信息系統安全管理的問題和對策

本文主要研究了企業信息系統的現狀及防范措施。首先，分析了信息系統普遍存在的安全問題；其次，在此基礎上，依據法律法規、行業標準及信息系統安全等級保護要求，對信息系統從技術手段和管理措施等方面提出了一些防范措施；最終對信息安全工作進行了肯定和展望。

【關鍵詞】信息系統 身份鑒別 漏洞掃描 信息安全管理體系（ISMS）

近年來，“Locky勒索軟件變種”、““水牢漏洞””、“支付寶實名認證信息漏洞”、“京東12G用戶數據泄露”、“700元買他人隱私信息”等信息安全事件層出不窮，引起各國領導的重視和社會關注。為提高網絡安全和互聯網治理，2014年，我國成立了以習近平主席為最高領導的信息安全管理機構-中央網信辦；2016年11月，在中國烏鎮舉行了《第三屆世界互聯網大會》。通過一系列的行為，為求現有的網絡系統能夠提高安全能力，為廣大社會群眾提供服務的同時，能夠保證人民的利益。

信息系統是由硬件、軟件、信息、規章制度等組成，主要以處理信息流為主，信息系統的網絡安全備受關注。企業在應對外部攻擊，安全風險的同時，當務之急是建立一套完整的信息安全管理體系。在統一的體系管控下，分布實施，開展各項安全工作。

目前，大多數企業的信息安全工作比較單一，主要是部署安全防護設備，進行簡單的配置。信息安全工作不全面，安全管理相對薄弱，不足以抵抗來自外部的威脅。

1 信息安全問題

1.1 身份鑒別不嚴格

考慮到方便記憶和頻繁的登錄操作，企業普遍存在管理員賬號簡單或者直接采用系統的默認賬號現象，并且基本不設定管理員的權限，默認使用最大權限。一旦攻擊者通過猜測或其他手段獲得管理員賬號，攻擊者如入無人之境，可以任意妄為。最終可造成數據泄露，系統癱瘓等不可估量的嚴重后果。注重信息安全的企業會修改默認管理員賬號，設定較為復雜的口令，并定期進行口令更換。但是也僅僅使用一種身份鑒別技術，不足以抵抗外部攻擊。

1.2 外部攻擊，層出不窮

隨著計算機技術的發展，信息系統的外部攻擊，層出不窮。攻擊者利用網絡系統的漏洞和缺陷，攻擊系統軟件、硬件和數據，進行非法操作，造成系統癱瘓或者數據丟失。 目前主要存在的攻擊手段包括掃描技術、郵件

攻擊、拒絕服務攻擊、口令攻擊、惡意程序等等；入侵常用的步驟包括采用漏洞掃描工具進行掃描、選擇合適的方式入侵、獲取系統的一定權限、提升為系統最高權限、安裝系統后門、獲取敏感信息或者其他攻擊目的。攻擊者會根據系統特性和網絡結構采取不同的手段對網絡進行攻擊，如果不采取相應的防御手段，很容易被黑客攻擊，造成損失。

1.3 員工安全意識薄弱

很多互聯網企業的員工缺乏信息安全意識，存在離開辦公電腦時不鎖屏現象；將重要客戶信息、合同等敏感材料放在辦公桌上或者不及時取走打印機房內的材料；優盤未經殺毒直接連接公司電腦；隨意點擊不明郵件的鏈接；更有員工將系統賬號、密碼粘貼在辦公桌上；在系統建設階段，大到管理者，小到開發人員、測試人員，均注重技術實現和業務要求，而忽略了系統的安全和管理。由于員工的信息安全意識較為薄弱，很容易造成公司信息泄露，進而導致公司的損失。

1.4 內部管理制度不完善

俗話說，“不以規矩，不能成方圓”。未形成全面的信息安全管理制度體系，缺失部分安全策略、管理制度、操作規程，可能導致信息安全管理制度體系存在疏漏，部分管理內容無法有效實施。使相關工作過程缺乏規范依據和質量保障，進而影響到信息系統的安全建設和安全運維。比如在軟件開發過程中，開發人員會因為各種原因而忽略安全開發（存在開發人員沒有意識到代碼安全開發的問題；有些開發人員不愿意使用邊界檢查，怕影響系統的效率和性能；當然也存在許多遺留代碼存在問題的現象，從而導致二次開發同樣產生問題），可能導致系統存在后門，被黑客攻擊。

2 防范措施

企業需依據《信息安全等級保護管理辦法（公通字[2007]43號）》、《中華人民共和國網絡安全法》》、《ISO/IEC 27001》等標準和法律法規進行信息系統安全建設工作。測評機構在網安的要求下，對企業信息系統的安全進行測評，并出具相應測評結果。根據測評結果和整改建議，采用相應的技術手段（安全認證、入侵檢測、漏洞掃描、監控管理、數據備份與加密等）和管理措施（安全團隊、教育與培訓、管理體系等）對信息系統進行整改。如圖1所示。

2.1 技術手段

2.1.1 安全認證

身份鑒別是指在計算機系統中確認執行者身份的過程，以確定該用戶是否具有訪問某種資源的權限，防止非法用戶訪問系統資源，保障合法用戶訪問授權的信息系統。凡登錄系統的用戶，均需進行身份鑒別和標識，且標識需具有唯一性。用戶身份鑒別機制一般分為用戶知道的信息、用戶持有的信息、用戶生物特征信息三種。針對不同鑒別機制，常用的鑒別技術（認證技術）如表1所示。

不同的認證技術，在安全性、便捷性方面存在不同的特性。比如USB-Key的安全等級較高，但會遇到各種問題，導致便捷性較差（比如存在軟硬件適配性問題，移動終端無USB口等）。一般認為在相同的便捷性前提下，選擇安全等級較高的認證技術。針對重要系統應采用雙因子認證技術。

2.1.2 入侵檢測

入侵檢測能夠依據安全策略，對網絡和系統進行監視，發現各種攻擊行為，能夠實時保護內部攻擊、外部攻擊和誤操作的情況，保證信息系統網絡資源的安全。入侵檢測系統（IDS）是一個旁路監聽設備，需要部署在網絡內部。如果信息系統中包含了多個邏輯隔離的子網，則需要在整個信息系統中實施分布部署，從而掌控整個信息系統安全狀況。

2.1.3 漏洞掃描

漏洞掃描是指基于漏洞數據庫，通過掃描等手段對目標系統的安全脆弱性進行檢測，發現可利用的漏洞的一種安全檢測行為。常見的漏洞掃描類型主要包括系統安全隱患掃描、應用安全隱患掃描、數據庫安全配置隱患掃描等。系統安全隱患掃描根據掃描方式的不同，分為基于網絡的和基于主機的系統安全掃描，可以發現系統存在的安全漏洞、安全配置隱患、弱口令、服務和端口等。應用安全隱患掃描可以掃描出Web應用中的SQL注入、Cookie注入、XPath注入、LDAP注入、跨站腳本、第三方軟件等大部分漏洞。數據庫安全配置隱患掃描可以檢測出數據庫的DBMS漏洞、缺省配置、權限提升漏洞、緩沖區溢出、補丁未升級等自身漏洞。

漏洞掃描主要用于評估主機操作系統、網絡和安全設備操作系統、數據庫以及應用平臺軟件的安全情況，它能有效避免黑客攻擊行為，做到防患于未然。

2.1.4 監控管理

網絡監控主要包括上網監控和內網監控兩部分。目前市場上已做的完整監控軟件已包含上述功能。網絡監控需結合網絡拓撲，在網絡關鍵點接入監控工具監測當前網絡數據流量，分析可疑信息流，通過截包解碼分析的方式驗證系統數據傳輸的安全。例如Solarwinds網絡監控平臺，它包括Network Performance Monitoring、Network Traffic Analysis、WAN Performance （IP SLA） 、IP Address Management、Network Configuration Management、Application Performance Monitoring等。可以執行全面的帶寬性能監控和故障管理；可以分析網絡流量；可以對服務器上運行的服務和進程進行自動監控，并在故障發生時及時告警；可對VOIP的相關參數進行監控；可以通過直觀的網絡控制臺管理整個IP架構；可快速檢測、診斷及解決虛擬化環境的網絡性能；強大的應用程序監視、告警、報告功能等。

