当前位置:首页 > 资讯中心

蔚蓝沙龙 | 数字化转型中,企业如何避免网络安全风险

2022-12-22590次



近年来,随着企业上云、数字化转型升级的步伐加快,数字化管理给企业带来效率和便利的同时,也带来了数据和网络安全问题,如何建立企业内外部信息安全管理体系、网络安全管理体系等已迫在眉睫。


近日,由杭州市余杭区工商联合会、杭州虎符网络有限公司、杭州华知专利事务所联合主办、理工男®路演家承办的以企业网络安全风险防范为主题的“蔚蓝沙龙”在杭州未来科技城举办。本期沙龙邀请了虎符网络联合创始人兼副总裁顾春辉女士、华知专利事务所总经理季玲行先生以及浙江海虹控股集团董事长陈海贤先生与大家一起分享交流。

过去三年,全球不幸被新冠疫情笼罩,居家办公已是常态,远程办公使得网络安全的重要性凸显。但当下信息安全问题还是会被不少企业忽视,不少企业认为只要业务系统正常运行,网络安全建设做与不做,都无关重要。殊不知,风险是动态变化的,没有信息安全就没有业务安全。围绕网络安全问题,本期蔚蓝沙龙嘉宾们向企业和个人朋友们分享了以下现实话题与专业观点。

话题一:企业在数字化转型中,会遇到哪些网络风险

网络安全风险的分类,三位嘉宾认为,从不同的维度可以有不同的答案。比如从问题来源来讲,可以有来自于外部的安全威胁和来自于企业内部的安全威胁;从涉及的领域来讲,涉及权限滥用风险、法律风险、业务风险、数据泄露风险等;从风险的目标对象来讲,又可分为办公风险和业务风险等。

话题二:如何分辨企业内外部风险

信息安全行业代表,虎符网络的顾总解释说,外部风险其实比较容易理解,就是被外部攻击,如常见的黑客攻击。近年来,伴随着云计算、大数据、物联网、移动办公等技术与业务兴起,以及与政企业务的深度融合,网络环境不再局限在一个固定空间,网络安全边界变得更加模糊,外部风险愈演愈烈,而且是道高一尺魔高一丈。由此带来的典型安全威胁包括:各类内部应用在互联网上的暴露面增加所招致的恶意扫描、渗透、拒绝服务、黑客入侵等攻击,以及由于接入企业内网的人员身份复杂(尤其是第三方、外包人员、合作伙伴等相对不受控或流动性较大的接入群体)、接入设备不可信所导致的信息泄露、越权访问、勒索病毒等问题。

话题三:常见的数据安全风险有哪些

如果说外部风险来自“没有权限的坏人”,那么内部风险则是来自“变了心的好人”,是指正常有权限的人访问和使用了不应该使用的数据,最直接的结果就是内部数据泄露。公司员工离职前大量盗走公司业务、研发数据的案例时有发生,这些都是企业常见的内部风险。

数据安全问题主要包括以下三类典型问题:

数据泄露,这是各类媒体上最常见的数据安全相关的新闻报道

数据滥用,比如同样是企业员工,研发部门通过不合规的手段访问了财务数据,外包人员非授权将甲方的数据下载回了个人电脑上进行开发和使用

数据篡改和欺诈,比如篡改了游戏账号中数据诱骗用户充值等

在网络安全建设的过程中,企业主要面临以下几点问题:


01

企业对网络安全建设的重视程度不够,网络安全意识淡薄,对于网络安全方面的认识层面没有上升到战略高度

02

企业内部管理不规范,没有相关的管理制度

03

缺乏相关的信息安全保障措施,行动力不足

应对网络安全问题,企业应定期开展网络安全意识培训,充分利用公司内部交流平台,积极宣传推广网络安全基本知识,普及网络安全常识和应急举措,加强员工的网络安全防范意识,并定期对员工进行考核,防止网络安全中的“低级错误”,从源头上把好网络安全关口。

