九色国产,午夜在线视频,新黄色网址,九九色综合,天天做夜夜做久久做狠狠,天天躁夜夜躁狠狠躁2021a,久久不卡一区二区三区

通過研讀多家機(jī)構(gòu)針對(duì)網(wǎng)絡(luò)安全發(fā)起對(duì)全球高管們的調(diào)查報(bào)告，我們可以看到一些值得思考的現(xiàn)象。

1. 高管們普遍都認(rèn)同網(wǎng)絡(luò)安全的重要性，同時(shí)也都認(rèn)同網(wǎng)絡(luò)安全是他們必須面對(duì)和解決的問題。但不少高管并不清楚和能說出安全風(fēng)險(xiǎn)來自什么地方，什么樣的安全因素將帶來最大風(fēng)險(xiǎn)，這種認(rèn)知和理解上的不足表現(xiàn)在高管們心中的安全風(fēng)險(xiǎn)和現(xiàn)實(shí)中安全風(fēng)險(xiǎn)的比例沒有呈現(xiàn)一致性。例如，根據(jù)現(xiàn)狀來看，數(shù)據(jù)泄露的威脅中，55%的數(shù)據(jù)泄露事件來自內(nèi)部人員，但調(diào)查顯示僅有32% 的高管將目前/前雇員選入最主要的三大威脅 [1]。

2. 高管們對(duì)自己機(jī)構(gòu)網(wǎng)絡(luò)安全現(xiàn)狀的情況以及安全防護(hù)能力的自信心有所不同。CIO（CSO）由于職能情況，對(duì)網(wǎng)絡(luò)安全現(xiàn)狀最為了解同時(shí)擁有最高的安全防護(hù)自信心。CEO的了解程度和自信心次于CIO（CSO），CFO和CMO在了解程度和自信心上是最低的。這方面的原因在于CEO、CFO和CMO是機(jī)構(gòu)中職員、財(cái)務(wù)和客戶信息數(shù)據(jù)的擁有者，因?qū)Π踩珷顩r的不了解程度降低了他們的信心。

3. 高管們和下層管理層以及具體工作的安全職員之間存在著對(duì)網(wǎng)絡(luò)安全認(rèn)知不一致性。這種不一致性體現(xiàn)在對(duì)機(jī)構(gòu)整體安全性的認(rèn)可程度以及對(duì)安全工作的重視程度。例如澳大利亞國(guó)立大學(xué)的研究表明只有58％的網(wǎng)絡(luò)安全專業(yè)人員認(rèn)為他們的董事會(huì)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)有足夠的了解。不到一半（46％）的網(wǎng)絡(luò)安全專業(yè)人員表示，公司董事會(huì)很少或從來沒有討論過網(wǎng)絡(luò)安全問題。幾乎三分之一的網(wǎng)絡(luò)安全專業(yè)人員（30％）甚至表示，他們的董事會(huì)沒有收到關(guān)于網(wǎng)絡(luò)安全威脅的報(bào)告[2]。

這些現(xiàn)象提示我們，機(jī)構(gòu)的高管群需要改進(jìn)他們的安全觀，改變網(wǎng)絡(luò)安全停留在口頭重視的情況，需要切實(shí)深入的了解機(jī)構(gòu)的網(wǎng)絡(luò)安全現(xiàn)狀、了解新的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，只有這樣，作為機(jī)構(gòu)的最終決策者和負(fù)責(zé)人才能肩負(fù)好網(wǎng)絡(luò)安全的責(zé)任。

今天，關(guān)于網(wǎng)絡(luò)安全應(yīng)該是全員參與的企業(yè)安全理念早已被企業(yè)機(jī)構(gòu)普遍所認(rèn)同。但是高管們還需認(rèn)真考慮如何將網(wǎng)絡(luò)安全與機(jī)構(gòu)的運(yùn)營(yíng)工作機(jī)制進(jìn)行有機(jī)的融合，使其成為一個(gè)鮮活，立體的工作內(nèi)容，而不只是停留在企業(yè)制度文檔上蒼白的文字。就目前而言，一些機(jī)構(gòu)存在著以下工作機(jī)制方面的問題。

