网络安全——保护有价值的知识产权和数字形式的商业信息免遭盗窃和滥用——是一个日益严峻的管理问题。美国政府已将网络安全确定为“我们作为一个国家所面对的、对经济安全和国家安全最严峻的挑战之一。”

现在，企业必须抵御无时不在的网络攻击——网络犯罪分子乃至心怀不满的员工发布敏感信息、为竞争对手窃取知识产权，或在网上从事诈骗活动的威胁。虽然一些高技术企业最近遭到破坏其技术环境的网络攻击已广为人知，但还有许多此类事件并没有报道。事实上，企业并不愿意让公众知道它们不得不向网络罪犯“支付赎金”，或公开描述这种网络攻击所暴露出来的薄弱环节。

由于这些威胁日益增多，而且越来越复杂，企业必须采取确保网络安全的各种措施，这将需要首席执行官和其他高管人员的更多参与，在不会抑制创新和增长的前提下，保护关键的业务信息。

为什么现在网络安全问题越来越重要

在过去五年中，大部分大型企业都显著加强了自己的网络安全能力。为了甄别各种IT安全风险，对其危害性进行排序，并制定减小风险的战略，企业实施了一些正规流程。为了执行这些安全战略，已经投入了数亿美元的资金。由于采取了禁用USB端口、关闭互联网邮件服务等措施，桌面环境“门户洞开”、易受攻击的状况已比五年前大有好转。各种先进技术和措施已落实到位，以应付对外围设备的攻击。

然而，我们最近对全球25强企业的信息安全负责人进行了深入采访，并举行了如何解决网络安全问题的座谈会，结果表明，企业对网络安全问题普遍——而且越来越——感到担忧。商用技术的进步与更高效的恶意攻击者结合在一起，使保护业务流程和信息安全的任务日趋复杂化。

我们的采访进一步说明，企业利用技术方式的变化，已经使保护企业的技术环境变得更加困难，同时又增加了保护它们的重要性。有三种普遍的趋势已经形成：

价值不断在网络上转移，数字化数据已变得无处不在。为什么有些机构每小时遭受的网络攻击比它们仅仅几年前一个月受到的攻击还要多？借用银行大盗Willie Sutton的话来说，因为那里是放钱的地方。很简单，更多的网上交易对网络犯罪产生了更大的诱惑。此外，留心挖掘数据——例如，交易数据和客户信息、产品上市销售结果，以及市场信息——的企业也能创造出有价值的知识产权，这本身就是一个具有吸引力的目标。

预计企业将比以往任何时候都更加“开放”。在业务单元工作的员工正越来越多地要求通过移动设备访问企业网络，而这些移动设备正是他们在个人生活中所使用的。虽然智能手机和平板电脑提高了连通性，但它们也提出了新型的安全威胁：如果黑客“破解”了某个移动设备，它就会成为恶意软件2侵入企业网络的一个薄弱点。

供应链正变得越来越相互关联。为了加强与客户的联系和优化供应链，企业正在鼓励供应商和客户加入自己的网络。但是，这种参与使得用防火墙隔离一个企业的技术环境变得几乎不可能。当然，与业务伙伴更紧密的融合可以提供许多明显的好处，但这同时也意味着，一家企业抵御网络攻击的能力部分依赖于合作伙伴和客户的安全政策。正如一位高管告诉我们的，“现在，整个网络正处在从最薄弱的环节被攻破的风险之中。” 例如，一家大型企业严格禁止其员工通过Web网络，用P2P软件共享敏感的企业文件，不料却发现，现场承包商经常使用这种软件来查看相同的敏感文件。

