文/李 棟 方 芳

“互聯(lián)網(wǎng)+”時代企業(yè)信息安全形勢及對策

文/李 棟 方 芳

“互聯(lián)網(wǎng)+”就是將互聯(lián)網(wǎng)與傳統(tǒng)產(chǎn)業(yè)企業(yè)相結(jié)合，促進(jìn)企業(yè)發(fā)展。它代表一種新的經(jīng)濟形態(tài)，即充分發(fā)揮互聯(lián)網(wǎng)在生產(chǎn)要素配置中的優(yōu)化和集成作用，將互聯(lián)網(wǎng)的創(chuàng)新成果深度融合于企業(yè)之中，提升企業(yè)的創(chuàng)新力和生產(chǎn)力。2015年3月，“互聯(lián)網(wǎng)+”寫進(jìn)政府工作報告，被提升到前所未有的高度，政府推動傳統(tǒng)產(chǎn)業(yè)企業(yè)與互聯(lián)網(wǎng)結(jié)合，為企業(yè)帶來了廣闊的市場。但在看到這廣闊市場的同時，我們必須清醒的認(rèn)識到，伴隨著企業(yè)與互聯(lián)網(wǎng)結(jié)合成為大勢所趨，企業(yè)面臨的信息安全形勢也愈發(fā)嚴(yán)峻。

“互聯(lián)網(wǎng)+”時代企業(yè)面臨的信息安全威脅

阿里巴巴公司曾統(tǒng)計了國內(nèi)企業(yè)開發(fā)的上萬個手機應(yīng)用，“結(jié)果表明，86%的應(yīng)用都存在著安全漏洞，40%的應(yīng)用可以被植入病毒或者廣告。而根據(jù)2014年6月美國戰(zhàn)略與國際研究中心發(fā)布的報告顯示，全球范圍內(nèi)90%的企業(yè)曾經(jīng)在過去一年中遭遇過網(wǎng)絡(luò)安全問題，而每一年由網(wǎng)絡(luò)犯罪所帶來的經(jīng)濟損失已經(jīng)超過4450億美元。“互聯(lián)網(wǎng)+”要求企業(yè)業(yè)務(wù)高度互聯(lián)互通，云服務(wù)、移動互聯(lián)網(wǎng)、大數(shù)據(jù)、物聯(lián)網(wǎng)等等這些新的網(wǎng)絡(luò)現(xiàn)象使得“互聯(lián)網(wǎng)+”時代的信息安全形勢更加嚴(yán)峻。

1. 大數(shù)據(jù)呈井噴發(fā)展為企業(yè)信息安全帶來隱患。

在“互聯(lián)網(wǎng)+”時代，大數(shù)據(jù)在存儲、處理、傳輸?shù)冗^程中面臨諸多安全風(fēng)險，增加了隱私泄露的風(fēng)險，實現(xiàn)大數(shù)據(jù)安全與隱私保護(hù)較以往其他安全問題更為棘手。非結(jié)構(gòu)化數(shù)據(jù)已成為大數(shù)據(jù)的主流形式，而目前已經(jīng)成熟的關(guān)系型數(shù)據(jù)庫無法支持非結(jié)構(gòu)化的大數(shù)據(jù)信息存儲，關(guān)系型數(shù)據(jù)庫中的隱私保護(hù)和用戶訪問控制等技術(shù)也無法在大數(shù)據(jù)管理中應(yīng)用。同時，大數(shù)據(jù)來源的多樣化也給企業(yè)信息安全帶來了隱患，這些數(shù)據(jù)具有很強的開放性，海量數(shù)據(jù)隨時通過網(wǎng)絡(luò)匯聚，使用傳統(tǒng)的存儲和管理方式將會無法適應(yīng)需求，容易導(dǎo)致數(shù)據(jù)管理混亂。存儲設(shè)備的更新、管理、防電磁干擾、規(guī)劃布局等都需要新的設(shè)計，企業(yè)網(wǎng)絡(luò)管理員很難對所有數(shù)據(jù)信息一一進(jìn)行跟蹤保護(hù)。如果這些海量信息因為監(jiān)管不力，就有可能造成企業(yè)運營數(shù)據(jù)、客戶身份信息等企業(yè)機密信息的泄露。

