“互聯網+”時代企業信息安全形勢及對策

文/李 棟 方 芳

“互聯網+”時代企業信息安全形勢及對策

文/李 棟 方 芳

“互聯網+”就是將互聯網與傳統產業企業相結合，促進企業發展。它代表一種新的經濟形態，即充分發揮互聯網在生產要素配置中的優化和集成作用，將互聯網的創新成果深度融合于企業之中，提升企業的創新力和生產力。2015年3月，“互聯網+”寫進政府工作報告，被提升到前所未有的高度，政府推動傳統產業企業與互聯網結合，為企業帶來了廣闊的市場。但在看到這廣闊市場的同時，我們必須清醒的認識到，伴隨著企業與互聯網結合成為大勢所趨，企業面臨的信息安全形勢也愈發嚴峻。

“互聯網+”時代企業面臨的信息安全威脅

阿里巴巴公司曾統計了國內企業開發的上萬個手機應用，“結果表明，86%的應用都存在著安全漏洞，40%的應用可以被植入病毒或者廣告。而根據2014年6月美國戰略與國際研究中心發布的報告顯示，全球范圍內90%的企業曾經在過去一年中遭遇過網絡安全問題，而每一年由網絡犯罪所帶來的經濟損失已經超過4450億美元。“互聯網+”要求企業業務高度互聯互通，云服務、移動互聯網、大數據、物聯網等等這些新的網絡現象使得“互聯網+”時代的信息安全形勢更加嚴峻。

1. 大數據呈井噴發展為企業信息安全帶來隱患。

在“互聯網+”時代，大數據在存儲、處理、傳輸等過程中面臨諸多安全風險，增加了隱私泄露的風險，實現大數據安全與隱私保護較以往其他安全問題更為棘手。非結構化數據已成為大數據的主流形式，而目前已經成熟的關系型數據庫無法支持非結構化的大數據信息存儲，關系型數據庫中的隱私保護和用戶訪問控制等技術也無法在大數據管理中應用。同時，大數據來源的多樣化也給企業信息安全帶來了隱患，這些數據具有很強的開放性，海量數據隨時通過網絡匯聚，使用傳統的存儲和管理方式將會無法適應需求，容易導致數據管理混亂。存儲設備的更新、管理、防電磁干擾、規劃布局等都需要新的設計，企業網絡管理員很難對所有數據信息一一進行跟蹤保護。如果這些海量信息因為監管不力，就有可能造成企業運營數據、客戶身份信息等企業機密信息的泄露。

2. DDoS攻擊和APT攻擊等威脅企業機密信息

當前，分布式拒絕服務攻擊（DDos攻擊）和高級持續性威脅攻擊（APT攻擊）成為入侵企業的主流。DDoS攻擊方借助于客戶/服務器技術，將多個計算機聯合起來作為攻擊平臺，對一個或多個目標發動DDoS攻擊，從而成倍地提高拒絕服務攻擊的威力。通常，攻擊者使用一個偷竊賬號將DDoS主控程序安裝在一個計算機上，在一個設定的時間主控程序將與大量代理程序通訊，代理程序已經被安裝在網絡上的許多計算機上。代理程序收到指令時就發動攻擊。利用客戶/服務器技術，主控程序能在幾秒鐘內激活成百上千次代理程序的運行。APT攻擊的原理相對于其他攻擊形式更為高級和先進，其高級性主要體現在APT在發動攻擊之前需要對攻擊對象的業務流程和目標系統進行精確的收集。在此收集的過程中，此攻擊會主動挖掘被攻擊對象受信系統和應用程序的漏洞，利用這些漏洞組建攻擊者所需的網絡，并利用0day漏洞進行攻擊。在“互聯網+”時代，企業的數據隱私更是成為黑客們攻擊的焦點，

黑客通過惡意電子郵件、SQL注入、僵尸主機、0day漏洞等方式竊取企業機密信息。使得企業信息泄露事件接連不斷：2014年3月，攜程網出現導致信息泄露的漏洞；5月，小米論壇800萬用戶資料遭泄露；9月，國外黑客利用蘋果公司的iCloud云盤系統的漏洞，非法盜取眾多全球當紅女星的裸照，繼而在網絡論壇發布。

3. 移動安全威脅成為新的挑戰

在“互聯網+”時代，“攜帶個人設備辦公”（BYOD）為攻擊者提供了更多入口，企業需要更加關注移動安全策略。隨著智能手機、平板等智能終端的普及，大量的員工的手機、平板電腦開始接入了公司網絡，同時員工也習慣于通過移動終端進行工作，他們可能會直接使用手機收發郵件，或者通過微信討論工作、傳遞文件。伴隨而來的是惡意移動應用程序的增長，黑客可能通過員工移動設備竊取企業隱私。2014年5月，全球最大拍賣網站eBay官網發布通告，稱因數據泄露呼吁其用戶更新密碼，媒體和用戶普遍質疑eBay的安全應急計劃是否完備以及是否有效付諸實施，后來調查顯示，此次泄密是由于員工登錄賬號在終端被竊取引起的。因此企業在部署移動應用的時候需制定完善的移動安全保護策略，如智能手機、平板、筆記本等設備中數據信息的加密保護和訪問權限。

