《2019【行业资料】年全球信息安全调查.ppt》由会员分享,可在线阅读,更多相关《2019【行业资料】年全球信息安全调查.ppt(16页珍藏版)》请在三一文库上搜索。
1、,2012年全球信息安全调查,2012年全球信息安全调查 这是普华永道第9次年度调查,9,600名受访者是来自138个国家负责信息安全方面的高级管理人员; 13%的受访者来自中国大陆和香港; 目前,越来越难预测下次的网络攻击会在何时或以何种形式出现; 尽管如此,很多行业的信息安全高级管理人员对自己企业在信息安全管理上的有效性仍很有信心;,http:/ 随着信息安全事件发生的频率上升,与商业合作伙伴相关的风险也在加大; 相比2008年以来,企业在信息安全的投资,特别是早期预防并提供即时应对措施的相关重要资本和营运支出,有可能被更大幅度地推迟或取消; 网络犯罪日渐增多,且形式层出不穷,因此敏捷的反
2、应及具有策略性的准备显得至关重要。,http:/ 33%,大型 ( 10亿美金) 32%,中型 (1-10亿美金) 25%,未知 5%,非盈利/政府/ 教育机构 5%,http:/ 。,商业环境 对企业机密数据及中国企业所拥有的知识产权保护的重视程度有所增加。 更加强调国家/公司资产的保护。 中国企业加强了对研发活动的开展,更多跨国公司在中国设立研发中心及共享服务中心,所以需要更佳更强的数据安全措施。,法律与监管要求 国资委(SASAC)强调要用更完善的数据安全措施来确保中国国有企业的信息安全; 中国的数据隐私法还没出台。然而,中国的保密法对数据保护已形成了一定的保障。,http:/ 但中国许
3、多机构在人员、流程及技术三大主要因素的配合方面仍然滞后。,(加上之数不等于100%),国资委强调要用更完善的数据安全措施来确保中国国有企业的信息安全。然而, 中国许多机构在平衡人员、流程以及技术三个方面有所滞后。,http:/ 安全攻击已经从针对“系统”转至针对“个人”,或从“直接侵入”转至“诱惑”,以及引进新的攻击方法(例如:恶意软件)。 现有的“信息安全防护”机制未必能够预防、检测和阻止一些量身定做或特别制订的、更复杂的攻击。 网络犯罪分子继续开发网络攻击的新方法,包括: 针对于存储于终端(如笔记本电脑)上的用户保护信息的漏洞攻击 中间人沟通和网络钓鱼攻击 会话劫持 使用社交媒体和其他独特
4、攻击方式,http:/ 在各大公司或银行开发电子交易平台或者网上银行时,由于开发周期仓促,造成对于信息安全特别是手机终端的信息安全重视不够,存在很多安全隐患,而这些安全隐患将直接给用户带来财务上的损失; 移动终端本身就存在很多先天的风险: 在手机上可以下载并存储敏感信息 这些信息被传输和使用中未被加密,导致证书和个人隐私数据可以被明文截获 新的信息安全风险将会出现。随着智能手机的不断发展和技术上的更新,新的信息安全漏洞可能会产生,也将带来更大的信息安全风险。,http:/ (Facebook、MySpace、人人网、开心网、新浪微博、腾讯微博、Twitter、搜库等); 员工(尤其是年轻一代)
5、以社交媒体作联系,通过这些媒体分享可能被视为机密和敏感的企业信息; 黑客在攻击前,搜索人们于社交网络的信息; 由于社交网络的广泛使用,公司正面临更大的企业信息安全危机; 然而,企业是否已经准备好应对这些新科技相关风险的应对措施?,http:/ 中国企业受访者对于云计算可能带来的各种收益,例如降低成本及更快的销售速度,感到很兴奋; 但同时,他们对云计算可能带来的信息安全威胁及漏洞也感到不安; 高管能否理解及减轻采用云计算服务所带来的风险? 机构能否确定云服务提供商执行信息安全规章制度?,http:/ 尽管中国企业在信息安全上的投入不断增加,但各种信息泄露的事件还是层出不穷,比如网银的用户信息和消
6、费信息,公司的产品研发计划,公司客户的购买信息,企业产品的采购价格等; 目前中国政府要求更多的“中国创造”,要求各企业都加强自主研发;同时,随着中国市场的不断成熟,很多国际公司也将研发中心搬到中国。但在人员经常发生变化,人员信息安全意识不强的情况下,如何做好信息资产的保护,成为各企业的焦点,同时也成为中国政府的关注点; 监管部门已经或正在引入各种信息保护措施,包括数据保护和数据隐私的规章制度,这也刺激了中国企业对于信息安全,特别是数据安全保护措施的投资需求。,http:/ 大部分企业还停留在普通的渗透性测试,没有顾及已经潜伏在身边的APT攻击。,问题28:下列以下元素,若有的话,包括在贵机构的
7、安全政策?问题17贵机构现时有什么流程信息技术安全保障? 问题18:贵机构现时有什么科技信息安全保障?(不是所有因素都被显示。加上之总数不等于100%),http:/ 高级持续性渗透攻击(APT) 一种日益常见的网络威胁 ,主要以跨国公司为目标; 大量的受访者认为,越来越多的高级持续性渗透攻击,使其对安全支出预算相应增加; 只有少数企业的受访者(28%)表示他们公司已有应对高级持续性渗透攻击的安全政策; 公司高管是否注意到高级持续性渗透攻击所带来的威胁?企业是否有适当的风险评估和监测控制来察觉高级持续性渗透攻击?,http:/ 目前所使用帮助公司提高生产力及推动业务增长的社交网络工具日益被网络犯罪分子所利用,以此攻击安全性脆弱的机构; 重大威胁 目前的网络攻击往往是全球化行动、组织完善、动机明确、资金充裕、耐性十足,及完全专注于间谍情报技术的使用; 雷达探测下 目前,网络入侵的发现通常不是通过内部信息技术、业务流程或员工来发现;而是经过第三方,例如本地法律的执行、情报来源、客户或商业合作伙伴的信息而发现; 挑战仍然存在 网络安全仍然被归为一个信息技术的问题,使其成为一个在业务部门与信息安全团队之间的沟通障碍; 新的思想 机构需要一套不同的思维来应对今天的网络安全挑战:需要假设公司的信息安全已经存在漏洞,而外界的各种网络攻击正在不断寻找这些漏洞,并加以利用。,http:/