數(shù)博會聚焦：“一帶一路”數(shù)字絲綢之路急需網(wǎng)絡(luò)保鏢

5月26日，2017中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會在貴陽開幕，360威脅情報中心發(fā)布《“一帶一路”企業(yè)安全研究報告》（以下簡稱“報告”），這是首份針對參與“一帶一路”建設(shè)央企的網(wǎng)絡(luò)安全與信息化建設(shè)狀況的專題報告。報告詳述了央企在“一帶一路”建設(shè)中面臨的網(wǎng)絡(luò)安全挑戰(zhàn)，并呼吁國家有關(guān)部門出臺政策鼓勵網(wǎng)絡(luò)安全企業(yè)隨“一帶一路”走出去為央企保駕護航，實現(xiàn)發(fā)展與安全同步推進，保衛(wèi)好這條21世紀(jì)的數(shù)字絲綢之路。

企業(yè)普遍被信息基礎(chǔ)設(shè)施與數(shù)據(jù)傳輸困擾

報告顯示，根據(jù)調(diào)研結(jié)果，走出去的央企普遍認(rèn)為，受限于當(dāng)?shù)氐慕?jīng)濟發(fā)展?fàn)顩r、信息基礎(chǔ)設(shè)施建設(shè)水平，以及央企自身業(yè)務(wù)特點，在境外通訊、境外項目管理、遠(yuǎn)程數(shù)據(jù)傳輸、IT系統(tǒng)“云化”等重要的常用業(yè)務(wù)上方面的安全需求非常迫切，否則將給經(jīng)營業(yè)務(wù)帶來較大制約。

以電子郵件為例，這是國外使用的較多的通訊工具，是央企和境外客戶交流的主要途徑。但很多企業(yè)的郵件出現(xiàn)過丟失問題，給溝通雙方都造成困擾，甚至有央企被迫在海外建中轉(zhuǎn)服務(wù)器，但問題依然難以解決。

如何保障數(shù)據(jù)的安全加密、存儲和傳輸，是很多在沿線國家開展業(yè)務(wù)的央企面臨的突出問題，很多涉及商業(yè)機密的數(shù)據(jù)，苦于找不到安全、適合的傳輸方案，甚至出現(xiàn)有企業(yè)被迫采用“密碼本+功能手機發(fā)短信”的方式傳輸重要數(shù)據(jù)。尤其是云數(shù)據(jù)安全方面，很多央企都擔(dān)憂云端的數(shù)據(jù)可能會遭到竊取。

隨著“一帶一路”的深耕，我國央企在當(dāng)?shù)氐囊恍┕こ探ㄔO(shè)、業(yè)務(wù)運營過程中，逐步在增加IT投入與信息化管理手段，使得越來越多的信息系統(tǒng)和數(shù)據(jù)暴露在開放的互聯(lián)網(wǎng)上。隨著暴露面不斷擴大，原有的網(wǎng)絡(luò)安全防范措施也將受到新的挑戰(zhàn)。

數(shù)家央企都把APT列為最需要關(guān)注的威脅之一

根據(jù)調(diào)查研究，木馬病毒、釣魚網(wǎng)站、信息泄露以及APT攻擊等網(wǎng)絡(luò)中常有的威脅方式均在參與“一帶一路”建設(shè)的央企中出現(xiàn)。

“一帶一路”項目中，包含很多涉及國與國之間的能源、交通、水利、民航等領(lǐng)域的重大合作，這些合作與國家的政治、經(jīng)濟、外交政策有很大相關(guān)性，因而包含諸多敏感的機密信息。

作為“一帶一路”先行者的央企，其網(wǎng)絡(luò)信息系統(tǒng)中既有商業(yè)秘密，同時還可能涉及到國家機密，例如某些邊境上的港口、碼頭、水利工程建設(shè)項目，包含的部分地理位置數(shù)據(jù)，還有一些海洋勘探數(shù)據(jù)等，就屬于國家機密數(shù)據(jù)。一直以來，這些機密都是境外APT組織攻擊的主要目標(biāo)。

根據(jù)國內(nèi)多家安全廠商對APT的持續(xù)跟蹤研究，國際上的APT組織對我國的攻擊活動一直比較活躍，僅2016年就曝出36份針對中國的APT事件相關(guān)報告。

處于“一帶一路”推進一線的央企極可能成為境外APT組織首當(dāng)其沖的目標(biāo)。報告指出，根據(jù)本次調(diào)研，以及結(jié)合2015年、2016年以來國內(nèi)主流安全廠商發(fā)布的APT專題報告，目前能源、基建、交通等領(lǐng)域的央企，在東南亞、中東地區(qū)受到APT攻擊的威脅最大。在360威脅情報中心分發(fā)給央企的問卷調(diào)查中，數(shù)家央企幾乎都把APT列為最需要關(guān)注的威脅之一。

在被調(diào)研的14家央企中，某大型企業(yè)員工就曾遭釣魚網(wǎng)站的攻擊。在該企業(yè)的日志中，曾短時間內(nèi)出現(xiàn)大量企業(yè)員工賬號境外登錄失敗記錄。這些辦公帳號的異常登陸行為均來自國外，犯罪分子利用搭建的假冒網(wǎng)站套取了多個員工的賬號密碼。

網(wǎng)絡(luò)安全應(yīng)納入整體規(guī)劃與發(fā)展同步推進

在大數(shù)據(jù)和云計算環(huán)境下，網(wǎng)絡(luò)空間安全面臨更加復(fù)雜和嚴(yán)峻的形勢，離開安全談價值，一切都是空談。因此，“一帶一路”沿線各國需要加強合作，處理好跨境數(shù)據(jù)流動，網(wǎng)絡(luò)空間治理等問題，才能推動共贏發(fā)展，連接起21世紀(jì)的數(shù)字絲綢之路。

境外項目和業(yè)務(wù)的信息化建設(shè)對這些參與“一帶一路”建設(shè)的央企來說，一方面是提升海外項目整體運營效率、加強企業(yè)內(nèi)部精細(xì)化管理的內(nèi)在要求，一方面也是保護重要數(shù)據(jù)安全的剛性需求。

報告呼吁，我國“走出去”的央企應(yīng)該加強統(tǒng)籌，未雨綢繆，將網(wǎng)絡(luò)安全建設(shè)納入到企業(yè)“一帶一路”整體規(guī)劃中，實現(xiàn)發(fā)展與安全同步推進，做好心理、策略和技術(shù)人員三大準(zhǔn)備，對網(wǎng)絡(luò)攻擊、信息泄密等風(fēng)險高度重視，不能懈怠；要制定針對境外業(yè)務(wù)場景、境外業(yè)務(wù)特點的安全策略，例如建立相關(guān)的安全規(guī)范、機制、標(biāo)準(zhǔn)，做好整體安全態(tài)勢監(jiān)控等，最大程度減少安全盲區(qū)，降低內(nèi)外部安全風(fēng)險；并建議國家相關(guān)主管和監(jiān)督部門，出臺政策鼓勵網(wǎng)絡(luò)安全企業(yè)隨“一帶一路”走出去為央企保駕護航，將積極性較高的央企以及有意愿、有實力的安全廠商組織起來，共同參與建立境外的安全信息共享機制。

還應(yīng)加大網(wǎng)絡(luò)安全人才培養(yǎng)扶持，逐步建立完善由央企、安全公司、科研院校各方力量共同參與的人才培養(yǎng)體系，為“走出去”的央企提供充足的實用型技術(shù)人才，為我國央企乃至更多企業(yè)“走出去”，打下長遠(yuǎn)基礎(chǔ)。