“互聯(lián)網(wǎng)+”時(shí)代企業(yè)信息安全形勢(shì)及對(duì)策

“互聯(lián)網(wǎng)+”時(shí)代企業(yè)信息安全形勢(shì)及對(duì)策>Ts.作者：暫無來源：《新經(jīng)濟(jì)導(dǎo)刊》2015年第7期文/李棟方芳“互聯(lián)網(wǎng)+”就是將互聯(lián)網(wǎng)與傳統(tǒng)產(chǎn)業(yè)企業(yè)相結(jié)合，促進(jìn)企業(yè)發(fā)展。它代表一種新的經(jīng)濟(jì)形態(tài)，即充分發(fā)揮互聯(lián)網(wǎng)在生產(chǎn)要素配置中的優(yōu)化和集成作用，將互聯(lián)網(wǎng)的創(chuàng)新成果深度融合于企業(yè)之中，提升企業(yè)的創(chuàng)新力和生產(chǎn)力。2015年3月，“互聯(lián)網(wǎng)+”寫進(jìn)政府工作報(bào)告，被提升到前所未有的高度，政府推動(dòng)傳統(tǒng)產(chǎn)業(yè)企業(yè)與互聯(lián)網(wǎng)結(jié)合，為企業(yè)帶來了廣闊的市場(chǎng)。但在看到這廣闊市場(chǎng)的同時(shí)，我們必須清醒的認(rèn)識(shí)到，伴隨著企業(yè)與互聯(lián)網(wǎng)結(jié)合成為大勢(shì)所趨，企業(yè)面臨的信息安全形勢(shì)也愈發(fā)嚴(yán)峻?！盎ヂ?lián)網(wǎng)+”時(shí)代企業(yè)面臨的信息安全威脅阿里巴巴公司曾統(tǒng)計(jì)了國(guó)內(nèi)企業(yè)開發(fā)的上萬個(gè)手機(jī)應(yīng)用，“結(jié)果表明，86%的應(yīng)用都存在著安全漏洞，40%的應(yīng)用可以被植入病毒或者廣告。而根據(jù)2014年6月美國(guó)戰(zhàn)略與國(guó)際研究中心發(fā)布的報(bào)告顯示，全球范圍內(nèi)90%的企業(yè)曾經(jīng)在過去一年中遭遇過網(wǎng)絡(luò)安全問題，而每一年由網(wǎng)絡(luò)犯罪所帶來的經(jīng)濟(jì)損失已經(jīng)超過4450億美元?！盎ヂ?lián)網(wǎng)+”要求企業(yè)業(yè)務(wù)高度互聯(lián)互通，云服務(wù)、移動(dòng)互聯(lián)網(wǎng)、大數(shù)據(jù)、物聯(lián)網(wǎng)等等這些新的網(wǎng)絡(luò)現(xiàn)象使得“互聯(lián)網(wǎng)+”時(shí)代的信息安全形勢(shì)更加嚴(yán)峻。大數(shù)據(jù)呈井噴發(fā)展為企業(yè)信息安全帶來隱患。在“互聯(lián)網(wǎng)+”時(shí)代，大數(shù)據(jù)在存儲(chǔ)、處理、傳輸?shù)冗^程中面臨諸多安全風(fēng)險(xiǎn)，增加了隱私泄露的風(fēng)險(xiǎn)，實(shí)現(xiàn)大數(shù)據(jù)安全與隱私保護(hù)較以往其他安全問題更為棘手。非結(jié)構(gòu)化數(shù)據(jù)已成為大數(shù)據(jù)的主流形式，而目前已經(jīng)成熟的關(guān)系型數(shù)據(jù)庫(kù)無法支持非結(jié)構(gòu)化的大數(shù)據(jù)信息存儲(chǔ)，關(guān)系型數(shù)據(jù)庫(kù)中的隱私保護(hù)和用戶訪問控制等技術(shù)也無法在大數(shù)據(jù)管理中應(yīng)用。同時(shí)，大數(shù)據(jù)來源的多樣化也給企業(yè)信息安全帶來了隱患，這些數(shù)據(jù)具有很強(qiáng)的開放性，海量數(shù)據(jù)隨時(shí)通過網(wǎng)絡(luò)匯聚，使用傳統(tǒng)的存儲(chǔ)和管理方式將會(huì)無法適應(yīng)需求，容易導(dǎo)致數(shù)據(jù)管理混亂。