2.1.5 數據備份與加密

企業高度重視業務信息、系統數據和軟件系統。數據在存儲時應加密存儲，防止黑客攻擊系統，輕易獲得敏感數據，造成公司的重大經濟損失。常用的加密算法包括對稱加密（DES、AES）和不對稱加密算法（RSA）。密碼技術不僅可以防止信息泄露，同時可以保證信息的完整性和不可抵賴性。例如現在比較成熟的哈希算法、數字簽名、數字證書等。

除了對數據進行加密存儲外，由于存在數據丟失、系統斷電、機房著火等意外，需對系統數據進行備份。按照備份環境，備份分為本地備份和異地備份；按照備份數據量的多少，備份分為全備、增備、差分備份和按需備份。各企業需根據自己的業務要求和實際情況，選取合適的備份方式進行備份。理想的備份是綜合了軟件數據備份和硬件冗余設計。

2.2 管理措施

2.2.1 安全團隊

企業應設立能夠統一指揮、協調有序、組織有力的專業的安全管理團隊負責信息安全工作，該團隊包括信息安全委員會，信息安全部門及其成員。安全部門負責人除了具備極強的業務處理能力，還需要有管理能力、溝通能力、應變能力。目前安全團隊的從業人員數量在逐漸增加，話語權在增多，肩上的擔子也越來越大。安全團隊需要定好自己的位，多檢查少運維，多幫企業解決問題。即安全團隊修路，各部門在上面跑自己的需求。

2.2.2 教育與培訓

保護企業信息安全，未雨綢繆比亡羊補牢要強。培養企業信息安全意識文化，樹立員工信息安全責任心，是解決企業信息安全的關鍵手段之一。企業的競爭實際上是人才的競爭，除了定期進行技能培訓外，還需對員工的安全意識進行教育和培訓。信息安全團隊應制定信息安全意識教育和培訓計劃，包括但不限于在線、郵件、海報（標語）、視頻、專場、外培等形式。通過對員工的安全意識教育，能從內部預防企業安全事件的發生，提高企業的安全保障能力。

2.2.3 管理體系

隨著計算機攻擊技術的不斷提高，攻擊事件越來越多，且存在部分攻擊來自公司組織內部。單靠個人的力量已無法保障信息系統的安全。因此，企業需建立自上而下的信息安全管理體系（ISMS， Information Security Management System），以達到分工明確，職責清晰，安全開發，可靠運維。安全管理制度作為安全管理體系的綱領性文件，在信息系統的整個生命周期中起著至關重要的作用。不同機構在建立與完善信息安全管理體系時，可根據自身情況，采取不同的方法，一般經過PDCA四個基本階段（Plan：策劃與準備；Do文件的編制；Check運行；Action審核、評審和持續改進）。可依據ISO27000，信息安全等級保護等，從制度、安全機構、人員、系統建設和系統運維5個方面去制定信息安全管理體系。通常，信息安全管理體系主要由總體方針和政策、安全管理制度、日常操作規程和記錄文檔組成，如圖2所示。

3 結語

國家不斷加強對各個互聯網企業、金融、銀行等的信息安全工作監督，通過ISO27000、信息安全等級保護測評、電子銀行評估、互聯網網站專項安全測評等方式，規范企業的信息安全建設工作。同樣，信息安全工作長期面臨挑戰，不能一蹴而就，需要相關安全工作人員戮力同心、同舟共濟、相互扶持、攜手共建信息安全的共同體。

參考文獻

[1]沈昌祥，張煥國，馮登國等.信息安全綜述[J].中國科學雜志社，2007（37）：129-150.

[2]李嘉，蔡立志，張春柳等.信息系統安全等級保護測評實踐[M].哈爾濱工程大學出版社，2016（01）.

[3]蔣欣.計算機網絡戰防御技術分析[J].指揮控制與仿真，2006（08），28-4.

作者簡介

康玉婷（1988-），女，上海市人。碩士學位。現為信息安全等級測評師、初級工程師。主要研究方向為信息安全。

作者單位

1.上海計算機軟件技術開發中心 上海市 201112

2.上海軟中信息技術有限公司 上海市 200235