2.2　網絡安全關系企業生存

對企業來說，每一輪信息化都使其對網絡的依賴越來越深，企業的資金流、業務流、信息流、數據流和關系流都隨著一輪一輪的信息化浪潮不斷上線升級，使得企業的核心價值從固定資產向信息資產、虛擬資產轉移。由此帶來的網絡安全問題也開始直接關系到企業的生死。

做一下對比，我們就能發現這種變化（見圖2-5）。比如，在從前沒有網絡的時代，如果犯罪分子要危害一家企業，盜取它的100萬資金，那么犯罪分子就需要組織三個悍匪，然后開著一輛車，深夜到這家企業所在的辦公室或廠房，撬鎖進入財務部門，成功爆竊保險箱后才能夠帶走這100萬資金。而如今，犯罪分子如果要危害這家企業，他只要帶上一個U盤，找一個理由進入這家公司，找到存有客戶信息的計算機，并尋找機會復制和粘貼，就能偷走這家公司所有的客戶信息。因此在這個信息時代，讓一個百年的老字號企業倒閉，也許只需要一天時間。

2.2.1　系統遮蔽內部舞弊會置企業于死地

1995年，一夜之間，巴林銀行這家全球最古老的銀行之一破產了，它曾經是英國貴族最為信賴的金融機構，具有200多年優異的經營歷史，仍未能逃過破產的結局，這一事件震驚世界。而究其原因，竟然是一個普通員工利用企業內部系統漏洞實施了舞弊行為：在交易系統上創建一個錯誤賬戶，把自己虧損的交易全部放進去，掩人耳目。這名員工就是尼克·里森，他是巴林銀行一位普通的證券交易員。尼克·里森于1989年加盟巴林銀行，1992年被派往新加坡，成為巴林銀行新加坡期貨公司的一名證券交易員。

事后分析，尼克·里森可以實施這種舞弊行為的核心原因是他在系統中具備雙重職責，即同時具備交易部和清算部職責（一個前臺、一個后臺）。所以對尼克·里森來說，他既自己做交易，同時又監管自己的交易，既做運動員，又當裁判員。銀行體系中既有標準賬戶，又有錯誤賬戶，“假”的錯誤賬戶沒有被及時發現，真是一個相當大的Bug。

但是不要小瞧此類Bug，在企業中這種問題比比皆是。2008年1月24日法國興業銀行就又發生了類似的信息交易舞弊案。一心想成為明星交易員的法國興業銀行負責對沖歐洲股市的股指期貨交易員熱羅姆·蓋維耶爾利用法國興業銀行的漏洞，通過侵入數據信息系統、濫用信用、偽造及使用虛假文書等多種欺詐手段，擅自投資歐洲股指期貨，造成該行稅前損失49億歐元（約385億元），致使法國興業銀行瀕臨破產。

業務的信息化讓企業內部流程從紙質文檔流轉轉為信息系統數據流轉，在這個過程中，雖然效率提高了，但是隨著在高效流轉下的數據越來越多，其遮蔽效應也會顯現出來，對系統數據做手腳，一旦成功，相比紙質文檔流轉下的業務流程，其被發現的難度高出許多。尤其是在現代企業中，員工可能擁有十幾個甚至幾十個內部業務系統賬號，當這些權限大量混用時，這種系統對內部舞弊行為的遮蔽性風險就會被放大。因此，信息系統下的流程并不代表規范和可控，完全信賴信息系統對企業來說是一個誤區。

2.2.2　網絡可用性影響企業價值

可用性[1]一般是指對象是否一直可以被使用，顧名思義，網絡可用性就是指網絡或者信息系統是否能被企業一直持續地使用。在企業信息化早期，這個可用性是不成問題的，因為那個時候企業的信息系統主要還是內部員工使用，系統有了問題，停用1～2天，員工恢復紙質流程和電話聯絡仍可以繼續開展業務，有時系統停用一周也沒事。而隨著信息系統的不斷發展，系統越來越多，企業的相關方包括合作伙伴、供應商、客戶等都被納入信息系統使用者范疇，可用性就成為一個能影響企業價值的大問題。

