疏堵結(jié)合“治”安全

文｜本刊記者 陳昕

病毒傳播、黑客攻擊等安全問題，大大增加了信息安全的管理難度，信息安全一旦出現(xiàn)紕漏，企業(yè)的相關(guān)信息將面臨丟失乃至落到競爭對手手中。企業(yè)的信息安全問題、以及對信息的安全管理都變得至關(guān)重要，企業(yè)要想保證信息安全，就必須找出存在信息安全問題的根源，并具有良好的安全管理策略。

企業(yè)信息化建設(shè)是一項長期工作。通常企業(yè)在信息化建設(shè)過程中會對信息化需求的分析、系統(tǒng)選型及實施上線給予足夠的關(guān)注，然而企業(yè)信息化建設(shè)并不以系統(tǒng)的上線為止，相反更多和更重要的工作是如何保證系統(tǒng)在上線后，能夠隨著企業(yè)業(yè)務(wù)變化而持續(xù)地推廣、維護(hù)和優(yōu)化升級。

隨著企業(yè)對信息化應(yīng)用的不斷深入，企業(yè)對系統(tǒng)的依賴性也越來越強(qiáng)，信息化在幫助企業(yè)提高管理效率的同時，安全體系缺乏所隱藏的風(fēng)險也將越來越突出，比如說信息安全的隱患、無形資產(chǎn)流失的風(fēng)險、系統(tǒng)故障給業(yè)務(wù)運(yùn)行帶來的影響等。同時，信息化在使用過程中會存在眾多風(fēng)險，例如數(shù)據(jù)風(fēng)險、硬件風(fēng)險等。在信息高速發(fā)展的今天，信息化系統(tǒng)建設(shè)集中化趨勢和云平臺等信息技術(shù)的發(fā)展，使得數(shù)據(jù)的集中度越來越高，數(shù)據(jù)集中為信息化系統(tǒng)的部署、更新和實施帶來高效，同時，如何保證數(shù)據(jù)信息的安全，建立完整的信息保障體系也顯得愈加重要。

日趨復(fù)雜的信息安全環(huán)境

現(xiàn)在利用信息技術(shù)管理信息安全問題相較之前變得更為復(fù)雜，目前，企業(yè)信息安全面臨的潛在威脅主要有以下幾個方面，一是病毒危害，計算機(jī)病毒是指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者數(shù)據(jù)，影響計算機(jī)使用并且能夠自我復(fù)制的一組計算機(jī)指令或者程序代碼，它是具有破壞作用的程序或指令集合。計算機(jī)病毒已經(jīng)泛濫成災(zāi)，幾乎無孔不入。據(jù)統(tǒng)計，計算機(jī)病毒的種類已經(jīng)超過4萬多種，而且還在以每年40%的速度遞增，隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，病毒在企業(yè)信息系統(tǒng)中傳播的速度越來越快，其破壞性也越來越強(qiáng)。

二是“黑客”攻擊。“黑客”是英文Hacker的諧音，黑客是利用技術(shù)手段進(jìn)入其權(quán)限以外的計算機(jī)系統(tǒng)的人。黑客破解或破壞某個程序、系統(tǒng)及網(wǎng)絡(luò)安全，或者破解某系統(tǒng)或網(wǎng)絡(luò)以提醒該系統(tǒng)所有者的系統(tǒng)安全漏洞的過程。通常采用后門程序、信息炸彈、拒絕服務(wù)、網(wǎng)絡(luò)監(jiān)聽、密碼破解等手段侵入計算機(jī)系統(tǒng)，盜竊系統(tǒng)保密信息，進(jìn)行信

息破壞或占用系統(tǒng)資源，黑客攻擊已經(jīng)成為近年來經(jīng)常出現(xiàn)的問題。

三是網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)攻擊就是對網(wǎng)絡(luò)安全威脅的具體表現(xiàn)，利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對系統(tǒng)和資源進(jìn)行的攻擊。尤其是在最近幾年里，網(wǎng)絡(luò)攻擊技術(shù)和攻擊工具有了新的發(fā)展趨勢，使借助互聯(lián)網(wǎng)運(yùn)行業(yè)務(wù)的企業(yè)面臨著前所未有的風(fēng)險。

病毒傳播、黑客攻擊等安全問題，大大增加了信息安全的管理難度，信息安全一旦出現(xiàn)紕漏，企業(yè)的相關(guān)信息將面臨丟失乃至落到競爭對手手中。企業(yè)的信息安全問題、以及對信息的安全管理都變得至關(guān)重要，企業(yè)要想保證信息安全，就必須找出存在信息安全問題的根源，并具有良好的安全管理策略。

