燈下黑：業務安全成政企行業重大隱患

知名黑客組織發起攻擊、重要系統曝出漏洞，諸如此類的安全新聞不斷見諸報端，這讓我們很容易認為，威脅都主要來自企業外部。但是現實卻很殘酷：超過一半的攻擊都是源自內部人員蓄意或無意的行為。

2016年11月，綿陽警方破獲了一起重大侵犯公民個人信息案件：包括銀行管理層在內的15名犯罪分子，大肆出售公民的銀行個人信息，涉案資金達230萬元；其源頭為遼寧某市中信銀行工作人員，利用查詢賬號登錄銀行內網，在短時間內大肆獲取公民個人徵信報告50餘萬份，並進行出售獲利。無獨有偶，2017年3月，央視報道，某電商巨頭髮生嚴重數據泄露事件，涉及近50億條公民信息。經調查，此事件是由於網路安全部前試用期員工監守自盜，為黑客提供重要信息。

此外，外部攻擊人員還會通過各種釣魚或者社工方式，盜取企業內部的合法身份，從而可以得以完全訪問高端敏感的數據。

安全專家指出，由於訪問者的盜竊和疏忽大意，導致政企的業務中斷、數據泄露，甚至財務損失的安全問題，已經成為政企面臨的重大隱患。這些被統稱為「業務安全」的問題已成為安全專家與用戶關注的熱點。

「燈下黑」致業務安全事件頻發

長期以來，由於政企用戶主要關注防護外部人員的入侵，重視「邊界」防護，對內部業務系統的安全防護往往比較忽視。

另外，由於業務系統的開發多由業務人員主導，對安全問題不夠重視，對於業務系統的管理，有制度文檔，但很少落實到技術手段，只能靠應用自身的認證、許可權系統，以及本地日誌。

因此，對於政企內部的不同業務體系，管理人員往往缺乏所需的信息，無法查看內部人員是否濫用了訪問許可權——幾乎不可能知道他們是否訪問了特別敏感的數據，或者對這些數據做了什麼手腳。對這些合法訪問許可權的「異常」操作，無法及時發現與制止，這就在安全監控方面留下巨大的盲點。

這種燈下黑現象給全球政企機構帶來巨大的安全隱患： 前文提到的綿陽警方破獲的中信銀行工作人員大量竊取儲戶個人信息；2015年，中航信員工利用系統賬號非法獲取和出售山東航空公司旅客信息；以及美國中央情報局（CIA）大量機密文件通過承包商被外泄，規模遠超當年斯諾登泄露的情報。繼2013年斯諾登事件之後，美國安全部門再次出現因內部人員造成的泄密事件。這些事件均系內部人員合法訪問導致的安全事件。

業務安全專家、360企業安全集團副總裁梁志勇表示，在與用戶交流時，很多用戶表示對業務安全的重視程度日益增加。甚至有用戶還專門成立了信息應用安全監管中心，負責業務系統使用的規範。「業務敏感信息的泄露會造成較壞的社會影響。」

梁志勇認為，對於政企用戶來說，維護業務安全，要特別注意防範特權用戶、供應商，以及普通員工三類人的「異常」行為。

從IT到業務 安全熱點的變化

針對大量數據泄露事件發生在「內網」、由內部人所為的現象，梁志勇建議政企用戶將關注重點從IT系統轉移到業務應用上。

事實上，在作為安全行業風向標的RSA大會上，從「IT」驅動的安全轉向「業務」驅動的安全已被視為成為行業趨勢。在整個社會都在經曆數字化轉型之際，安全成為企業業務數字轉型的關鍵。安全不再被視為技術問題，而是業務與風險問題。

梁志勇建議政企用戶將關注重點從IT系統轉移到業務應用

中國計算機學會安全專業委員會主任嚴明對此趨勢表示認同，他說：「隨著企業數字化的轉變，安全問題與業務關聯越來越緊密，企業安全問題的社會影響將益發顯著。

梁志勇介紹認為，關注業務安全有助於為管理人員提供至關重要的信息，以便深入了解用戶的行為：用戶是不是一再訪問特定數據？持續了多久？他們對這些數據做什麼手腳？這是不是符合正常行為？

據梁志勇介紹，360企業安全將會在近期發布針對業務安全的解決方案，可以一站式管理內部的所有業務系統，修補應用系統開發過程中忽視的安全問題，確保等保及各類規章制度得到有效遵循；此外，還能及時發現和制止各類「高危」、「異常」的操作行為，防範數據泄露等可能的風險。