2015年5月28日早上11時國內某在線票務服務網站突然全線癱瘓，其網頁版和手機App均不能正常使用。直至晚上11時，部分功能才得以修復。在“宕機”期間，其眾多用戶滯留機場和酒店，無法正常值機、入住酒店。企業核心系統安全事故處理一般要求在一到兩個小時之內恢復業務，最多不超過5小時，超過這個時間就說明組織對系統的可用性管理出現了問題。這次事件導致該網站股票大跌，損失超過1200萬美元，平均下來，“宕機”一小時的損失達百萬美元。

不僅是股價下跌，網絡可用性管理失效更致命的是會導致企業客戶大量流失。在國內二次元領域，有兩個網站最為知名，分別是A站和B站，A站指的是AcFun彈幕視頻網，B站指的是嗶哩嗶哩（bilibili）視頻網。2007年AcFun成立，通過彈幕視頻這一創新性十足的功能迅速在二次元圈中建立起影響力，不過，不知道為什么，AcFun經常“宕機”。在2009年7月由于機房故障A站開始無法訪問，斷斷續續直到8月問題才得以解決。而就在宕機的這段時間里，A站老會員徐逸建立了當時作為A站備胎的另一個視頻站“mikufans”，此站于2009年9月26日上線，并在次年改名bilibili。隨后，還是由于間或的“宕機”，A站的用戶紛紛轉向B站。在2017年又經歷了4次大的“宕機”事件后，用戶對AcFun的熱情降到了冰點，2018年2月2日A站關停。當然A站關停的內部原因復雜，但不可否認，大量用戶的流失是其中關鍵癥結。而導致用戶流失的關鍵原因就是“網站不穩定”。這次事件表明，對企業來說，對核心系統可用性的嚴格管理是非常有必要的，并且應該是未來企業內控的重中之重。

2.2.3　企業機密泄露防不勝防

信息化導致企業有價資產從實體資產向虛擬資產轉移，這一過程是潛移默化的，很多企業并沒有認識到對這一過程保護不當就會導致有價資產的流失和泄露，同時會造成企業價值和聲譽的損害。

A公司是國際知名的無人飛行器控制系統及無人機解決方案的研發和生產商。2017年國際安全研究員在互聯網上獲得了A公司農業無人機產品的部分代碼，在對這些代碼進行分析研究后，他發現了一個非常嚴重的漏洞。這個漏洞能讓攻擊者獲取到SSL證書的私鑰，并允許他們訪問存儲在A公司服務器上的客戶敏感信息，這使得A公司的所有舊密鑰毫無用處，從而可能導致其服務器上的用戶信息、飛行日志等私密信息能被下載。研究員隨即在互聯網上發布了這一漏洞，造成A公司農業無人機產品的經濟損失達116.4萬元。

軟件代碼理論上是封裝在無人機里的，正常情況下不應該被企業以外的人隨意讀取和分析，這位研究員到底是如何拿到這些代碼的呢？經過調查，原來是A公司的一名軟件工程師所為，該員工主要負責編寫農業無人機的管理平臺和農機噴灑系統代碼。他通過一個計算機指令，將含有公司農業無人機的管理平臺和農機噴灑系統的兩個模塊的代碼上傳至某托管服務網站的“公有倉庫”，造成了源代碼泄露。

從該工程師的行為可以發現，他并不是故意泄露A公司的代碼的，因為該網站是全世界程序員的代碼共享平臺，他可能只是為了向程序員們炫耀一下個人寫得比較滿意的一段代碼，想不到這些代碼卻是企業的商業秘密，屬于核心資產，不得泄露。他自己也為此付出了慘重的代價，最終被判處有期徒刑六個月，并處罰金20萬元人民幣。

