石兆軍， 武越， 李可， 劉向東， 李楠

（中國航天科工集團第二研究院706所，北京100854）

企業(yè)信息系統(tǒng)安全風險分析及加固建議*

石兆軍， 武越， 李可， 劉向東， 李楠

（中國航天科工集團第二研究院706所，北京100854）

近年來，隨著信息技術的不斷發(fā)展和廣泛應用，信息系統(tǒng)已經成為人類社會中各個領域必不可少的基礎設施，極大推動了人類社會的發(fā)展。但同時，隨著信息技術的深入應用，也帶來了新的威脅和挑戰(zhàn)。本文在調研信息系統(tǒng)建設現(xiàn)狀的基礎上，總結了面臨的信息安全風險，并針對這些風險提出了完善信息安全防護體系的加固措施及建議，能夠為信息安全防護體系建設提供有效借鑒。

信息安全；安全風險；信息安全防護體系

0 引言

隨著信息技術的不斷發(fā)展、應用，極大的推動了人類社會的發(fā)展和進步，借助于信息技術人類步入了一個嶄新的信息時代。信息系統(tǒng)已成為社會各個領域不可或缺、賴以生存的基礎設施，信息已成為重要資源，信息化水平已成為衡量一個國家、一個企業(yè)現(xiàn)代化程度和綜合實力的重要標志之一。

然而，信息化技術在不斷支撐、豐富國家、企業(yè)各項業(yè)務有效開展的同時，也為各行各業(yè)的發(fā)展帶來了新的威脅和挑戰(zhàn)。國家的信息安全已成為國家安全最核心的要素之一。在信息時代，信息系統(tǒng)的不安全，也就談不上國家的整體安全，并會引發(fā)其他一系列問題的產生，使整個國家建設陷入被動。

2014年2月27日，中共中央總書記、國家主席、中央軍委主席、中央網絡安全和信息化領導小組組長習近平主持召開中央網絡安全和信息化領導小組第一次會議并發(fā)表重要講話，標志著中央網絡安全和信息化領導小組的成立。習近平強調，網絡安全和信息化是事關國家安全和國家發(fā)展、事關廣大人民群眾工作生活的重大戰(zhàn)略問題，要從國際國內大勢出發(fā)，總體布局，統(tǒng)籌各方，創(chuàng)新發(fā)展，努力把我國建設成為網絡強國。他指出，沒有網絡安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化。習近平在會上還強調，網絡安全和信息化是一體之兩翼、驅動之雙輪，必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進、統(tǒng)一實施。

1 企業(yè)信息系統(tǒng)安全防護現(xiàn)狀

信息系統(tǒng)的建設已成為衡量各行各業(yè)發(fā)展的重要指標，其中不乏金融機構、高新技術產業(yè)、制造生產等行業(yè)領域。部分特殊的企業(yè)由于敏感性，對國家而言極其重要，當其安全性受到破壞后，將嚴重影響社會秩序、公眾利益甚至國家的安全和穩(wěn)定。因此，對于這些企業(yè)而言，信息安全除了強調保證信息的保密性、完整性、可用性之外，同時強調可靠性、可控性、不可抵賴性，總而言之，信息安全就是要保證信息系統(tǒng)及信息網絡中的信息資源不因自然或人為的因素而遭到破壞、更改、泄露、竊取和非法使用。

2003年9月7日，中辦和國辦聯(lián)合下發(fā)《關于加強信息安全保障工作的意見》（中辦發(fā)［2003］27號，以下簡稱27號文件）。該文件是我國信息安全保障工作的基礎性文件，作為國家信息安全保障工作的總體指導，奠定了我國信息安全保障體系的構建方向。該文件是我國信息安全歷史上最重要的、具有轉折的文件之一，確立了信息安全的重要位置，開始從國家的層面上關注、重視信息安全問題。該文件明確了對重要信息系統(tǒng)實行等級保護制度，對涉及國家秘密的信息系統(tǒng)實行分級保護制度。