1. 一方面，高層間缺乏專門的網(wǎng)絡(luò)安全聯(lián)席會(huì)議機(jī)制同時(shí)也較少將網(wǎng)絡(luò)安全列入聯(lián)席會(huì)議議題。而另一方面，CFO，CMO們也往往較少參與此類專門的網(wǎng)絡(luò)安全聯(lián)席會(huì)議，這使得他們對(duì)安全信息了解不暢并讓他們對(duì)機(jī)構(gòu)的網(wǎng)絡(luò)安全計(jì)劃抱有懷疑，認(rèn)為這些計(jì)劃不完善或者無法正確實(shí)施。因此，高管們存在著對(duì)網(wǎng)絡(luò)安全意見的不一致情況并將有可能對(duì)機(jī)構(gòu)的網(wǎng)絡(luò)安全建設(shè)產(chǎn)生消極影響

2. 有一些機(jī)構(gòu)其各部門之間的安全工作開展缺乏聯(lián)動(dòng)協(xié)調(diào)機(jī)制，致使安全工作集中于IT部門，將本是全員參與的工作畸變?yōu)镮T部門，甚至是機(jī)構(gòu)安全小組的工作。在這種情況下，安全部門/人員和業(yè)務(wù)部門常存在安全職責(zé)不清、相互推諉、處理及反應(yīng)滯后的情況。

3. 不少機(jī)構(gòu)雖然已建立內(nèi)部的OA系統(tǒng)，但尚未將網(wǎng)絡(luò)安全運(yùn)維流程和OA系統(tǒng)進(jìn)行集成以實(shí)現(xiàn)機(jī)構(gòu)安全管理工作的電子化、流程化和自動(dòng)化?，F(xiàn)代網(wǎng)絡(luò)安全管理要求強(qiáng)調(diào)安全快速響應(yīng)與處置以及安全閉環(huán)管理以對(duì)付日趨復(fù)雜的安全威脅。顯然那種依靠人工方式進(jìn)行工作協(xié)調(diào)和溝通的處置方式無疑是落后的，亟需進(jìn)行改變。

絕大部分網(wǎng)絡(luò)攻擊很少是孤立事件。攻擊者在發(fā)動(dòng)攻擊時(shí)需要提前做很多的工作，例如尋找漏洞、制作工具、甚至對(duì)真實(shí)目標(biāo)進(jìn)行攻擊前會(huì)對(duì)其它目標(biāo)進(jìn)行測(cè)試攻擊。根據(jù)美國(guó)執(zhí)法機(jī)構(gòu)的調(diào)查研究表明在2014年一次針對(duì)摩根大通公司的攻擊中，執(zhí)法機(jī)構(gòu)調(diào)查發(fā)現(xiàn)至少另有10家金融服務(wù)機(jī)構(gòu)成為同一黑客組織的目標(biāo)。又如，近期勒索病毒的猖獗就和黑客團(tuán)體泄露并利用美國(guó)NSA的網(wǎng)絡(luò)戰(zhàn)武器有直接關(guān)系。因此，如果機(jī)構(gòu)能夠迅速獲取到執(zhí)法部門、安全企業(yè)發(fā)布的關(guān)于安全威脅和攻擊的安全態(tài)勢(shì)信息，則可以迅速的提升警戒程度，制定相應(yīng)的預(yù)防和處置措施，減小受影響和受攻擊的可能性。

除了外部的安全態(tài)勢(shì)感知外，機(jī)構(gòu)也有必要建立內(nèi)部的安全態(tài)勢(shì)感知。這種感知是建立在對(duì)內(nèi)部安全信息的集中、整合、過濾、挖掘及分析之上。這樣可以幫助機(jī)構(gòu)時(shí)時(shí)知曉內(nèi)部網(wǎng)絡(luò)安全的運(yùn)行動(dòng)態(tài)并識(shí)別潛在的安全風(fēng)險(xiǎn)活動(dòng)，并根據(jù)這些態(tài)勢(shì)及時(shí)調(diào)整內(nèi)部安全策略和展開相關(guān)的安全處置。

