主持人：尊敬的各位媒體朋友大家下午好！非常歡迎大家在這樣一個(gè)陽(yáng)光燦爛的日子參加我們《安永第18屆全球信息安全調(diào)查報(bào)告》的發(fā)布會(huì)現(xiàn)場(chǎng)。首先很高興跟大家隆重介紹此次發(fā)布會(huì)的演講嘉賓，他們分別是安永信息科技風(fēng)險(xiǎn)咨詢主管合伙人梁尚文先生、安永大中華區(qū)信息咨詢服務(wù)合伙人阮褀康先生、安永華北區(qū)信息安全服務(wù)合伙人李睿女士。我現(xiàn)在把話筒交給梁尚文先生。

　　梁尚文：各位傳媒的朋友，大家下午好！今年是安永連續(xù)第18年發(fā)布安全全球信息安全調(diào)查報(bào)告。我們今年的主題是“締造可信的數(shù)字世界”。旨在保障企業(yè)在開(kāi)拓創(chuàng)新、開(kāi)發(fā)業(yè)務(wù)的同時(shí)，維護(hù)自己的網(wǎng)絡(luò)安全，并將其提供意見(jiàn)和幫助。今年我們很高興，我們邀請(qǐng)到受訪者1755位，他們來(lái)自于全球67個(gè)國(guó)家，覆蓋了超過(guò)85個(gè)主要行業(yè)。其中中國(guó)代表企業(yè)有109家。我們的訪問(wèn)對(duì)象主要是來(lái)自于企業(yè)的首席風(fēng)險(xiǎn)官、首席安全官、首席財(cái)務(wù)官、首席執(zhí)行官，以及企業(yè)的信息安全的高管人員?；趯?duì)本次調(diào)查報(bào)告結(jié)果的深入分析，以及我們與全球客戶在改進(jìn)網(wǎng)絡(luò)安全解決方案方面的廣泛合作，我們編制了這本報(bào)告。

　　由于網(wǎng)絡(luò)攻擊者技術(shù)不停改變、持續(xù)性加劇、能力增強(qiáng)，網(wǎng)絡(luò)威脅性質(zhì)也發(fā)生了變化。隨著數(shù)字化快速發(fā)展，企業(yè)之間的互聯(lián)互通日益加強(qiáng)，我們個(gè)人的生活也和移動(dòng)技術(shù)和互聯(lián)網(wǎng)越來(lái)越多地交織在一起。網(wǎng)絡(luò)攻擊者在不斷尋找更新更好的攻擊方式，如果你們也在尋找一個(gè)成功應(yīng)對(duì)目前這個(gè)形勢(shì)的話，并不是孤身奮戰(zhàn)。在我們受訪者當(dāng)中超過(guò)1/3認(rèn)為，他們還是沒(méi)有這個(gè)能力識(shí)別復(fù)雜的網(wǎng)絡(luò)攻擊。接下來(lái)我們報(bào)告的介紹當(dāng)中，我們會(huì)跟大家一起探討我們?cè)诰W(wǎng)絡(luò)世界中新的威脅的變化以及企業(yè)的應(yīng)對(duì)方案。

　　接下來(lái)我會(huì)讓我的同事阮褀康和李睿跟大家分享本次報(bào)告的具體內(nèi)容，謝謝！

　　阮褀康：首先感謝各位參加今天的發(fā)布會(huì)，我是阮褀康。專門(mén)負(fù)責(zé)信息安全技術(shù)的合伙人，我相信大家手頭上有這個(gè)報(bào)告，今天我們的主題是“締造可信的數(shù)字世界”。接下來(lái)我跟李總會(huì)根據(jù)這個(gè)報(bào)告里面的內(nèi)容，希望從四個(gè)部分來(lái)幫助大家了解一下我們當(dāng)前的企業(yè)面對(duì)著什么樣的挑戰(zhàn)。這四個(gè)部分包括我們先認(rèn)識(shí)一下現(xiàn)在數(shù)字世界面臨著什么樣的攻擊，接下來(lái)我也會(huì)跟大家講一講我們的黑客是如何入侵我們的企業(yè)。我們也會(huì)探討一下為什么當(dāng)前的企業(yè)還會(huì)受到那么多攻擊，以及我們的企業(yè)還是那么脆弱。最后我們會(huì)從安永的角度有一些建議，今天也會(huì)跟大家分享一下。

　　大家也知道現(xiàn)在我們當(dāng)前的互聯(lián)網(wǎng)+時(shí)代，大家知道很多全球的企業(yè)紛紛都把互聯(lián)網(wǎng)還有數(shù)字的一些新的技術(shù)去應(yīng)用起來(lái)。包括一些物聯(lián)網(wǎng)、移動(dòng)、云計(jì)算等等的一些新技術(shù)。而這些新技術(shù)他們希望能夠通過(guò)這些新的技術(shù)，能夠開(kāi)拓一些新的市場(chǎng)機(jī)會(huì)，或者是他們利用這些技術(shù)去減低運(yùn)營(yíng)成本，以及提高他們的運(yùn)營(yíng)效率，從而保持競(jìng)爭(zhēng)優(yōu)勢(shì)。

　　因此，現(xiàn)在的公司，現(xiàn)在的企業(yè)利用互聯(lián)網(wǎng)是不單單好像以前的公司去建立一個(gè)網(wǎng)站而已，現(xiàn)在是把很多技術(shù)引入到企業(yè)層面，各個(gè)的環(huán)節(jié)，各個(gè)的部門(mén)。所以，在這個(gè)圖可以簡(jiǎn)單地說(shuō)一下，在全球的企業(yè)正在把互聯(lián)網(wǎng)的基因引入在一個(gè)企業(yè)當(dāng)中，從戰(zhàn)略的定位到客戶的體驗(yàn)，到供應(yīng)鏈的管理，到技術(shù)的應(yīng)用，到風(fēng)險(xiǎn)的管理，以及財(cái)務(wù)管理，到我們?nèi)藛T以及組織，方方面面都會(huì)有一個(gè)互聯(lián)網(wǎng)的思維，互聯(lián)網(wǎng)的基因在里面。