不論是等級保護或者分級保護，中心思想是按照被保護對象的防護需求和等級，采取相應的措施來構建相應等級的信息安全保障體系。

隨著27號文件的貫徹執(zhí)行，經過多年的建設，大部分企業(yè)都初步建成了涵蓋物理與網絡安全、應用系統(tǒng)及數(shù)據(jù)安全以及安全保密管理等層面的信息安全體系，部署建設了防火墻、入侵檢測、漏洞掃描、計算機防病毒、主機監(jiān)控與審計、補丁管理、身份認證等安全產品，一些條件較好的企業(yè)還建設了存儲備份系統(tǒng)和異地備份環(huán)境，進一步加強了對數(shù)據(jù)資產的安全防護。通過以上建設措施，實現(xiàn)了一定的防護目標，基本保證了業(yè)務發(fā)展的信息安全需求。

但就信息系統(tǒng)的組成而言，主要包括以下要素:

1）硬件設備:包括服務器、終端計算機、網絡設備、工控機、存儲設備等。

2）軟件系統(tǒng):包括操作系統(tǒng)、應用系統(tǒng)、數(shù)據(jù)庫、中間件、軟件工具（通用軟件、專業(yè)軟件）等。

3）安全防護設備:包括防火墻、入侵檢測系統(tǒng)、補丁分發(fā)系統(tǒng)、計算機防病毒系統(tǒng)、主機監(jiān)控與審計系統(tǒng)、網絡接入控制、漏洞掃描系統(tǒng)、身份認證系統(tǒng)、打印監(jiān)控與審計系統(tǒng)、刻盤監(jiān)控與審計系統(tǒng)、安全NAS、堡壘機、WEB應用網關、數(shù)據(jù)庫漏洞掃描系統(tǒng)、WEB應用漏洞掃描系統(tǒng)等。

4）數(shù)據(jù)資產:數(shù)據(jù)資產是信息系統(tǒng)的重點防護對象，其主要存儲于數(shù)據(jù)庫、應用系統(tǒng)、服務器、終端計算機、安全產品、存儲設備等。

5）人員:包括使用人員和運維管理人員。

2 信息系統(tǒng)的防護難點及存在的主要問題分析

2.1 信息系統(tǒng)的防護難點

近些年，借助于等級保護和分級保護工作的推力，各個企業(yè)的信息系統(tǒng)在物理安全、運行安全、安全保密管理等方面取得了一定的成效，具備了一定的防護能力，但是，隨著信息技術的飛速發(fā)展和廣泛應用，信息安全防護難點更加突顯出來，主要體現(xiàn)在以下幾個方面:

（1）高度脆弱性和風險性

現(xiàn)如今，信息系統(tǒng)的應用需求在不斷增加，涉及各個業(yè)務領域，網絡規(guī)模不斷增長，信息系統(tǒng)體系結構更加復雜。但是，由于信息安全的木桶效應，再加上難以控制的技術漏洞和管理不當，必然會導致不可避免的安全攻擊和災難，也就造成信息系統(tǒng)存在高度的脆弱性和風險性。

（2）攻擊源的多樣性和防范對象的不確定性

傳統(tǒng)的國家安全中，有能力對國家的軍事和政治安全構成威脅的主要是國家的敵對國家和敵對組織，當一個國家受到了攻擊，也能很快確定攻擊是由誰發(fā)動的，進而采取有針對性地措施。但是，隨著信息化的不斷推進，信息系統(tǒng)規(guī)模不斷擴大，組成信息系統(tǒng)的各類硬件、軟件、系統(tǒng)，以及各類人員都有可能成為威脅主體，軟硬件的后門、漏洞、缺陷，包括對人員的誘惑都是攻擊信息系統(tǒng)的常用手段。正是由于攻擊源的多樣性和防范對象的不確定性也就造成了企業(yè)信息系統(tǒng)的信息安全保障防不慎防。

2.2 存在的主要問題分析

信息系統(tǒng)隨著等級保護和分級保護工作的不斷開展，初步具備了防止內部人員過失泄密的防護效果，但是信息系統(tǒng)在防止外部非法入侵和內部主動竊密等方面仍面臨著嚴峻的局面。具體體現(xiàn)在以下幾個方面:

（1）終端、服務器層面

1）計算機基本安全保密配置不到位或管理不到位，導致用戶可以私自更改BIOS啟動順序，造成用戶終端的所有安全防護產品功能失效，進而竊取用戶終端所有的文件資料、植入病毒或者木馬。