現(xiàn)實(shí)中，黑客們往往在地下通過諸如暗網(wǎng)（dark web）這種地下資訊和交易網(wǎng)絡(luò)進(jìn)行黑產(chǎn)協(xié)作以提高攻擊成功的可能性并獲取最大的經(jīng)濟(jì)利益。然而，機(jī)構(gòu)們之間對(duì)安全共享和協(xié)作卻保持相當(dāng)謹(jǐn)慎的態(tài)度。據(jù)調(diào)查，68%的CEO們表示不愿意對(duì)外共享發(fā)生在己方內(nèi)部的安全事故。誠(chéng)然，處在一個(gè)市場(chǎng)競(jìng)爭(zhēng)如此激烈的時(shí)代，CEO們的顧慮無可厚非。但是，反過來說，我們是否可以多分享在網(wǎng)絡(luò)安全方面的建設(shè)經(jīng)驗(yàn)?zāi)?？高管們可以商議并建立企業(yè)之間的分享和學(xué)習(xí)機(jī)制，通過這種方式了解和學(xué)習(xí)彼此之間優(yōu)秀的網(wǎng)絡(luò)安全建設(shè)經(jīng)驗(yàn)，提升己方安全管理水平。此外，高管們還可嘗試在機(jī)構(gòu)內(nèi)部建立部門之間的分享和匯報(bào)機(jī)制，通過引入集體智慧，形成更優(yōu)的安全解決思路和解決方案。

在一些機(jī)構(gòu)中，高管們常依據(jù)自己對(duì)特定網(wǎng)絡(luò)風(fēng)險(xiǎn)的認(rèn)知來決定安全建設(shè)的方向、建設(shè)重點(diǎn)和投入成本。但由于他們的安全威脅認(rèn)知存在一定的局限性、滯后性和偏差性。因此在開展網(wǎng)絡(luò)安全的建設(shè)過程中，常出現(xiàn)以下多種現(xiàn)象：

1. 安全建設(shè)滿足合規(guī)要求就好。一些高管們認(rèn)為機(jī)構(gòu)安全僅需要遵從合規(guī)要求就夠了，并不愿意在安全上進(jìn)行過多的投入。在實(shí)踐中，合規(guī)要求是幫助機(jī)構(gòu)建立良好的網(wǎng)絡(luò)安全基線并解決已知的漏洞。但合規(guī)要求沒有能充分解決和應(yīng)對(duì)新的、動(dòng)態(tài)的安全威脅或?qū)?fù)雜的攻擊對(duì)手。正確的做法應(yīng)該是使用基于風(fēng)險(xiǎn)評(píng)估的方法來應(yīng)用最新的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和業(yè)界最佳實(shí)踐，這樣比僅遵從合規(guī)能更全面和更有效地管理網(wǎng)絡(luò)風(fēng)險(xiǎn)[3]。

2. 過于輕信己方的安全防護(hù)能力。事實(shí)上，這些年來發(fā)生的諸多攻擊事件表明，機(jī)構(gòu)的網(wǎng)絡(luò)安全防護(hù)并不是想象中的鋼鐵長(zhǎng)城，在外部APT攻擊以及惡意內(nèi)部人員的面前，機(jī)構(gòu)的網(wǎng)絡(luò)處于巨大的威脅中。幸運(yùn)的是，很多企業(yè)CISO們認(rèn)為威脅形勢(shì)其實(shí)十分嚴(yán)峻，國(guó)外公司的研究報(bào)告表明83% 的 CISO 表示，過去三年外部威脅帶來的挑戰(zhàn)不斷攀升，42% 的表示外部威脅顯著增加； 59% 的 CISO 強(qiáng)烈贊同，攻擊者的水平超過了企業(yè)的防御水平[1]。因此建議通過定期和全面的安全評(píng)估來檢查真實(shí)的安全防護(hù)能力。