存儲(chǔ)設(shè)備的更新、管理、防電磁干擾、規(guī)劃布局等都需要新的設(shè)計(jì)，企業(yè)網(wǎng)絡(luò)管理員很難對(duì)所有數(shù)據(jù)信息一一進(jìn)行跟蹤保護(hù)。如果這些海量信息因?yàn)楸O(jiān)管不力，就有可能造成企業(yè)運(yùn)營(yíng)數(shù)據(jù)、客戶身份信息等企業(yè)機(jī)密信息的泄露。DDoS攻擊和APT攻擊等威脅企業(yè)機(jī)密信息當(dāng)前，分布式拒絕服務(wù)攻擊（DDos攻擊）和高級(jí)持續(xù)性威脅攻擊（APT攻擊）成為入侵企業(yè)的主流。DDoS攻擊方借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。通常，攻擊者使用一個(gè)偷竊賬號(hào)將DDoS主控程序安裝在一個(gè)計(jì)算機(jī)上，在一個(gè)設(shè)定的時(shí)間主控程序?qū)⑴c大量代理程序通訊，代理程序已經(jīng)被安裝在網(wǎng)絡(luò)上的許多計(jì)算機(jī)上。代理程序收到指令時(shí)就發(fā)動(dòng)攻擊。利用客戶/服務(wù)器技術(shù)，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行。APT攻擊的原理相對(duì)于其他攻擊形式更為高級(jí)和先進(jìn)，其高級(jí)性主要體現(xiàn)在APT在發(fā)動(dòng)攻擊之前需要對(duì)攻擊對(duì)象的業(yè)務(wù)流程和目標(biāo)系統(tǒng)進(jìn)行精確的收集。在此收集的過程中，此攻擊會(huì)主動(dòng)挖掘被攻擊對(duì)象受信系統(tǒng)和應(yīng)用程序的漏洞，利用這些漏洞組建攻擊者所需的網(wǎng)絡(luò)，并利用0day漏洞進(jìn)行攻擊。在“互聯(lián)網(wǎng)+”時(shí)代，企業(yè)的數(shù)據(jù)隱私更是成為黑客們攻擊的焦點(diǎn)，黑客通過惡意電子郵件、SQL注入、僵尸主機(jī)、0day漏洞等方式竊取企業(yè)機(jī)密信息。使得企業(yè)信息泄露事件接連不斷：2014年3月，攜程網(wǎng)出現(xiàn)導(dǎo)致信息泄露的漏洞；5月，小米論壇800萬用戶資料遭泄露;9月，國(guó)外黑客利用蘋果公司的iCloud云盤系統(tǒng)的漏洞，非法盜取眾多全球當(dāng)紅女星的裸照，繼而在網(wǎng)絡(luò)論壇發(fā)布。移動(dòng)安全威脅成為新的挑戰(zhàn)在“互聯(lián)網(wǎng)+”時(shí)代，“攜帶個(gè)人設(shè)備辦公”（BYOD）為攻擊者提供了更多入口，企業(yè)需要更加關(guān)注移動(dòng)安全策略。隨著智能手機(jī)、平板等智能終端的普及，大量的員工的手機(jī)、平板電腦開始接入了公司網(wǎng)絡(luò)，同時(shí)員工也習(xí)慣于通過移動(dòng)終端進(jìn)行工作，他們可能會(huì)直接使用手機(jī)收發(fā)郵件，或者通過微信討論工作、傳遞文件。伴隨而來的是惡意移動(dòng)應(yīng)用程序的增長(zhǎng)，黑客可能通過員工移動(dòng)設(shè)備竊取企業(yè)隱私。2014年5月，全球最大拍賣網(wǎng)站eBay官網(wǎng)發(fā)布通告，稱因數(shù)據(jù)泄露呼吁其用戶更新密碼，媒體和用戶普遍質(zhì)疑eBay的安全應(yīng)急計(jì)劃是否完備以及是否有效付諸實(shí)施，后來調(diào)查顯示，此次泄密是由于員工登錄賬號(hào)在終端被竊取引起的。因此企業(yè)在部署移動(dòng)應(yīng)用的時(shí)候需制定完善的移動(dòng)安全保護(hù)策略，如智能手機(jī)、平板、筆記本等設(shè)備中數(shù)據(jù)信息的加密保護(hù)和訪問權(quán)限。然而面對(duì)在“互聯(lián)網(wǎng)+”時(shí)代如此嚴(yán)峻的信息安全形勢(shì)，目前我國(guó)企業(yè)對(duì)信息安全投入仍有不足，用戶安全意識(shí)和安全防護(hù)技術(shù)水平的提升還有很大空間。