疏堵結合“治”安全

文｜本刊記者 陳昕

病毒傳播、黑客攻擊等安全問題，大大增加了信息安全的管理難度，信息安全一旦出現紕漏，企業的相關信息將面臨丟失乃至落到競爭對手手中。企業的信息安全問題、以及對信息的安全管理都變得至關重要，企業要想保證信息安全，就必須找出存在信息安全問題的根源，并具有良好的安全管理策略。

企業信息化建設是一項長期工作。通常企業在信息化建設過程中會對信息化需求的分析、系統選型及實施上線給予足夠的關注，然而企業信息化建設并不以系統的上線為止，相反更多和更重要的工作是如何保證系統在上線后，能夠隨著企業業務變化而持續地推廣、維護和優化升級。

隨著企業對信息化應用的不斷深入，企業對系統的依賴性也越來越強，信息化在幫助企業提高管理效率的同時，安全體系缺乏所隱藏的風險也將越來越突出，比如說信息安全的隱患、無形資產流失的風險、系統故障給業務運行帶來的影響等。同時，信息化在使用過程中會存在眾多風險，例如數據風險、硬件風險等。在信息高速發展的今天，信息化系統建設集中化趨勢和云平臺等信息技術的發展，使得數據的集中度越來越高，數據集中為信息化系統的部署、更新和實施帶來高效，同時，如何保證數據信息的安全，建立完整的信息保障體系也顯得愈加重要。

日趨復雜的信息安全環境

現在利用信息技術管理信息安全問題相較之前變得更為復雜，目前，企業信息安全面臨的潛在威脅主要有以下幾個方面，一是病毒危害，計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼，它是具有破壞作用的程序或指令集合。計算機病毒已經泛濫成災，幾乎無孔不入。據統計，計算機病毒的種類已經超過4萬多種，而且還在以每年40%的速度遞增，隨著互聯網技術的發展，病毒在企業信息系統中傳播的速度越來越快，其破壞性也越來越強。

二是“黑客”攻擊。“黑客”是英文Hacker的諧音，黑客是利用技術手段進入其權限以外的計算機系統的人。黑客破解或破壞某個程序、系統及網絡安全，或者破解某系統或網絡以提醒該系統所有者的系統安全漏洞的過程。通常采用后門程序、信息炸彈、拒絕服務、網絡監聽、密碼破解等手段侵入計算機系統，盜竊系統保密信息，進行信

息破壞或占用系統資源，黑客攻擊已經成為近年來經常出現的問題。

三是網絡攻擊。網絡攻擊就是對網絡安全威脅的具體表現，利用網絡存在的漏洞和安全缺陷對系統和資源進行的攻擊。尤其是在最近幾年里，網絡攻擊技術和攻擊工具有了新的發展趨勢，使借助互聯網運行業務的企業面臨著前所未有的風險。

病毒傳播、黑客攻擊等安全問題，大大增加了信息安全的管理難度，信息安全一旦出現紕漏，企業的相關信息將面臨丟失乃至落到競爭對手手中。企業的信息安全問題、以及對信息的安全管理都變得至關重要，企業要想保證信息安全，就必須找出存在信息安全問題的根源，并具有良好的安全管理策略。

立體分布式解決信息安全問題

信息安全問題在近年來已經逐漸獲得了更多的關注。據媒體報道，全球領先的信息安全整體解決方案廠商瑞星公司，與全球領先的信息與通信解決方案供應商華為通過簽署戰略合作協議，建立云計算虛擬化防病毒領域戰略合作伙伴關系，聯手研發國內首個自主知識產權的虛擬化安全產品。

信息安全系統的搭建并不是簡單將信息安全產品安裝到企業的電腦中，對于一些大型跨國企業來說，企業的信息系統及其復雜，針對企業對于內網信息安全管理的需求，企業需要建立立體分布式體系并不斷強化信息安全理念，通過構建符合企業自身特點的信息安全體系，借鑒成功部署信息安全企業的成熟經驗和先進的信息技術，設計好信息安全解決方案，使信息安全系統不但可以殺毒、防毒，還不會拖慢企業整體IT環境，保障企業網絡通暢。

當然，這是理想情況下的企業信息安全系統構建。眼下，業內主流、商用的服務器操作系統基本為國外產品，本身存在漏洞和后門，而且一旦出現漏洞、后門后，系統補丁升級需要時間。在此期間，服務器系統的應用、數據安全如何得到保證，一直是困擾企業的一個難題。

以某一資源豐富、技術與人才密集的國有特大型企業為例，該企業工作區域主要分布在其所在省的8個地市及28個縣（區）內。隨著企業業務的不斷拓展，支撐企業運轉的信息化應用系統越來越多，主要包括生產指揮系統、源頭數據采集系統、地理信息系統、數據庫系統、辦公自動化系統等。由于業務空間上的分散，來自網絡內外的信息安全問題也隨之增多。

該企業服務器上普遍部署的是國際通用的主流商業服務器操作系統，這些操作系統在美國的TECSE（橘皮書）標準中都屬于C2級操作系統，其本身不具備完善安全的防護功能，存在諸多的漏洞和后門，很多來自內外網應用層的攻擊，通過包裝重組技術可以透過傳統的網絡安全防護設備，直接進入企業內任何一臺服務器，一旦企業系統的核心應用被破壞或關鍵數據被竊取，將造成不可彌補的損失或影響。基于這樣的考慮，該企業與國內某大型軟件廠商合作，為企業的服務器操作系統安全、應用安全等量身定做了相關的解決方案，極大規避了服務器應用的安全風險。