換一個角度，我們也可以看出可能連企業自己也沒有意識到有些代碼就是企業的核心秘密。在我國如A公司這種高科技企業都可能沒有意識到這個問題，其他企業又會怎么樣呢？綜上所述，企業只有把這些虛擬資產家底理清，并進行妥善保護，才能持續保持企業在市場上的核心競爭能力。

2.2.4　勒索攻擊產業化威脅企業經營

在信息化使得企業嚴重依賴信息系統之后，以破壞企業網絡可用性來實施網絡勒索成為一種越來越嚴重的新型風險。自WannaCry病毒暴發后，勒索軟件攻擊技術不斷升級，攻擊者將這種用于攻擊個人用戶的病毒改造成攻擊企業的利器，并不斷規?；?、產業化。

2018年8月3日晚間接近午夜時分，臺積電的12英寸晶圓廠和營運總部突然傳出計算機遭病毒入侵且生產線全數停擺的消息。幾個小時之內，臺積電的Fab 15廠和Fab 14廠也陸續傳出同樣的消息，這代表臺積電的三處重要生產基地因為病毒入侵而導致生產線同步停擺。這三大廠區生產停擺多達三天，影響當季營收約2%，損失高達10億元。

從2018年至今，此類勒索病毒攻擊事件層出不窮，且越來越具產業化。攻擊者往往不會在滲透企業后馬上發起攻擊，而是潛伏一段時間，簡單了解企業內部的網絡架構后再對勒索病毒做一些適配性修改，在破壞企業的備份數據后就大規模擴散病毒，使企業業務中斷，并實施勒索。由于在很多行業中，各企業開展的業務和內部網絡的架構類似，所以在攻擊完“樣本企業”后，他們就會對所在行業利用適配的勒索病毒進行批量攻擊。這樣的攻擊效率很高，能快速讓很多同行業企業中招。

我們要清醒地認識到，未來勒索病毒風險將是企業需要面對的長期威脅，并且勒索病毒也將呈現傳播場景多樣化、更新迭代快速化、勒索贖金定制化、病毒代碼產業化、病毒多平臺擴散等趨勢，面對這些趨勢，防御比查殺更為重要。因為一旦用戶感染勒索病毒，文件被病毒加密，即使支付贖金，被加密的文件也不一定能被恢復。

2.2.5　網絡安全合規成挑戰

2017年6月1日，《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）正式發布，這標志著我國網絡安全進入法治時代?！毒W絡安全法》明確定義了企業是網絡安全責任主體，也預示著企業網絡安全合規風險正進入深水區。

我國企業早期的信息化建設大多是缺乏規劃的，重功能而輕安全，一大批信息系統倉促上線，缺乏整體的安全設計，后續運維投入又不足，導致很多企業內部網絡都是“紙老虎”，一捅就破。以前當企業網絡被攻擊并遭受損失后報警時，企業是受害者，警方會組織力量抓捕攻擊者。但《網絡安全法》頒布之后，這個邏輯發生了變化。同樣的事情發生后，警方首先會檢查企業是否盡到了網絡安全保障的義務，確定網絡安全保護的強度是否達到相應的要求。假如企業沒有盡到保障的義務，安全建設不到位，則首先對企業進行處罰，同時開展對攻擊者的調查和抓捕。這樣一來，企業對網絡安全的責任就大大加重了，對企業來說，自身網絡安全的合規水平就變成了一個非常重要的強制要求。

近兩年隨著《個人信息保護法》《等級保護2.0》《關鍵信息基礎設施安全保護條例》等法律法規的陸續出臺，對企業網絡安全保障水平的要求也就水漲船高。

2017年8月11日，北京市網信辦、天津市網信辦聯合約談了李文星之死的直接涉事單位（某招聘網站）法定代表人，要求該網站整改網站招聘信息。因為經相關部門調查，該招聘網站在為用戶提供信息發布服務過程中違規為未提供真實身份信息的用戶提供了信息發布服務，且未采取有效措施對用戶發布的信息進行嚴格管理，導致違法違規信息擴散。