2）安全產品配置不當，不能起到預期的防護效果，誤報、漏報情況多見；安全產品之間、安全產品與應用軟件之間兼容性存在問題，多數(shù)情況下為了保障業(yè)務應用的正常開展，只能放棄安全技術防護措施，僅僅借助于管理手段進行管理，然而實際過程中是否嚴格管理、是否有效監(jiān)督不好衡量。

3）服務器的防護、監(jiān)控措施不足，大部分服務器僅僅安裝了病毒防護軟件，且大量服務器均存在刻錄光驅，且安裝有刻錄軟件，對服務器的輸入輸出沒有監(jiān)控審計技術手段。

4）操作系統(tǒng)基本上都是用國外，服務器大部分為Windows Server2003（已停止升級服務）、Windows Server2008，用戶終端操作系統(tǒng)Windows XP（已停止升級服務），據(jù)了解，自Windows XP、Windows Server2003停止補丁升級以來，國內外已囤積大量的0day工具，一旦0day漏洞被利用，后果不堪設想。

（2）網絡層面

1）網絡設備安全配置不當，開啟多余服務、端口，存在被非授權訪問的隱患。

2）未采取接入控制措施對接入設備進行一一綁定，造成存在設備非法接入的風險。

3）未對設備、用戶進行分域分級，未按照“最小化”原則采取嚴格的訪問控制措施，導致網絡拓撲混亂，重要資產（服務器、防火墻、核心交換機等）存在被非授權訪問的安全隱患。

（3）硬件設備層面

所使用的大量硬件資產（服務器、交換機、工控設備等）采用國外進口，不了解底層硬件的工作機制，是否存在隱通道至今沒有檢測驗證手段。國家層面缺少對該類設備的檢測方法，存在諸如后門、系統(tǒng)缺陷的安全隱患，如惠普某型號服務器、三星某打印機已經被證實存在后門；另外，由于某些特殊的工作只能使用國外進口的專用設備，對其只能依靠廠商的專業(yè)維修團隊來進行維修，也就造成在維修過程中存在被植入惡意程序或竊取數(shù)據(jù)的風險。

（4）應用層面

1）應用系統(tǒng)存在身份認證缺陷，如管理員弱口令、或者僅使用用戶名、身份證號等簡單信息作為身份認證的憑證，攻擊者可以利用這些漏洞進行水平或者垂直提權，進而盜取數(shù)據(jù)、獲得管理員權限，對系統(tǒng)實施非授權管理和控制。

2）現(xiàn)有應用系統(tǒng)的開發(fā)重點關注業(yè)務需求的實現(xiàn)方面，很少考慮代碼安全性，如SQL注入、跨站腳本攻擊、文件上傳等簡單易用的高風險漏洞，導致在系統(tǒng)上線之后，輕易被攻擊，獲取權限、拖庫，淪為攻擊跳板。另外，在用的一些應用系統(tǒng)仍有部分使用開源代碼，攻擊者通過研究開源代碼，就能輕松對系統(tǒng)實施攻擊。為防止WEB應用的漏洞被利用，有些企業(yè)也采取了一些措施，比如實施WEB防火墻，但是，這種方法治標不治本，僅僅能防范一些低級攻擊者。

3）自2014年4月爆出的OpenSSL心臟流血漏洞［1］來看，目前所有使用的網絡協(xié)議還有多少存在重大安全問題，都是未知數(shù)。

4）目前大部分應用均配合使用了中間件，如Tomcat、Weblogic、普元等，中間件已經成為攻擊者的重點攻擊對象，中間件不可避免的不停升級，但是，大部分企業(yè)使用的應用系統(tǒng)基本都是一次性交付，很少及時為中間件升級；另外，在實際應用中仍然存在使用默認用戶名口令的情況，為攻擊提供了極大的便利。

（5）數(shù)據(jù)層面

在數(shù)據(jù)資源方面，目前，大部分數(shù)據(jù)仍以明文的形式、或者簡單的格式變換存儲于服務器、數(shù)據(jù)庫、用戶終端，服務器的運維人員能夠非授權訪問到業(yè)務數(shù)據(jù)。