3. 不覺得己方將遭受到攻擊，認(rèn)為攻擊的幾率和可能性非常低。這種考慮有些基于國(guó)情的考慮，認(rèn)為國(guó)內(nèi)處罰嚴(yán)厲，黑客不敢發(fā)起攻擊。有些則認(rèn)為己方屬于小型機(jī)構(gòu)或非關(guān)鍵基礎(chǔ)信息設(shè)施行業(yè)，不會(huì)引起黑客的注意。但是，最近發(fā)生的勒索病毒事件以及國(guó)外機(jī)構(gòu)對(duì)境內(nèi)金融機(jī)構(gòu)進(jìn)行DDOS攻擊并進(jìn)行勒索的事件證明了上訴觀點(diǎn)的錯(cuò)誤。

4. 期望通過某種解決方案解決絕大部分的安全問題。網(wǎng)絡(luò)安全是一個(gè)內(nèi)容涵蓋非常廣泛的領(lǐng)域，因此在網(wǎng)絡(luò)安全建設(shè)中，不存在銀子彈的解決方案，每一種方案都只能提供一定范圍和一定程度上的安全防護(hù)。在這其中尤其要注意兩種錯(cuò)誤的觀念，一個(gè)是認(rèn)為只要有完善的外網(wǎng)安全防護(hù)，內(nèi)網(wǎng)就安全；另一個(gè)是認(rèn)為業(yè)務(wù)生產(chǎn)網(wǎng)和其它網(wǎng)絡(luò)已實(shí)現(xiàn)物理或邏輯隔離，因此業(yè)務(wù)網(wǎng)是安全的。實(shí)踐中，因持有這兩種觀點(diǎn)而遭遇慘重?fù)p失的企業(yè)機(jī)構(gòu)案例非常之多，值得高管們警惕。

5. 重視技術(shù)層面的投入而忽略對(duì)人員的投入。戰(zhàn)爭(zhēng)中，決定戰(zhàn)爭(zhēng)勝負(fù)的是人的因素，網(wǎng)絡(luò)安全建設(shè)也遵循同樣的道理。內(nèi)部人員的安全技能、對(duì)設(shè)備工具的使用熟悉情況、人員的數(shù)量、工作的積極性和主動(dòng)性都將直接影響安全工作的質(zhì)量和執(zhí)行效率。因此高管們應(yīng)該考慮進(jìn)行安全人力資源的評(píng)估、招募或引進(jìn)足夠的安全人員數(shù)量（包括安全外包）、開展定期的安全培訓(xùn)以提升人員技能、優(yōu)化KPI績(jī)效考核以提升人員工作積極性。

目前，高管們?cè)诙攘考悍綑C(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)安全建設(shè)的時(shí)候，往往會(huì)受到互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)的應(yīng)用和開展，黑客攻擊技術(shù)和手段日益先進(jìn)和復(fù)雜，以及安全廠家不斷推出的新產(chǎn)品這三個(gè)因素的影響，將資源投入到這類熱點(diǎn)領(lǐng)域而忽視了企業(yè)機(jī)構(gòu)最為基礎(chǔ)的安全管理和防護(hù)。事實(shí)上，在安全領(lǐng)域，最為基礎(chǔ)的安全管理防護(hù)措施發(fā)揮著最為重要的作用，國(guó)外咨詢機(jī)構(gòu)的研究報(bào)告中就顯示超過75%的安全漏洞可以通過基礎(chǔ)的控制措施進(jìn)行防護(hù)[4]，因此高管們應(yīng)該把如何做好基礎(chǔ)的控制措施放在首要和優(yōu)先的位置 （在機(jī)構(gòu)有更多資源的情況下可進(jìn)一步擴(kuò)充和提升全面安全防護(hù)能力）。一般來說，這些基礎(chǔ)控制措施包括：

1. 有效和更新的管理制度和流程機(jī)制

2. 有效的網(wǎng)絡(luò)邊界隔離與防護(hù)