　　可以想像，如果一旦信息安全的世界出現(xiàn)在這些高度依賴互聯(lián)網(wǎng)的應(yīng)用時(shí)候，一旦這個(gè)安全事件發(fā)生這個(gè)后果是非常嚴(yán)重的。所有的企業(yè)要實(shí)現(xiàn)可持續(xù)性的發(fā)展，我們必須要關(guān)注這個(gè)信息安全的議題。根據(jù)我們的調(diào)研，我們現(xiàn)在的企業(yè)對(duì)我們當(dāng)前的信息安全的工作究竟能不能滿足企業(yè)的需求呢？根據(jù)我們1000多家企業(yè)調(diào)研的結(jié)果，有88%都認(rèn)為企業(yè)內(nèi)部的安全工作是不能滿足企業(yè)的需求，這意味著什么呢？我們信息安全的工作根本跟不上企業(yè)在互聯(lián)網(wǎng)的應(yīng)用，跟不上互聯(lián)網(wǎng)的應(yīng)用發(fā)展。

　　另外，我們也見(jiàn)到有66%的受訪者認(rèn)為如果一旦有黑客的入侵，我們的企業(yè)當(dāng)中的系統(tǒng)沒(méi)辦法識(shí)別出一個(gè)事件出來(lái)。我們的企業(yè)根本不知道有人在攻擊我們，根本沒(méi)能力檢查出攻擊出來(lái)。有36%受訪者認(rèn)為，如果一但收到很復(fù)雜的攻擊，不能夠發(fā)現(xiàn)出來(lái)。有可能很多攻擊已經(jīng)在發(fā)生，有可能潛伏在我們的企業(yè)當(dāng)中是沒(méi)有人知道的。

　　首先我們一些做信息安全比較好的企業(yè)，通常大家知道信息安全是一個(gè)防不勝防的議題，一些比較好的企業(yè)他們通常都會(huì)有一個(gè)未雨綢繆。準(zhǔn)備最壞的打算，如果一旦有信息安全的事件發(fā)生，他們都能夠做好準(zhǔn)備。通常他們會(huì)有一套很完整的業(yè)務(wù)連續(xù)性，以及時(shí)間響應(yīng)計(jì)劃。我們調(diào)查發(fā)現(xiàn)只有7%的企業(yè)才能有時(shí)間應(yīng)對(duì)計(jì)劃，93%的企業(yè)是沒(méi)有預(yù)防做好最壞的打算。

　　如果企業(yè)沒(méi)有專業(yè)的人員幫助我們應(yīng)對(duì)安全的問(wèn)題，根據(jù)我們的結(jié)果，有57%的一些企業(yè)，都認(rèn)為我們沒(méi)有足夠的安全人才去幫助我們的企業(yè)去管理這些風(fēng)險(xiǎn)。我們做信息安全的工作，其實(shí)最重要的保護(hù)對(duì)象是什么呢？我們需要保護(hù)什么東西呢？其實(shí)就是我們的IT資產(chǎn)，或者是我們的數(shù)據(jù)資產(chǎn)。從我們調(diào)查發(fā)現(xiàn)，接近有40%多的企業(yè)他們根本不知道我的IT資產(chǎn)有多少，我們的企業(yè)IT資產(chǎn)的狀況是怎么樣，我們有多少系統(tǒng)，它的版本號(hào)，我們的數(shù)據(jù)留在哪里他們根本不知道，這對(duì)信息安全是非常大的挑戰(zhàn)。反過(guò)來(lái)看也給到黑客很多機(jī)會(huì)去入侵我們的企業(yè)。

　　這個(gè)圖可以說(shuō)一下，一些全球企業(yè)在未來(lái)12個(gè)月他們會(huì)在安全方面投入的工作是什么？哪些他們認(rèn)為是當(dāng)務(wù)之急的安全工作。我說(shuō)一下前五個(gè)工作領(lǐng)域：

　　第一是數(shù)據(jù)防泄露。一些在企業(yè)當(dāng)中，敏感數(shù)據(jù)的保護(hù)，很多公司，很多企業(yè)都認(rèn)為這個(gè)是當(dāng)務(wù)之急，我們?cè)趺礃哟_保我們的數(shù)據(jù)安全。

　　第二個(gè)比較重要的就是業(yè)務(wù)連續(xù)性。在國(guó)內(nèi)之前發(fā)生天津爆炸的事情，這個(gè)也是引起了很多企業(yè)對(duì)業(yè)務(wù)連續(xù)性意識(shí)的提升。很多企業(yè)都認(rèn)為業(yè)務(wù)連續(xù)性這個(gè)工作也是一個(gè)非常重要的工作。

　　第三個(gè)是我們?cè)趺礃哟_保系統(tǒng)的安全性。

　　第四個(gè)是安全的意識(shí)培訓(xùn)，一個(gè)企業(yè)它的安全是有賴于很多人員的安全意識(shí)，所以未來(lái)12個(gè)月，很多企業(yè)都會(huì)對(duì)安全意識(shí)培訓(xùn)進(jìn)行投入。