然而面對在“互聯網+”時代如此嚴峻的信息安全形勢，目前我國企業對信息安全投入仍有不足，用戶安全意識和安全防護技術水平的提升還有很大空間。部分企業對信息安全的重視不夠，尚未建立起明確的企業信息安全目標和策略，缺乏切實可行的信息安全管理體制，從資金、技術和人員投入嚴重不足，迫切需要得到加強。企業的信息安全是一個系統工程，在這個系統工程中，體現著“三分技術，七分管理”。要加強企業的信息安全保密工作，管理方法和技術手段同等重要，缺一不可。

完善企業信息安全管理制度的對策

應根據企業信息安全保密工作的具體要求建立適合本企業的信息安全保密規定，建立可操作的工作制度。具體包括：

1. 企業秘密信息的分級管理

根據企業秘密的重要程度、知悉范圍等，劃分企業秘密級別，如企業秘密級、企業機密級、企業絕密級等。并對企業涉密人員及涉密信息設備實行分別歸類，規定各類信息設備的處理方法和保護級別。涉密人員根據自身涉密等級明確在使用各類信息設備時的權責，并加強監督，而密級文件只能在具備相應或更高密級的計算機上才能被讀取。

2. 企業涉密人員的管理

信息安全保密的管理，首先應加強人員管理，主要是指涉及企業秘密的員工的上崗管理、在崗管理和離崗管理。最核心的是加強教育培訓，定期對涉密人員開展信息安全保密形勢、防范技術、政策法規等教育，提高員工隱患意識、業務素質及良好作風。同時對信息保密工作的實施成果進行考評，將信息保密工作的結果作為員工年終考核能力的一項關鍵指標，并明確獎懲機制。

3. 計算機的安全管理

涉密計算機及信息設備的采購、安裝、調試、維修、報廢等，都應按規定報批，并由企業專門部門統一管理，避免私自拿到市場中的普通維修公司進行維修或數據恢復時導致機密信息的泄漏。計算機應分密級使用，保證密級文件的安全。對于企業非涉密計算機，也應加強管理。非法使用公司網絡訪問權限訪問外網，有很大的可能會導致信息泄漏或者感染病毒等。因此要加強企業計算機網絡運行控制的安全管理制度，包括上網審查，權限定義，文件訪問、數據庫訪問以及應用系統訪問的口令管理，使用規則等。

4. 移動存儲介質管理

應建立涉及企業秘密的移動存儲設備的管理制度，涵蓋使用，復制，傳送，攜帶，移交，保存，銷毀等全過程。采取技術手段，禁止未經許可的移動存儲介質在涉密計算機上進行使用。在企業非涉密計算機上使用移動存儲介質也應進行注冊管理，已注冊移動存儲介質在企業內網、工作電腦上可正常使用和交換數據；在外網或外部設備時需要密碼驗證后允許使用；非注冊移動存儲介質無法在企業內網的工作電腦上使用。因工作需要向企業集團以外的電腦中拷貝電子數據時，需經企業專門部門進行保密審查后方可。

健全企業信息安全保密技術防范體系的對策

根據企業網絡與信息安全的實際需求，從各方面加強信息安全保密技術措施，構建系統的信息安全保密防范體系。主要包括：

1. 終端準入

對終端電腦及移動智能設備實行注冊管理，接入企業網絡時需進行認證控制。只允許已在企業注冊、符合安全標準的終端接入企業網絡，同時用戶需要輸入賬號及密碼進行身份驗證，驗證成功才允許訪問內部信息資源；非注冊終端設備及非授權賬號不允許接入企業內網。

2．應用管控

對連接企業內網的終端，進行出口認證，加強網絡監控和管理。禁止進行游戲、炒股、P2P下載、以及QQ、微信等與工作無關的網絡操作，禁止一個賬號在多臺機器上同時登錄互聯網。同時在國家法律規定范圍內對終端上網行為進行后臺監控，必要時對后臺監控日志進行審計；禁止訪問非工作相關網站或不良信息網站。

3. 監控審計

通過監控審計系統，完整記錄企業內網內所有用戶訪問互聯網、收發郵件、電子文件拷貝、電腦操作以及信息系統管理員操作等所有信息傳遞活動日志，以協助分析判斷是否發生信息泄漏以及發生的時間，以便跟蹤調查原因。審計工作由專門部門負責，主要包括網絡審計、主機審計制度、數據庫審計等。

4. 病毒防范

強化反病毒措施，主要包括對網絡服務器中的文件進行頻繁掃描和監視，在服務器上裝防病毒模塊，在網絡接口卡上安裝防毒芯片，在計算機上插防病毒卡，對網絡目錄及文件設置訪問權限，設置防火墻加強網絡間的訪問控制，以及采用屏蔽等反偵查措施防止他人從電磁信號中分析獲取研制或注入病毒的根據。

5. 動態追蹤

動態追蹤主要包括兩個方面。一是要追蹤計算機網絡竊密技術的最新動態，協助對應防范措施的研究；二是追蹤先進的信息安全保密技術措施，并根據企業實際需求考慮是否推進應用。通過動態追蹤改進信息安全保密工作，提高企業信息安全保密防范水平。

結語

“互聯網+”推動大量企業開始“觸網”，企業在不斷提高信息化水平和創新商業模式的機遇與挑戰中，面臨的安全威脅將會更大。企業要擁抱互聯網，必須要過信息安全這道關，企業應該深刻認識到信息安全保密的重要性，從管理和技術兩方面著手，做好企業的信息安全保密工作，從而為企業在“互聯網+”時代健康、快速的發展打下堅實基礎。

(作者單位：寧波國研軟件技術有限公司）