦点。在中国,过去12个月中,平均每家受访企业检测到的信息安全事件从去年的241次上升到今年的1245次,增加了517%。
从全球来看,调查发现,在过去一年中各行业检测到的信息安全事件平均数量为6853次。与去年同期相比,由这些网络犯罪事件所导致的全球平均财产损失为255万美元,下降了5%;而中国这一数字达到263万美元,提高了10%。
普华永道中国网络安全服务合伙人冼嘉乐表示:“这一年,中国各重要行业检测到的安全事件都在增加,这也是全球普遍需要应对的状况。当下,网络攻击来自各个方面与维度,其中消费与零售、科技等领域尤为严重。”
在中国,企业的客户数据、内部信息和知识产权成为网络攻击主要锁定的目标。其中,针对客户数据的安全事件数量上升64%,远高于35%的全球平均值。
物联网应用安全正在成为一个新的关注点。然而,调查显示,许多受访者都还没有为物联网应用带来的安全风险做好准备:目前只有约44%的中国企业拥有相应的安全策略。
值得注意的是,在所有检测到的安全事件中,有50%归因于企业现有和离任雇员等内部人员。此外,大量的内部攻击来源尚不确定,未知内部人士参与的安全事件占42%。事实上,携程网瘫痪就是其中的一个典型案例。
为了应对不断升级的信息安全事件,企业也在多方尝试以求改善。很多受访的中国企业主动采用风险导向的信息安全框架(如信息安全管理体系ISO27001),强化外部合作,雇佣相关的高级管理人员(如首席隐私官),以提高信息安全并降低风险。
与此同时,企业在信息安全方面的投入显著增加。其中,中国受访者所在企业在信息安全方面的预算增加了16%,平均值达790万美元,高于全球平均值510万美元。
冼嘉乐告诉记者,相比过去企业更多地将预算用于购买设备,如今企业更多地将预算用于优化防御手段,提高检测、分析能力。特别是当前各企业正在积极完善安全管理体系,将很多预算投入到人员培训、安全意识宣贯等领域。
“企业需要持续完善其安全防护机制以应对日益增加的信息安全风险。”冼嘉乐表示,“我们建议企业搭建和实施稳健的安全控制系统,以快速识别来自内部的安全威胁,提高安全管控能力。此外,企业应当将网络安全融入企业的战略层面,渗透到企业关注的各个领域,制定针对物联网等新技术的发展计划,结合网络安全法。”