　　第五個(gè)是時(shí)間響應(yīng)的能力，剛才也提到安全是防不勝防，但是我們一定要做好最壞的打算，所以需要有一套時(shí)間響應(yīng)的能力機(jī)制，未來(lái)12個(gè)月根據(jù)我們的調(diào)查他們都會(huì)在這方面有一些投入。

　　下一步就是我們了解一下黑客是如何攻擊我們的?，F(xiàn)在互聯(lián)網(wǎng)+，數(shù)字化它已經(jīng)是影響著我們公司方方面面每一個(gè)環(huán)節(jié)，它不再是簡(jiǎn)單的IT問(wèn)題，是企業(yè)層面風(fēng)險(xiǎn)管理的問(wèn)題。它一旦出現(xiàn)不僅僅是IT的影響，它是影響我們的業(yè)務(wù)，我們的業(yè)績(jī)，我們的供應(yīng)鏈包括財(cái)務(wù)等等的，甚至法律法規(guī)的風(fēng)險(xiǎn)。我們要設(shè)計(jì)一套比較好的防御措施，首先第一步我們必須要了解黑客究竟他們?cè)谙胧裁?，他們?cè)趺礃诱归_(kāi)一個(gè)攻擊。在這里是一個(gè)展示的例子，我們嘗試去了解一下黑客是怎么樣來(lái)攻擊一個(gè)企業(yè)的。

　　第一步，一個(gè)黑客通常會(huì)大量收集一個(gè)企業(yè)的信息，包括他們的IT系統(tǒng)的架構(gòu)，他們一些IT有關(guān)的信息，我知道IT的版本號(hào)，還有就是一家企業(yè)的工作人員，組織結(jié)構(gòu)，所有有關(guān)這個(gè)公司的信息，這些信息大家都知道在互聯(lián)網(wǎng)中非常容易拿得到，甚至我們可以從一些社交媒體也知道這家公司有什么高管。

　　當(dāng)黑客收集了這些信息，他會(huì)分析這家公司有什么漏洞，這些漏洞是不是在設(shè)計(jì)一些不同的攻擊場(chǎng)景來(lái)嘗試攻擊我們，先做一些漏洞的分析，這是第二步。

　　第三步，根據(jù)這些漏洞，他會(huì)進(jìn)行攻擊，通常會(huì)有兩個(gè)手段：第一，他會(huì)看到我們的IT系統(tǒng)是什么狀況，我們會(huì)去看看這些IT系統(tǒng)是不是出現(xiàn)一些已知的安全漏洞，然后我們?cè)僮鲆恍┤肭郑坏诙€(gè)最直接的方法是他可以做釣魚(yú)郵件，把公司內(nèi)部的員工發(fā)送一個(gè)釣魚(yú)郵件，里面有一些木馬的程序給到一些高管或者給內(nèi)部員工，一旦他打開(kāi)以后，就把內(nèi)部的某一臺(tái)機(jī)器控制住。

　　他控制住一臺(tái)內(nèi)部系統(tǒng)之后，第四步他會(huì)做什么呢？他會(huì)作為這個(gè)內(nèi)部的系統(tǒng)，作為一個(gè)跳板，因?yàn)樗呀?jīng)在公司內(nèi)部了，他已經(jīng)有一些適應(yīng)關(guān)系了，我再用這個(gè)系統(tǒng)跳其他的系統(tǒng)，一直到整個(gè)網(wǎng)絡(luò)能夠全面去攻破。他可以跳到我們電郵系統(tǒng)、財(cái)務(wù)系統(tǒng)，從而進(jìn)行一些非法的行為。簡(jiǎn)單說(shuō)一下信息安全的黑客攻擊不僅僅是IT的問(wèn)題，是影響整個(gè)公司的運(yùn)營(yíng)到法律法規(guī)到所有的方方面面的風(fēng)險(xiǎn)都會(huì)產(chǎn)生。

　　從1000多家的企業(yè)，他們認(rèn)為哪些是攻擊的源頭，有哪些源頭有可能是攻擊我們的，根據(jù)這個(gè)結(jié)果，包括第一位就是一些犯罪集團(tuán)，犯罪集團(tuán)可能是遍布全球；第二位就是內(nèi)部的員工；黑客的組織會(huì)攻擊我們的企業(yè)，還有一些現(xiàn)在比較多的就是獨(dú)立的黑客，一個(gè)人在做一些入侵的工作。除此以外還有我們的供應(yīng)商，外包商，合作伙伴等等有很多不同的攻擊源頭，這些企業(yè)是比較擔(dān)心的。

　　一個(gè)黑客攻擊我們是找我們的漏洞，這個(gè)表就列出來(lái)一些他們比較擔(dān)心的漏洞。這些攻擊的源頭可以利用，比較高的是員工的粗心大意，員工的失誤。如果說(shuō)員工的安全意識(shí)不強(qiáng)，我是黑客，我很容易入侵他們的系統(tǒng)。第二是云計(jì)算的一些漏洞，我們很多系統(tǒng)都放在公有云或者私有云，在公有云的情況下你不知道公有云的廠商在后面是什么情況，我們的數(shù)據(jù)是延伸出去給第三方，在這塊也是他們比較關(guān)心的漏洞。

　　右手邊是一些威脅，第一位是釣魚(yú)，剛才也提到了釣魚(yú)是一般黑客是非常場(chǎng)用的手法去入侵我們的系統(tǒng)。詳細(xì)的威脅和漏洞我們?cè)趫?bào)告里面也有清楚的數(shù)據(jù)。

