人在网络飘，如何不挨刀？

2018年安全事件特征

回顾2018年安全事件，信息泄漏、勒索、钓鱼邮件、DDoS攻击、漏洞利用事件呈现高发态势：

1、信息泄漏部分事件回顾：

①  2018年3月发生的Facebook事件,超过8700万条数据被泄露和滥用。

②  2018年5月加拿大两家银行遭黑客攻击 9 万名客户信息被盗。

③  2018年8月国内某酒店集团发生客户信息被盗，涉及到1.3亿人的个人信息及开房记录泄漏。

④  2018年11月万豪酒店旗下酒店被黑客入侵，多达5亿客户信息遭泄露。

信息泄漏事件已呈现常态化，无行业、领域、国家的分别。随着全球信息化程度的提高，全社会对网络和数字化技术的依赖，这一情况还将加剧。用户信息泄漏将使金融企业面临巨额赔偿并威胁到用户个人财产和生活稳定。

2、勒索、钓鱼邮件、DDOS攻击部分事件回顾：

①  2018年，勒索病毒GlobeImposter众多变种开始在国内进行传播，各个变种加密文件后修改的文件后缀名也各不相同，其主要是通过钓鱼邮件进行传播。

②  2018年发生多起非常有针对性的邮件钓鱼攻击事件，邮件系统已成为安全短板。

③  2018年12月，有疑似“Anonymous”黑客组织账号在推特上发动代号为OpIcarus的攻击行动，并称已攻陷部分国外银行。在其发布的攻击目标清单中，包含部分国内银行网站。

2018年勒索软件、钓鱼邮件、DDoS攻击仍然是黑客攻击的主力，无数的勒索软件变种威胁金融企业信息安全，越来越多的网络钓鱼诈骗防不胜防，DDoS攻击无论从攻击数量还是攻击峰值都再创新高。

3、漏洞利用部分事件回顾：

①  根据国家信息安全漏洞库（CNNVD）统计，2018年12月份采集安全漏洞共1275个。本月接报漏洞共计3629个。截至2018年12月31日，CNNVD采集漏洞总量已达119892个。

②  2018年绿盟科技和平安金融安全研究院联合发布《2017金融科技安全分析报告》显示，近半数受访金融机构对漏洞修补时间超过一周。

③  2018年第二季度，评估机构对银行业安全状况采样分析后，共发现7553个CVE漏洞，共140种漏洞，53%的银行机构存在比较严重的安全漏洞，这些漏洞—旦被利用，可能会造成严重的信息泄露或者系统中断。

漏洞层出不穷，传播速度急速加快，漏洞利用产业化，而企业内部信息资产日益繁杂，漏洞事件响应缓慢，管理流程缺乏体系，漏洞修复困难重重，促使企业需要寻求一种合理有效且符合自身情况的漏洞管理方法。

二

从事前、事中、事后，搭建风险防控体系

一个完整的信息安全规划是一项较为复杂的安全咨询服务工作，主要依据行业发展动态及信息安全策略，结合企业业务流程及IT环境，对信息安全现状进行风险评估、差距分析；从安全技术、安全管理和安全组织三个角度帮助企业构建短期、中期与长期的信息安全规划，将信息安全的单点风险控制转变为全面的安全规划，进而实现有效的信息安全建设并建立完整的信息安全保障。建议企业从事前、事中、事后三个层级设计，搭建风险防控体系：

1、事前主动管理

通过进行信息系统安全等级保护，可使企业在安全控制测评和系统整体测评过程中对于现有系统的漏洞及时得以发现，并根据专家建议及时进行修复处理。建立信息系统安全等级保护是信息系统安全的基础，通过此方式可提高企业自身应对网络安全风险的抵抗力。

《信息安全等级保护管理办法》规定，根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度，安全等级由低到高分别划分为一至五级。安全等级越高，防护措施要求越严格，即意味着在安全建设方面的成本投入也越大。

在此基础之上，及时获知当下安全威胁趋势，相应开展安全评估和加固，如漏洞发现和修复、客户资料泄露隐患点排查和应对、互联网资产暴露检查等。伴随安全建设持续调整防御目标，逐步具备威胁情报管理、监控预警、应急响应处置能力。此过程中，可以结合第三方安全能力，依托其大规模的安全情报系统和专业、智能的大数据分析模块相互融合，协助提升企业的综合安全运营能力。

2、事中及时保障

网络安全风险事件的突发性、应对风险处理的专业性决定网络安全风险事件的处理需要配有专业的体系提供应急响应服务。应急响应服务包括安全通告、应急响应等内容，是一种通过在网络安全风险事件中及时提供安全保障措施为受网络安全风险事件影响的企业有效降低损失的服务形式。

应急响应服务供应商市场主体较多，甄选技术实力强的供应商才能确保企业在遭遇网络安全风险事件时获得有效的安全服务保障。

3、事后有效转移

较为完善的风险处置安排，是集事前风险预防、事中风险控制以及事后风险转移为一体的风险防控体系。应对企业在网络安全风险事件中面临的经济损失风险，可通过购买网络安全保险的形式将一部分风险转移给保险公司。企业可在自行或借助第三方服务商进行风险评估后，制定合理的风险转移方案，从而实现最小化成本最大化保障。

企业在经历信息泄露、网络攻击、勒索病毒等安全事件后，必然会面临不同程度的经济损失。若事前充分识别、评估并合理转移风险，在事件发生后，由保险公司赔付相应的损失，便可快速恢复生产经营活动，有效减少网络安全风险事件导致的经营结果的波动性。

若将网络安全风险事件比喻为遭遇的一次身体疾病，通过事前建立等级保护的手段可以提高自身机体对病毒的抵抗免疫力；事中的应急响应服务就如医院的急诊服务，及时进行抢救治疗；正如疾病发生后会产生一系列的费用支出，对于网络安全风险事件发生后产生的各种损失和索赔可通过购买保险的形式有效的转移给保险公司，降低财务压力。

三

网络安全保险主要保障范围

在行业实践经验基础上，对可能遭遇的重要风险进行梳理后，绿盟科技设计的网络安全保险产品主要保障范围包括：

1、第一方损失保障

• 营业中断损失：包括造成被保险人营业中断后仍需要支付的维持费用；

• 数据恢复费用：包括数据的恢复、复建或重新收集费用以及为评估该项工作所花费的成本；

• 勒索损失费用：包括因数据安全威胁遭受勒索发生的损失和费用；

• 鉴定服务费用：包括对实际或疑似发生数据安全事故后确定事故所发生的鉴定服务费；

  
  

2、第三方损失保障

• 数据泄密责任：包括因被保险人个人信息泄密或公司信息泄密造成的第三方直接财产损失；

• 外包商导致数据泄密责任：包括因外包商原因，导致被保险人个人信息泄密或公司信息泄密造成的第三方直接财产损失；

• 数据安全责任：包括因被保险人疏忽或过失发生未经授权的访问、使用、被植入恶意代码或病毒，电子密码失窃造成的第三方直接财产损失引起的赔偿责任；

• 法律服务：包括因保险事故而发生的仲裁或诉讼而产生的相关法律费用；

  
  

四

结语

	请点击屏幕右上方“…” 关注绿盟科技公众号NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP