Veritas：如何帮助本地企业增强网络韧性

中国企业面临的数据安全风险话题看似“老生常谈”，但如果真是“拿数据说话”，一直有一些真实现状超出我们的想象。在Veritas近期发布的《数据风险管理：从网络到合规的市场现状》研究报告中，可以看到中国企业呈现出的部分结果超出全球平均水准。例如，在研究调查的13个国家/地区中，风险最大的国家/地区里中国排名第三位。

显然，中国企业面临着风险高于很多其他国家和地区的网络环境——也切实地深受其害。报告显示，79%的中国受访者表示在过去两年中，其所在企业至少遭受过一次成功的勒索软件攻击，黑客成功渗透到其系统中——高于全球平均值65%。而在损失方面，过去一年中，因未能遵守监管要求而造成的泄密事件，使中国受访企业平均损失超过 38.4 万美元(约合281万元人民币)的合规罚款——高于全球合规罚款平均值为33.6万美元。

中国企业网络风险漏洞背后的思考

突出的表现令企业不得不思考背后的原因。事实上，很多中国企业都缺乏对于风险的清晰认知，因而也疏忽了防范。Veritas报告显示，当被问及其企业目前是否面临风险时，40%中国受访者的答案是否定的。但是，在看过风险因素清单后，93%的中国受访者随后指出其企业所面临的风险。这足以说明，很多中国企业的风险意识不足，在风险防范方面也并不完善。46%的中国受访者表示，所在企业没有制定数据恢复计划，或者只有部分计划。此外，2022年微软数字防御报告(Microsoft Digital Defense Report 2022)中也指出，44% 的企业没有为受影响的系统提供防篡改的备份。

报告中还有一点也值得关注——横向对比中国市场中各领域风险排名的结果中，风险排名最高的领域是生物医药行业，受访者认为面临风险比例高达100%。而在生物医药行业中，Veritas积累了深厚的数据管理和合规经验，观察到此领域的企业普遍面临着数据管理挑战。

以CDMO服务领域为例，面临着艰巨的数据保护管理挑战和严苛的合规标准。企业需要确保CDMO生成的数据的完整性——从实验室到车间，质量小组应构建一个例行通用、标准化的数据完整性审计框架。即便在早期开发过程中，也应定义用于捕获GMP数据的相关流程，作为GxP整体IT管理系统的一部分。其次，CDMO为协助药企研发创新提供大量基础性数据，而新产品的上市周期可能长达5-10年，要求所有基础文档、记录都必须齐备，这对数据保管提出了非常大的挑战。而长期数据保管不是简单的数据存放，而是需要定期地对数据进行处置，包括转储、翻录、验证等，实现全生命周期管理。多数据源、多数据格式对数据保护平台提出了全覆盖、高稳定的严格要求。

而在合规方面，由于不少生物制药企业涉及的产业链和业务生态遍布全球，需要构建遵循全球规范的CSV体系，满足全球各个地区的药监合规要求，包括GMP/cGMP数据管理相关要求等。这些都对CDMO领域的数据管理提出了极大挑战。

加码数据保护管理 守好企业数据“最后一道防线”

以小见大，其实不论是哪个行业，都面临着大同小异的数据管理挑战。企业需要做的是“治本”，从根源上做好数据管理和保护，即构建一个完备的数据保护管理策略。增强其中备份系统作为企业核心业务数据与关键应用的“最后一道防线”至关重要，Veritas建议企业可以从以下几点着手，守好最后一道防线，帮助企业增强网络韧性：

1.网络层面，阻止恶意威胁入侵访问系统：备份是抵御勒索威胁的重要防线，但这并不意味着备份系统会对勒索软件具备“天然免疫”。大多数勒索软件会扫描目标网络，删除或加密存储在网络共享上的文件，并传播到其他系统。隔离感染是最重要的第一步，可控制和阻止勒索软件的传播。IT必须尽快将受感染的系统从网络中隔离出来。不同域之间数据和网络隔离，灵活性和安全性俱佳。

2.用户层面，阻止未经授权的登录：基于证书&多因素验证，外部权威证书;特权访问管理。

3.应用层面，应用程序隔离和资源访问控制：平台层与应用程序层分离，一台设备上可以起多个Master、Media、Storage角色。

4.操作系统层面，限制用户和进程权限：采取零信任访问原则。密码只是最基础的，身份和访问管理是必需的。通过基于角色的访问控制(RBAC)和多重身份验证(MFA)，为不同角色分配所需的功能，限制不必要的访问。同时，防止用户通过单个凭证接管帐户。

5.存储层面，破坏性访问操作受到严格限制：勒索病毒获得了管理员的权限之后，容器化的WORM存储可以防止恶意授权用户泄露数据。通过使用专有合规时钟，不受操作系统或网络时间协议(NTP)黑客攻击的影响，在满足保留期限之前，数据不会过期，从而在整个端到端、全生命周期的数据旅程中实现无与伦比的不可变性。此外，还可采用多用户权限访问shell和 受限的IPMI操作码以及文件系统隔离保证数据干净和安全。

6.安全标准方面：满足FIPS、STIG等认证标准，并满足全球各地、各行业合规需求。此外，应该具有不可变架构和漏洞管理方案，并与安全信息与事件管理(SIEM)、安全编排、自动化和响应(SOAR)以及扩展检测和响应(XDR)等安全监控/管理平台安全集成。

近期，Veritas推出的数据保护管理领域首个可扩展架构——Veritas 360 Defense，通过与数家业内领先的安全厂商集成，正是为企业提供了一套独特的网络韧性功能。可以说，打造网络韧性不是一招一式就可以出奇制胜的，而是需要以全方位的视角，构建起企业面对威胁的能力“高墙”，才能在充满挑战的网络环境中稳步获取业务成长。

关于 Veritas

Veritas Technologies是安全多云数据管理领域的领导者。超过八万家企业级客户， 包括91%的全球财富100强企业，均依靠Veritas确保其数据的保护、可恢复性和合规性。Veritas在规模化的可靠性方面享有盛誉，可为企业提供抵御勒索软件等网络攻击威胁所需的弹性。Veritas通过统一的平台，支持超过800种数据源，100多种操作系统以及1400多种存储设备。在云级技术的支持下，Veritas现正在实践其数据自治战略，在降低运营成本的同时，实现更大价值。

Veritas中国官方网站 https://www.veritas.com/zh/cn/

Veritas官方微信平台：VERITAS_CHINA(VERITAS中文社区)