□ 文/張凌齡

企業(yè)信息化建設中的安全問題與防護建議

□ 文/張凌齡

目前，網絡已經廣泛地深入到人們的生活之中，從工作到學習，到娛樂，人們通過網絡進行購物、網上交易、炒股、讀書等都已經成為主流。網絡給我們帶來了優(yōu)勢和便利。網絡不再是一種純粹的信息交換的媒介，而是已經成為人們賴以生存的空間。然而，網絡帶給我們便利的同時也給我們帶來了安全隱患。特別是伴隨云計算、大數(shù)據(jù)、物聯(lián)網、移動互聯(lián)網時代的到來，網絡安全的重要性更加突出。

企業(yè)缺乏風險抵御能力，損失慘重

現(xiàn)在，世界各地網絡安全隱患層出不窮，網絡環(huán)境惡劣。黑客組織規(guī)模及采用的攻擊技術手段日益精進，網絡犯罪波及范圍、嚴重程度呈現(xiàn)逐步擴大的趨勢，網絡犯罪變得更加專業(yè)化、規(guī)?；?、組織化，甚至以ISIS為代表的恐怖組織也加入了網絡攻防戰(zhàn)。

網絡是信息化建設的基礎，企業(yè)步入信息化必須要保證網絡的安全與穩(wěn)定。然而隨著信息技術的發(fā)展，企業(yè)計算機網絡系統(tǒng)的安全將受到更多的威脅。

資料顯示，面對洶涌而來的網絡安全危機事故，企業(yè)損失慘痛。

2016年7月，日本最大的旅游公司JTB Corp稱，黑客竊取了公司793萬條護照、家庭住址和電子郵箱地址信息。JTB發(fā)言人確認護照號碼中有約4300份仍在有效期內。據(jù)安全公司Cylance分析，此次數(shù)據(jù)泄露是因為該公司雇員缺乏安全意識，打開了偽裝成全日空公司發(fā)送的釣魚郵件及附件文檔，并感染了惡意木馬PlugX (Korplug)，隨后黑客通過植入Elirks木馬后門得到此電腦訪問權。

2016年5月，俄國黑客盜取2.73億郵箱信息以1美元價錢販賣。根據(jù) The Guardian 的消息，一名俄國黑客盜取了2.723 億郵箱信息，其中包括 4000 萬個雅虎郵箱、3300 萬微軟郵箱以及 2400萬個谷歌郵箱。

2015年10月，英國寬帶服務提供商TalkTalk表示，該公司受到了嚴重的網絡襲擊，導致2210萬用戶個人信息泄露。

2015年9月，網絡曝光非官方下載的蘋果開發(fā)環(huán)境Xcode中包含惡意代碼，會自動向編譯的App應用注入信息竊取和遠程控制功能。經確認，包括微信、網易云音樂、高德地圖、滴滴出行、鐵路12306，甚至一些銀行的手機應用均受影響，App Store上超過3000個應用被感染。

2015年6月，美國人事管理局宣布遭到黑客大范圍攻擊，共造成2210萬人的數(shù)據(jù)遭到泄露，包括社保賬號、住址信息、薪資狀況、背景調查信息等。

2015年2月，美國大型醫(yī)保企業(yè)Anthem稱，約8000萬客戶信息遭泄露。

據(jù)IBM發(fā)布的《2015年英國數(shù)據(jù)泄漏損失調查報告》顯示，2015年英國平均每家公司因黑客攻擊造成損失已達237萬英鎊。信息安全機構Ponemon發(fā)布的 《2015年網絡犯罪損失報告》稱，2015年美國平均每家企業(yè)因網絡犯罪損失已達到1540萬美元，較2010年的650萬美元已成倍上漲。