恶意攻击者的技能正变得越来越高超。专业的网络犯罪组织、政治上的“黑客行动主义者”，以及一些由国家资助的团队在技术上已变得越来越先进，在某些情况下，他们掌握的技能和资源已经超过了企业的安全团队。黑客们提供“作为一种服务的网络犯罪”——为他们用恶意软件感染的每台最终用户电脑收费。其结果是，在过去五年中，出现了许多更复杂、更有针对性的网络攻击。如今的恶意软件更加难以追查，而且往往是为窃取可用于营利的数据而专门定制的。一些高管开玩笑说，有组织犯罪团伙似乎比企业自己的安全业务财力更雄厚。作为工业间谍活动的一部分，一些国家情报机构似乎承担了一些最高级的网络攻击任务。

最具挑战性的网络攻击利用了人性的弱点，而不是比较容易修复的技术漏洞。网络犯罪组织越来越多地利用从社交网络网站零零星星收集到的信息，精心制定出针对性很强的“网络钓鱼”攻击计划，诱使高管人员或系统管理员点击一些链接，乘机在他们的笔记本电脑上安装间谍软件。正如零售商寻求创建一种跨电子商务和面对面互动的“多渠道”体验一样，一些网络犯罪组织也将在线和离线诈骗手段结合起来。一家机构曾经是一次共谋行动的目标，该行动的目的是窃取其高管未加以充分保护的移动设备，以便通过该企业网络获取敏感资料。

采用一种业务驱动的网络安全新模式

为了保护企业的技术资产免遭恶意破坏和不当滥用，现在比以往任何时候都需要对员工、客户和合作伙伴访问企业应用程序和数据的方式进行明智的限制。如果缺乏足够的保护，将会导致关键数据丢失，但过于严格的控制也可能会妨碍业务的开展，或产生其他不良影响。例如，在一家投资银行，运行极其缓慢的安全软件导致其并购专家放弃了企业的笔记本电脑和电子邮件服务，而使用个人移动设备和网络邮件服务。

因此，一种业务驱动的网络安全模式开始脱颖而出，即使面对技能高超和百折不挠的恶意攻击者，这种模式也能对日益灵活、开放的企业提供具有弹性的保护。

必须通过最高层解决网络安全问题

在许多企业组织中，网络安全问题主要被视为一个技术问题。大部分受访者都认为，企业高层领导人太不了解IT安全风险及其对业务的影响，以至于无法与其讨论对投资、风险和用户行为的折衷方案。

一些企业已开始将网络安全作为业务战略——而不是技术管理——的一个重要组成部分。在一家企业中，首席执行官通过与负责安全的高管一起直接参与关键决策，彰显了网络安全的重要性。一些企业在业务单元中设置了部门首席信息安全官的职位，使他们能与业务单元的高管人员紧密配合。另一些企业选择向董事会的风险委员会——而不是技术委员会——报告网络安全问题。

网络安全必须采取“业务退守”而不是“技术冲锋”的方式

为了应对网络风险，越来越多的企业必须彻底改变自己的思维方式。它们不应将修复技术上的薄弱环节（比如说，修补服务器或路由器的漏洞）放在第一位，而应该首先保护最重要的业务资产或流程（如客户的信用卡信息）——我们将其称为“业务退守”方式。许多大型企业已经实施了持续多年的企业数据分类计划，从而可以将维护网络安全的精力和策略重点放在自己最重要的信息资产上。企业已经开始评估自己在整个价值链中的网络风险状况，澄清对供应商的期望，加强与主要业务伙伴的协作。一些机构已经将网络安全作为客户价值主张的核心部分，建立起一种持续对话机制，讨论如何在既能收集足够的资料以核实客户身份，又不会迫使客户花太多时间来设立或开通自己的网上账户之间保持适当的平衡。对于这些企业来说，网络安全可能代表一个业务机会，因为它们创造了既方便又安全的端到端客户体验。

从保护外围设备转向保护数据

大多数企业组织都试图通过围绕其外围设备构建日益严密的防线，来实现网络安全。而现实情况是，一个有目的的攻击者可能会从中发现漏洞——或者一个员工可能会无意中造成一个疏漏（例如，通过偶然用电子邮件发送敏感的客户信息）。

(责任编辑：)