　　接下來(lái)我就讓李總繼續(xù)做這個(gè)報(bào)告的分享。

　　李睿：我是華北區(qū)信息安全服務(wù)的合伙人李睿。阮總分享了一個(gè)是2015年全球企業(yè)信息安全普遍面臨的挑戰(zhàn)，還有展開(kāi)的各種各樣的方式。近幾年企業(yè)對(duì)信息安全從全球上來(lái)講都是越來(lái)越重視，整個(gè)信息安全投入也是越來(lái)越大。但是信息安全的事件還是層出不窮，所以企業(yè)會(huì)經(jīng)常問(wèn)自己為什么我們投入了這么多，我們還這么脆弱。

　　其實(shí)如果根據(jù)我們的調(diào)查原因，分內(nèi)部和外部。接下來(lái)通過(guò)我們調(diào)查的這個(gè)結(jié)果給大家一一做一下解讀。

　　第一方面的原因就是企業(yè)在不斷提升自己的信息安全的水平，但是攻擊者也在不斷改進(jìn)他本身的攻擊手段。從第一方面講，網(wǎng)絡(luò)的攻擊從外部來(lái)說(shuō)，網(wǎng)絡(luò)的攻擊是越來(lái)越復(fù)雜，而且難以察覺(jué)。舉個(gè)簡(jiǎn)單的例子，近幾年大家一直在研究的就是APT的攻擊，APT的攻擊叫高級(jí)可持續(xù)性威脅，APT的攻擊對(duì)企業(yè)來(lái)講可以潛伏到好幾年的時(shí)間，非常細(xì)微難以覺(jué)察。為什么叫它高級(jí)呢？高級(jí)有幾個(gè)特點(diǎn)：

　　一個(gè)是攻擊的行為特征非常難以提?。?/p>

　　第二就是攻擊的渠道多元化；

　　第三就是攻擊的對(duì)象也非常不確定，因此對(duì)于企業(yè)來(lái)講如果他要防這樣類型的復(fù)雜的攻擊，他就需要有很多關(guān)聯(lián)性的企業(yè)，關(guān)聯(lián)性的技術(shù)和管理的保障。

　　對(duì)企業(yè)內(nèi)部來(lái)講通過(guò)我們的報(bào)告也可以看出來(lái)，企業(yè)目前為止未能制定積極主動(dòng)的措施消除復(fù)雜的網(wǎng)絡(luò)攻擊，因?yàn)樵谡麄€(gè)商業(yè)環(huán)境之中攻擊容易，防御非常的難。這個(gè)是我們看到的第一方面的網(wǎng)絡(luò)攻擊的復(fù)雜帶來(lái)的挑戰(zhàn)。

　　第二方面的原因就是企業(yè)的信息安全的成熟度有待提升。根據(jù)我們的調(diào)查顯示，企業(yè)對(duì)自身信息安全成熟度的評(píng)價(jià)普通偏低，我們調(diào)查了20個(gè)信息安全的領(lǐng)域，只有不到10%的受訪者對(duì)他們的成熟度評(píng)價(jià)是非常成熟。有5個(gè)領(lǐng)域是非常低的，他們自己認(rèn)為這個(gè)整個(gè)成熟度非常低，包括第三方的安全管理，包括軟件安全管理，包括資產(chǎn)的管理，包括信息安全的抑制和包括指標(biāo)與報(bào)告，就是我們經(jīng)常講的安全可視化。我們從第二方面的原因可以看出來(lái)，大部分企業(yè)他們反映本身他們的信息安全的能力是不足以應(yīng)對(duì)目前企業(yè)的安全需求。

　　第三方面企業(yè)安全的信息建設(shè)存在短板。一個(gè)是看到的安全保護(hù)的需求不清晰，這主要體現(xiàn)在很難了解企業(yè)自己本身非常難以了解，他到底手上有多少有價(jià)值的資產(chǎn)，無(wú)論是數(shù)據(jù)資產(chǎn)、信息資產(chǎn)、IT資產(chǎn)。還有企業(yè)即便識(shí)別出來(lái)他的關(guān)鍵信息資產(chǎn)，一半以上的企業(yè)也反映說(shuō)他不具備正式的脆弱性的識(shí)別程序，他沒(méi)有辦法懂項(xiàng)目評(píng)估風(fēng)險(xiǎn)。

　　安全組織的職能不完善，很多企業(yè)他認(rèn)為自己本身的安全組織沒(méi)有辦法滿足企業(yè)的需要。還有就是一半以上的受訪者覺(jué)得他們雖然有了安全的組織，但他們的安全組織并沒(méi)有關(guān)注到新興技術(shù)帶來(lái)的安全的挑戰(zhàn)比如說(shuō)云計(jì)算，移動(dòng)設(shè)備，大數(shù)據(jù)，IoT這種新的技術(shù)帶來(lái)的挑戰(zhàn)。

　　第三方面就是安全的資源投入不足，這表現(xiàn)在兩個(gè)方面：一個(gè)就是安全資金投入不足；第二就是技術(shù)資源的投入不足。從資金上講，從過(guò)去12個(gè)月根據(jù)整個(gè)的報(bào)告受訪者反映，90%以上的企業(yè)反映，他們?cè)谶^(guò)去12個(gè)月的安全投入和安全預(yù)算已經(jīng)增加或者持平，即便是這樣還有半數(shù)以上的企業(yè)認(rèn)為他們的安全投入還要再往上增加1/4。技術(shù)的資源也是目前來(lái)講企業(yè)的投入不足的一個(gè)短板。這是企業(yè)信息安全建設(shè)方面的短板。

