问题描述
《CIOINSIGHT/信息方略》 以免费模式横扫安全行业的奇虎360,因遭遇宝钢全面卸载而引发了一场冲击波。安全软件是否真安全?CIO群体的担忧骤然加剧并迅速扩散,由反思而起的免费模式再评估,慎选安全软件,以及安全理念升级等讨论,都确凿无疑地说明,千里之堤,溃于蚁穴,企业提高对桌面信息资产的重视程度势在必行。 前不久,宝钢集团要求全体员工卸载360相关软件,此举引发了企业信息管理部门管理者的高度关注与广泛讨论。据宝钢内部通知显示,因360客户端软件将宝钢协同办公系统列为恶意软件,严重影响办公,后经分析,原因是该软件设有获取客户访问网页信息等后门,存在威胁宝钢内部系统及信息安全隐患。由此,宝集团成为继网易、ABB等企业相继禁用360软件后,又一个因为360软件存在安全隐患问题而全面卸载的大型企业。 如今,面对越来越多肆意盗取信息等危害信息安全的行为,我们应该主动出击。但我们该采取怎样的措施来保护我们的信息安全,打响信息安全保卫战?作为企业,应该如何更好地利用先进的技术或者如何才能从根本上提高员工的意识是需要探讨和解决的? 为此,《CIOINSIGHT/信息方略》就信息安全热点事件出发,对企业如何掌控信息安全进行了调研。并在1月24日开展了“掌控企业信息安全”的深度访谈。邀请到神华集团信息管理部副总经理丁涛,宏源证券CIO王海航,北京东方中科集成科技股份有限公司CIO金春姬,北京东方集成科技股份有限公司信息技术部经理陈扬,IBM大中华区云计算服务部资深IT顾问万涛,海航旅业信息管理部严宏起就如何加强企业信息安全进行了热烈的讨论和交流。 参与本次调研的300家企业遍布全国,均为本地企业,所在地包括11个省会城市和直辖市。此外,参与调研的企业来自金融、制造、卫生、能源、电信、商业等七大行业及政府机构。在所有受访对象中,规模达500人以上的企业超过7成。以下是从300个抽样中,对获得的100份有效问卷进行的分析。对认知和行为两方面的调查。 关键词一:时髦混搭,企业级部署不会选择免费软件 在回答您所在的企业使用的安全软件属于何种类型时,40%的受访者表示,只使用企业级收费软件;60%的受访者表示,收费和免费正在混合使用;而选择只用免费软件的企业为0%。从调查结果可以看出,作为企业级部署,并不会选择免费软件。而对于60%选择混合使用的受访者来说,需要知道该如何搭配收费与免费的杀毒软件,要考虑,为何会出现免费使用?免费软件都用在哪?是系统还是桌面? 在讨论会上,宏源证券CIO王海航首先表明了自己的看法:“在系统级,我们绝对不会部署免费软件。”北京东方中科集成科技股份有限公司CIO金春姬,与他有着相同的观点,“我们在服务器端,包括邮件系统等,都采用的收费软件,而在桌面端,我个人是卸载掉了诸如360的杀毒软件。因为在应用的过程中,会造成很多不必要的麻烦,它可能会无故屏蔽掉我需要看的网页及应用。我们现在也在评估免费软件会对企业安全造成的威胁。”关键词二:侵害事件频发,“肉鸡”操控担忧仅次于病毒 在回答以下哪类事件对信息安全的威胁最大时,病毒首当其冲名列榜首,其次的排序为应用软件被操纵、网络钓鱼,最后才是未经授权的入侵。 面对这样的结果到底意味着什么?是因为病毒这个词的知名度高?即便受访对象都是IT专业人士,是否也把一些网络安全问题,都装入病毒的框子里?那么在花样繁多的网络世界,面对层出不穷,五花八门的手段,再用诸如病毒等大众化语言的分类方式是否足够,或者是否有所偏差? IBM大中华区云计算服务部资深IT顾问万涛从专业的角度给信息安全威胁从技术手法上进行了分析。“传统行业对于互联网下的免费模式并不是很了解,并且对于桌面资产的敏感度也相对较轻。