3. 定期/不定期的安全評(píng)估

4. 嚴(yán)格的權(quán)限賬戶管控

5. 配置操作規(guī)范和安全審計(jì)

6. 安全漏洞的發(fā)現(xiàn)與修補(bǔ)

7. 桌面終端安全防護(hù)

8. 持續(xù)的內(nèi)部人員安全培訓(xùn)

9. 第三方服務(wù)及供應(yīng)鏈的安全管控

10. 安全應(yīng)急預(yù)案編制與應(yīng)急演練

網(wǎng)絡(luò)安全中的基礎(chǔ)防護(hù)猶如建筑中承擔(dān)抗震關(guān)鍵的柱子和房梁。做好基礎(chǔ)防護(hù)則意味著企業(yè)機(jī)構(gòu)達(dá)到了應(yīng)有的安全基線，同時(shí)也獲得了最大程度的安全投入回報(bào)。

正如網(wǎng)絡(luò)攻擊者不斷的尋找漏洞，不斷的改進(jìn)其攻擊手段以提高攻擊成功率一樣，企業(yè)機(jī)構(gòu)也需要針對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的變化及時(shí)的進(jìn)行調(diào)整。在這種情況下，高管們應(yīng)該主動(dòng)開展和進(jìn)行一些有利的變革改進(jìn)以適應(yīng)新的合規(guī)、新的法律框架、以及新的風(fēng)險(xiǎn)應(yīng)對(duì)要求。這些變革改進(jìn)包括組織架構(gòu)、企業(yè)安全策略、安全管理機(jī)制、安全技術(shù)等層面，下面給出一些變革的方向和內(nèi)容以供高管們參考。

改變并提升對(duì)網(wǎng)絡(luò)安全的支持程度。網(wǎng)絡(luò)安全的問題會(huì)威脅到企業(yè)的各個(gè)層面，并帶來商業(yè)和聲譽(yù)的雙重?fù)p失，因此，企業(yè)機(jī)構(gòu)的網(wǎng)絡(luò)安全不再只是 IT 部門的問題，僅有CSO或CISO的支持是不夠的。高管們均有責(zé)參與到企業(yè)安全管理中。離開了高管決策層領(lǐng)導(dǎo)的集體支持，則難以建立一個(gè)有效的網(wǎng)絡(luò)安全防護(hù)。調(diào)查表明自2013年起，有31%—32%的受訪者稱，管理層意識(shí)和支持的缺乏對(duì)網(wǎng)絡(luò)安全的有效性產(chǎn)生了不利影響[5]。

提升安全管理層的發(fā)言權(quán)重。一些機(jī)構(gòu)并沒有設(shè)立CSO或CISO的職位，或者CSO和CISO并沒有能夠進(jìn)入到公司的決策層（或董事會(huì)）（國(guó)外著名咨詢機(jī)構(gòu)的研究報(bào)告表明約有75%的受訪者表示其負(fù)責(zé)網(wǎng)絡(luò)安全的人沒有進(jìn)入董事會(huì)[5]）。這樣將導(dǎo)致網(wǎng)絡(luò)安全的問題和建議沒有能夠被決策層給予足夠的重視，從而沒有獲得對(duì)網(wǎng)絡(luò)安全應(yīng)有的建設(shè)支持。

改進(jìn)管理層匯報(bào)報(bào)告的質(zhì)量和內(nèi)容。研究表明在給決策層呈報(bào)的報(bào)告中，存在著兩個(gè)突出的問題。一個(gè)是網(wǎng)絡(luò)安全的內(nèi)容偏低，約25%的報(bào)告會(huì)闡述提及威脅等級(jí)；另一個(gè)問題是網(wǎng)絡(luò)安全的內(nèi)容沒有能夠以決策層能看懂的業(yè)務(wù)語(yǔ)言來進(jìn)行描述。因此導(dǎo)致決策層不能完全了解和理解當(dāng)前機(jī)構(gòu)所面臨的風(fēng)險(xiǎn)，進(jìn)而對(duì)網(wǎng)絡(luò)安全建設(shè)產(chǎn)生了不利影響。

