【摘要】隨著國家經(jīng)濟的不斷發(fā)展，互聯(lián)網(wǎng)也在不斷發(fā)展，但是互聯(lián)網(wǎng)在不斷發(fā)展的同時，還存在許多網(wǎng)絡風險。這些網(wǎng)絡風險會損害互聯(lián)網(wǎng)的系統(tǒng)，對互聯(lián)網(wǎng)的發(fā)展是不利的。那么到底有哪些網(wǎng)絡風險？網(wǎng)絡風險又該如何解決？

　　由蘇黎世保險集團與全球智庫——美國大西洋理事會共同發(fā)起的一項研究結果顯示，互聯(lián)的外部網(wǎng)絡風險對信息系統(tǒng)以及整個英特網(wǎng)的基礎穩(wěn)定構成了威脅，網(wǎng)絡風險管理專家必須對公司內(nèi)部信息技術（IT）進行審查，對這種威脅加以防范。

　　七種關鍵網(wǎng)絡風險
　　報告中羅列了7種關鍵的互聯(lián)網(wǎng)絡風險，包括與交易對手，外包供應商，供應鏈，顛覆性技術，上游基礎設施以及外部沖擊相關的風險。這些網(wǎng)絡風險可能會導致系統(tǒng)故障，影響范圍和規(guī)模堪比2008年的金融危機。此外，報告針對具有系網(wǎng)絡責任的政府和組織，以及其他單一組織就緩釋網(wǎng)絡風險，降低網(wǎng)絡風險發(fā)生幾率以及所帶來的后果也給出了關鍵的建議。
　　蘇黎世保險集團首席風險官兼歐洲區(qū)主席阿克塞爾·萊曼（Axel Lehmann）指出：“因特網(wǎng)是人類歷史上最復雜的系統(tǒng)。盡管過去數(shù)十年以來，因特網(wǎng)蓬勃發(fā)展，速度之快令人難以置信，但是目前存在的風險是我們用以防范網(wǎng)絡風險的復雜系統(tǒng)可以甚至非常有可能反戈相向。
　　萊曼說道：“企業(yè)會在毫不知情的情況下就面臨來自外部的網(wǎng)絡風險敞口。通過外包，企業(yè)可能與日益復雜且不知名的網(wǎng)頁互連，暴露在這些網(wǎng)絡風險之下。很少有人真正了解自己的電腦或是因特網(wǎng)以及他們所連接的網(wǎng)絡云端，就像很少有人真正了解整個金融系統(tǒng)，甚至是自己直接接觸的部分系統(tǒng)?！痹摲輬蟾孢€指出，有充足的理由相信，因特網(wǎng)的未來發(fā)展不如此前一般順暢，開放和活躍。相反，未來的互聯(lián)網(wǎng)更有可能因為小的故障， 擴散成為全球性的危機。
　　過去，整個社會對復雜的信息技術系統(tǒng)進行了成功管控，但是從整個過程來看，還“遠未達到完美的程度”。因為因特網(wǎng)高度互聯(lián)，與整個社會緊密相關，一個小的故障，或是某一處的一系列故障都有可能擴散，給其他地區(qū)造成非常重大的影響。
　　想象一下，當一家大型云端服務供應商發(fā)生“雷曼事件”，周五都還在的用戶數(shù)據(jù)在周一便消失不見，無法恢復。如果這個故障繼續(xù)擴散到一家大型的物流公司或是運營關鍵基礎設施的公司，那么這場災難性事故的影響就可能被放大，進一步蔓延到整個實體經(jīng)濟。這種蔓延方式令人費解，在事故發(fā)生前難以模擬，無法預測。特別是當這起事故與另一起事故同時發(fā)生時，這兩起事故的相互作用可能導致出現(xiàn)大面積的網(wǎng)絡崩潰或網(wǎng)絡癱瘓，影響時間之長，波及范圍之廣將遠遠超過我們的預計。報告中對這一點也發(fā)出了警告。
　　報告羅列了可能致上文事故發(fā)生的7種關鍵互聯(lián)網(wǎng)絡風險。這些風險起源于企業(yè)內(nèi)部網(wǎng)絡和安全故障，隨后向外蔓延。
　　幾種關鍵網(wǎng)絡風險包括：
　　1.內(nèi)部IT設施：與企業(yè)（通常是指企業(yè)內(nèi)部）整個IT設施相關的風險包括硬件，軟件，服務器以及相關操作人員和操作流程。
　　2.交易對手與合作伙伴：依賴外部組織或與外部組織直接互聯(lián)（通常以非合約方式）所導致的風險，包括大學研究合作伙伴，競爭/合作銀行之間的關系，合資企業(yè)與行業(yè)協(xié)會之間關系等。
　　3.供應鏈：對IT業(yè)供應鏈以及傳統(tǒng)供應鏈和物流的風險。包括來自某個國家的風險敞口，產(chǎn)品偽造與篡改所導致的風險，以及供應鏈突發(fā)事故的風險。
　　4.顛覆性技術：新技術所造成的風險、新技術本身以及新技術中止風險。這些顛覆性新技術是指現(xiàn)有但尚未完全開發(fā)的技術或是即將推出的新技術，如內(nèi)嵌醫(yī)療裝置、無人駕駛汽車以及自動數(shù)字經(jīng)濟。
　　5.上游基礎設施：經(jīng)濟社會依賴基礎設施中斷風險，尤其是電力、金融系統(tǒng)以及電訊等基礎設施。
　　6.外部沖擊：系統(tǒng)外部事件導致的風險，這些外部事件通常超出了大部分組織的控制范圍，并且有可能進一步擴散、包括主要的國際沖突和惡意軟件入侵。

