網絡安全需技術與管理并重

在中央網絡安全和信息化領導小組成立會上，習近平總書記指出：“沒有網絡安全，就沒有國家安全！”

5月22日，國家互聯網信息辦公室發布消息，為維護國家網絡安全、保障中國用戶合法利益，我國即將推出網絡安全審查制度。該制度規定，關系國家安全和公共利益的重要技術產品和服務，應通過網絡安全審查。同月，出于對信息安全考慮，中央政府采購網發布《中央國家機關政府采購中心重要通知》，要求所有計算機類產品不允許安裝Windows 8操作系統。

這是2013年6月“美國斯諾登事件”曝光以來，信息網絡安全工作被我國政府提到一個新的國家戰略高度上的又一體現。此前的2月27日，中央網絡安全和信息化領導小組宣告成立。習近平總書記親自擔任組長，并在領導小組第一次會議上指出“沒有網絡安全，就沒有國家安全”。這彰顯出中國最高領導層在保障網絡安全、維護國家利益、推動信息化發展方面的決心。

信息網絡安全工作既是一項技術工作，又是一項管理工作，要做到技術手段和日常管理相結合。

五方面完善

鑒于信息網絡安全的重要性，我認為，安全管理要從如下五個方面進行完善，并不斷提高人們對于網絡安全重要性的認識。

第一，信息網絡安全要進行頂層架構設計。設計信息網絡安全的頂層架構，要從總體上把握好信息網絡安全工作。通過信息網絡安全的頂層設計，形成信息網絡安全策略的制定、運營的執行、監管控制和反饋的閉環體系，建立統一的信息網絡安全指標，規劃信息網絡安全職能和服務，特別要涵蓋身份識別與訪問、安全路徑和設施、數據安全等。

第二，突出信息網絡安全工作重點。信息網絡安全工作的突出重點和目的是保護數據資源安全。在數據收集、處理和應用的整個生命周期，防止數據資源的丟失以及非法竊取，設計數據級安全解決方案，與信息系統建設同步進行數據訪問和權限管理，對數據使用進行全過程管理和控制，包括數據的非法或非正常查閱、復制、篡改、刪除等。

第三，重視信息網絡安全組織和團隊建設。建立強有力的信息網絡安全組織和團隊，從組織上保證信息網絡安全工作體系落實到位。建立信息網絡安全專職隊伍，構建專門的信息網絡安全事件響應團隊，負責建立信息網絡安全技術基準、例外情況的正式批準、制定安全策略和指南、信息網絡安全事件的采集分析處理和響應等工作。

第四，建立全面的信息網絡安全報告溝通制度和懲戒機制。建立專門的信息網絡安全門戶、信息網絡安全教育網頁，發布正式的信息網絡安全年度報告，每月、每季度對內發布信息網絡安全報告，對信息網絡安全事件及時反饋溝通。對違反信息網絡安全規定、造成信息網絡安全事故的事件進行警示。加強信息網絡安全宣傳教育，全面提高員工的信息網絡安全意識。

第五，要定期開展內部模擬攻擊測試和應急響應演練。在企業內部定期開展網絡模擬攻擊測試，測驗員工安全意識和防范能力，檢測各種隱患漏洞，通過快速反饋和響應，提高信息網絡安全的應急響應水平。

三措施應對

在信息網絡安全的建設中，除了要有完善的管理制度外，還要有強大的安全技術的支持。鑒于目前的網絡安全狀況，企業應重點做好三個方面的工作。

一是對網絡行為要實施信息網絡安全實時動態監管，實時阻止非法訪問行為。

在信息網絡安全工作中，監管處于核心位置，除了要管好自家的“門”外，更要對進入“門”內的各種訪問行為進行實時監管。成立專門的計算機安全應急響應小組。該小組一方面跟蹤研究業界最新的安全動態，并實施最新的信息網絡安全防御技術等；另一方面綜合應用DNS（域名服務器）收集、防火墻、IPS（入侵防御系統）、用戶行為建模等工具，7×24小時不間斷地對公司網絡中的各種“例外行為”進行監管。

國內企業的大部分信息網絡安全事件是由于計算機病毒或木馬導致信息和數據失泄密，因此很強調“門衛”的作用。但僅僅重視“門衛”的預防而忽視對內網行為的實時監管，結果會讓非法訪問者一旦突破“門衛”進入企業內網，非法訪問者可以做任何事情而沒有人過問。對企業網中的一切訪問行為進行實時動態的監控，能實現更全面的信息網絡安全監管，只要有不合規的行為就可能在最短的時間內被發現并被阻止。

