BAE:防止网络攻击的五个关键

来源:中国经济网
2015-12-14 17:14:00

  BAE系统公司由英国航空航天公司和马可尼电子系统公司(Marconi Electronic Systems)合并而成的,被评为世界上第二大防卫公司、第三大国防航空公司、第三大电子航空公司。该公司主要通过防卫系统和国内航天飞行器市场为全球范围内的客户提供服务,业务涉及9大领域,主要包括飞机、军用和民用固定翼飞机、军用电子、反潜武器(ASW)、C3Ⅰ系统、导弹、军械系统、空间系统以及系统集成。

  近日,BAE公司表示,企业保护其网络系统不受攻击可通过以下五个方面实现。

  1.了解网络风险

  BAE系统公司CPO(Chief Products Office,首席产品官)Neal Watkins在一次针对管理者的培训视频中表示,新技术带来新机遇,但同时也伴随着新风险。企业在收购和整合其他公司先进技术时,须首先保障网络安全。

  专业人士表示,企业收购和整合过程中伴随的新风险主要包括引入第三方团队、承建商,以及供应链变化所带来的潜在风险。

  Watkins指出,网络安全检查的最基本要素是所有网络安全战略都应实时将操作环境中的所有更改考虑其中。一个切实有效的网络安全战略是保障一切企业业务正常进行的基础,网络安全的及时审查和更新是“捕获”所有新生风险的必要条件。

  2.使用靠谱的安全控件

  BAE系统公司表示,企业需对安全漏洞保持一定的敏感性。一旦漏洞出现,需立即对其性质进行判断,若为紧急漏洞,则需果断采取合理措施。

  Watkins表示,“当商业风险出现时,我们需要足够的勇气,做出正确的经营决策以保障业务正常运作,并对主要资产和数据严格监管,加载可信的安全控件是保障网络安全最重要的前提。”

  3.平衡业务和风险

  “网络安全”对企业董事们最基本的要求是,了解公司最重要的资产是什么,核心技术最薄弱的地方在哪里,以及需要防范哪些领域的漏洞风险。

  企业需要在平衡安全风险与商业必要性方面做出正确抉择,为保障企业长远发展,领导层必须以恰当的方式处理网络安全的各项工作和问题,以保障业务正常运行,并尽最大可能在留住老客户的同时开拓新市场。

  另一方面,企业领导者还应针对网络风险认真讨论,了解自身网络所能承受的风险范围,并明确将投入多少资金用以管理和维护该系统。

  4.将防御网络攻击纳入企业文化范畴

  BAE系统公司强调,安全防范意识必须成为根深蒂固的企业文化。企业需与所有员工签订安全协议,不论员工身处何种岗位,必须确保其包括储存、检索、研发在内的各项工作安全有效地进行。

  Watkins表示,不论是程序员还是其他岗位的员工,不论是在应用程序中编写代码、处理数据信息,还是为客户提供个性化服务,每一位员工都希望执行工作的整个流程不必因遭受网络攻击而影响任务准时完成。

  同时,通过设计统一访问控制服务,也可从某种程度上有效保证公司所有数据信息的安全性。

  调查发现,安全性分析、威胁情报和态势感知能力可以帮助网络安全专家及时发现漏洞,并进一步阻止网络攻击扩大化。

  5.随时准备反击

  最后,BAE系统公司还指出,没有任何安全防护是绝对有效的,所有保障都存在某种被攻击甚至被攻破的可能。

  因此,提前准备一系列应对措施对修复受损系统和回应业务影响尤为重要。一旦网络遭受攻击,项目组及企业领导人员必须及时辨别待解决问题和危机全面爆发之间的区别。对所遇风险进行准确评估,权衡各项利益及损失,迅速解决或终止该危机。

  该应对措施须提前在一定范围内进行测试和演练,并为员工及客户所周知,必要时需跨系统和流程进行操作。

  Watkins强调,在攻击或危机发生的情况下,转危为安的前提是提前准备一套经过深思熟虑并反复测试的应急计划。当然,专业人员还需具备一定的心理素质和应变能力。

  需要指出的是,人们评估网络攻击的影响大多在于,未来生产力损失大小、对业务影响程度,以及客户信心丧失等方面。因此,一般情况下,合理权衡网络风险排查成本和业务输出水平的影响,制定有效的解决方案可将被袭后的网络系统损失降至最低。

  译自:2015年11月30日【英国】http://www.computerweekly.com

  编译:工业和信息化部国际经济技术合作中心 李肖