部分企業(yè)對(duì)信息安全的重視不夠，尚未建立起明確的企業(yè)信息安全目標(biāo)和策略，缺乏切實(shí)可行的信息安全管理體制，從資金、技術(shù)和人員投入嚴(yán)重不足，迫切需要得到加強(qiáng)。企業(yè)的信息安全是一個(gè)系統(tǒng)工程，在這個(gè)系統(tǒng)工程中，體現(xiàn)著“三分技術(shù)，七分管理”。要加強(qiáng)企業(yè)的信息安全保密工作，管理方法和技術(shù)手段同等重要，缺一不可。完善企業(yè)信息安全管理制度的對(duì)策應(yīng)根據(jù)企業(yè)信息安全保密工作的具體要求建立適合本企業(yè)的信息安全保密規(guī)定，建立可操作的工作制度。具體包括：企業(yè)秘密信息的分級(jí)管理根據(jù)企業(yè)秘密的重要程度、知悉范圍等，劃分企業(yè)秘密級(jí)別，如企業(yè)秘密級(jí)、企業(yè)機(jī)密級(jí)、企業(yè)絕密級(jí)等。并對(duì)企業(yè)涉密人員及涉密信息設(shè)備實(shí)行分別歸類，規(guī)定各類信息設(shè)備的處理方法和保護(hù)級(jí)別。涉密人員根據(jù)自身涉密等級(jí)明確在使用各類信息設(shè)備時(shí)的權(quán)責(zé)，并加強(qiáng)監(jiān)督，而密級(jí)文件只能在具備相應(yīng)或更高密級(jí)的計(jì)算機(jī)上才能被讀取。企業(yè)涉密人員的管理信息安全保密的管理，首先應(yīng)加強(qiáng)人員管理，主要是指涉及企業(yè)秘密的員工的上崗管理、在崗管理和離崗管理。最核心的是加強(qiáng)教育培訓(xùn)，定期對(duì)涉密人員開展信息安全保密形勢(shì)、防范技術(shù)、政策法規(guī)等教育，提高員工隱患意識(shí)、業(yè)務(wù)素質(zhì)及良好作風(fēng)。同時(shí)對(duì)信息保密工作的實(shí)施成果進(jìn)行考評(píng)，將信息保密工作的結(jié)果作為員工年終考核能力的一項(xiàng)關(guān)鍵指標(biāo)，并明確獎(jiǎng)懲機(jī)制。計(jì)算機(jī)的安全管理涉密計(jì)算機(jī)及信息設(shè)備的采購(gòu)、安裝、調(diào)試、維修、報(bào)廢等，都應(yīng)按規(guī)定報(bào)批，并由企業(yè)專門部門統(tǒng)一管理，避免私自拿到市場(chǎng)中的普通維修公司進(jìn)行維修或數(shù)據(jù)恢復(fù)時(shí)導(dǎo)致機(jī)密信息的泄漏。計(jì)算機(jī)應(yīng)分密級(jí)使用，保證密級(jí)文件的安全。對(duì)于企業(yè)非涉密計(jì)算機(jī)，也應(yīng)加強(qiáng)管理。非法使用公司網(wǎng)絡(luò)訪問權(quán)限訪問外網(wǎng)，有很大的可能會(huì)導(dǎo)致信息泄漏或者感染病毒等。因此要加強(qiáng)企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行控制的安全管理制度，包括上網(wǎng)審查，權(quán)限定義，文件訪問、數(shù)據(jù)庫(kù)訪問以及應(yīng)用系統(tǒng)訪問的口令管理，使用規(guī)則等。移動(dòng)存儲(chǔ)介質(zhì)管理應(yīng)建立涉及企業(yè)秘密的移動(dòng)存儲(chǔ)設(shè)備的管理制度，涵蓋使用，復(fù)制，傳送，攜帶，移交，保存，銷毀等全過程。采取技術(shù)手段，禁止未經(jīng)許可的移動(dòng)存儲(chǔ)介質(zhì)在涉密計(jì)算機(jī)上進(jìn)行使用。