（6）安全審計層面

1）雖然部署了一些安全產品，如殺毒軟件、IDS、防火墻等，每一類產品僅能針對某一類安全問題較為有效，對于信息系統(tǒng)的審計目前過于松散、獨立，沒有關聯(lián)性，不成體系，同時由于各類系統(tǒng)日志信息的不完整、誤報、漏報，造成審計的實際作用未充分體現(xiàn)。

2）雖然部分單位部署了安全管理平臺類收集日志的系統(tǒng)，但存在日志收集不全面，智能分析能力弱，缺乏針對全局的整體安全形勢監(jiān)控手段，難以實現(xiàn)多信息系統(tǒng)的綜合監(jiān)控及安全事件及態(tài)勢分析。

2.3 攻擊技術的主要特點

近年來，網絡安全攻擊事件逐年增加，針對特定目標的各類攻擊的精確性及針對性大大提高，目標對象范圍不斷擴大，從傳統(tǒng)的互聯(lián)網領域逐漸蔓延至涵蓋了各類信息基礎實施、通信鏈路的網絡電磁空間領域，涉及到經濟、工業(yè)、政府部門、國防軍工、民用領域的各類網絡基礎設施。

目前最流行、最大威脅的攻擊就是APT攻擊［2］。APT攻擊: APT（AdvancedPersistentThreat高級持續(xù)性威脅），此類攻擊的特點包括:

（1）針對性強，目的明確

1）重點針對具有大量有價值信息的特定組織機構，如:政府、軍事機構、軍工企業(yè)等；

2）主要以竊取信息為主要目的，如:國家秘密、軍事情報、政府文件等；

（2）準備充分，攻擊持續(xù)時間長

1）利用幾個月甚至更長的時間收集目標信息，分析目標系統(tǒng)漏洞，有針對性的設計開發(fā)漏洞利用工具；

2）一旦攻擊成功，將長時間潛伏在目標系統(tǒng)中，竊取關鍵信息；

（3）影響廣泛

由于信息系統(tǒng)復雜的依賴關系，且此類攻擊一般針對重要的組織機構，一旦攻擊成功將波及其他信息系統(tǒng)安全。

APT攻擊的典型代表有“震網”病毒、“火焰”病毒以及“高斯”病毒等。

3 信息系統(tǒng)的安全加固建議

基于信息系統(tǒng)存在的脆弱性以及面臨的安全風險，應從以下幾個方面進行加固和改進。

（1）采取措施加強對數(shù)據(jù)資源全生命周期的安全性、可控性、可用性防護。

重點針對數(shù)據(jù)資源安全，圍繞存儲安全、標識安全、安全訪問、備份安全開展數(shù)據(jù)資源安全防護體系建設。

存儲安全:采取加密技術，從數(shù)據(jù)資產產生之初就保障其安全性；

標識安全:采取標識技術，對信息進行標識，經流程審定后，標識與信息主體在其整個生命周期內不可分離，不可隨意篡改。

安全訪問:采取強制訪問控制措施，嚴格限制數(shù)據(jù)資產的訪問主體和訪問權限，如只讀、打印、編輯、再授權等細粒度權限控制。

（2）加強應用系統(tǒng)全生命的信息安全約束。

重點針對應用安全，加強對應用系統(tǒng)在需求調研、系統(tǒng)設計、系統(tǒng)開發(fā)、系統(tǒng)測試、系統(tǒng)試運行、系統(tǒng)驗收、系統(tǒng)運維等全生命周期過程中的安全保障。同時，應定期對應用系統(tǒng)開展?jié)B透測試，有條件的建議開展軟件源代碼安全性分析，不斷查找漏洞，不斷提升應用系統(tǒng)的安全性，同時，將已發(fā)現(xiàn)的問題進行整理、分析、總結，形成應用系統(tǒng)的開發(fā)管理規(guī)范，指導后續(xù)應用系統(tǒng)安全建設。