二是注重信息網絡安全系統的自學習能力，加強系統防御、發現和修復的能力建設。

隨著IT技術的飛速發展，企業網絡面臨越來越多的攻擊風險。新技術的不斷應用，導致攻擊的手段和方式也越來越隱蔽、越來越不易被發現。2012年Verizo數據泄露報告中，對企業網絡遭受惡意攻擊導致數據丟失甚至系統癱瘓，以及對發現攻擊并修復漏洞、恢復系統運行等所需要的時間做了統計，從統計數據中可以看出，受攻擊能夠在幾分鐘、幾個小時內就導致企業數據的外泄甚至系統癱瘓，而企業要發現這些攻擊并有效阻止這些攻擊則需要數周甚至數月的時間。這就讓企業的網絡、系統、信息長時間處于危險狀態，而且舊的漏洞被修復后攻擊者又會發現并利用新的漏洞，導致信息網絡安全人員疲于應付。

因此，企業需要有效利用信息網絡安全工具和手段，加強“防御-發現-修復”過程的自學習和自修復能力。即通過綜合開展有針對性監控，有效利用數據丟失預防（DLP）、DDOS（分布式拒絕服務攻擊）緩解、惡意軟件/代碼高級檢測、DNS域名系統記錄和分析、數據包捕獲/檢測（DPI）、遠程調查分析等工具，對各種行為數據進行分析處理，對網絡中的各種行為習慣進行自學習，在出現異常情況時采用全自動和人工干預的方式，“即時”控制異常行為。這相對于發現漏洞、等待修復的傳統方式，在時間上有了數量級的提高。同時，企業要不定期地通過實施實際的攻擊來檢驗網絡的自學習和自修復能力，不斷優化完善防御、發現和修復系統的自學習能力，并將相關優化建議直接應用到防御、發現和修復系統，提高防御、發現和修復系統的能力，形成良性循環。

三是有效應用“身份”安全的邊界支持信息系統應用。

IT新技術的快速發展和應用，對傳統的安全域隔離提出了挑戰。一方面，云計算讓“安全域”的邊界越來越模糊。另一方面，BYOD（攜帶自己的設備辦公）的移動應用讓終端的管理越來越難。

云計算和傳統方式相比具有很多優勢。但它的方便性和易用性也導致了企業網絡中不同的安全域逐步模糊了邊界，尤其是企業采用了“公有云”服務后，“安全域”已經無法界定清楚。而WIFI、3G、4G技術的發展，使員工越來越愿意使用PAD、智能手機等智能終端隨時隨地處理辦公業務，眾多終端通過不同的方式接入企業網絡，終端的管控越來越難，而且智能終端的便攜性也同樣面臨容易丟失等問題。

因此，在當前的云計算和移動互聯網環境下，“身份”是安全域的一個新邊界，也是企業信息網絡安全進行精細度控制的基準點。國內外基于“身份”的安全體系已經比較成熟，目前國內外基于“身份”的安全體系已經從CA（證書認證）發展到了4A（賬號、認證、授權、審計），國內各大銀行網銀系統的U盾就是典型的基于“身份”的4A應用，核心思想就是通過數字證書確保使用者身份的唯一性。但是，不論CA還是4A，一般都要求使用存儲了數字證書的“U盾”作為身份的唯一標識。

先進的“身份”的驗證、識別與訪問控制技術，是一種通過對“人員+設備+地點+想要什么”來綜合判斷信息系統使用者“身份”的一種新的控制算法。在這種控制算法中，重點是對使用者訪問行為的智能感知和控制，即通過后臺的身份服務引擎（ISE），幫助企業從網絡、用戶和設備收集實時信息，按照不同的情景實施不同的訪問控制策略。通過這種綜合性的“身份”驗證、識別與訪問控制技術，能夠很精細地控制員工的訪問行為，在最大限度地為員工提供便捷信息服務的同時，又最大限度地確保企業信息的安全。

總之，信息資源共享和使用便捷與信息網絡安全的管控要求一直以來都是矛盾的共生體，如何做到在保證信息網絡安全的同時，又實現信息資源共享與應用便捷需要做很多工作。企業既要有效利用好各種信息網絡安全工具，同時還要采取多種管理措施與方法，做到綜合深度防御。