网络风险事件的管理

在商业生态圈中，企业间的联系更为紧密，其中一个环节的网络安全事件可能会波及整个圈子，这也导致所产生影响的级别会远远超过单个环节所受的影响。这就要求，整个“圈子”中都不能出现薄弱环节。但现实的问题是，一个生态圈里的成员，规模有大有小，有的很小，甚至有一些是个体户，他们能够投入到安全方面的力量也是很小的。而据德勤统计，网络上黑客或者敌意第三方对企业的攻击事件中，中小企业占75%以上，这就要求在同一个生态圈中的大企业要承担更多的责任。有迹象表明，攻击者针对的是防卫薄弱的第三方，并且会利用这些第三方作为跳板进而对更广泛的生态圈进行攻击破坏。在未来几年里，企业不仅需要监控自己公司内部的安全态势，而且还要管理生态圈中利益相关方的风险和安全，这样做已经越来越重要了。

图6.3　网络风险事件的集中分析

随着互联网技术的快速发展，我们已经处在一个有组织、成规模的网络攻击事件频发的时代，管理层需要面对的不再是如何保护企业资产免受攻击，而是在攻击发生时如何能准确发现并及时响应。从监控与分析的角度来看，一方面需要关注以自身为直接目标的攻击行为，另一方面，对来自利益相关方的可疑行为，也需要纳入监控和分析的范围，利用先进的技术手段和模型进行综合分析，识别高级持续性攻击并及时进行响应处理。

我们认为，为加强网络风险事件管理，企业应结合监管合规、业务需要，将保护、监控、预警、响应和分析等融为一体，通过标准化的流程管理实现可持续的安全运营。在商业生态圈中，从安全监控及事件响应的角度，则更显共享共治思路的重要性，企业需要与利益相关方一致行动，共同面对潜在的安全威胁，协同作战，抵抗来自外部的攻击行为，实现企业间的网络安全共治。

商业生态圈是当今时代企业实施全球化战略与互联网科技结合的产物，已经成为不可逆转的发展趋势。在今天的环境中，拥有内部的核心竞争力已经不能保证企业在竞争中立于不败之地。主动构建、优化与生态圈合作伙伴的关系，实现商业生态圈的共赢才是新一代企业的秘密武器。业务模式和信息技术的创新在给企业带来信息共享程度提升的同时，传统意义上安全防范的边界也变得模糊，生态圈内的信息共享和网络安全共治成为企业应对新态势下的安全挑战的基本理念和要求。

但企业对迎接商业生态圈的网络风险管理的挑战和投入仍然准备不足。据德勤统计，2015年企业IT安全和风险管理的投入大约占到总体IT费用的5.6%，其中IT基础设施安全约占3.5%，应用安全约占1%，IT风险管理约占1.1%，企业用户在IT安全和风险管理方面的投入还很有限。究其原因，还在于目前企业对触网后网络风险的认识不够，而这也正在成为打造商业生态圈最主要的障碍。

我们认为有效的网络安全体系涉及治理、保护、防范、响应等多层次、多角度的分析和管控，而商业生态圈的延伸又增加了企业构建和维护网络安全体系的复杂程度，对于企业的安全能力提出了更高的要求，我们可以协助企业快速诊断在商业生态圈中的安全状态，补足安全防护的短板，提升对抗安全威胁的持续运营能力。