張凌齡 山石網科產品市場副總裁

企業(yè)信息化建設面臨諸多問題亟待解決

由于我國企業(yè)信息安全工作還不夠成熟，基礎薄弱，企業(yè)在加強信息化安全建設中，面臨諸多問題亟待解決。

1.信息網絡結構和邊界風險。有些企業(yè)在信息網絡結構上存在核心交換機選型不合理等問題，如核心交換機是一臺二層交換機，網絡的安全問題只有通過應用系統(tǒng)去解決。另外，企業(yè)的信息以各種方式與互聯(lián)網連接，內部行政辦公網、業(yè)務網、Internet網不同域之間是否進行有效的訪問控制實現(xiàn)隔離及如何進行隔離，網段劃分是否合理，路由是否正確，網絡的容量、帶寬是否考慮客戶上網的峰值，網絡設備有無冗余設計等都與掃描攻擊、DOS攻擊、非法侵入等安全風險密切相關。

2.蠕蟲和病毒的侵害。計算機蠕蟲和病毒是最常見的安全威脅。隨著病毒變得更加智能、更具破壞性，其傳播速度也更快，甚至能夠在片刻間感染整個辦公場所，而要清除被感染計算機中的病毒所耗費的時間也更長，可能對企業(yè)造成嚴重的后果。雖然企業(yè)可以通過防病毒軟件和為操作系統(tǒng)打補丁來防范，但是企業(yè)中的防病毒軟件只能查殺病毒，卻不能有效地阻止病毒的傳播;入侵檢測系統(tǒng)可以檢查出蠕蟲在網絡上傳播，卻不能清除蠕蟲;補丁管理可以防止蠕蟲的感染，卻不能查殺蠕蟲。企業(yè)各個安全產品單獨工作，無法系統(tǒng)地查殺病毒并防止病毒傳播。所以，企業(yè)網絡安全系統(tǒng)必須能夠在網絡的每一點對蠕蟲、病毒和間諜軟件進行檢測和防范。

3.系統(tǒng)安全風險。系統(tǒng)安全風險主要指操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和各種應用系統(tǒng)所存在的安全風險。不管使用哪一種操作系統(tǒng)都存在大量已知和未知的漏洞，這些漏洞可以導致人侵者獲得管理員的權限，可以被用來實施拒絕服務等攻擊。特別是Windows作為世界范圍內的主流操作系統(tǒng),自然受到黑客更多的注目與青睞。

4.信息日常傳遞風險。企業(yè)的日常信息數(shù)據(jù)在網絡中傳輸時面臨著多種安全風險，例如：被非法用戶截取，從而泄露企業(yè)機密，或者被入侵者非法篡改，造成數(shù)據(jù)混亂、信息錯誤從而造成工作失誤等。此外，入侵者還有可能假冒合法身份，發(fā)送虛假信息，給正常的生產經營秩序帶來混亂，造成企業(yè)損失。

5.信息安全管理措施不到位。企業(yè)因配置不當或使用過時的操作系統(tǒng)、郵件程序等，造成企業(yè)內部網絡存在入侵者可利用的缺陷。當廠商通過發(fā)布補丁或升級軟件來解決安全問題時，許多用戶因安全風險意識不足而未對系統(tǒng)進行同步升級。有些信息系統(tǒng)采用開放的操作系統(tǒng)，安全級別低，又沒有附加安全措施，難以抵御黑客和信息炸彈的攻擊。雖然當前很多企業(yè)盡管采取了一些安全措施，但安全保護措施較為零散，缺乏整體性與系統(tǒng)性，對于企業(yè)網絡信息安全保護缺乏統(tǒng)一的、完善的安全體系，這是引發(fā)安全問題的主要源頭。

5.企業(yè)信息管理革新明顯滯后技術發(fā)展。相對于信息技術的發(fā)展與應用，企業(yè)管理革新處于落后狀況。有的企業(yè)引入了先進的業(yè)務系統(tǒng)、管理系統(tǒng)，而管理模式未能實施有效革新，最終導致了信息系統(tǒng)未能發(fā)揮預期的、應有的作用。