2. DDoS攻擊和APT攻擊等威脅企業(yè)機密信息

當(dāng)前，分布式拒絕服務(wù)攻擊（DDos攻擊）和高級持續(xù)性威脅攻擊（APT攻擊）成為入侵企業(yè)的主流。DDoS攻擊方借助于客戶/服務(wù)器技術(shù)，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標(biāo)發(fā)動DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。通常，攻擊者使用一個偷竊賬號將DDoS主控程序安裝在一個計算機上，在一個設(shè)定的時間主控程序?qū)⑴c大量代理程序通訊，代理程序已經(jīng)被安裝在網(wǎng)絡(luò)上的許多計算機上。代理程序收到指令時就發(fā)動攻擊。利用客戶/服務(wù)器技術(shù)，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運行。APT攻擊的原理相對于其他攻擊形式更為高級和先進(jìn)，其高級性主要體現(xiàn)在APT在發(fā)動攻擊之前需要對攻擊對象的業(yè)務(wù)流程和目標(biāo)系統(tǒng)進(jìn)行精確的收集。在此收集的過程中，此攻擊會主動挖掘被攻擊對象受信系統(tǒng)和應(yīng)用程序的漏洞，利用這些漏洞組建攻擊者所需的網(wǎng)絡(luò)，并利用0day漏洞進(jìn)行攻擊。在“互聯(lián)網(wǎng)+”時代，企業(yè)的數(shù)據(jù)隱私更是成為黑客們攻擊的焦點，

黑客通過惡意電子郵件、SQL注入、僵尸主機、0day漏洞等方式竊取企業(yè)機密信息。使得企業(yè)信息泄露事件接連不斷：2014年3月，攜程網(wǎng)出現(xiàn)導(dǎo)致信息泄露的漏洞；5月，小米論壇800萬用戶資料遭泄露；9月，國外黑客利用蘋果公司的iCloud云盤系統(tǒng)的漏洞，非法盜取眾多全球當(dāng)紅女星的裸照，繼而在網(wǎng)絡(luò)論壇發(fā)布。

3. 移動安全威脅成為新的挑戰(zhàn)

在“互聯(lián)網(wǎng)+”時代，“攜帶個人設(shè)備辦公”（BYOD）為攻擊者提供了更多入口，企業(yè)需要更加關(guān)注移動安全策略。隨著智能手機、平板等智能終端的普及，大量的員工的手機、平板電腦開始接入了公司網(wǎng)絡(luò)，同時員工也習(xí)慣于通過移動終端進(jìn)行工作，他們可能會直接使用手機收發(fā)郵件，或者通過微信討論工作、傳遞文件。伴隨而來的是惡意移動應(yīng)用程序的增長，黑客可能通過員工移動設(shè)備竊取企業(yè)隱私。2014年5月，全球最大拍賣網(wǎng)站eBay官網(wǎng)發(fā)布通告，稱因數(shù)據(jù)泄露呼吁其用戶更新密碼，媒體和用戶普遍質(zhì)疑eBay的安全應(yīng)急計劃是否完備以及是否有效付諸實施，后來調(diào)查顯示，此次泄密是由于員工登錄賬號在終端被竊取引起的。因此企業(yè)在部署移動應(yīng)用的時候需制定完善的移動安全保護(hù)策略，如智能手機、平板、筆記本等設(shè)備中數(shù)據(jù)信息的加密保護(hù)和訪問權(quán)限。