事情的起因是一個叫李文星的大學生在該招聘網站上應聘時，被引誘到了一個傳銷組織，兩個月后慘死。在這個案件中，招聘網站雖然只提供了求職撮合服務，卻須承擔案件的全部責任。因為該招聘網站違反了《網絡安全法》第24條規定，即招聘網站有義務驗證其平臺上的用戶的真實身份。由此，在用戶注冊流程中，招聘網站不僅要能識別出雇主是一家正規企業，而且還要驗證該企業開展的業務是否與營業執照上所描述的范圍相一致。

換到企業的角度來看，這是一個多么高的要求！然而從法律的角度來看，這是企業必須要做到的！延伸開來，未來所有在互聯網上開展業務、有用戶注冊功能系統的企業，都要達到這樣的認證水平。

在這個事件發生后，該招聘網站做出了如下重大的整改：

1）升級審核流程，新加入的招聘者須100%通過“機器+人工”審核。

2）“活體動態人臉識別+身份證”認證系統上線。

3）全面排查，過去所有未經“機器+人工”審核認證的招聘者只要進行招聘，需要重新核驗。

4）緊急提交網站的新版本，升級了實時查殺系統。

5）網站后臺修改用戶舉報流程，強化快速舉報處理機制。

6）擴租600平方米辦公區用于建設求職安全中心；擴建人工審核及大數據安全團隊。

7）向平臺的全部用戶推送防詐騙短信；建立網站內推送安全提醒的機制。

從企業的角度，我們看到這一項項措施的背后都是持續的成本投入。這就是網絡安全合規的成本，所有原來“野蠻生長”的企業都將面臨這一關的挑戰。

除此之外，跨國企業還面臨著跨國網絡安全法律合規的挑戰。世界上各個主要國家都先后頒布了各自的網絡安全相關法律。2018年5月25日是歐盟的《通用數據保護條例》（簡稱GDPR）的生效日，這使得全球跨國企業一陣緊張。原因是GDPR是出了名的“長臂管轄法案”，被稱為“史上最嚴數據保護條例”，其覆蓋范圍之廣、規定之嚴、懲罰之重，讓全球跨國企業不得不重視。GDPR要求任何存儲或處理歐盟國家內有關歐盟公民個人信息的公司，即使在歐盟境內沒有業務存在，也必須遵守GDPR。假如不遵守的話，最高將面臨其全球年營業額4%的處罰。這也就意味著，GDPR幾乎適用于全球所有的公司。

對跨國企業來說，網絡的安全合規問題在未來會持續困擾企業經營，企業需要早做準備，尤其是很多國家或地區的網絡安全法律法規之間還存在不兼容的情況，這都需要企業開啟智慧去迎接挑戰。

2.2.6　企業網絡安全現狀堪憂

如今企業已不能忽視網絡安全問題，后者已經成為關系企業生死存亡和可持續發展的大問題。然而目前中國企業網絡安全現狀堪憂，主要是存在四方面的矛盾，限制了企業網絡安全工作的開展。

1）先進技術與人員意識之間的矛盾。過去30多年的信息化發展讓企業養成了一個習慣，習慣于只講信息化，即只看中先進信息技術對業務發展的價值，而不思考這些技術使用后可能導致的問題，久而久之，使得企業內部人員從上到下只關心技術先進性而不關心安全性。這樣的認知具體表現在：企業意識不到網絡安全對企業永續經營的影響，不愿意投入資源來建設企業網絡安全；企業高層不清楚哪些是企業或者部門最重要的信息資產、它們正在被誰使用，以及存在哪些隱患，從而需要施加保護；企業員工意識不到自己的哪些行為習慣會影響企業的網絡安全，甚至會造成安全事故。