话题四:商业行为不合规将承担法律风险

公民的个人信息不是企业的私有财产,如果涉网企业过度收集个人信息可能会招致法律风险;一些大型互联网企业集中存储了超大量的个人信息,这种情况下需要承担更多的法律责任(谁采集谁负责),出现这类数据泄露等事件也绝非是企业的内部安全事件而是公共安全事故。

华知专利事务所季总提醒到,商业项目要特别注意个人信息采集、使用过程中的合法界限,在数据平台经济领域利用数据库优势造成的行业垄断和个人信息的乱用的情况,以及收集者利用数据,加工数据,传输数据过程中是否侵犯个体的合法权益,是否构成不正当竞争,是否形成行业垄断等合规问题。同时,所有信息存储、加工、研发过程中的安全保障问题等都亟待规范。

今年11月3日,中央网信办通报了135款与个人信息保护相关违法违规APP,其中55款被下架,80款被限期整改。被下架的APP近半成存在无隐私政策、隐私政策无法访问、强制索要非必要权限的问题。其实我们身边企业就存在不少相关的APP,因为其违反了《数据安全管理办法(征求意见稿)》和《个人信息保护法》的相关法律法规,而被监管部门要求下架整改,造成了巨大的经济损失。

话题五:网络环境中如何保护个人隐私与财产安全

对于个人隐私与财产安全,顾总给出了一些温馨提示:

提示1:公共场合要谨慎连接WiFi,没有密码的公共WiFi或免费WiFi慎用,尽可能使用移动数据流量。

提示2:APP使用授权要谨慎,要从正规官方渠道下载安装APP,认真阅读服务协议与用户隐私政策说明,尤其不能轻易授权免密支付功能,不使用的APP要及时注销并清除数据。

提示3:不点击来路不明链接,不轻易打开来历不明电子邮件及附件,不随意填写个人资料,不轻易扫描没有安全保障的二维码。

提示4:谨慎管理个人手机号码,注册任何账户前都要仔细考虑。

提示5:涉及个人隐私数据尽量不要上传云盘、网盘。

提示6:单位电脑不带回家,专网专用,重要资料不在多种设备之间来回拷贝,做好数据的管理和备份。

话题六:企业数字化应主动寻求安全保护

浙江海虹控股集团陈总从自身企业出发表示,实体企业数字化转型不仅仅是发展趋势,更是高质量发展的必由之路。在数字化时代,企业如何做到既不掉队又能保护好自身网络安全是至关重要;但令人担忧的是,在数字化转型深化的同时,网络安全却没有同步跟上。

数据早已成为企业内部重要资产之一,企业不能盲目自信,不能依赖于法律法规等外部安全监管,要从被侵权的事后被动保护向主动建立起企业安全保护屏障转变,网络安全不容小觑,企业一定要懂得防患于未然。建议企业负责人找到专业的第三方安全公司和安全人员,根据企业的具体情况完成网络安全咨询和服务。


最后顾总补充到,纸媒时代,纸质文件会被大家锁到文件柜或是保密柜中,会派专人管理。数字化转型后,数据管理变得随意,原先纸上的信息成了网络空间的数据,不管是互联网还是企业内网,凡是上网的数据绝对不能让其“裸奔”,一定要做必要的安全防护。凡是访问人员,也要做好相应的权限,原则是最小化权限,也就是说根据工作需要实时授予最小化权限。

数据,已经成为企业的最重要资产;数字经济,已经成为经济成长的最大功力;数字化转型,已经成为企业生死之选!但为什么仍有大量的企业踌躇于数字化门外,他们担心数字化带来效率的同时网络安全问题可能让自己死得更快。网络安全风险,已经越来越上升为企业和个人众多风险中最大的风险,甚至成为企业数字化转型的最大障碍。

自信基于安全,焦虑源自无解!无论是什么行业,为网络安全投资,是数字化时代的必选题!

上一篇:解读 | 美国国防部零信任战略的第一个“五年规划”

下一篇:虎符网络正式加入CSA,以“零信任”助力企业新安全

热门资讯