物(wù)聯網企業如何正視安全政策監管

 一(yī)系列的網絡安全漏洞

Facebook用戶隐私洩露，台積電(diàn)工(gōng)廠病毒感染，“小(xiǎo)黑盒”3秒破解智能鎖，騰訊雲“數據丢失”，拼多多被“薅羊毛”……在互聯網、移動互聯網、物(wù)聯網領域，有關網絡安全的案例總是不勝枚舉。

安全專家Bruce Schneier曾撰文表示增加網絡安全風險的三個方面，分(fēn)别是：

• 系統的軟件控制：越來越多的設備聯網，被軟件控制，意味着可能受到攻擊的數量迅猛增長;
• 系統間的相互連接：當系統變得相互關聯時，一(yī)個系統的漏洞容易牽連其他系統受到攻擊;
• 自動或自治系統：當聯網設備普遍具有自主能力時，從安全的角度看，這意味攻擊的影響可以立即、自動和廣泛生(shēng)效。

因此，随着物(wù)聯網發展帶來的海量設備聯網，我(wǒ)們更加生(shēng)活在一(yī)個不安全的網絡世界。但此類文章最希望大(dà)家記住的，并不簡單是一(yī)些危言聳聽(tīng)的标題。

監管的作用

當數據變成金礦，對監管，數據保護和隐私的呼籲就越來越多。監管合規将成爲網絡安全的重要因素。而在監管方面最嚴格，最完善的，無疑是歐盟議會和歐盟理事會在 2016 年 4 月通過，在 2018 年 5 月開(kāi)始強制實施的規定——GDPR(通用數據保護條例)。

此處筆者選取幾項條例以作說明：

• 企業在收集用戶的個人信息之前，必須以“簡潔、透明且易懂的形式，清晰和平白(bái)的語言”向用戶說明——将收集哪些信息;如何存儲收集到的信息;如何使用存儲的信息;以及企業的聯系方式。
• 用戶享有對應的數據訪問權、被遺忘權、限制處理權，以及數據攜帶權等權利。
• 在GDPR下(xià)存在兩種罰款。第一(yī)，未能在發現數據洩露後的72小(xiǎo)時内向ICO報告，組織将面臨高達其年營業額2%或1000萬歐元的罰款;第二，若違反通用數據保護條例，違規公司将付出年度營業額的 4%，或者2000萬歐元(以數目更高者爲準)的罰款。

所以本周，我(wǒ)們看到，谷歌被罰款了，産生(shēng)了GDPR實施以來的第一(yī)例罰款案例。

外(wài)媒報道，法國數據保護委員(yuán)會以違反GDPR爲由，對谷歌開(kāi)出5700萬美元的罰單，稱其未向用戶正确披露其數據如何被收集并用于定向廣告。谷歌也對此回應：“将嚴格遵守透明度和用戶管理以及GDPR的要求，并采取下(xià)一(yī)步行動。”

對于GDPR是否适用國内企業，條例中(zhōng)也有說明：企業如果有歐盟國家的業務，或者有歐盟國家的用戶使用公司的軟硬件産品，就必須遵守GDPR規則。而且，對于國内企業來說，不隻是GDPR，企業應當審視是否滿足了比如《網絡安全等級保護條例》等一(yī)些其他安全合規要求。

換句話(huà)說，在經濟全球化，企業出海更加頻(pín)繁，政府法規趨向嚴格的當下(xià)，中(zhōng)國互聯網、物(wù)聯網企業十分(fēn)有必要在數據保護與隐私方面做好準備，制定措施。

企業的安全意識

百度CEO李彥宏曾經提過：“中(zhōng)國人更加開(kāi)放(fàng)，或者說對隐私問題沒那麽敏感，如果說用隐私來交換效率或者便捷性，很多情況下(xià)大(dà)家是願意這麽做的。”其實這句話(huà)不無道理，也代表着一(yī)部分(fēn)企業的态度，但并不意味着企業可以毫無節制，比如一(yī)款需要獲取用戶短信、通訊錄權限的日曆軟件，用戶自然是要打個問号甚至反感的。

增減權限，這是技術上很好操作的事，但企業關于網絡安全保護的意識，卻是安全建設的關鍵。以下(xià)我(wǒ)們将主要從物(wù)聯網安全角度展開(kāi)描述。

1. 企業高管的直接重視

根據美國公司SailPoint的2018市場調查報告：“75%的員(yuán)工(gōng)承認在帳戶中(zhōng)重複使用密碼。”

乍看起來，這似乎與物(wù)聯網安全無關，但它正可以告訴我(wǒ)們在整體(tǐ)安全風險意識方面，員(yuán)工(gōng)依然沒有養成安全相關習慣。在這份報告中(zhōng)，86%的受訪者認爲他們的企業需要提高對物(wù)聯網威脅的認識。

随着與物(wù)聯網相關的威脅級别和安全挑戰的增加，嚴重的知(zhī)識缺乏将使企業面臨巨大(dà)風險。

因此，企業應着力在執行層面上創建安全意識，并培訓相關人員(yuán)。通俗點說，搞清楚誰将爲物(wù)聯網安全負責，是CIO、CTO，還是CSO，其實也是十分(fēn)重要的一(yī)點。

當研究機構就“誰在組織中(zhōng)負責物(wù)聯網安全”提出問題時，33%的人選擇了CIO，15%的受訪者表示沒有相關職能部門。

2. 優先關注最需要的環節

在報告中(zhōng)，超過50%的IT和安全決策者表示，爲了防止物(wù)聯網安全攻擊，他們會優先考慮安全解決方案中(zhōng)的一(yī)些關鍵功能，比如監控異常行爲、漏洞管理等等。

也有37%的受訪者表示，他們并不總是能夠在實施物(wù)聯網解決方案之前确定好安全需求。由此，Gartner提出，到2020年，物(wù)聯網安全增長的最大(dà)抑制因素将歸因于物(wù)聯網規劃中(zhōng)缺乏優先級，缺乏實施安全的最佳實踐和工(gōng)具。并且因爲這些，包含物(wù)聯網安全企業、安全标準組織、聯盟組織在内的各方，正在着手建立針對物(wù)聯網安全組件的技術标準，希望打造通用架構或者一(yī)緻的安全策略，幫助用戶優先解決最薄弱的痛點需求。

3. 與專業安全公司緊密合作

未來幾年，企業的業務更加趨向雲化，黑客、黑産攻擊的形式越來越多樣，技術手段會越來越強。所以，阿裏巴巴達摩院将“數據安全保護技術加速湧現”列入2019十大(dà)科技趨勢，一(yī)點都不過分(fēn)。

而且，攻擊通常要比防禦簡單得多。如果是攻擊，隻要找一(yī)個方式就可以了，但如果是防禦，就得想出無數的方法，來應對五花八門的攻擊。在這一(yī)點，企業與專業安全公司緊密合作就十分(fēn)有必要了，一(yī)方面是獲得安全防護能力，另一(yī)方面是獲得必要的安全咨詢服務。