1. 企業セキュリティの現状
2016 年末以降、ネットワーク セキュリティ インシデントの発生と国家レベルでのネットワーク セキュリティの重要性の高まりにより、ネットワーク セキュリティは国家戦略のレベルにまで高まりました。国家主権構築のフロンティア。
中国の対外開放のさらなる拡大と深化に伴い、中国企業のグローバル化や多国籍企業への投資が進むにつれ、セキュリティの観点から企業ネットワークのセキュリティも第5領域の重要な部分となってきましたが、私の時代には、セキュリティ作業中に、多くの企業、特に国内企業が、第 5 空間の認識と保護の点で先進国に大きく遅れをとっていることが判明しました。これには、内部および外部のさまざまな理由があります。
この記事は、第5空間の建設と予防において企業が直面するさまざまな問題を要約するとともに、中国企業と政府が第5空間の建設において発展するための方向性とアイデアを経験を通じて提供するものである。
同時に、スノーデンのプリズムゲート事件の後、彼らは国家安全保障に対するネットワーク情報セキュリティの重要性と価値も認識しました。
2. 現段階で企業が直面する問題
2017 年に WannaCry ウイルスが大規模に発生して以来、企業はネットワーク情報セキュリティの重要性と価値を認識しています。しかし、自社のネットワークや情報セキュリティシステムの構築にはさまざまな問題が発生する。
2.1 セキュリティ人材の不足
システム エンジニア、ネットワーク エンジニア、プログラマ、運用保守担当者、品質保証 (QA) 担当者などと比較して、ネットワーク セキュリティ担当者には比較的高い要件があり、複数の分野にわたる比較的広範な知識が必要です。 。たとえば、米国のセキュリティ分野で著名な CISSP 認定担当者は、法令、情報資産のライフサイクル、暗号化、物理的セキュリティ、通信セキュリティ、アイデンティティ セキュリティ、セキュリティ評価とテスト、セキュリティ運用、セキュリティ管理など 10 近くの分野を理解する必要があります。ソフトウェア開発セキュリティに関する知識。
この知識と経験を理解し、実際の業務に適用できるようにするには、セキュリティ分野での長年の実務経験が必要です。これは、中国の多くのインターネット企業が 35 歳以上の従業員を採用しないという規則に矛盾します。
もう 1 つの点は、私が接したほとんどの企業では、セキュリティ担当者のポジションが IT 部門の下に置かれたり、運用保守管理者の中にさえ配置されていることが多いため、経験豊富なセキュリティ担当者の給与が一般的に低いということです。収入も責任も不平等。
提案: 昨年ヨーロッパで施行された GDPR を参照してください。一定規模のデータ量を持つ企業は DPO (データ保護責任者) を設置する必要があり、この DPO コミッショナーは、イベントが発生した場合に政府の専任データ セキュリティ部門に直接報告することができます。重大なセキュリティインシデントまたはデータ漏洩が発生した場合は、部門に報告する必要があります。そして、これらの DPO の職責は法律で保護されており、企業は DPO の仕事に不満があるからといって彼らを解雇することはできません。
現在、中国の「中華人民共和国ネットワークセキュリティ法」により、企業のセキュリティは人間が実施すべきであることが明確化され、セキュリティ担当者の責任と処罰が法レベルから明確化されていますが、依然としてセキュリティ対策は必要です。責任と権利の不平等な状況を打破するために、責任を負う警備員に一定の範囲を与える。
2.2 多くのセキュリティファンドには実際の利益はありません。
私が連絡を取った多くの企業の中で、企業のトップリーダーの何人かは、セキュリティ製品への投資は本当に巨額であると言いました。セキュリティは贅沢品であり、投資するかしないかは問題ではありません。実際には会社の運営には役立たない。
ファイアウォール、侵入検知、ウイルス対策ソフトの種類は多岐にわたり、商業活動においてファイアウォールや無敵の壁などの製品を誇張する業者も多く、同社のセキュリティ投資が無駄になっている。
ランサムウェアに遭遇し、サプライヤーに直接代金の支払いを求め、契約に基づいてサプライヤーに身代金を支払って計算する上場企業もありますが、ランサムウェアが年に1回来ると仮定すると、1回の支払い額は30万~50万となります。安全への投資は年間50万元以上であるべきであり、長期的な投資であるため、毎年安全投資に遭遇しない中国企業は非常に多い。
提案: セキュリティ製品の有効性テストは、この文書で解決すべき問題です。企業のセキュリティ意識、政策、規制、財務監督などについては、「アプリケーション指向の企業情報セキュリティ アーキテクチャ システム」を参照してください。規制することが求められています。企業情報セキュリティ専門家の設立と報告、情報開示などのメカニズムも、企業が長期的なセキュリティメカニズムを確立するのに役立ちます。
2.2 セキュリティコストの移転