然而面對在“互聯(lián)網(wǎng)+”時代如此嚴(yán)峻的信息安全形勢，目前我國企業(yè)對信息安全投入仍有不足，用戶安全意識和安全防護(hù)技術(shù)水平的提升還有很大空間。部分企業(yè)對信息安全的重視不夠，尚未建立起明確的企業(yè)信息安全目標(biāo)和策略，缺乏切實可行的信息安全管理體制，從資金、技術(shù)和人員投入嚴(yán)重不足，迫切需要得到加強。企業(yè)的信息安全是一個系統(tǒng)工程，在這個系統(tǒng)工程中，體現(xiàn)著“三分技術(shù)，七分管理”。要加強企業(yè)的信息安全保密工作，管理方法和技術(shù)手段同等重要，缺一不可。

完善企業(yè)信息安全管理制度的對策

應(yīng)根據(jù)企業(yè)信息安全保密工作的具體要求建立適合本企業(yè)的信息安全保密規(guī)定，建立可操作的工作制度。具體包括：

1. 企業(yè)秘密信息的分級管理

根據(jù)企業(yè)秘密的重要程度、知悉范圍等，劃分企業(yè)秘密級別，如企業(yè)秘密級、企業(yè)機密級、企業(yè)絕密級等。并對企業(yè)涉密人員及涉密信息設(shè)備實行分別歸類，規(guī)定各類信息設(shè)備的處理方法和保護(hù)級別。涉密人員根據(jù)自身涉密等級明確在使用各類信息設(shè)備時的權(quán)責(zé)，并加強監(jiān)督，而密級文件只能在具備相應(yīng)或更高密級的計算機上才能被讀取。

2. 企業(yè)涉密人員的管理

信息安全保密的管理，首先應(yīng)加強人員管理，主要是指涉及企業(yè)秘密的員工的上崗管理、在崗管理和離崗管理。最核心的是加強教育培訓(xùn)，定期對涉密人員開展信息安全保密形勢、防范技術(shù)、政策法規(guī)等教育，提高員工隱患意識、業(yè)務(wù)素質(zhì)及良好作風(fēng)。同時對信息保密工作的實施成果進(jìn)行考評，將信息保密工作的結(jié)果作為員工年終考核能力的一項關(guān)鍵指標(biāo)，并明確獎懲機制。

3. 計算機的安全管理

涉密計算機及信息設(shè)備的采購、安裝、調(diào)試、維修、報廢等，都應(yīng)按規(guī)定報批，并由企業(yè)專門部門統(tǒng)一管理，避免私自拿到市場中的普通維修公司進(jìn)行維修或數(shù)據(jù)恢復(fù)時導(dǎo)致機密信息的泄漏。計算機應(yīng)分密級使用，保證密級文件的安全。對于企業(yè)非涉密計算機，也應(yīng)加強管理。非法使用公司網(wǎng)絡(luò)訪問權(quán)限訪問外網(wǎng)，有很大的可能會導(dǎo)致信息泄漏或者感染病毒等。因此要加強企業(yè)計算機網(wǎng)絡(luò)運行控制的安全管理制度，包括上網(wǎng)審查，權(quán)限定義，文件訪問、數(shù)據(jù)庫訪問以及應(yīng)用系統(tǒng)訪問的口令管理，使用規(guī)則等。

4. 移動存儲介質(zhì)管理

應(yīng)建立涉及企業(yè)秘密的移動存儲設(shè)備的管理制度，涵蓋使用，復(fù)制，傳送，攜帶，移交，保存，銷毀等全過程。采取技術(shù)手段，禁止未經(jīng)許可的移動存儲介質(zhì)在涉密計算機上進(jìn)行使用。在企業(yè)非涉密計算機上使用移動存儲介質(zhì)也應(yīng)進(jìn)行注冊管理，已注冊移動存儲介質(zhì)在企業(yè)內(nèi)網(wǎng)、工作電腦上可正常使用和交換數(shù)據(jù)；在外網(wǎng)或外部設(shè)備時需要密碼驗證后允許使用；非注冊移動存儲介質(zhì)無法在企業(yè)內(nèi)網(wǎng)的工作電腦上使用。因工作需要向企業(yè)集團以外的電腦中拷貝電子數(shù)據(jù)時，需經(jīng)企業(yè)專門部門進(jìn)行保密審查后方可。