立體分布式解決信息安全問題

信息安全問題在近年來已經(jīng)逐漸獲得了更多的關(guān)注。據(jù)媒體報道，全球領(lǐng)先的信息安全整體解決方案廠商瑞星公司，與全球領(lǐng)先的信息與通信解決方案供應(yīng)商華為通過簽署戰(zhàn)略合作協(xié)議，建立云計算虛擬化防病毒領(lǐng)域戰(zhàn)略合作伙伴關(guān)系，聯(lián)手研發(fā)國內(nèi)首個自主知識產(chǎn)權(quán)的虛擬化安全產(chǎn)品。

信息安全系統(tǒng)的搭建并不是簡單將信息安全產(chǎn)品安裝到企業(yè)的電腦中，對于一些大型跨國企業(yè)來說，企業(yè)的信息系統(tǒng)及其復(fù)雜，針對企業(yè)對于內(nèi)網(wǎng)信息安全管理的需求，企業(yè)需要建立立體分布式體系并不斷強(qiáng)化信息安全理念，通過構(gòu)建符合企業(yè)自身特點(diǎn)的信息安全體系，借鑒成功部署信息安全企業(yè)的成熟經(jīng)驗和先進(jìn)的信息技術(shù)，設(shè)計好信息安全解決方案，使信息安全系統(tǒng)不但可以殺毒、防毒，還不會拖慢企業(yè)整體IT環(huán)境，保障企業(yè)網(wǎng)絡(luò)通暢。

當(dāng)然，這是理想情況下的企業(yè)信息安全系統(tǒng)構(gòu)建。眼下，業(yè)內(nèi)主流、商用的服務(wù)器操作系統(tǒng)基本為國外產(chǎn)品，本身存在漏洞和后門，而且一旦出現(xiàn)漏洞、后門后，系統(tǒng)補(bǔ)丁升級需要時間。在此期間，服務(wù)器系統(tǒng)的應(yīng)用、數(shù)據(jù)安全如何得到保證，一直是困擾企業(yè)的一個難題。

以某一資源豐富、技術(shù)與人才密集的國有特大型企業(yè)為例，該企業(yè)工作區(qū)域主要分布在其所在省的8個地市及28個縣（區(qū)）內(nèi)。隨著企業(yè)業(yè)務(wù)的不斷拓展，支撐企業(yè)運(yùn)轉(zhuǎn)的信息化應(yīng)用系統(tǒng)越來越多，主要包括生產(chǎn)指揮系統(tǒng)、源頭數(shù)據(jù)采集系統(tǒng)、地理信息系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、辦公自動化系統(tǒng)等。由于業(yè)務(wù)空間上的分散，來自網(wǎng)絡(luò)內(nèi)外的信息安全問題也隨之增多。

該企業(yè)服務(wù)器上普遍部署的是國際通用的主流商業(yè)服務(wù)器操作系統(tǒng)，這些操作系統(tǒng)在美國的TECSE（橘皮書）標(biāo)準(zhǔn)中都屬于C2級操作系統(tǒng)，其本身不具備完善安全的防護(hù)功能，存在諸多的漏洞和后門，很多來自內(nèi)外網(wǎng)應(yīng)用層的攻擊，通過包裝重組技術(shù)可以透過傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)設(shè)備，直接進(jìn)入企業(yè)內(nèi)任何一臺服務(wù)器，一旦企業(yè)系統(tǒng)的核心應(yīng)用被破壞或關(guān)鍵數(shù)據(jù)被竊取，將造成不可彌補(bǔ)的損失或影響。基于這樣的考慮，該企業(yè)與國內(nèi)某大型軟件廠商合作，為企業(yè)的服務(wù)器操作系統(tǒng)安全、應(yīng)用安全等量身定做了相關(guān)的解決方案，極大規(guī)避了服務(wù)器應(yīng)用的安全風(fēng)險。

