數(shù)博會聚焦：“一帶一路”數(shù)字絲綢之路急需網絡保鏢

5月26日，2017中國國際大數(shù)據產業(yè)博覽會在貴陽開幕，360威脅情報中心發(fā)布《“一帶一路”企業(yè)安全研究報告》（以下簡稱“報告”），這是首份針對參與“一帶一路”建設央企的網絡安全與信息化建設狀況的專題報告。報告詳述了央企在“一帶一路”建設中面臨的網絡安全挑戰(zhàn)，并呼吁國家有關部門出臺政策鼓勵網絡安全企業(yè)隨“一帶一路”走出去為央企保駕護航，實現(xiàn)發(fā)展與安全同步推進，保衛(wèi)好這條21世紀的數(shù)字絲綢之路。

企業(yè)普遍被信息基礎設施與數(shù)據傳輸困擾

報告顯示，根據調研結果，走出去的央企普遍認為，受限于當?shù)氐慕洕l(fā)展狀況、信息基礎設施建設水平，以及央企自身業(yè)務特點，在境外通訊、境外項目管理、遠程數(shù)據傳輸、IT系統(tǒng)“云化”等重要的常用業(yè)務上方面的安全需求非常迫切，否則將給經營業(yè)務帶來較大制約。

以電子郵件為例，這是國外使用的較多的通訊工具，是央企和境外客戶交流的主要途徑。但很多企業(yè)的郵件出現(xiàn)過丟失問題，給溝通雙方都造成困擾，甚至有央企被迫在海外建中轉服務器，但問題依然難以解決。

如何保障數(shù)據的安全加密、存儲和傳輸，是很多在沿線國家開展業(yè)務的央企面臨的突出問題，很多涉及商業(yè)機密的數(shù)據，苦于找不到安全、適合的傳輸方案，甚至出現(xiàn)有企業(yè)被迫采用“密碼本+功能手機發(fā)短信”的方式傳輸重要數(shù)據。尤其是云數(shù)據安全方面，很多央企都擔憂云端的數(shù)據可能會遭到竊取。

隨著“一帶一路”的深耕，我國央企在當?shù)氐囊恍┕こ探ㄔO、業(yè)務運營過程中，逐步在增加IT投入與信息化管理手段，使得越來越多的信息系統(tǒng)和數(shù)據暴露在開放的互聯(lián)網上。隨著暴露面不斷擴大，原有的網絡安全防范措施也將受到新的挑戰(zhàn)。

數(shù)家央企都把APT列為最需要關注的威脅之一

根據調查研究，木馬病毒、釣魚網站、信息泄露以及APT攻擊等網絡中常有的威脅方式均在參與“一帶一路”建設的央企中出現(xiàn)。

“一帶一路”項目中，包含很多涉及國與國之間的能源、交通、水利、民航等領域的重大合作，這些合作與國家的政治、經濟、外交政策有很大相關性，因而包含諸多敏感的機密信息。

作為“一帶一路”先行者的央企，其網絡信息系統(tǒng)中既有商業(yè)秘密，同時還可能涉及到國家機密，例如某些邊境上的港口、碼頭、水利工程建設項目，包含的部分地理位置數(shù)據，還有一些海洋勘探數(shù)據等，就屬于國家機密數(shù)據。一直以來，這些機密都是境外APT組織攻擊的主要目標。

根據國內多家安全廠商對APT的持續(xù)跟蹤研究，國際上的APT組織對我國的攻擊活動一直比較活躍，僅2016年就曝出36份針對中國的APT事件相關報告。

處于“一帶一路”推進一線的央企極可能成為境外APT組織首當其沖的目標。報告指出，根據本次調研，以及結合2015年、2016年以來國內主流安全廠商發(fā)布的APT專題報告，目前能源、基建、交通等領域的央企，在東南亞、中東地區(qū)受到APT攻擊的威脅最大。在360威脅情報中心分發(fā)給央企的問卷調查中，數(shù)家央企幾乎都把APT列為最需要關注的威脅之一。

在被調研的14家央企中，某大型企業(yè)員工就曾遭釣魚網站的攻擊。在該企業(yè)的日志中，曾短時間內出現(xiàn)大量企業(yè)員工賬號境外登錄失敗記錄。這些辦公帳號的異常登陸行為均來自國外，犯罪分子利用搭建的假冒網站套取了多個員工的賬號密碼。

網絡安全應納入整體規(guī)劃與發(fā)展同步推進

在大數(shù)據和云計算環(huán)境下，網絡空間安全面臨更加復雜和嚴峻的形勢，離開安全談價值，一切都是空談。因此，“一帶一路”沿線各國需要加強合作，處理好跨境數(shù)據流動，網絡空間治理等問題，才能推動共贏發(fā)展，連接起21世紀的數(shù)字絲綢之路。

境外項目和業(yè)務的信息化建設對這些參與“一帶一路”建設的央企來說，一方面是提升海外項目整體運營效率、加強企業(yè)內部精細化管理的內在要求，一方面也是保護重要數(shù)據安全的剛性需求。

報告呼吁，我國“走出去”的央企應該加強統(tǒng)籌，未雨綢繆，將網絡安全建設納入到企業(yè)“一帶一路”整體規(guī)劃中，實現(xiàn)發(fā)展與安全同步推進，做好心理、策略和技術人員三大準備，對網絡攻擊、信息泄密等風險高度重視，不能懈怠；要制定針對境外業(yè)務場景、境外業(yè)務特點的安全策略，例如建立相關的安全規(guī)范、機制、標準，做好整體安全態(tài)勢監(jiān)控等，最大程度減少安全盲區(qū)，降低內外部安全風險；并建議國家相關主管和監(jiān)督部門，出臺政策鼓勵網絡安全企業(yè)隨“一帶一路”走出去為央企保駕護航，將積極性較高的央企以及有意愿、有實力的安全廠商組織起來，共同參與建立境外的安全信息共享機制。

還應加大網絡安全人才培養(yǎng)扶持，逐步建立完善由央企、安全公司、科研院校各方力量共同參與的人才培養(yǎng)體系，為“走出去”的央企提供充足的實用型技術人才，為我國央企乃至更多企業(yè)“走出去”，打下長遠基礎。