1、20122012年全球信息安全调查年全球信息安全调查这是普华永道第9次年度调查,9,600名受访者是来自138个国家负责信息安全方面的高级管理人员;13%的受访者来自中国大陆和香港;目前,越来越难预测下次的网络攻击会在何时或以何种形式出现;尽管如此,很多行业的信息安全高级管理人员对自己企业在信息安全管理上的有效性仍很有信心;1谢谢观赏2019-6-1620122012年全球信息安全调查年全球信息安全调查随着信息安全事件发生的频率上升,与商业合作伙伴相关的风险也在加大;相比2008年以来,企业在信息安全的投资,特别是早期预防并提供即时应对措施的相关重要资本和营运支出,有可能被更大幅度地推迟或取消
2、;网络犯罪日渐增多,且形式层出不穷,因此敏捷的反应及具有策略性的准备显得至关重要。2谢谢观赏2019-6-16中国区的受访者来自于多种行业和不同规模的企业中国区的受访者来自于多种行业和不同规模的企业3中国受访者所在的行业中国受访者所在的行业地产、能源、运输、工程及服务 40%科技、资讯、电信及娱乐16%金融服务8%其他 5%消费及工业产品 31%小型( 10亿美金) 32%中型 (1-10亿美金)25%未知5%非盈利/政府/教育机构5%谢谢观赏2019-6-164由于在当今商业环境发生的重大变化,中国展现出在推动信息安全管理由于在当今商业环境发生的重大变化,中国展现出在推动信息安全管理方面成为
3、领跑者的风范方面成为领跑者的风范 。商业环境商业环境对企业机密数据及中国企业所拥有的知识产权保护的重视程度有所增加。更加强调国家/公司资产的保护。中国企业加强了对研发活动的开展,更多跨国公司在中国设立研发中心及共享服务中心,所以需要更佳更强的数据安全措施。法律法律与监管与监管要求要求国资委(SASAC)强调要用更完善的数据安全措施来确保中国国有企业的信息安全;中国的数据隐私法还没出台。然而,中国的保密法对数据保护已形成了一定的保障。谢谢观赏2019-6-16相比全球其他国家,调查显示更多中国受访者认为自己的企业在信息安全策略制相比全球其他国家,调查显示更多中国受访者认为自己的企业在信息安全策略
4、制定和执行中,属于领跑者。定和执行中,属于领跑者。5问题 26n11: 那一个描述最好形容贵公司信息安全的做法? * 报告之数字可能未完全与原此数据一致, 因为四舍五入的影响。 对于信息安全的认知,这种感觉是否真实?是否存在自我感觉良好,但是对于信息安全的认知,这种感觉是否真实?是否存在自我感觉良好,但是实际与感觉有差异的情况?实际与感觉有差异的情况?谢谢观赏2019-6-16尽管在安全技术支出保持乐观态度尽管在安全技术支出保持乐观态度, , 但中国许多机构在人员、流但中国许多机构在人员、流程及技术三大主要因素的配合方面仍然滞后。程及技术三大主要因素的配合方面仍然滞后。6问题15: 贵机构有甚
5、么数据私穏的保障?有关对个人资料私隐的保有关对个人资料私隐的保障障中国中国 2009中国中国 2010中国中国 2011从从2010年至年至2011年年之间发生的变化之间发生的变化人员人员58.0%57.3%59.7%+2.4%流程流程46.4%45.9%49.7%+3.8%技术技术60.2%62.7%63.4%+0.7%(加上之数不等于100%)国资委强调要用更完善的数据安全措施来确保中国国有企业的信息安全。然而, 中国许多机构在平衡人员、流程以及技术三个方面有所滞后。 谢谢观赏2019-6-16已确认及报告的安全事件数量已经略为减少,但其性质及后果却更为严已确认及报告的安全事件数量已经略为
6、减少,但其性质及后果却更为严重,并继续演变为新的威胁。重,并继续演变为新的威胁。新技术在商业上的不断使用,例如使用移动设备来支持各种商业活动(作为新的客户或服务渠道)、社会交往等,都在带来新的威胁。 安全攻击已经从针对“系统”转至针对“个人”,或从“直接侵入”转至“诱惑”,以及引进新的攻击方法(例如:恶意软件)。 现有的“信息安全防护”机制未必能够预防、检测和阻止一些量身定做或特别制订的、更复杂的攻击。 网络犯罪分子继续开发网络攻击的新方法,包括: 针对于存储于终端(如笔记本电脑)上的用户保护信息的漏洞攻击 中间人沟通和网络钓鱼攻击 会话劫持 使用社交媒体和其他独特攻击方式 7谢谢观赏2019
7、-6-16移动应用程序(移动应用程序(apps)apps)作为推动业务的有效工具已被广泛使用,大大改变作为推动业务的有效工具已被广泛使用,大大改变了公司现有的风险状况。了公司现有的风险状况。8移动终端越来越成为网上银行、电子交易平台、电子商城、在线预订等主流互联网应用的入口,可是这个入口并不安全;在各大公司或银行开发电子交易平台或者网上银行时,由于开发周期仓促,造成对于信息安全特别是手机终端的信息安全重视不够,存在很多安全隐患,而这些安全隐患将直接给用户带来财务上的损失;移动终端本身就存在很多先天的风险:o在手机上可以下载并存储敏感信息o这些信息被传输和使用中未被加密,导致证书和个人隐私数据可