多くの企業は、セキュリティへの投資をサードパーティの企業または個人に移転します。例えば、2018年にはHZグループの個人情報漏洩により、ついに5億件以上の中国の個人データが海外に流出し、企業が引き起こした問題は最終的には個人が負うことになった。
2.3 セキュリティ製品の盲目的な選択
国内産業調達の特殊性と国内企業の価値観により、ほとんどのセキュリティハードウェアおよびソフトウェアメーカーおよびインテグレータはトップダウン方式でセキュリティ製品を推進しており、意思決定層に実際のセキュリティフレームワークが欠如しているためそして、実際の製品に対する比較的一方的な理解は、最終的に多大なセキュリティ投資につながります。たとえば、多くのビジネスリーダーはDLPの機能を盲目的に聞き、DLPを行うために多大な資金と人的資源を費やしますが、私が知っているDLPプロジェクトのほとんどでは、最終的にはスタッフ全員が抵抗し、お金の無駄遣いに終わりました。
提案: 多国籍企業は、セキュリティ ラインを確立する前にリサーチに多くの時間を費やし、プロのセキュリティ コンサルティング会社に設計を依頼することもあります。国内企業は、セキュリティ ベースラインを確立する前に、セキュリティ コンサルティング会社を見つけて、ある程度の理解を深めたほうがよいでしょう。これにより、企業のセキュリティ製品の選択に明確な方向性が確実に得られます。
2.4
セキュリティベースラインの確立のための体系的なガイダンスが欠如しているという問題は、前の問題と似ています。一部の企業はセキュリティに注意を払い、セキュリティにも注意を払っていますが、適切な体系的なガイダンスが欠如しているという問題は、実際には問題が拡張されていることに起因しています。前回の記事の 2.1 と 2.3 の 2 つの点から。多くの企業の非常に重要なコアデータベースが保護されておらず、ネットワークセキュリティに多額の費用が費やされていることがよくあります。
2.5 まとめ
ほとんどの企業では、企業のセキュリティ フレームワークとセキュリティ計画を徹底的に整理するために、資格のあるセキュリティ コンサルティング会社と上級セキュリティ担当者が選ばれます。
多くの場合、セキュリティ担当者やセキュリティコンサルティング会社は、企業のビジネスとデータを整理し、企業のそれぞれの状況に応じて独自のセキュリティフレームワークシステムを設計する必要があります。同時に、セキュリティ担当者は法令を順守する必要があり、現在、多くの多国籍企業が中国にセキュリティ部門とコンプライアンス部門を設置しており、これらの機能部門はCEO、CSO、CIOに直属しています。
「情報セキュリティレベル保護管理措置」の導入は、政府が企業のセキュリティベースラインを設定することを意識したものでもあり、資格のあるセキュリティコンサルティング会社が企業のセキュリティを整理することで、従来の情報セキュリティレベルから大幅に改善されています。情報レベルから従業員の意識レベルまで。「アプリケーション指向のエンタープライズ情報セキュリティ アーキテクチャ システム」は、企業が独自の情報セキュリティ ベースラインを確立するのにも役立ちます。
3. 開発中の競合をどのように解決するか
企業および起業家としての主な目標は、企業を運営し、製品やサービスを生産し、それらを販売して利益を獲得することです。企業にとって他のことは関係ありませんが、企業の情報化の度合いが高まるにつれて、セキュリティのステータスはますます高くなり、企業のセキュリティ投資の効果を最大限に高めるためには、情報セキュリティの構築は段階的かつ秩序あるアプローチを採用する必要があります。セキュリティベースラインの確立 1. 国民の立場に立った責任を実現する インターネット法や個人情報保護法などの関連法の公布・改正により、企業に法的な観点からの社会的責任が求められます。
「アプリケーション指向企業情報セキュリティアーキテクチャシステム」は、セキュリティベースラインの確立が完了し、実際のセキュリティ責任者と処理担当者がすでに配置されている場合に、企業セキュリティ構築のための段階的なフレームワークに適用されます。
このフレームワークは多くの大手インターネット企業や一部の多国籍企業で使用されており、このセキュリティ フレームワークが企業やセキュリティ担当者のセキュリティ構築に役立ち、参考になれば幸いです。
4. アプリケーション指向の企業情報セキュリティ アーキテクチャ システム
アプリケーション指向の企業情報セキュリティ アーキテクチャ システムは、主に企業のネットワークと端末の情報とデータを保護し、これらのデバイスの物理的なセキュリティは関与しません。
このアーキテクチャ システムは、すべてのデータを物理的に接続し、疑わしいデータを詳細に分析し、企業のビジネスへの影響を最小限に抑えながら最も頻繁に実行される悪意のある動作をブロックするためのフレームワーク システムを可能にするように設計されています。正確な方法。