7.用戶身份認證和訪問控制不夠。在實際應用中，企業(yè)部分應用系統(tǒng)的用戶權限管理功能過于簡單，不能靈活實現(xiàn)更細的權限控制;部分應用系統(tǒng)沒有一個統(tǒng)一的用戶管理，無法保證賬號的有效管理和安全;同時因缺乏嚴格的驗證機制，導致非法用戶使用關鍵業(yè)務系統(tǒng);不同業(yè)務系統(tǒng)之間缺少較細粒度的訪問控制。

8.員工安全意識不足。企業(yè)的安全與每位員工密切相關，員工的安全意識又能夠促進企業(yè)安全工作的運行。有關資料顯示，企業(yè)管理者們最擔憂的并非來自外部競爭對手的黑客攻擊，而是內部威脅。員工安全意識不足，增加了黑客進攻的機會和信息泄露的風險，這都將給企業(yè)網絡信息安全埋下隱患。如：共用口令、隨意復制及傳播企業(yè)內部信息等行為。

9.企業(yè)信息資產管理風險較高。在激烈競爭的市場環(huán)境中信息資產的安全風險較高。一般來說，信息資產經常處于公共的介質中或處于流動狀態(tài)，這就使信息資產的復制成本較低，從而導致企業(yè)擁有和控制的信息資產的安全性很差。沒有安全保障的信息資產，談不上資產價值。信息資產具有工程性和社會性的軟硬屬性，短期無法量化，價值的確認存在風險，管理的過程中也存在類似風險。

企業(yè)信息化安全建設首先要從自身做起

加強企業(yè)安全防護能力，首先要從企業(yè)自身做起。企業(yè)用戶需要保護的業(yè)務越來越多，聯(lián)網的業(yè)務越來越多。而用戶的專業(yè)安全人員不足，并且短時間難以改善。

美國SANS研究所發(fā)布報告稱，通過調查770家企業(yè)后得出結論，約三分之一的企業(yè)無抵御網絡威脅的手段，主要原因是因為缺乏培訓、預算不足以及稱職員工缺失。

惠普年報也顯示，全球企業(yè)在防御網絡攻擊方面的準備工作嚴重不足。當前，隨著網絡攻擊規(guī)模和影響力的不斷擴大，企業(yè)高管必須對此予以重視，并制定出相應的方案。

面對安全風險，企業(yè)領導，技術管理人員和普通工人都必須進一步提高網絡安全意識，高度重視，確保網絡的安全、穩(wěn)定運行。對于存儲在計算機中的重要文件、數(shù)據(jù)庫中的重要數(shù)據(jù)等信息都存在著安全隱患，一旦丟失、損壞或泄露、不能及時送達，都會給企業(yè)造成很大的損失。如果是商業(yè)機密信息，給企業(yè)造成的損失會更大，甚至會影響到企業(yè)的生存和發(fā)展。

其次，網絡攻擊手段越來越復雜，攻擊行為越來越多，這使得用戶必須借助專業(yè)的安全企業(yè)的幫助，才能應對安全風險。安全企業(yè)需要為企業(yè)用戶提供自身需求相匹配的安全產品、技術和解決方案，從而滿足用戶的需求。而且?guī)缀趺總€有一定規(guī)模的安全企業(yè)都有一支安全專家服務團隊，會針對企業(yè)的實際情況提供安全測試等服務。根據(jù)企業(yè)的實際需求定制化產品和解決方案。

在網絡強國戰(zhàn)略寫入“十三五規(guī)劃”后，中國網絡安全產業(yè)各方面都在不斷推進，并得到政府的高度重視。雖然相對于國外安全行業(yè)來說，國內安全行業(yè)起步較晚，但是有不少國內安全企業(yè)在立足用戶需求的情況下，不斷提升產品和服務與用戶的匹配度，通過不斷的技術創(chuàng)新，為用戶提供了優(yōu)質的產品。例如：山石網科的云?格，獲得NSS labs推薦級的山石網科E5960下一代防火墻和華為USG6650下一代防火墻，以及今年安恒信息發(fā)布的“玄武盾”系列云安全新品。