8、以被明文截获新的信息安全风险将会出现。随着智能手机的不断发展和技术上的更新,新的信息安全漏洞可能会产生,也将带来更大的信息安全风险。谢谢观赏2019-6-16社交网络已经融入每个人的日常生活,因此演变成一种所有公司都要面社交网络已经融入每个人的日常生活,因此演变成一种所有公司都要面临的新威胁。临的新威胁。社会广泛使用及日益普及的社交媒体 (Facebook、MySpace、人人网、开心网、新浪微博、腾讯微博、Twitter、搜库等);员工(尤其是年轻一代)以社交媒体作联系,通过这些媒体分享可能被视为机密和敏感的企业信息;黑客在攻击前,搜索人们于社交网络的信息;由于社交网络的广泛使用,公司正面临
9、更大的企业信息安全危机;然而,企业是否已经准备好应对这些新科技相关风险的应对措施?然而,企业是否已经准备好应对这些新科技相关风险的应对措施?9谢谢观赏2019-6-16云计算的兴起给各行业带来积极作用,但使得信息安全的形势更加复杂。云计算的兴起给各行业带来积极作用,但使得信息安全的形势更加复杂。 云计算已兴起,超过的中国受访者报告显示他们的机构使用某种云计算服务;中国企业受访者对于云计算可能带来的各种收益,例如降低成本及更快的销售速度,感到很兴奋;但同时,他们对云计算可能带来的信息安全威胁及漏洞也感到不安;高管能否理解及减轻采用云计算服务所带来的风险?高管能否理解及减轻采用云计算服务所带来的风
10、险?机构能否确定云服务提供商执行信息安全规章制度?机构能否确定云服务提供商执行信息安全规章制度?10谢谢观赏2019-6-16数据泄漏和知识产权失窃仍然是国有企业及跨国公司关注的主要问题数据泄漏和知识产权失窃仍然是国有企业及跨国公司关注的主要问题虽然中国企业似乎已经正确地专注于增加他们的数据和知识产权的保护,然而数据泄漏和知识产权失窃仍然是国有企业及跨国公司的高管们关注的主要问题之一。尽管中国企业在信息安全上的投入不断增加,但各种信息泄露的事件还是层出不穷,比如网银的用户信息和消费信息,公司的产品研发计划,公司客户的购买信息,企业产品的采购价格等;目前中国政府要求更多的“中国创造”,要求各企业
11、都加强自主研发;同时,随着中国市场的不断成熟,很多国际公司也将研发中心搬到中国。但在人员经常发生变化,人员信息安全意识不强的情况下,如何做好信息资产的保护,成为各企业的焦点,同时也成为中国政府的关注点;监管部门已经或正在引入各种信息保护措施,包括数据保护和数据隐私的规章制度,这也刺激了中国企业对于信息安全,特别是数据安全保护措施的投资需求。11谢谢观赏2019-6-16尽管尽管APT攻击(高级持续性渗透攻击)已变成越来越普遍,但很多中国攻击(高级持续性渗透攻击)已变成越来越普遍,但很多中国企业还没有意识到这个问题的严重性,或者说只有企业企业还没有意识到这个问题的严重性,或者说只有企业IT部门对
12、这个问部门对这个问题有所认识。题有所认识。在GISS2012调查中,83%被调查的中国企业认为APT攻击将是企业的一个潜在安全问题,但只有不到28%反映他们公司已制定和实施了针对APT攻击的防护措施。大部分企业还停留在普通的渗透性测试,没有顾及已经潜伏在身边的APT攻击。12问题28:下列以下元素,若有的话,包括在贵机构的安全政策?问题17贵机构现时有什么流程信息技术安全保障?问题18:贵机构现时有什么科技信息安全保障?(不是所有因素都被显示。加上之总数不等于100%)谢谢观赏2019-6-16一些信息安全威胁以前只是企业在面对,现在已经从商业威胁提升一些信息安全威胁以前只是企业在面对,现在已
13、经从商业威胁提升到了国家威胁的性质到了国家威胁的性质在某些情况下,这些信息安全威胁不再只是企业面对的问题,而更多是影响到国家利益;高级持续性渗透攻击(APT) 一种日益常见的网络威胁 ,主要以跨国公司为目标;大量的受访者认为,越来越多的高级持续性渗透攻击,使其对安全支出预算相应增加;只有少数企业的受访者(28%)表示他们公司已有应对高级持续性渗透攻击的安全政策;公司高管是否注意到高级持续性渗透攻击所带来的威胁?企业是否有适当的风险评估公司高管是否注意到高级持续性渗透攻击所带来的威胁?企业是否有适当的风险评估和监测控制来察觉高级持续性渗透攻击?和监测控制来察觉高级持续性渗透攻击?13谢谢观赏20
14、19-6-162019-6-1614谢谢观赏网络安全风险不断增加,企业需要认识到网络安全工作永无止境,永远网络安全风险不断增加,企业需要认识到网络安全工作永无止境,永远会有新的问题出现。会有新的问题出现。利用科技利用科技 目前所使用帮助公司提高生产力及推动业务增长的社交网络工具日益被网络犯罪分子所利用,以此攻击安全性脆弱的机构;重大威胁重大威胁目前的网络攻击往往是全球化行动、组织完善、动机明确、资金充裕、耐性十足,及完全专注于间谍情报技术的使用;雷达探测下雷达探测下 目前,网络入侵的发现通常不是通过内部信息技术、业务流程或员工来发现;而是经过第三方,例如本地法律的执行、情报来源、客户或商业合作伙伴的信息而发现;挑战仍然存在挑战仍然存在 网络安全仍然被归为一个信息技术的问题,使其成为一个在业务部门与信息安全团队之间的沟通障碍;新的思想新的思想机构需要一套不同的思维来应对今天的网络安全挑战:需要假设公司的信息安全已经存在漏洞,而外界的各种网络攻击正在不断寻找这些漏洞,并加以利用。15谢谢观赏2019-6-16多谢您的参与多谢您的参与16谢谢观赏2019-6-16