　　數(shù)字世界常態(tài)化的安全管理，我們現(xiàn)在面臨的整個(gè)企業(yè)有很多企業(yè)也在做轉(zhuǎn)型，整個(gè)的企業(yè)來(lái)講互聯(lián)網(wǎng)來(lái)講也是我們的渠道?；ヂ?lián)網(wǎng)和數(shù)字世界有幾大特點(diǎn)，開(kāi)放、虛擬、快速、雙向交互、用戶量巨大，這些特點(diǎn)都帶來(lái)了特有的安全風(fēng)險(xiǎn)，高風(fēng)險(xiǎn)的挑戰(zhàn)。所以在數(shù)字的世界里特點(diǎn)就是安全的便捷已經(jīng)日漸模糊，任何的企業(yè)都沒(méi)有辦法高枕無(wú)憂。而企業(yè)在這種常態(tài)化的安全常態(tài)化的攻擊和常態(tài)化防守情況下，很多企業(yè)感到非常的疲憊不堪，在常態(tài)化的管理來(lái)講看到一些有比較好的應(yīng)對(duì)方案，包括要識(shí)別企業(yè)自己本身的風(fēng)險(xiǎn)偏好，知道每個(gè)企業(yè)自己本身的安全風(fēng)險(xiǎn)在哪里，需要保護(hù)的對(duì)象在哪里。

　　第二通過(guò)攻擊場(chǎng)景的評(píng)估，真正在什么場(chǎng)景下我才能受到攻擊，再有針對(duì)性進(jìn)行優(yōu)先級(jí)的排序。

　　第三安全的投資和安全的成熟度在安全的管理程度增加之后，才能有效評(píng)估安全的投入。這個(gè)也是我們看到的整個(gè)企業(yè)的一個(gè)挑戰(zhàn)和脆弱性一直存在的原因，因?yàn)樵谶@幾點(diǎn)上也是解決的難點(diǎn)。

　　這是為什么我們會(huì)如此脆弱。接下來(lái)和大家分享一下企業(yè)做什么，根據(jù)我們的調(diào)查報(bào)告，企業(yè)做些什么事情能夠提升企業(yè)的安全能力。我們建議化被動(dòng)為主動(dòng)，建立主動(dòng)的安全防御能力。什么是主動(dòng)的防御呢？如果從定義上來(lái)講網(wǎng)絡(luò)安全的本質(zhì)就是企業(yè)的內(nèi)在防御，這兩個(gè)字是蠻矛盾的，主動(dòng)其實(shí)是講攻，而防御講的是守，主動(dòng)的意思不是讓企業(yè)主動(dòng)去對(duì)外進(jìn)行攻擊，主動(dòng)的意思是讓企業(yè)能夠更好地主動(dòng)做好準(zhǔn)備。

　　本身的防御我們現(xiàn)在經(jīng)常講體現(xiàn)在三個(gè)方面，第一是知己；第二是知彼；第三百戰(zhàn)不殆。知己是什么呢？理解企業(yè)本身到底關(guān)鍵的安全風(fēng)險(xiǎn)在哪里，能夠制定針對(duì)性的防御計(jì)劃。知彼就是能夠通過(guò)智能感知系統(tǒng)知道外界的威脅和作用，我們對(duì)象在哪里。百戰(zhàn)不殆的意思是我們要尋找這個(gè)潛在的攻擊者，而在攻擊發(fā)生之前或者開(kāi)始發(fā)生的時(shí)候，就已經(jīng)把它消除，這是主動(dòng)防御的意思。

　　如何進(jìn)行主動(dòng)防御呢？主動(dòng)防御對(duì)企業(yè)來(lái)講按照我們的調(diào)查報(bào)告，需要整合和提高企業(yè)現(xiàn)有的安全能力，更有效應(yīng)對(duì)攻擊。包括三個(gè)主要的方面是普遍企業(yè)分享的現(xiàn)在他們采用的實(shí)踐：

　　第一是智能的感知，通過(guò)技術(shù)的手段由網(wǎng)絡(luò)的威脅智能的感知系統(tǒng)，能夠?qū)崟r(shí)分析潛在的攻擊者，并且推測(cè)到可能會(huì)被攻擊企業(yè)內(nèi)部的對(duì)象，然后制定一些有預(yù)見(jiàn)性的措施。

　　第二動(dòng)態(tài)的運(yùn)營(yíng)。因?yàn)橥獠康恼麄€(gè)環(huán)境生態(tài)安全或者說(shuō)是整個(gè)商業(yè)系統(tǒng)是動(dòng)態(tài)的，企業(yè)本身運(yùn)營(yíng)也是動(dòng)態(tài)的環(huán)境，怎么以迭代的周期進(jìn)行持續(xù)的企業(yè)安全能力建設(shè)。

　　第三集中響應(yīng)。對(duì)于重大的安全漏洞或者事件進(jìn)行分析，并且能夠進(jìn)行響應(yīng)和建立一個(gè)集中化的響應(yīng)機(jī)制，去進(jìn)行很多的證據(jù)收集和處理。

　　這是企業(yè)分享的他們正在采用的一些實(shí)踐。

　　最后想跟大家分享我們這次的主題叫做“締造可信的數(shù)字世界”，網(wǎng)絡(luò)安全它本身并不是數(shù)字世界的抑制劑，相反它實(shí)際上保障了在數(shù)字世界和商業(yè)運(yùn)營(yíng)里，它的業(yè)務(wù)可持續(xù)性發(fā)展，而且網(wǎng)絡(luò)安全是解鎖創(chuàng)新和擴(kuò)展整個(gè)業(yè)務(wù)的關(guān)鍵，我們?cè)絹?lái)越多地看到本身的安全企業(yè)的安全能力已經(jīng)變成了企業(yè)之間的競(jìng)爭(zhēng)的關(guān)鍵競(jìng)爭(zhēng)優(yōu)勢(shì)。在整個(gè)過(guò)程中以風(fēng)險(xiǎn)為導(dǎo)向，而不是一個(gè)事件導(dǎo)向性，從風(fēng)險(xiǎn)的角度上講，去制定企業(yè)安全的方案，對(duì)企業(yè)自身的環(huán)境進(jìn)行風(fēng)險(xiǎn)的評(píng)估，還有對(duì)外部的環(huán)境進(jìn)行動(dòng)態(tài)的監(jiān)測(cè)。另外對(duì)初發(fā)的事件能夠有響應(yīng)的機(jī)制，這個(gè)是整個(gè)的網(wǎng)絡(luò)安全推動(dòng)企業(yè)未來(lái)的數(shù)字化發(fā)展的一個(gè)動(dòng)力。