在企業(yè)非涉密計(jì)算機(jī)上使用移動(dòng)存儲(chǔ)介質(zhì)也應(yīng)進(jìn)行注冊(cè)管理，已注冊(cè)移動(dòng)存儲(chǔ)介質(zhì)在企業(yè)內(nèi)網(wǎng)、工作電腦上可正常使用和交換數(shù)據(jù)；在外網(wǎng)或外部設(shè)備時(shí)需要密碼驗(yàn)證后允許使用；非注冊(cè)移動(dòng)存儲(chǔ)介質(zhì)無法在企業(yè)內(nèi)網(wǎng)的工作電腦上使用。因工作需要向企業(yè)集團(tuán)以外的電腦中拷貝電子數(shù)據(jù)時(shí)，需經(jīng)企業(yè)專門部門進(jìn)行保密審查后方可。健全企業(yè)信息安全保密技術(shù)防范體系的對(duì)策根據(jù)企業(yè)網(wǎng)絡(luò)與信息安全的實(shí)際需求，從各方面加強(qiáng)信息安全保密技術(shù)措施，構(gòu)建系統(tǒng)的信息安全保密防范體系。主要包括：1.終端準(zhǔn)入對(duì)終端電腦及移動(dòng)智能設(shè)備實(shí)行注冊(cè)管理，接入企業(yè)網(wǎng)絡(luò)時(shí)需進(jìn)行認(rèn)證控制。只允許已在企業(yè)注冊(cè)、符合安全標(biāo)準(zhǔn)的終端接入企業(yè)網(wǎng)絡(luò)，同時(shí)用戶需要輸入賬號(hào)及密碼進(jìn)行身份驗(yàn)證，驗(yàn)證成功才允許訪問內(nèi)部信息資源；非注冊(cè)終端設(shè)備及非授權(quán)賬號(hào)不允許接入企業(yè)內(nèi)網(wǎng)。2.應(yīng)用管控對(duì)連接企業(yè)內(nèi)網(wǎng)的終端，進(jìn)行出口認(rèn)證，加強(qiáng)網(wǎng)絡(luò)監(jiān)控和管理。禁止進(jìn)行游戲、炒股、P2P下載、以及QQ、微信等與工作無關(guān)的網(wǎng)絡(luò)操作，禁止一個(gè)賬號(hào)在多臺(tái)機(jī)器上同時(shí)登錄互聯(lián)網(wǎng)。同時(shí)在國(guó)家法律規(guī)定范圍內(nèi)對(duì)終端上網(wǎng)行為進(jìn)行后臺(tái)監(jiān)控，必要時(shí)對(duì)后臺(tái)監(jiān)控日志進(jìn)行審計(jì)；禁止訪問非工作相關(guān)網(wǎng)站或不良信息網(wǎng)站。監(jiān)控審計(jì)通過監(jiān)控審計(jì)系統(tǒng)，完整記錄企業(yè)內(nèi)網(wǎng)內(nèi)所有用戶訪問互聯(lián)網(wǎng)、收發(fā)郵件、電子文件拷貝、電腦操作以及信息系統(tǒng)管理員操作等所有信息傳遞活動(dòng)日志，以協(xié)助分析判斷是否發(fā)生信息泄漏以及發(fā)生的時(shí)間，以便跟蹤調(diào)查原因。審計(jì)工作由專門部門負(fù)責(zé)，主要包括網(wǎng)絡(luò)審計(jì)、主機(jī)審計(jì)制度、數(shù)據(jù)庫(kù)審計(jì)等。病毒防范強(qiáng)化反病毒措施，主要包括對(duì)網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁掃描和監(jiān)視，在服務(wù)器上裝防病毒模塊，在網(wǎng)絡(luò)接口卡上安裝防毒芯片，在計(jì)算機(jī)上插防病毒卡，對(duì)網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限，設(shè)置防火墻加強(qiáng)網(wǎng)絡(luò)間的訪問控制，以及采用屏蔽等反偵查措施防止他人從電磁信號(hào)中分析獲取研制或注入病毒的根據(jù)。動(dòng)態(tài)追蹤動(dòng)態(tài)追蹤主要包括兩個(gè)方面。一是要追蹤計(jì)算機(jī)網(wǎng)絡(luò)竊密技術(shù)的最新動(dòng)態(tài)，協(xié)助對(duì)應(yīng)防范措施的研究；二是追蹤先進(jìn)的信息安全保密技術(shù)措施，并根據(jù)企業(yè)實(shí)際需求考慮是否推進(jìn)應(yīng)用。通過動(dòng)態(tài)追蹤改進(jìn)信息安全保密工作