企業(yè)信息安全建設離不開的那些主流的安全技術

威脅情報：如果威脅情報在去年還僅僅是一個熱門詞匯，那今年就是威脅情報的逐步落地，其應用正在逐步走向成熟。威脅情報應用于信息系統(tǒng)的安全運維能力提升，將是未來安全研究的重點。

物聯(lián)網安全：根據(jù)Gartner報告顯示，到2020年大約有300億個互聯(lián)設備將在行業(yè)中得到廣泛的使用，物聯(lián)網將滲透至企業(yè)中的每一個角落。近兩年，物聯(lián)網安全已成為業(yè)界關注的焦點，而今天物聯(lián)網安全更是正在一步步走向落地。

加密技術：無論何時數(shù)據(jù)都是企業(yè)最核心的資源，尤其是在如今的互聯(lián)網時代，數(shù)據(jù)保護更是成為了企業(yè)信息安全防護的核心。但是今天的數(shù)據(jù)安全以及加密所面臨的難題不是技術問題，而是法律和政策上的問題，這需要政府下大力氣解決。

沙盒技術：沙盒技術與主動防御技術原理截然不同。主動防御是發(fā)現(xiàn)程序有可疑行為時立即攔截并終止運行。沙盒技術則是發(fā)現(xiàn)可疑行為后讓程序繼續(xù)運行，當發(fā)現(xiàn)的確是病毒時才會終止。

自適應安全：2015年Gartner提出自適應安全架構，并預測，功能強大、靈活高效的自適應安全會成為未來十年的科技趨勢之一，真正地為企業(yè)提供可持續(xù)、可運營的解決方案。

CASB（ 即 Cloud Access Security Broker）：作為部署在云服務使用者和提供商之間的“經紀人”， CASB能夠嵌入企業(yè)安全策略，通過整合云服務發(fā)現(xiàn)&評級，單點登錄，設備&行為識別，加密，憑證化等多種安全技術，在云上資源被連接訪問的過程中并加以監(jiān)控和防護。其優(yōu)勢在于能夠讓用戶自由使用云化業(yè)務時，滿足安全需求和相關的合規(guī)性監(jiān)管要求。

2016年企業(yè)信息安全趨勢

1.網絡安全防護和立法將加強

2014年，中央網信辦召開專題會議討論網絡立法問題，全國人大也將“網絡安全法”列入立法工作計劃。2016年，我國網絡安全法治建設進程將顯著加快。美國總統(tǒng)奧巴馬計劃將網絡安全保護的預算增加到140億美元，并表示將加強網絡安全立法，要求企業(yè)及時披露和共享攻擊數(shù)據(jù)，并對出售僵尸網絡和數(shù)據(jù)的行為加強打擊。

2.DDoS攻擊規(guī)模、危害更大

2015年DDoS攻擊數(shù)量有了驚人的增長，僅僅第四季度就比前季度增長90%。2016年，DDoS攻擊的數(shù)量、規(guī)模和危害將會繼續(xù)增加。由于缺乏有效的技術手段來記錄這種攻擊，很多企業(yè)可能沒有意識到已經發(fā)生的攻擊。企業(yè)有必要將DDoS防御措施視為整體IT安全策略中不可或缺的一部分。對于企業(yè)而言，抵御DDoS攻擊與部署反病毒保護、針對性攻擊防御、數(shù)據(jù)泄露措施等安全方案同樣至關重要。

3.更多數(shù)據(jù)泄露事件

2015年國內外有多次重大數(shù)據(jù)泄露事件。安全專家人士預計，隨著黑客攻擊技能的泛化，攻擊工具的商品化，更多應用和系統(tǒng)漏洞被爆出和利用，2016將會有更多大型的數(shù)據(jù)泄露事件出現(xiàn)。這些事件背后，正是那些神秘而強大的黑客工具。

