企業信息安全的管理與防護

吳櫻

摘 要：企業信息安全作為我國信息化建設健康發展的重要因素，關系到貫徹落實科學發展觀、全面建設小康社會、構建社會主義和諧社會和建設創新型社會等國家戰略舉措的實施，是國家安全的重要組成部分。習近平總書記指出，沒有網絡信息安全就沒有國家安全，沒有信息化就沒有現代化。在信息系統安全保障工作中，人是最活躍的因素，人員的企業信息安全意識、知識與技能已經成為保障信息系統安全穩定運行的重要基本要素之一。

關鍵詞：企業信息安全保障基礎；企業信息安全技術；企業信息安全管理

中圖分類號：TP311 文獻標識碼：A 文章編號：1671-2064（2017）06-0020-02

隨著現代化無紙辦公要求的提高，相應的也就要求了現在企業辦公離不開網絡，便于辦公的企業都自行建立了自己的企業內網，“企業自身處內網環境中，黑客難以入侵。但實際上，無線網絡、眾多智能設備（如手機、Pad等）為黑客提供了更多便利，而企業所信任的防火墻在黑客面前形同虛設。”知名企業信息安全顧問、國家企業信息安全最高認證（CISP）金牌講師張勝生在講座中對目前國內企業普遍缺乏企業信息安全專業團隊，漠視企業信息安全的現狀表示擔憂。

2013年中央電視臺播出的“棱鏡門 ”一時鬧的沸沸揚揚，棱鏡計劃（PRISM）是一項由美國國家安全局（NSA）自2007年小布什時期起開始實施的絕密電子監聽計劃。美國情報機構一直在九家美國互聯網公司中進行數據挖掘工作，從音頻、視頻、圖片、郵件、文檔以及連接信息中分析個人的聯系方式與行動。監控的類型有10類：信息電郵、即時消息、視頻、照片、存儲數據、語音聊天、文件傳輸、視頻會議、登錄時間、社交網絡資料的細節，其中包括兩個秘密監視項目，一是監視、監聽民眾電話的通話記錄，二是監視民眾的網絡活動。

該類事件也反應了關于企業及個人企業信息安全的問題。

1 企業信息安全管理基礎

1.1 企業信息安全事件分析

統計結果表明，在所有企業信息安全事故中，只有20%-30%是由于黑客入侵或其他外部原因造成的，70%-80%是由于內部人員的疏忽或有意泄密造成的。站在較高的層次上來看信息和網絡安全的全貌就會發現安全問題實際上都是人的問題，單憑技術是無法實現從“最大威脅”到“最可靠防線”轉變的。

1.2 企業信息安全管理的需求

企業信息安全取決于兩個因素：技術和管理。安全技術是企業信息安全的構筑材料，安全管理是真正的粘合劑和催化劑，企業信息安全管理是預防、阻止和減少企業信息安全事件發生的重要保障。

1.3 信息安全保障的內涵

信息安全保障要綜合技術、管理、工程和人。應融入信息系統生命周期的全過程，目的不僅僅是保障信息系統本身，更應該是通過保障信息系統，從而保障運行于信息系統之上的業務系統、保障組織機構。信息安全保障不僅僅是孤立的自身的問題，更應該是一個社會化的、需要各方參與的工作，信息安全保障是主觀和客觀的結合。

2 企業信息系統安全系統結構組成要素

實現企業信息安全系統結構的安全，要從多方面考慮，通常定義包括安全屬性、系統組成、安全策略、安全機制等4個方面。在每一個方面中，還可以繼續劃分多個層次；對于一個給定的層次，包含著多種安全要素。

2.1 安全屬性

安全本身是對信息系統一種屬性要求，信息系統通過安全服務來實現安全性。基本的安全服務包括標識與鑒別、保密性、完整性、可用性等。安全服務和安全機制的對應關系如下：5大類安全服務：身份鑒別、訪問控制、數據保密、數據完整性、不可否認性及提供這些服務的8類安全機制及其相應的OSI安全管理等對應OSI模型的7層協議中的不同層，以實現端系統企業信息安全傳送的通信通路。這樣從安全性到安全服務機制到具體安全技術手段形成了安全屬性的不同層次。

2.2 系統組成

系統組成描述信息系統的組成要素。對于信息系統的組成劃分，有不同的方法。可以分為硬件和軟件，在硬件和軟件中又可以進一步地劃分。對于分布的信息系統，可以將信息系統資源分為用戶單元和網絡單元，即將信息系統的組成要素分為本地計算環境和網絡，以及計算環境邊界。