操作系統(tǒng)是銜接服務(wù)器硬件與服務(wù)器應(yīng)用軟件的橋梁，橋梁的安全、可靠，決定了應(yīng)用系統(tǒng)和數(shù)據(jù)的安全、可靠。針對于此，軟件廠商增加目標(biāo)應(yīng)用服務(wù)器上操作系統(tǒng)的內(nèi)核級安全，對操作系統(tǒng)的文件、注冊表、服務(wù)、進(jìn)程等資源實現(xiàn)強(qiáng)制訪問控制，消除病毒等惡意程序的生存環(huán)境，使服務(wù)器能夠免疫針對操作系統(tǒng)的攻擊，實現(xiàn)對已知或未知病毒程序、ROOTKIT級后門威脅的主動防御，避免出現(xiàn)企業(yè)信息系統(tǒng)因新的蠕蟲等感染型病毒的出現(xiàn)，而導(dǎo)致的網(wǎng)絡(luò)癱瘓、應(yīng)用服務(wù)中斷等安全事故。

在系統(tǒng)的運(yùn)維過程中，如果系統(tǒng)缺乏身份認(rèn)證以及授權(quán)機(jī)制，來自內(nèi)、外部的頻繁訪問有可能使得不法分子獲得很好的偽裝身份，從而輕而易舉的獲取到重要信息。針對于此，軟件廠商采用了規(guī)范系統(tǒng)管理員行為、強(qiáng)制訪問控制、關(guān)鍵業(yè)務(wù)進(jìn)程保護(hù)機(jī)制以及建立安全審計機(jī)制4個維度的管控機(jī)制，有效降低了內(nèi)、外部的運(yùn)維風(fēng)險。

該企業(yè)通過加強(qiáng)對操作系統(tǒng)管理員行為的管理，實現(xiàn)對不同廠商的運(yùn)維人員的“最小授權(quán)”，通過技術(shù)和制度手段對ROOT賬號的權(quán)力加以分散。即使擁有ROOT賬號的運(yùn)維人員，如果需要訪問不屬于自己的資源，也必須取得相關(guān)部門的授權(quán)。這樣既保證了運(yùn)維工作的正常進(jìn)行，又能夠規(guī)避因為運(yùn)維人員權(quán)限過大而帶來的風(fēng)險。而對服務(wù)器的資源，尤其是業(yè)務(wù)信息系統(tǒng)資源，則實現(xiàn)細(xì)粒度的強(qiáng)制訪問控制，使得運(yùn)維人員或惡意攻擊人員不能夠隨意安裝和開啟遠(yuǎn)程控制軟件，即便在利用SSH等方式遠(yuǎn)程登錄后，也不能對系統(tǒng)關(guān)鍵資源實施竊取、破壞等行為。

同時，該企業(yè)通過建立行之有效的進(jìn)程保護(hù)機(jī)制，確保業(yè)務(wù)進(jìn)程不會因為運(yùn)維人員的誤操作等原因終止，也不會被病毒、木馬等惡意程序注入而導(dǎo)致業(yè)務(wù)過程被破壞。建立安全審計機(jī)制，通過“三權(quán)分立”機(jī)制實現(xiàn)對操作人員的最小授權(quán)。當(dāng)出現(xiàn)操作人員企圖越權(quán)訪問核心數(shù)據(jù)資產(chǎn)的情況時，會及時的按照訪問用戶、程序、時間、動作等信息記錄在系統(tǒng)中，在日后的企業(yè)內(nèi)審中作為技術(shù)判斷依據(jù)。在發(fā)生病毒、木馬等惡意程序通過移動介質(zhì)企圖進(jìn)入系統(tǒng)時，信息安全系統(tǒng)會及時的定位病毒文件，便于安全運(yùn)維人員清理和刪除這些危險程序。

信息安全 全民防護(hù)

系統(tǒng)安全管理就是要建立信息安全保障機(jī)制，信息安全保障體系并不是僅僅指建立防火墻、系統(tǒng)用戶安全管理、信息備份和病毒防護(hù)，通常包含準(zhǔn)入、保護(hù)、驗證、培訓(xùn)和監(jiān)控五大領(lǐng)域的信息管理和服務(wù)保障體系。這五大領(lǐng)域又相互加強(qiáng)，成為一個閉環(huán)的安全管控體系。

