信息來源：比特網

知名黑客組織發(fā)起攻擊、重要系統(tǒng)曝出漏洞，諸如此類的新聞不斷見諸報端，這讓我們很容易認為，威脅都主要來自企業(yè)外部。但是現實卻很殘酷：超過一半的攻擊都是源自內部人員蓄意或無意的行為。

2016年11月，綿陽警方破獲了一起重大侵犯公民個人案件：包括銀行管理層在內的15名犯罪分子，大肆出售公民的銀行個人信息，涉案資金達230萬元;其源頭為遼寧某市中信銀行工作人員，利用查詢賬號登錄銀行內網，在短時間內大肆獲取公民個人征信報告50余萬份，并進行出售獲利。無獨有偶，2017年3月，央視報道，某電商巨頭發(fā)生嚴重泄露事件，涉及近50億條公民信息。經調查，此事件是由于安全部前試用期員工監(jiān)守自盜，為黑客提供重要信息。

此外，外部攻擊人員還會通過各種釣魚或者社工方式，盜取企業(yè)內部的合法身份，從而可以得以完全訪問高端敏感的數據。

安全專家指出，由于訪問者的盜竊和疏忽大意，導致政企的業(yè)務中斷、數據泄露，甚至財務損失的安全問題，已經成為政企面臨的重大隱患。這些被統(tǒng)稱為“業(yè)務安全”的問題已成為安全專家與用戶關注的熱點。

“燈下黑”致業(yè)務安全事件頻發(fā)

長期以來，由于政企用戶主要關注防護外部人員的入侵，重視“邊界”防護，對內部業(yè)務系統(tǒng)的安全防護往往比較忽視。

另外，由于業(yè)務系統(tǒng)的開發(fā)多由業(yè)務人員主導，對安全問題不夠重視，對于業(yè)務系統(tǒng)的管理，有制度文檔，但很少落實到技術手段，只能靠應用自身的認證、權限系統(tǒng)，以及本地日志。

因此，對于政企內部的不同業(yè)務體系，管理人員往往缺乏所需的信息，無法查看內部人員是否濫用了訪問權限——幾乎不可能知道他們是否訪問了特別敏感的數據，或者對這些數據做了什么手腳。對這些合法訪問權限的“異常”操作，無法及時發(fā)現與制止，這就在安全監(jiān)控方面留下巨大的盲點。

這種燈下黑現象給全球政企機構帶來巨大的安全隱患： 前文提到的綿陽警方破獲的中信銀行工作人員大量竊取儲戶個人信息;2015年，中航信員工利用系統(tǒng)賬號非法獲取和出售山東航空公司旅客信息;以及美國中央情報局(CIA)大量機密文件通過承包商被外泄，規(guī)模遠超當年斯諾登泄露的情報。繼2013年斯諾登事件之后，美國安全部門再次出現因內部人員造成的泄密事件。這些事件均系內部人員合法訪問導致的安全事件。

業(yè)務安全專家、360企業(yè)安全集團副總裁梁志勇表示，在與用戶交流時，很多用戶表示對業(yè)務安全的重視程度日益增加。甚至有用戶還專門成立了信息應用安全監(jiān)管中心，負責業(yè)務系統(tǒng)使用的規(guī)范?！皹I(yè)務敏感信息的泄露會造成較壞的社會影響?！?/span>

梁志勇認為，對于政企用戶來說，維護業(yè)務安全，要特別注意防范特權用戶、供應商，以及普通員工三類人的“異?！毙袨?。

從IT到業(yè)務 安全熱點的變化

針對大量數據泄露事件發(fā)生在“內網”、由內部人所為的現象，梁志勇建議政企用戶將關注重點從IT系統(tǒng)轉移到業(yè)務應用上。

事實上，在作為安全行業(yè)風向標的RSA大會上，從“IT”驅動的安全轉向“業(yè)務”驅動的安全已被視為成為行業(yè)趨勢。在整個社會都在經歷數字化轉型之際，安全成為企業(yè)業(yè)務數字轉型的關鍵。安全不再被視為技術問題，而是業(yè)務與風險問題。

梁志勇建議政企用戶將關注重點從IT系統(tǒng)轉移到業(yè)務應用

中國計算機學會安全專業(yè)委員會主任嚴明對此趨勢表示認同，他說：“隨著企業(yè)數字化的轉變，安全問題與業(yè)務關聯越來越緊密，企業(yè)安全問題的社會影響將益發(fā)顯著。

梁志勇介紹認為，關注業(yè)務安全有助于為管理人員提供至關重要的信息，以便深入了解用戶的行為：用戶是不是一再訪問特定數據？持續(xù)了多久？他們對這些數據做什么手腳？這是不是符合正常行為？

據梁志勇介紹，360企業(yè)安全將會在近期發(fā)布針對業(yè)務安全的解決方案，可以一站式管理內部的所有業(yè)務系統(tǒng)，修補應用系統(tǒng)開發(fā)過程中忽視的安全問題，確保等保及各類規(guī)章制度得到有效遵循;此外，還能及時發(fā)現和制止各類“高?！?、“異常”的操作行為，防范數據泄露等可能的風險。