　　我們安永作為專業(yè)的咨詢機(jī)構(gòu)，我們一直致力于建設(shè)可信的數(shù)字世界和商業(yè)環(huán)境。我們也將與企業(yè)一起來(lái)去尋求更有創(chuàng)造力的安全解決方案。今天我們主要是對(duì)安永第18屆全球信息安全調(diào)查做了一個(gè)簡(jiǎn)要的介紹，更詳細(xì)的信息可以通過(guò)紙質(zhì)的報(bào)告和網(wǎng)絡(luò)鏈接來(lái)了解。

　　主持人：感謝我們?nèi)缓匣锶藢?duì)全球信息安全的一個(gè)深入分析以及對(duì)企業(yè)提出了非常中肯的建議。我們接下來(lái)進(jìn)入媒體問(wèn)答環(huán)節(jié)。哪位媒體朋友有問(wèn)題先舉手示意一下。

　　第一財(cái)經(jīng)日?qǐng)?bào)：我有兩個(gè)問(wèn)題，一個(gè)是安永做的報(bào)告，我們主要關(guān)注的是央行貨幣政策，您對(duì)于這個(gè)反洗錢(qián)或者反欺詐這方面有什么幫助？我們知道反洗錢(qián)也是信息的交流。

　　現(xiàn)在支付領(lǐng)域的一些安全問(wèn)題頻出，它有沒(méi)有可能得到一個(gè)解決，是我們?cè)诩夹g(shù)上存在一些不足嗎？還是企業(yè)的安全意識(shí)不夠？

　　阮褀康：謝謝這位朋友的問(wèn)題。反洗錢(qián)跟反欺詐這個(gè)議題是一個(gè)非常熱門(mén)的話題。這個(gè)報(bào)告我們是相對(duì)來(lái)說(shuō)比較針對(duì)信息安全這一塊，在這個(gè)報(bào)告當(dāng)中就沒(méi)有覆蓋反洗錢(qián)和反欺詐方面的信息。

　　基于支付的安全問(wèn)題，在國(guó)內(nèi)是有很多支付的案件我們也在很多媒體上看到，也了解支付的問(wèn)題是挺多元化的。我們現(xiàn)在有很多不同的支付渠道，總的來(lái)說(shuō)從我這邊的個(gè)人角度，兩個(gè)最大的挑戰(zhàn)，一方面是用戶本身因?yàn)楝F(xiàn)在的犯罪分子還有黑客是針對(duì)用戶本身，要加強(qiáng)用戶端的意識(shí)培訓(xùn)，要經(jīng)常告訴他們哪些能做，哪些不應(yīng)該做。在公司這一塊，有很多情況信息安全需要除了一些內(nèi)部的組織結(jié)構(gòu)之外，要在設(shè)計(jì)業(yè)務(wù)場(chǎng)景的時(shí)候他怎么思考這個(gè)安全。他在開(kāi)發(fā)一個(gè)系統(tǒng)或者是一個(gè)業(yè)務(wù)的時(shí)候，已經(jīng)把信息安全考慮進(jìn)去，考慮在不同的業(yè)務(wù)環(huán)節(jié)當(dāng)中，希望把安全融入到一些業(yè)務(wù)條件里面，希望盡量避免這些問(wèn)題的發(fā)生。我相信從企業(yè)端跟客戶端兩邊配合是能夠有效打擊安全的一些問(wèn)題。

　　21世紀(jì)：我有一個(gè)問(wèn)題，現(xiàn)在國(guó)家的政府相關(guān)部門(mén)也有一些關(guān)于信息安全方面的有關(guān)部門(mén)，比如說(shuō)網(wǎng)絡(luò)安全以及信息化領(lǐng)導(dǎo)小組，政府那邊應(yīng)該也是會(huì)對(duì)信息安全這塊有一些措施，甚至有可能他們會(huì)為了政策方面的原因會(huì)獲得一些公司的信息。你們跟國(guó)家這邊有關(guān)部門(mén)是否有過(guò)一些接觸和合作，未來(lái)是否會(huì)，如果政府需要一些數(shù)據(jù)，你們這邊是否也會(huì)提供？

　　阮褀康：你的問(wèn)題是我們會(huì)不會(huì)提供一些數(shù)據(jù)給政府部門(mén)一起合作？要看什么數(shù)據(jù)，比方說(shuō)一些案例，這些是可以的。我們也有一些機(jī)密的數(shù)據(jù)，也是非我們的工作范圍之內(nèi)?；谡吒鷩?guó)家的規(guī)范，我們也跟不同的監(jiān)管部門(mén)有一些交流和溝通，因?yàn)槲覀兪墙佑|業(yè)界不同的市場(chǎng)，我們也了解在不同的客戶那邊有什么問(wèn)題，通常我們都會(huì)跟政策部門(mén)以及監(jiān)管部門(mén)定期會(huì)有溝通交流，只要我們站在一個(gè)市場(chǎng)的環(huán)境，市場(chǎng)的情況去跟他們溝通。