　　解決方案
　　為了解決研究中發(fā)現(xiàn)的上述全球性網(wǎng)絡風險，報告中給出了兩套廣泛的建議方案。
　　其中一套建議方案旨在幫助單個組織、公司、政府部門甚至是個人網(wǎng)絡用戶規(guī)避全球網(wǎng)絡危機所帶來的較大風險。
　　第二套建議方案旨在提升整個因特網(wǎng)的安全，降低全球網(wǎng)絡危機發(fā)生的幾率以及減少全球網(wǎng)絡危機所造成的影響。這部分建議主要是針對具有系統(tǒng)觀念的政府機構和組織，以及在互聯(lián)網(wǎng)行業(yè)中具有舉足輕重地位的部分企業(yè)，包括互聯(lián)網(wǎng)服務供應商，路由設備制造商以及操作系統(tǒng)開發(fā)商。
　　此外，報告中涵蓋有三套子方案，主要針對非系統(tǒng)性架構公司。這三套子方案分為基本建議、高級建議以及應對措施。
　　基本建議是指無論公司規(guī)模大小，都有一套相對較小的適用行動方案幫助公司防范大部分的網(wǎng)絡風險。

　　行動方案需全盤考慮
　　報告中指出，通常情況下，這些行動方案都非常簡單易行，數(shù)十年來一直未有太大變動，但是導致網(wǎng)絡空間普遍不安全的主要原因則是太多組織忽視了這些基本措施。
　　網(wǎng)絡安全理事會（Council on Cybersecurity）公布了《20項關鍵安全控制》，報告建議公司嚴格遵守其中的5大關鍵步驟。
　　第一，根據(jù)應用程序白名單，組織僅允許內(nèi)部電腦運行一些有限的，并且預先批準的程序，從而降低電腦受到黑客惡意軟件攻擊的幾率。
　　第二，采用標準安全系統(tǒng)配置。對于那些僅安裝有標準配置的計算機而言，風險防范更加簡單易行，成本更低。
　　第三，在應用程序補丁發(fā)布后的48小時內(nèi)及時更新。一旦微軟、蘋果或其他公司發(fā)布修復軟件 “補丁”，操作系統(tǒng)中就會彈出一個“系統(tǒng)風險”的窗口。從數(shù)周改至數(shù)天內(nèi)完成這些窗口提示操作將大幅降低黑客找到漏洞的幾率，從而有助于控制風險。
　　第四，在系統(tǒng)軟件補丁發(fā)布48小時內(nèi)及時更新。這一點比上文提到的應用程序補丁更為重要，因為系統(tǒng)軟件用于實現(xiàn)計算機關鍵的基礎功能，享有更高的權限。
　　第五，減少擁有管理員權限的IT用戶數(shù)量?！皳碛泄芾韱T權限”的用戶就像擁有了開啟整個王國的鑰匙，幾乎能夠實現(xiàn)所有他們想在網(wǎng)絡上實現(xiàn)的事情，就像愛德華·斯諾登（Edward Snowden）所證明的那樣。盡管如此，很多公司還是允許所有員工擁有自由下載，運行所有程序以及自由訪問公司網(wǎng)站的權限。
　　除此之外，公司應該考慮執(zhí)行全新的《網(wǎng)絡安全框架》，針對不同風險管理級別的公司，該框架提供了一整套全面的網(wǎng)絡安全管理流程。
　　報告同時也指出，對于規(guī)模較大，技術更先進的組織而言，必須具備落實更高級別網(wǎng)絡風險管理的能力，同時組織采納的風險管理舉措必須超出網(wǎng)絡安全協(xié)會所制定的《20個關鍵安全控制》。
　　高級風險管理建議方案內(nèi)容如下：
　　●確定風險：尤其是技術先進的組織，必須拓寬自身的風險管理視角，將其他風險類型納入進來。特別是有關交易對手信息合同與外包協(xié)議，以及上游基礎設施的網(wǎng)絡風險。上述風險至少都可以通過合約，服務協(xié)議以及深入的實地考察或審查進行部分控制。