操作系統是銜接服務器硬件與服務器應用軟件的橋梁，橋梁的安全、可靠，決定了應用系統和數據的安全、可靠。針對于此，軟件廠商增加目標應用服務器上操作系統的內核級安全，對操作系統的文件、注冊表、服務、進程等資源實現強制訪問控制，消除病毒等惡意程序的生存環境，使服務器能夠免疫針對操作系統的攻擊，實現對已知或未知病毒程序、ROOTKIT級后門威脅的主動防御，避免出現企業信息系統因新的蠕蟲等感染型病毒的出現，而導致的網絡癱瘓、應用服務中斷等安全事故。

在系統的運維過程中，如果系統缺乏身份認證以及授權機制，來自內、外部的頻繁訪問有可能使得不法分子獲得很好的偽裝身份，從而輕而易舉的獲取到重要信息。針對于此，軟件廠商采用了規范系統管理員行為、強制訪問控制、關鍵業務進程保護機制以及建立安全審計機制4個維度的管控機制，有效降低了內、外部的運維風險。

該企業通過加強對操作系統管理員行為的管理，實現對不同廠商的運維人員的“最小授權”，通過技術和制度手段對ROOT賬號的權力加以分散。即使擁有ROOT賬號的運維人員，如果需要訪問不屬于自己的資源，也必須取得相關部門的授權。這樣既保證了運維工作的正常進行，又能夠規避因為運維人員權限過大而帶來的風險。而對服務器的資源，尤其是業務信息系統資源，則實現細粒度的強制訪問控制，使得運維人員或惡意攻擊人員不能夠隨意安裝和開啟遠程控制軟件，即便在利用SSH等方式遠程登錄后，也不能對系統關鍵資源實施竊取、破壞等行為。

同時，該企業通過建立行之有效的進程保護機制，確保業務進程不會因為運維人員的誤操作等原因終止，也不會被病毒、木馬等惡意程序注入而導致業務過程被破壞。建立安全審計機制，通過“三權分立”機制實現對操作人員的最小授權。當出現操作人員企圖越權訪問核心數據資產的情況時，會及時的按照訪問用戶、程序、時間、動作等信息記錄在系統中，在日后的企業內審中作為技術判斷依據。在發生病毒、木馬等惡意程序通過移動介質企圖進入系統時，信息安全系統會及時的定位病毒文件，便于安全運維人員清理和刪除這些危險程序。

信息安全 全民防護

系統安全管理就是要建立信息安全保障機制，信息安全保障體系并不是僅僅指建立防火墻、系統用戶安全管理、信息備份和病毒防護，通常包含準入、保護、驗證、培訓和監控五大領域的信息管理和服務保障體系。這五大領域又相互加強，成為一個閉環的安全管控體系。

五大領域對應的信息保障體系具體內容包括準入，即安全政策的制定、企業信息安全管理架構的建立、對安全風險和威脅評估、對系統架構脆弱性的檢測、災備計劃、安全審計等內容。保護，不僅包括軟件系統中密碼系統（例如單點登錄系統，系統用戶密碼規則等）的建立，還包括防火墻的實施、VPN的實施、系統安全程序的開發和集成、管理安全服務等。驗證，安全管理需要保障系統文檔的保存和及時更新、定期測試，對可能的攻擊、風險和系統脆弱性進行分析和更新，定期對系統、計劃和程序的IT安全性進行審計等。培訓，包括對員工和信息系統管理人員的培訓，讓全公司的人員都有安全意識，并主動在工作中遵循相關的安全和信息保障規定。這些培訓包括安全認識培訓、入侵偵測培訓、安全操作小組培訓、系統管理員的安全培訓等。監控，即對入侵的偵測、系統和網絡監控、入侵歷史分析、惡意代碼分析、安全事件匯報、成立安全事件響應小組等。

隨著云計算、物聯網等新技術、新應用的出現，現有的產品檢測標準已經滯后或缺失，很難發現深層次的問題。為了更好地維護企業信息安全，企業還要定期開展對關鍵技術設備的系統漏洞檢測評估，發掘深層次隱患，提出相應的加固解決辦法。有效的漏洞分析、風險評估可以使企業集中研討當前突出問題的解決辦法，提出對策建議。此外，企業還要加強網絡安全態勢感知和預警平臺的建設。由于現在境外的網絡攻擊都比較隱秘，行為加密，很難被發現，要想排除威脅就必須加強網絡安全態勢感知，發現深層次問題。

信息安全的維護更需要從國家層面上進一步加強對基礎設施的保障保護，并建立一些主動防御手段。無論是企業還是個人都需要進一步強化漏洞意識和危機意識，從維護國家安全、公共安全和個人隱私的角度進行全民防護。對于企業來說應當在企業的系統中采取相應防護措施，拒絕非正當的數據獲取和利用；對于個人來說應該加強安全意識，杜絕弱口令和不安全行為。

更為重要的是，信息安全工作的開展亟需一個強有力的協調部門。我國國家信息安全戰略的總體目標是：提高信息化建設能力，控制和化解信息化進程中出現的問題與風險，創建安全健康的網絡幻境，保障和促進信息化發展，保護公眾利益、維護國家安全。建立和完善維護國家信息安全的長效機制，掌握國家信息安全的戰略主動權。

針對我國的實際情況，僅僅依靠企業自發地去建設信息化及其安全意識是不夠的，發達國家的經驗已經證明：在企業信息化建設過程中，政府的支持、鼓勵與引導至關重要。政府的作用主要是改進和完善企業信息化建設的環境，包括信息化基礎設施建設、配套體系的建立和完善、信息安全相關法律法規的制定等，從而為企業信息化建設工作及其信息安全管理營造一個良好的環境，確保企業核心信息受國家法律保護而不受侵害。