（3）建立綜合安全事件分析統(tǒng)計平臺，形成統(tǒng)一安全監(jiān)控能力。

針對各類安全產品的孤島現(xiàn)象，結合現(xiàn)有的安全產品的告警日志、應用系統(tǒng)的審計日志，建立異常事件審計模型，建設綜合安全事件分析統(tǒng)計平臺，對安全事件進行關聯(lián)審計分析、實時報警，并展示出安全事件的發(fā)展路線圖和影響范圍。

（4）開展核心信息資產的梳理，提升應急與災備能力。

對信息資產按重要性進行分類梳理，開展應急災備能力建設，定期開展應急恢復演練，確保備份的有效性和恢復的及時性。

（5）深入開展信息系統(tǒng)精細化管理，加強信息安全專項檢查，切實提高信息系統(tǒng)運維管理能力。

制定信息系統(tǒng)日常管理操作的詳細規(guī)范，明確定義日常管理具體工作流程和操作步驟，使信息系統(tǒng)日常運行管理制度化、規(guī)范化、流程化和信息化，閉環(huán)管理所有信息安全和運維事件，杜絕低層次信息安全問題的出現(xiàn)，同時，進一步加強信息安全專項檢查，提升信息系統(tǒng)安全運維能力。

（6）借助于攻擊技術，不斷完善信息安全防護體系。

矛與盾、攻與防永遠都是相對存在的，要驗證盾的有效性就要用矛去不斷的攻，信息安全同樣。因此有必要培養(yǎng)、成立一支團隊，學習、掌握、熟練攻的技術，并不斷的實戰(zhàn)驗證，站在攻擊者的角度去思考防的方法，信息系統(tǒng)的安全防護體系只有經歷不斷的攻防迭代過程，其防護效能才能有實質的提升。

（7）逐步開展國產自主化產品應用，提升自主可控能力。

以試點的形式逐步開展國產自主化網絡設備、硬件設備、操作系統(tǒng)、安全設備和各類應用系統(tǒng)的實際應用，逐步替代現(xiàn)有的國外產品，探索自主信息安全保障體系，提升信息系統(tǒng)的自主可控能力。

4 結語

隨著國家、企業(yè)對信息安全保障工作的不斷重視，經過多年的信息安全體系建設，企業(yè)已經具備了一定的安全防范能力，但是現(xiàn)有的信息安全防護體系仍處于、并將長期處于如履薄冰的狀態(tài)。從近些年持續(xù)不斷爆出的各類安全事件（如OpenSSL協(xié)議漏洞、Apache Struts2漏洞、USB固件漏洞等）來看，現(xiàn)在廣泛使用的、所謂安全的基礎信息技術都可能存在著深層次的、隱蔽的漏洞，因此，對于企業(yè)發(fā)展、國家安全來說如何在現(xiàn)有的條件下，構建一個完整、有效、可靠的信息安全保障體系顯得極其重要。

［1］戚小光，許玉敏，韓菲等."心臟出血"漏洞的危害、應對及影響［J］.信息安全與通信保密，2014（05）:60-62.

［2］牛偉，戴衛(wèi)國.APT攻擊建模與安全防護技術研究［J］.電子對抗，2014（02）:34-38.

Security Risk Analysis and Enforcement Suggestion of Enterprise Information System

SHI Zhao-jun，WU Yue，LI Ke，LIU Xiang-dong，LI Nan
（Institute 706，the Second Academy of China Aerospace Science and Industry Corporation，Beijing 100854，China）

With the wide application and continuous development of information technology，information system recently becomes an essential infrastructure and greatly promoted the development of human society.And however at the same time，the in-depth application of information technology also brings new threats and challenges.Based on investigation of the present situation of information system construction，this paper discusses the risk of information security，and gives suggestion in enforcing the protection system of information security，and all this could serve as a reference for the construction of infosec protection system.

information security；risk of information security；protection system of information security

TP309.2

A

1009-8054（2015）12-0120-04

石兆軍（1984—），男，碩士，工程師，主要研究方向為信息安全；

武 越（1989—），女，碩士，助理工程師，主要研究方向為信息安全；

李 可（1987—），男，本科，助理工程師，主要研究方向為信息安全；

劉向東（1974—），男，碩士，研究員，主要研究方向為信息安全；

李 楠（1986—），男，本科，工程師，主要研究方向為信息安全?！?/p>

2015-08-19