健全企業(yè)信息安全保密技術(shù)防范體系的對策

根據(jù)企業(yè)網(wǎng)絡(luò)與信息安全的實際需求，從各方面加強信息安全保密技術(shù)措施，構(gòu)建系統(tǒng)的信息安全保密防范體系。主要包括：

1. 終端準(zhǔn)入

對終端電腦及移動智能設(shè)備實行注冊管理，接入企業(yè)網(wǎng)絡(luò)時需進(jìn)行認(rèn)證控制。只允許已在企業(yè)注冊、符合安全標(biāo)準(zhǔn)的終端接入企業(yè)網(wǎng)絡(luò)，同時用戶需要輸入賬號及密碼進(jìn)行身份驗證，驗證成功才允許訪問內(nèi)部信息資源；非注冊終端設(shè)備及非授權(quán)賬號不允許接入企業(yè)內(nèi)網(wǎng)。

2．應(yīng)用管控

對連接企業(yè)內(nèi)網(wǎng)的終端，進(jìn)行出口認(rèn)證，加強網(wǎng)絡(luò)監(jiān)控和管理。禁止進(jìn)行游戲、炒股、P2P下載、以及QQ、微信等與工作無關(guān)的網(wǎng)絡(luò)操作，禁止一個賬號在多臺機器上同時登錄互聯(lián)網(wǎng)。同時在國家法律規(guī)定范圍內(nèi)對終端上網(wǎng)行為進(jìn)行后臺監(jiān)控，必要時對后臺監(jiān)控日志進(jìn)行審計；禁止訪問非工作相關(guān)網(wǎng)站或不良信息網(wǎng)站。

3. 監(jiān)控審計

通過監(jiān)控審計系統(tǒng)，完整記錄企業(yè)內(nèi)網(wǎng)內(nèi)所有用戶訪問互聯(lián)網(wǎng)、收發(fā)郵件、電子文件拷貝、電腦操作以及信息系統(tǒng)管理員操作等所有信息傳遞活動日志，以協(xié)助分析判斷是否發(fā)生信息泄漏以及發(fā)生的時間，以便跟蹤調(diào)查原因。審計工作由專門部門負(fù)責(zé)，主要包括網(wǎng)絡(luò)審計、主機審計制度、數(shù)據(jù)庫審計等。

4. 病毒防范

強化反病毒措施，主要包括對網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁掃描和監(jiān)視，在服務(wù)器上裝防病毒模塊，在網(wǎng)絡(luò)接口卡上安裝防毒芯片，在計算機上插防病毒卡，對網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限，設(shè)置防火墻加強網(wǎng)絡(luò)間的訪問控制，以及采用屏蔽等反偵查措施防止他人從電磁信號中分析獲取研制或注入病毒的根據(jù)。

5. 動態(tài)追蹤

動態(tài)追蹤主要包括兩個方面。一是要追蹤計算機網(wǎng)絡(luò)竊密技術(shù)的最新動態(tài)，協(xié)助對應(yīng)防范措施的研究；二是追蹤先進(jìn)的信息安全保密技術(shù)措施，并根據(jù)企業(yè)實際需求考慮是否推進(jìn)應(yīng)用。通過動態(tài)追蹤改進(jìn)信息安全保密工作，提高企業(yè)信息安全保密防范水平。

結(jié)語

“互聯(lián)網(wǎng)+”推動大量企業(yè)開始“觸網(wǎng)”，企業(yè)在不斷提高信息化水平和創(chuàng)新商業(yè)模式的機遇與挑戰(zhàn)中，面臨的安全威脅將會更大。企業(yè)要擁抱互聯(lián)網(wǎng)，必須要過信息安全這道關(guān)，企業(yè)應(yīng)該深刻認(rèn)識到信息安全保密的重要性，從管理和技術(shù)兩方面著手，做好企業(yè)的信息安全保密工作，從而為企業(yè)在“互聯(lián)網(wǎng)+”時代健康、快速的發(fā)展打下堅實基礎(chǔ)。

(作者單位：寧波國研軟件技術(shù)有限公司）