2011 年只有37%受訪企業參與政府關鍵基建保護計劃

最近，有一家安全機構發表了「二零一一年關鍵基建保護 (CIP) 調查」(2011 Critical Infrastructure Protection (CIP) Survey) 。根據關鍵基建保護參與指數的顯示，全球對於這類計劃的意識及參與率均呈下降之勢。今年受訪企

業對政府保護計劃的基建保護參與指數為82%，較二零一零年減少18%。然而，關鍵基建供應商的數碼網絡一旦被攻下或失效，便會對全國的網絡安全構成實際的威脅。

調查報告重點

1. 對政府關鍵基建保護計劃的意識及參與率下降：今年企業對於政府的關鍵基建保護計劃的意識普遍較低。相對去年的55%，今年只有36%受訪企業在某程度上或徹底意識到在其國家議論紛紛的政府關鍵基建計劃。
2. 對參與政府關鍵基建保護計劃猶豫不決：調查結果顯示，二零一一年企業對於政府的關鍵基建保護計劃較二零一零年存有更大的疑問。他們對於與關鍵基建保護計劃合作的意欲較去年低。去年的比率達66%，今年則低至57%。
3. 全球企業均準備不足：全球的整體準備狀態為60至63%，較去年的68至70%，平均下降8%。

確保對關鍵基建網絡攻擊的復原能力的建議

1. 制定和實施IT政策，並將法規遵循流程自動化。IT部門可按優先順序處理風險及制定橫跨所有位置的政策，從而透過內置自動化和工作流程來實施政策、識別威脅，以及修正事件甚至防患未然。
2. 採用內容偵測功能來保護資訊尤為重要，這樣便得知哪些人擁有相關資訊、敏感資訊的存放位置、哪些人能夠存取資訊，以及資訊進出企業的途徑。
3. 透過建立安全操作環境、分配與實施修正級別、將以簡化效率為目標的流程自動化，以及監察和匯報系統狀態，藉以管理系統。
4. 確保端點、通訊及網絡環境的安全，從而保護基建。
5. IT部門應實行非破壞性的測試方法，並把容錯轉移自動化從而簡化流程。另外，IT部門需採用更多跨平台和跨環境的工具，或是在較少的平台上進行標準化。
6. 制定資訊管理策略，包括資訊保留計劃與政策。IT部門需停止使用歸檔和合法保留的備份，應在所有位置啟動重複數據刪除功能、使用功能齊全的歸檔系統，以及部署防止資料外洩技術。

政府推廣關鍵基建保護的建議

1. 政府應繼續為政府關鍵基建計劃的發展提供資源。
2. 政府應與業界公會和私人機構組織合作，提高企業對政府關鍵基建保護的系統和計劃的意識，詳細說明面對全國性網絡攻擊的時候，有關回應的效用、政府所扮演的角色、多個地區性及全國性行業應與誰聯繫，以及政府和私人企業在緊急情況下如何分享資訊。
3. 政府需強調，單靠保安措施不足以應付現今的網絡攻擊。另外，政府亦應向關鍵基建供應商與企業重申，他們的資訊已被儲存、備份、整理及按優先順序處理，而且指定的識別功能和存取控制流程已經準備就緒。

是次調查由 Applied Research 於二零一一年八至九月進行，訪問了針對關鍵基建行業為主，共十四個行業的大、中、小型企業中的C級行政人員及IT專業人士。該調查旨在分析企業對於政府的關鍵基建保護計劃的意識、參與率和準備狀態。受訪對象包括來自北美洲、歐洲、中東及非洲 (EMEA)、亞太區和拉丁美洲的三十七個國家，合共三千四百七十五家企業。