2）安全投入與產出效果之間的矛盾。當討論如何開展網絡安全工作時，所有的企業管理層都不約而同地產生兩個疑問。首先，網絡安全建設方面的資金投入能帶來什么回報？在信息化建設方面，企業投入資金、資源后能夠看到很多實際的成果，包括設備、網絡、系統等，這些東西看得見、摸得著。然而在網絡安全建設方面，投入的結果就是讓企業避免發生網絡安全事故，而企業網絡安全事故的發生有其突發性和偶然性，誰也無法保證不出問題。有的時候，安全工作明明做得很好，但是安全事故就這么突然發生了；有的時候并沒有做什么工作，資金投入也不多，全年卻沒有任何安全事件發生。網絡安全工作這樣的特點讓企業管理者弄不清楚網絡安全的投入產出比，既然弄不清楚投入產出的問題，那么他們認為最好的選擇就是不投資了。其次，到底投入多少資金和資源建設才能實現企業的絕對安全？結論是，無論投入多少資金、資源，也無法保證企業網絡100%不出事兒。那么這樣看來，網絡安全工作就變成一個永遠填不滿的無底洞，用有限的資源去對付無限的網絡風險，任何網絡企業管理者都會更傾向于不投入或少投入。其實，要講清楚企業安全建設所需的投入水平并不困難，只需要專業人員根據企業的發展階段進行評估就可以得出，然而太多企業因為這對矛盾而限制了網絡安全的保障工作，最終選擇事件驅動型的被動式防御措施，也就是出了問題再彌補的方式，導致很多不必要的安全事故發生。

3）歷史遺留問題與新型外部威脅之間的矛盾。歷史遺留問題積重難返，這也是很多企業面臨的困難。由于控制成本或缺乏規劃等原因，十幾年前建設的網絡和信息系統往往沒有安全保護的整體設計，在安全功能和安全審計等方面存在缺陷，導致在后期運維階段很難實現對系統的全面保護。而隨著這些老舊系統運行時間越來越長，積累的業務數據越來越多，它們對企業的重要性越來越大，老舊系統和安全防護壓力之間逐漸產生巨大矛盾。而外部網絡安全攻擊威脅日新月異，新型漏洞和攻擊手段被不斷發現，加劇了這個矛盾的顯著性。發展到今天，加之法律法規及監管機構對企業的合規要求，這個矛盾更是讓企業頭痛不已。因為要解決這些老舊系統的安全問題，需要企業進行大規模的投資重建，而重建系統成本之高，企業無法負擔，但不重建，僅通過小修小補又無法彌補已暴露出的安全問題。企業就在這種糾結的狀態下無奈地等待著不知何時“大雷”的爆發。

4）新一輪信息化與安全保障之間的矛盾。對企業來說，工業4.0、物聯網、5G、人工智能等技術帶動的新一輪企業信息化就在眼前，到時企業內的信息設備種類會越來越多，網絡架構也會迭代更新，在新的網絡架構下如何開展安全保障工作矛盾突出。物聯網安全、5G安全、人工智能安全，這些新領域的保障需求給網絡安全防范帶來巨大挑戰。

以上展示了目前企業在開展網絡安全保障工作時的困擾，這些困擾阻礙了企業提升網絡安全保障的水平。很多企業也因為這些“理直氣壯”的理由，忽視或漠視網絡安全工作。然而假如我們換個角度，即從企業自身發展的生命周期角度來看，就會發現，對所有希望做大做強或永續經營的企業來說，網絡安全就是企業發展過程中遇到的一道坎，從長期來說，邁不過去，企業無法壯大；邁過去了，才有基礎向更高的山峰前進。因此，企業高層能否認清企業發展與網絡安全的關系，就成為企業發展的一個關鍵問題。

---

[1] 可用性在網絡安全領域是指企業內網絡系統服務不中斷的運行時間占實際運行時間的比例。所以，可用性其實是一個百分比，如99.9%。