五大領(lǐng)域?qū)?yīng)的信息保障體系具體內(nèi)容包括準(zhǔn)入，即安全政策的制定、企業(yè)信息安全管理架構(gòu)的建立、對安全風(fēng)險和威脅評估、對系統(tǒng)架構(gòu)脆弱性的檢測、災(zāi)備計劃、安全審計等內(nèi)容。保護(hù)，不僅包括軟件系統(tǒng)中密碼系統(tǒng)（例如單點(diǎn)登錄系統(tǒng)，系統(tǒng)用戶密碼規(guī)則等）的建立，還包括防火墻的實施、VPN的實施、系統(tǒng)安全程序的開發(fā)和集成、管理安全服務(wù)等。驗證，安全管理需要保障系統(tǒng)文檔的保存和及時更新、定期測試，對可能的攻擊、風(fēng)險和系統(tǒng)脆弱性進(jìn)行分析和更新，定期對系統(tǒng)、計劃和程序的IT安全性進(jìn)行審計等。培訓(xùn)，包括對員工和信息系統(tǒng)管理人員的培訓(xùn)，讓全公司的人員都有安全意識，并主動在工作中遵循相關(guān)的安全和信息保障規(guī)定。這些培訓(xùn)包括安全認(rèn)識培訓(xùn)、入侵偵測培訓(xùn)、安全操作小組培訓(xùn)、系統(tǒng)管理員的安全培訓(xùn)等。監(jiān)控，即對入侵的偵測、系統(tǒng)和網(wǎng)絡(luò)監(jiān)控、入侵歷史分析、惡意代碼分析、安全事件匯報、成立安全事件響應(yīng)小組等。

隨著云計算、物聯(lián)網(wǎng)等新技術(shù)、新應(yīng)用的出現(xiàn)，現(xiàn)有的產(chǎn)品檢測標(biāo)準(zhǔn)已經(jīng)滯后或缺失，很難發(fā)現(xiàn)深層次的問題。為了更好地維護(hù)企業(yè)信息安全，企業(yè)還要定期開展對關(guān)鍵技術(shù)設(shè)備的系統(tǒng)漏洞檢測評估，發(fā)掘深層次隱患，提出相應(yīng)的加固解決辦法。有效的漏洞分析、風(fēng)險評估可以使企業(yè)集中研討當(dāng)前突出問題的解決辦法，提出對策建議。此外，企業(yè)還要加強(qiáng)網(wǎng)絡(luò)安全態(tài)勢感知和預(yù)警平臺的建設(shè)。由于現(xiàn)在境外的網(wǎng)絡(luò)攻擊都比較隱秘，行為加密，很難被發(fā)現(xiàn)，要想排除威脅就必須加強(qiáng)網(wǎng)絡(luò)安全態(tài)勢感知，發(fā)現(xiàn)深層次問題。

信息安全的維護(hù)更需要從國家層面上進(jìn)一步加強(qiáng)對基礎(chǔ)設(shè)施的保障保護(hù)，并建立一些主動防御手段。無論是企業(yè)還是個人都需要進(jìn)一步強(qiáng)化漏洞意識和危機(jī)意識，從維護(hù)國家安全、公共安全和個人隱私的角度進(jìn)行全民防護(hù)。對于企業(yè)來說應(yīng)當(dāng)在企業(yè)的系統(tǒng)中采取相應(yīng)防護(hù)措施，拒絕非正當(dāng)?shù)臄?shù)據(jù)獲取和利用；對于個人來說應(yīng)該加強(qiáng)安全意識，杜絕弱口令和不安全行為。

更為重要的是，信息安全工作的開展亟需一個強(qiáng)有力的協(xié)調(diào)部門。我國國家信息安全戰(zhàn)略的總體目標(biāo)是：提高信息化建設(shè)能力，控制和化解信息化進(jìn)程中出現(xiàn)的問題與風(fēng)險，創(chuàng)建安全健康的網(wǎng)絡(luò)幻境，保障和促進(jìn)信息化發(fā)展，保護(hù)公眾利益、維護(hù)國家安全。建立和完善維護(hù)國家信息安全的長效機(jī)制，掌握國家信息安全的戰(zhàn)略主動權(quán)。

針對我國的實際情況，僅僅依靠企業(yè)自發(fā)地去建設(shè)信息化及其安全意識是不夠的，發(fā)達(dá)國家的經(jīng)驗已經(jīng)證明：在企業(yè)信息化建設(shè)過程中，政府的支持、鼓勵與引導(dǎo)至關(guān)重要。政府的作用主要是改進(jìn)和完善企業(yè)信息化建設(shè)的環(huán)境，包括信息化基礎(chǔ)設(shè)施建設(shè)、配套體系的建立和完善、信息安全相關(guān)法律法規(guī)的制定等，從而為企業(yè)信息化建設(shè)工作及其信息安全管理營造一個良好的環(huán)境，確保企業(yè)核心信息受國家法律保護(hù)而不受侵害。