天际友盟：2021上半年数字风险防护报告（37页）.pdf

1、随着互联网的迅猛发展，数字化转型已成为全社会无法回避的挑战，2020 年席卷全球的新冠疫情更是加速了这一进程。然而，数字化转型的同时也带来了各种各样的数字风险，企业、机构等各类主体的数字资产也面临着更多的外部威胁。在数字经济时代，各类主体对数字风险防护的需求正与日俱增。组织需要一个标准的、规范化的方法来应对新生的数字风险，以期满足对风险管理的成熟度要求。IDRR 框架是一个基于生命周期的数字风险防护方法论，可以和信息安全框架结合，有效解决上述的问题和挑战。IDRR框架，基于数字风险保护生命周期，分为识别(Identify)、监测(Detect)、响应(Response)、恢复(Recovery

2、)四个阶段。该模型将持续改进融入了数字风险防护模型，可为企业提供数字风险的全生命周期管理。识别(I)：“识别”是指了解组织运营(包括任务、职能、形象或声誉)、组织资产和个人的网络安全风险，识别和管理企业资产要素及其对业务目标的重要性，并用于支持运营风险决策。具体又可分为四个步骤：第一，明确有价值的数字资产。成立统一管理的小组，梳理企业有价值的数字资产，企业资产包括但不限于网站、域名、官方 APP、企业社交媒体账号或高管个人社交媒体账号，以及企业内部数据、文件、代码等。第二，评估数字资产的足迹与暴露面。在资产梳理工作完成后，由专业人员根据网站域名白名单、官方 APP 域名白名单或授权下载渠道白名

3、单、关键字、数字水印、HASH、特定字串等，评估上述数字资产在互联网上的传播路径及暴露面。第三，数字风险与损失分析。分析企业数字资产可能或已经面临的风险，并预判其对企业业务可能会或已经造成的损失。第四，制定数字风险防护策略。根据企业所关注的数字资产及面临的风险，制定相应的数字风险防护策略。监测(D)：“监测”是指对企业的信息、资产、数字足迹进行全面监测，以识别网络安全事件和异常活动，了解事件的潜在影响，评估并反馈事件风险程度。监测能力有赖于两大体系，一是情报体系，包括 NOD(新观测到的域名)、威胁情报、第三方情报、暗网情报等;二是技术体系，包括爬虫对抗、NLP(自然语言处理)、图像识别、音频

4、识别、视频识别等技术。监测对象针对两类资产：一是隐藏资产，包括探测扫描、远程控制、恶意邮件、IDS、SIEM/SOC、态势感知等;二是暴露资产，包括域名安全、移动 APP、企业社交媒体账号、高管社交媒体账号、企业数据、代码凭证、搜索引擎等。响应(R)：“响应”是指执行响应流程和程序，以防止事件扩散、缓解事件影响和消除事件，针对事件活动酌情与内部和外部利益相关方沟通协调，包括寻求执法机构的外部支持。数字金融欺诈，是一个行业乃至整个社会需要面对的问题。金融监管机构对此有明确规定，金融机构必须加强安全技术防范措施，需加强主动侦测钓鱼网站机制建设，主动搜索钓鱼网站，并采取多种措施及时关闭钓鱼网站，否则

5、将面临被监管通报批评的后果。早在 2011年，中国银监会就下发中国银监会办公厅关于进一步加强网上银行风险防控工作的通知，各银行业金融机构应高度重视网上银行风险管控，加强对仿冒网站等“钓鱼”诈骗事件的防范，与此同时加强反“钓鱼”应急处置机制建设，有效切断“钓鱼”诈骗渠道。2020 年，中国人民银行发布网上银行系统信息安全通用规范，据安全提升到了新的高度。可见，未来金融业数据合规要求将面临全面挑战。与之相关的政策包括金融科技(FinTech)发展规划(2019-2021 年)、银行业金融机构数据治理指引、网上银行系统信息安全通用规范、个人金融信息保护技术规范、个人金融信息(数据)保护试行办法、关于

6、加强网络信息安全与客户信息保护有关事项的通知、中国人民银行关于进一步加强银行卡风险管理的通知等。其中，中国人民银行下发的金融科技(FinTech)发展规划企业的数字作品版权遭到非法窃取后，公开在网站、网盘、社交媒体等平台传播，给版权方和发行方带来重大损失。以影视盗版为例，在影片制作、发行、上映等不同阶段均有可能发生，给制片方、发行方、院线或授权播放平台均带来巨大损失，且严重影响影视行业产业链的商业收益。流浪地球导演郭帆曾对相关媒体表示，为了防止盗版，他们采取了在制作端层层加密