提升應(yīng)對(duì)危機(jī)的處置能力?，F(xiàn)在絕大多數(shù)的企業(yè)機(jī)構(gòu)普遍均建立了基于技術(shù)層面的網(wǎng)絡(luò)安全應(yīng)急預(yù)案。然而，很多機(jī)構(gòu)缺乏以下三種應(yīng)急預(yù)案。第一種是對(duì)于發(fā)生事件之后如何邀請(qǐng)執(zhí)法機(jī)構(gòu)介入的應(yīng)急預(yù)案，第二種是如何配合監(jiān)管和執(zhí)法機(jī)構(gòu)進(jìn)行事件調(diào)查與處置的應(yīng)急預(yù)案，第三種是如何在媒體上發(fā)布應(yīng)對(duì)消息以緩解或消除造成的社會(huì)影響及公眾質(zhì)疑的應(yīng)急預(yù)案。建議高管們考慮增加以上應(yīng)急處置內(nèi)容和程序，確保企業(yè)機(jī)構(gòu)更加有效地應(yīng)對(duì)安全危機(jī)。

提升對(duì)客戶信息的保護(hù)水平。隨著國(guó)家《網(wǎng)絡(luò)安全法》的頒布實(shí)施，國(guó)家在法規(guī)層面顯著提升了對(duì)個(gè)人信息的保護(hù)要求。高管們需要重新認(rèn)真審視己方機(jī)構(gòu)內(nèi)對(duì)此類數(shù)據(jù)的安全防護(hù)水平。建議通過加強(qiáng)管理和技術(shù)兩個(gè)層面的安全內(nèi)控，降低內(nèi)部人員惡意竊取或無意泄露客戶信息的幾率。建議通過加強(qiáng)第三方管控，減少經(jīng)由第三方人員和機(jī)構(gòu)泄露客戶信息而給企業(yè)機(jī)構(gòu)帶來的直接和間接損失。

網(wǎng)絡(luò)安全對(duì)企業(yè)機(jī)構(gòu)的高管們而言不是一個(gè)單純管理或技術(shù)層面的戰(zhàn)術(shù)問題，而是一個(gè)關(guān)系到企業(yè)生存的戰(zhàn)略問題。網(wǎng)絡(luò)安全需要高管們對(duì)其有清晰、正確和全面的認(rèn)識(shí)，通過主動(dòng)和積極方式將其作為組織治理、風(fēng)險(xiǎn)管理和業(yè)務(wù)連續(xù)性框架的必不可少的一部分。隨著網(wǎng)絡(luò)安全形勢(shì)的日益嚴(yán)峻，國(guó)家和行業(yè)網(wǎng)絡(luò)安全監(jiān)管的日益嚴(yán)厲，建議企業(yè)機(jī)構(gòu)的高管們加強(qiáng)對(duì)網(wǎng)絡(luò)安全的工作協(xié)同、改善工作機(jī)制、保持持續(xù)有效的建設(shè)投入、以靈活和恰當(dāng)?shù)姆绞綐?gòu)建和形成具有彈性的企業(yè)網(wǎng)絡(luò)安全治理。

參考文獻(xiàn)：

[1]  http://www-03.ibm.com/security/cn/zh/ciso/index.html

[2]  http://nsc.anu.edu.au/news-events/news-20161102

[3]  https://www.us-cert.gov/sites/default/files/publications/DHS-Cybersecurity-Questions-for-CEOs.pdf

[4]  KPMG 《Cyber security: a failure of imagination by CEOs》, https://assets.kpmg.com/bh/en/home/insights/2016/04/cyber-security-ceo-cyber-outlook-study.html。

[5] 《安永第19屆全球信息安全調(diào)查報(bào)告》，http://www.ey.com/Publication/vwLUAssets/ey-global-information-security-survey-2016-cn/$FILE/ey-global-information-security-survey-2016-cn.pdf

編輯：劉帥    校稿：張龍飛  張海倉(cāng) 王寧   審閱：徐特