　　●網(wǎng)絡保險： 通過投保網(wǎng)絡保險可以轉移網(wǎng)絡風險，特別是與數(shù)據(jù)被盜或營業(yè)中止相關的第三方風險。隨著越來越多的保險公司涉足網(wǎng)絡保險領域，保險產(chǎn)品日益多樣化，購買網(wǎng)絡保險這個建議逐步適用于所有公司，而非僅限于一些技術先進的企業(yè)。
　　●提高成熟度、安全產(chǎn)品與標準需求：享有重要地位的企業(yè)可以推動主要的供應商以及標準組織納入更多安全措施，提升危機應對能力。這些舉措都可
　　●董事會風險管理：在網(wǎng)絡風險方面，董事會需要采取更加睿智的管理辦法。具體而言，董事會需要具有廣泛的視角，將全球網(wǎng)絡風險納入企業(yè)風險管理當中，并且采取高層負責制，而非平常的檢查/審查制度。
　　盡管報告中羅列了眾多網(wǎng)絡風險防范措施，但是也警告稱，即便采取所有上述措施也不足以規(guī)避將來所有的全球網(wǎng)絡危機。報告指出，鑒于未來全球網(wǎng)絡危機發(fā)生頻率以及影響深度，絕大部分組織都無法獨善其身，就如遭遇自然災害一樣。
　　鑒于此，報告指出，公司唯一的希望就是打造自身應對危機的能力。具體而言，公司應該具備從全球網(wǎng)絡危機中迅速恢復的能力，盡可能縮短網(wǎng)絡危機持續(xù)時間，降低危機所造成的影響。
　　報告中針對公司打造危機應對能力給出了如下建議：
　　●冗余:公司打造危機應對能力需要配置有備用電源以及多個電訊供應商，可替代的互聯(lián)網(wǎng)供應商（ISP），在發(fā)生互聯(lián)網(wǎng)危機的情況下，可以連接到不同的對等點，采用應急措施，減少對信息技術的依賴。
　　●事故應對以及業(yè)務持續(xù)規(guī)劃：對團隊進行培訓，做好準備應對最糟糕的局面是企業(yè)的一種優(yōu)勢，而這種優(yōu)勢卻往往容易被忽視。團隊必須制定有明確的標準操作流程。操作流程的制定基于企業(yè)的數(shù)個指標，同時制定旨在實現(xiàn)公司有關這些指標的規(guī)定。包括監(jiān)測故障發(fā)生/黑客入侵所耗費的時間，以及排除故障，消除黑客攻擊所耗費的時間。
　　●場景規(guī)劃與演練：最優(yōu)秀的組織會對發(fā)生幾率最高以及危險最大的網(wǎng)絡風險進行審查，并且對內(nèi)部安全團隊、危機應對團隊，以及企業(yè)高層與董事會進行演練，從而打造企業(yè)應對事故的深刻記憶。
　　報告還敦促這些政府和企業(yè)借鑒金融監(jiān)管的最佳理念，建立類似于G20+20網(wǎng)絡穩(wěn)定委員會（Cyber Stability Board），加強網(wǎng)絡風險管理，制定和改善G-SIIOs（全球特別重要因特網(wǎng)組織）的管理。
　　對于具有系統(tǒng)網(wǎng)絡責任的企業(yè)與政府機構而言，報告建議拓展風險管理范圍，將系統(tǒng)性的應對能力的機制納入進來。除此之外，報告也建議公司和政府慎重采用現(xiàn)行的監(jiān)管權限，將風險管理拓展至第三方供應商以及附屬機構。

　　無憂保提示：根據(jù)上面描述可以知道，網(wǎng)絡風險可能會導致系統(tǒng)故障，會給互聯(lián)網(wǎng)發(fā)展帶來一定影響。對于網(wǎng)絡風險專家建議，網(wǎng)絡風險管理機構必須提高自身的網(wǎng)絡風險防范機制。同時還要提高網(wǎng)絡的成熟度，這可以提高對互聯(lián)網(wǎng)危機的應對能力，保障互聯(lián)網(wǎng)安全。