4.威脅情報更受重視

安全專家人士預計，2016年威脅情報將會成為未來企業(yè)安全部署的重要組成部分。專注于提供威脅情報的機構將會改變企業(yè)的安全防御態(tài)勢，使其更加從容和有效地應對威脅。作為威脅情報的目標，企業(yè)需要更多了解黑客的動機。了解黑客的攻擊動機和策略，將有助于理解哪些類型的黑客對企業(yè)威脅最大，以及他們的攻擊方式。

5.移動設備將成企業(yè)攻擊工具

一方面移動設備的企業(yè)數(shù)據(jù)會成為黑客的目標，此外，由于移動應用具有自動登錄功能，因此移動設備將會成為證書竊取或身份認證攻擊的主要目標，并用于以后的攻擊。這些攻擊通過手機作為接入點，訪問日益增多的云端企業(yè)應用和設備可自由存取的數(shù)據(jù)資源。

6.APT攻擊將更加普遍

2015年發(fā)生了多起由APT攻擊導致的大型數(shù)據(jù)外泄事件，隨著黑客攻擊技能的泛化，攻擊工具的商品化，這一威脅將更會更加猖獗。盡管很多政府機構和企業(yè)在安全上都投入了巨大的人力和物力，但APT攻擊仍然會滲透進這些組織，并導致敏感數(shù)據(jù)泄露。另外，“電子郵件”成為了黑客最易取得APT攻擊成效的入口。在某些案例中，攻擊者會利用受害者的電子郵件賬號來增加他們魚叉式網絡釣魚攻擊郵件的可信度。

7.關鍵基礎設施安全風險加大

高級可持續(xù)性攻擊的目標正在從傳統(tǒng)的IT系統(tǒng)，轉向石油、天然氣、航空運輸?shù)汝P鍵基礎設施的工業(yè)控制系統(tǒng)。近幾年大量的實際案例中，這種趨勢越來越明顯。2016年，工業(yè)控制系統(tǒng)的安全風險持續(xù)加大，美國、歐盟等都在采取措施加強關鍵領域控制系統(tǒng)安 全保護。而在我國，80%關鍵系統(tǒng)都使用了相同的控制系統(tǒng)，由于依賴國外組件、安全意識低、持續(xù)接入互聯(lián)網等原因，更容易受到攻擊。

8.將出現(xiàn)更多利用系統(tǒng)和應用漏洞的攻擊

未來黑客仍將繼續(xù)挖掘像Heartbleed、 Shellshock和Ghost 這類潛藏已久的漏洞，這些可能比25年前就存在的漏洞更古老，但卻對系統(tǒng)造成了更大的風險。這些漏洞可以入侵Linux桌面終端和服務器，控制Android系統(tǒng)及APP連接的內容，盜取數(shù)據(jù)或利用這些移動設備發(fā)動分布式拒絕服務(DDoS)等攻擊。此外，Windows系統(tǒng)及其相關應用也將會陸續(xù)有高危漏洞被爆出和利用。對企業(yè)來說，一方面需要及時修改各類漏洞，同時也要盡量防范未知漏洞的威脅。

寫在最后

在云計算、大數(shù)據(jù)時代，互聯(lián)網已成為企業(yè)傳遞信息的主流工具，使工作溝通更加便捷，工作形式更加靈活。然而，企業(yè)信息化程度越高，面臨的安全風險越大，一旦發(fā)生安全事件，所造成的損失也就越大。因此，企業(yè)必須時刻加強自身的安全防御能力，并借助安全廠商的能力來實現(xiàn)專業(yè)的防護體系，而安全廠商也應時刻關注企業(yè)用戶的實際需求?？傊?，企業(yè)信息安全不可大意。

責任編輯：向坤

Xiangkun@staff.ccidnet.com