　　李睿：我們跟政府之間的溝通還有分享主要是基于我們本身安永的優(yōu)勢(shì)。一個(gè)是我們會(huì)分享我們國(guó)際化的視野，我們有1700多家企業(yè)，我們會(huì)分析全球化的一些信息安全的趨勢(shì)。另外來(lái)講，因?yàn)槲覀兊暮芏喟咐菄?guó)際化的案例，在這里面我們的經(jīng)驗(yàn)積累會(huì)跟整個(gè)政府或者監(jiān)管部門(mén)去進(jìn)行相應(yīng)的溝通或者是頭腦風(fēng)暴，政府本身也是我們的客戶，我們也有很多項(xiàng)目在和政府合作。

　　中國(guó)經(jīng)濟(jì)網(wǎng)：我看到全球信息安全調(diào)查報(bào)告已經(jīng)是第18屆了，在跟過(guò)去幾年的調(diào)查報(bào)告相比，今年的數(shù)據(jù)和一些調(diào)查結(jié)果方面，有沒(méi)有呈現(xiàn)一些新的問(wèn)題或者有新問(wèn)題出現(xiàn)的趨勢(shì)？

　　因?yàn)檫@是一個(gè)全球性安全報(bào)告，有沒(méi)有發(fā)現(xiàn)中國(guó)和其他國(guó)家相比，有一些比較差異化或者是特別的問(wèn)題存在？

　　李睿：如果你看我們的主題，我們每一年的主題都是不一樣的，我們的報(bào)告的名字都是不一樣的。有一年我們的主題是撥開(kāi)云霧看云端我們會(huì)看到整個(gè)安全，尤其是云帶來(lái)的虛擬化共享帶來(lái)的安全。每一年的主題是當(dāng)時(shí)本身的一個(gè)我們分析出來(lái)的趨勢(shì)，今年為什么叫“締造可信的數(shù)字世界”，有兩個(gè)：一個(gè)是現(xiàn)在國(guó)際化的企業(yè)我們看到轉(zhuǎn)型，像互聯(lián)網(wǎng)的轉(zhuǎn)型或者數(shù)字里面大數(shù)據(jù)和云計(jì)算領(lǐng)域，而且還有說(shuō)什么叫可信，可信和安全來(lái)講有一點(diǎn)不同，可信是要互信，是說(shuō)整個(gè)企業(yè)和自己客戶的信任，不僅僅是企業(yè)自身本身要展示自己是安全的。他要給客戶一個(gè)感知是可信任的，這是我們今年看到的大家不僅僅是安全在練內(nèi)功，而是向商業(yè)社會(huì)證明自己的可信性。

　　您剛才講到的第二個(gè)問(wèn)題，我們沒(méi)有一個(gè)具體的數(shù)字是對(duì)比中國(guó)和國(guó)外的區(qū)別，我們目前看起來(lái)整體上講這個(gè)趨勢(shì)是趨同的。我其實(shí)想特別分享一點(diǎn)關(guān)于國(guó)際和國(guó)內(nèi)的我們也有很多安全的公司從這點(diǎn)上講，我們看到的實(shí)際上也是各有各的特點(diǎn)，我覺(jué)得這點(diǎn)也反映到企業(yè)上。從國(guó)內(nèi)上來(lái)講他更注重的是本地化，還有整個(gè)方案更滿足本地的監(jiān)管要求，并且他的技術(shù)支持。對(duì)于國(guó)外來(lái)講他們更具有，剛才也講到，他更具有全球的視野，更具有國(guó)際的經(jīng)驗(yàn)。我們整體看國(guó)內(nèi)國(guó)外是融合的趨勢(shì)，大家都在分享最佳的實(shí)踐，本身不光是說(shuō)安全，我們國(guó)家在致力于可信的數(shù)據(jù)世界上也是融合的一個(gè)趨勢(shì)。

　　中國(guó)網(wǎng)：我的問(wèn)題是三位能否預(yù)測(cè)一下未來(lái)三年也好、五年也罷，哪些行業(yè)會(huì)成為推動(dòng)全球信息安全市場(chǎng)最大的增長(zhǎng)點(diǎn)？

　　阮褀康：未來(lái)三到五年，這是比較遠(yuǎn)了，現(xiàn)在每一年都變得很快。

　　我們看到一個(gè)趨勢(shì)是基本上可以肯定，我們很多企業(yè)擁抱互聯(lián)網(wǎng)，很多公司都向互聯(lián)網(wǎng)方向去發(fā)展，這個(gè)肯定會(huì)帶來(lái)對(duì)信息安全有很多的挑戰(zhàn)。

　　第二個(gè)趨勢(shì)就是，越來(lái)越多的新的技術(shù)，包括剛才提到的云計(jì)算、IoT（物聯(lián)網(wǎng)）社交媒體、大數(shù)據(jù)等等的很多議題，這些新的技術(shù)背后都代表了新的威脅。在安全方面也是有新的挑戰(zhàn)。

　　第三個(gè)趨勢(shì)是國(guó)家的層面到監(jiān)管的要求，肯定會(huì)越來(lái)越嚴(yán)。比方說(shuō)每個(gè)行業(yè)的要求到個(gè)人隱私的要求，這個(gè)趨勢(shì)肯定會(huì)越來(lái)越需要企業(yè)投入在合規(guī)方面的工作。趨勢(shì)是在信息安全會(huì)越來(lái)越投入增多，而基于在哪一個(gè)方面，很多的領(lǐng)域包括技術(shù)架構(gòu)到人員的培訓(xùn)，到應(yīng)用層面、管理類的軟件，一些現(xiàn)在比較流行的威脅情報(bào)到一些在后臺(tái)做一些監(jiān)控的手段，以及咨詢，未來(lái)三年都會(huì)有很大的空間去發(fā)展。