当你在使用免费模式的软件时,背后所付出的代价比如说流量、带宽的占用、系统应用的无端侵入或诱导安装,有可能在PC、笔记本性能的不断提高下,让用户忽略了其背后的成本。要避免对信息安全的威胁,就要从根本上提高对桌面资产的重视程度。”关键词三:天上不会掉馅饼,最关注360泄露隐私问题 在对市场上流行的“免费杀毒”类信息安全工具的看法的调查中,有2%的人认为免费软件适合企业用户和个人用户,安全性高;66%的受访者认为只适合某些个人用户,但不适合安全性要求高的企业用户;有11%的受访者认为免费只是噱头,用户会付出信息泄露的代价;14%的受访者认为众说纷纭,难以判断;7%的受访者认为暂时没有发现问题。 而在受访者对于诸如360的免费杀毒软件所带来的隐患,对于360安全软件错误地屏蔽网址、拦截软件这一选项仅有8%的受访者选择,也暴露了企业对于安全隐患的认知有些脱节。 从结果来看,仅有11%的受访者选择免费只是噱头,用户会付出信息泄露的代价这一选项来看,说明大家对免费的东西仍有青睐,免费似乎是能够打动消费者的软肋。将C、D、E三个选项结合起来看,不难发现,有1/3的受访者对于“免费杀毒”软件的看法仍模棱两可,那么,对于仍然使用“免费杀毒”软件的受访者是因对其认识不足还是将“免费杀毒”与信息泄露等同起来有些夸大其词?怎样评估? 从调查结果来看,企业对于核心系统、数据,都在做比较深刻的保护。“从我们的现状来看,在“端”的层面,如何防止信息被滥用和泄露,是我们很关注的问题。我们在内部有一个控制机制,现在对数据保护层面有更多的关注,下一步,需要将安全放在资产保护的角度给予更多的关注。”王海航说。 免费背后一定有模式,它总是在搜集一些东西,并不是说cookie不可以搜集,浏览器都会有一个搜集cookie的行为,但免费软件通常在你不可知的情况下进行。所以我们不仅要从安全的角度来看,更要探究免费背后的商业模式是否会对企业信息造成威胁。 “安全是有成本的,对于企业内部来讲,要考虑两方面的问题:一方面是杀毒软件本身的性能问题;另一方面,当信息就是资产时,杀毒软件就相当于保安,但面对如今的“云保安”,在桌面端可控的情形下,如何控制“云端”?这就需要推动行业进行监管,所以企业需要评估这些。”IBM大中华区云计算服务部资深IT顾问万涛说。关键词四:建立防范平台,六成企业不允许安装360安全软件 现在对于信息安全的认识,还停留在修建防水墙和防火墙的阶段,但不论是防内鬼还是防外侵,都是试图通过打高墙的方式建立安全防范体系。但现在除了互联网模式可能会频繁跟企业针锋相对外,企业与其合作伙伴、上下游之间交互的密集程度大大的提高了,安全理念应该有什么样的变化?未来企业应该有自己来获取电子举证的能力和手段。企业做安全有四种模式:第一,事件导向,这是早期比较低级的行为方式;第二,技术导向,要上一些什么手段和工具;第三,流程导向,将ISO27001、内控等机制建立起来;第四,风险导向,每个企业的业务性质都是不一样的,所以应该以风险来决定你的方法。 面对各式各样的诸如360的杀毒软件的出现,企业要做的不光是阻止其捣乱,面对在客观上,以一种提供服务的面目,帮助用户,来提高客户体验的方式,比如打补丁。其实应该防止这种行为的滥用,企业应思考当被不断提供免费服务与免费资产的背后是怎样的利益交换。所以,企业应该更加主动的来进行防范,比如,对桌面云化,可以比较好的来避免这样的问题。“现在对于信息安全的重视程度已经不是问题,作为信息化建设的团队应该帮助企业构造一个体系,对于信息安全的投入也要跟信息总项想匹配,从业务角度看,信息安全应该有一个完整的规划,并随着信息建设,逐步完善。”神华集团信息管理部副总经理丁涛说到。
解决方案
解决方案二:
360没想象中的那么坏。商业战的受害者