　　梁尚文：我覺(jué)得我們現(xiàn)在不敢說(shuō)哪個(gè)行業(yè)是投入最多，可是我覺(jué)得金融業(yè)肯定是一個(gè)投入很多的一個(gè)行業(yè)。為什么呢？剛才我們說(shuō)了，日常生活跟互聯(lián)網(wǎng)、移動(dòng)技術(shù)不停交織在一起，我們現(xiàn)在是整個(gè)行業(yè)，銀行在做互聯(lián)網(wǎng)，互聯(lián)網(wǎng)公司在做金融，我們看到過(guò)去幾年P(guān)2P出事了，那個(gè)可能是先管后開(kāi)發(fā)還是先開(kāi)發(fā)后管，現(xiàn)在已經(jīng)到了淘汰的階段，把有問(wèn)題的公司都淘汰了。無(wú)論從行業(yè)來(lái)說(shuō)，或者是從監(jiān)管角度來(lái)說(shuō)，其實(shí)很多問(wèn)題在出現(xiàn)。整個(gè)金融業(yè)、銀行保險(xiǎn)業(yè)都投入很多在信息安全方面。除了互聯(lián)網(wǎng)，大部分的銀行都在做大數(shù)據(jù)，無(wú)論是內(nèi)部的分析還是外部的影響，大量的內(nèi)部數(shù)據(jù)、外部數(shù)據(jù)，這個(gè)牽扯到很多個(gè)人的隱私、信息安全的問(wèn)題。我們看到金融業(yè)無(wú)論從架構(gòu)還是從資源的投入、預(yù)算方面都有龐大的投入在信息安全、個(gè)人隱私的方面，我覺(jué)得從行業(yè)來(lái)說(shuō)金融業(yè)是在前列投入的一個(gè)行業(yè)。

　　國(guó)際商報(bào):我想問(wèn)一下現(xiàn)在網(wǎng)絡(luò)安全從報(bào)告上來(lái)看對(duì)企業(yè)的威脅很大，這些企業(yè)要增加投入應(yīng)對(duì)這個(gè)威脅。在全球經(jīng)濟(jì)都不是很好的情況下，企業(yè)在這方面投入是否會(huì)增加他們的成本壓縮他們的利潤(rùn)？企業(yè)在這方面投入占整個(gè)企業(yè)的預(yù)算有沒(méi)有大概的范圍？

　　李睿：我們有一個(gè)具體的應(yīng)該在報(bào)告里面有一個(gè)具體的說(shuō)明，企業(yè)的投入分兩部分：一部分是本身企業(yè)的安全投入會(huì)不會(huì)變成他一部分成本；第二你講的是他的投入趨勢(shì)，大家都分配什么樣的地方。安全不僅僅是練內(nèi)功，你是對(duì)外的競(jìng)爭(zhēng)上的優(yōu)勢(shì)，我們會(huì)看到很多安全事件，比如說(shuō)他出了信息安全事件股票要下跌，這方面是無(wú)價(jià)的。從成本上來(lái)講，我們?yōu)槭裁捶磸?fù)強(qiáng)調(diào)以風(fēng)險(xiǎn)為中心，不是企業(yè)重金砸下去越多越好，基于企業(yè)自身的需要你要了解自己要保護(hù)什么，你保護(hù)的措施是什么，這是從安全成本上講。

　　企業(yè)投入產(chǎn)出比很難衡量，衡量的基礎(chǔ)是在企業(yè)的安全成熟度，你成熟度高，你有了數(shù)據(jù)，你就可以做詳細(xì)的投入產(chǎn)出比的衡量，你就知道把錢(qián)花在什么樣的地方，這是第一部分。

　　第二部分來(lái)講，企業(yè)的投入從成本上來(lái)講不僅僅是錢(qián)，有資金有技術(shù)我們看到整體的趨勢(shì)，驅(qū)動(dòng)性上講也有幾個(gè)方面。一個(gè)是本身國(guó)家監(jiān)管要求也是越來(lái)越嚴(yán)格，所以必須要求你在這方面進(jìn)行投入，無(wú)論是整改或者技術(shù)上的投入等等，這是一個(gè)驅(qū)動(dòng)力。另外還有一個(gè)驅(qū)動(dòng)力，轉(zhuǎn)型，尤其對(duì)傳統(tǒng)企業(yè)向互聯(lián)網(wǎng)或者向新的數(shù)字社會(huì)的轉(zhuǎn)型，這里面它的安全投入也是他們投入的一個(gè)方向。

　　還有新技術(shù)，新技術(shù)的這一塊目前我們看到新技術(shù)分兩方面，一方面是企業(yè)采用，從業(yè)務(wù)上采用信息，企業(yè)怎么應(yīng)對(duì)，這方面的投入。還有就是安全自己本身也要利用新的安全技術(shù)去進(jìn)行，我們看到有一個(gè)趨勢(shì)企業(yè)開(kāi)始在不斷投入。另外還有像安全組織，安全人員、安全培訓(xùn)等等，這些隱性的安全能力提升的投入，幾個(gè)類型吧，企業(yè)都在不斷進(jìn)行相應(yīng)的資源投入。

　　主持人：如果沒(méi)有的話，我們今天的發(fā)布會(huì)進(jìn)行到這里，非常感謝大家今天抽出時(shí)間參加我們的發(fā)布會(huì)，如果后續(xù)大家還有一些問(wèn)題，可以發(fā)到我的郵箱。