2.3 安全策略

在安全系統結構中，安全策略指用于限定一個系統、實體或對象進行安全相關操作的規則。即要表明在安全范圍內什么是允許的，什么是不允許的。直接體現了安全需求，并且也有面向不同層次、視圖及原理的安全策略。其描述內容和形式也各不相同。對于抽象型和一般型安全系統結構而言，安全策略主要是對加密、訪問控制、多級安全等策略的通用規定，不涉及具體的軟硬件實現；而對于具體型安全系統結構，其安全策略則是要對實現系統安全功能的主體和客體特性進行具體的標識和說明，亦即要描述允許或禁止系統和用戶何時執行哪些動作，并要能反射到軟硬件安全組件的具體配置，如，網絡操作系統的賬號、用戶權限等。

2.4 安全機制

安全機制是實現信息系統安全需求及安全策略的各種措施，具體可以表現為所需要的安全標準、安全協議、安全技術、安全單元等。對于不同層次、不同視圖及不同原理的安全系統結構，安全機制的重點也有所不同。例如：OSI安全系統結構中建議采用7種安全機制。而對于特定系統的安全系統結構，則要進一步說明有關安全機制的具體實現技術，如認證機制的實現可以有口令、密碼技術及實體特征鑒別等方法。

3 企業信息安全攻防技術

3.1 惡意代碼及網絡安全攻防

3.1.1 惡意代碼定義

惡意代碼（Unwanted Code，Malicious Software，Malware，Malicous code）是指沒有作用卻會帶來危險的代碼。

惡意代碼類型：二進制代碼、二進制文件、腳本語言、宏語言。

3.1.2 惡意代碼傳播方式

移動存儲、文件傳播、網絡傳播、網頁、電子郵件、漏洞、共享、即時通訊、軟件捆綁。

3.2 惡意代碼的防治

增強安全策略與意識：減少漏洞、補丁管理、主機加固、減輕威脅、防病毒軟件、間諜軟件檢測和刪除工具、入侵檢測/入侵防御系統、防火墻、路由器、應用安全設置等。

3.3 惡意代碼檢測技術

3.3.1 特征碼掃描

工作機制：特征匹配、病毒庫（惡意代碼特征庫）、掃描（特征匹配過程）、優勢、準確（誤報率低）、易于管理不足、效率問題（特征庫不斷龐大、依賴廠商）、滯后（先有病毒后有特征庫，需要更新特征庫）。

3.3.2 惡意代碼檢測技術-沙箱技術

工作機制：將惡意代碼放入虛擬機中執行，其執行的所有操作都被虛擬化重定向，不改變實際操作系統優勢。

優點：能較好的解決變形代碼的檢測。

3.3.3 惡意代碼檢測技術-行為檢測

工作機制：基于統計數據、惡意代碼行為有哪些、行為符合度。

優勢：能檢測到未知病毒。

不足：誤報率高。

難點：病毒不可判定原則。

3.3.4 惡意代碼清除技術

惡意代碼清除技術有：

（1）感染引導區型、修復/重建引導區。（2）文件感染型、附著型：病毒行為逆向還原、替換型：備份還原。（3）獨立型：獨立可執行程序：終止進程、刪除。（4）獨立依附型：內存退出、刪除。（5）嵌入型。（6）更新軟件或系統。（7）重置系統。

4 企業信息安全攻防技術常見的手段和工具

4.1 攻擊的過程

4.1.1 攻擊的過程

信息安全當中攻擊方式有：信息收集、目標分析、實施攻擊，留后門方便再次進入、打掃戰場，清理入侵記錄。

針對以上提到的行為了解其原理并考慮應對措施網絡攻擊的方式：（1）主動攻擊：掃描、滲透、拒絕服務等。（2）被動攻擊：嗅探、釣魚等。

攻擊過程的一些術語：后門、0-day、提權。

4.1.2 信息收集攻擊的第一步

信息收集-攻擊的第一步：獲取攻擊目標資料，網絡信息，主機信息，應用部署信息，漏洞信息，其他任何有價值的信息，分析目標信息、尋找攻擊途徑，排除迷惑信息，可被利用的漏洞，利用工具。

4.2 收集哪些信息

目標系統的信息系統相關資料：域名、網絡拓撲、操作系統、應用軟件、相關脆弱性、目標系統的組織相關資料、組織架構及關聯組織、地理位置細節、電話號碼、郵件等聯系方式、近期重大事件、員工簡歷、其他可能令攻擊者感興趣的任何信息。

4.2.1 信息收集的技術

（1）公開信息收集（媒體、搜索引擎、廣告等）。（2）域名及IP信息收集（whois、nslookup等）。（3）網絡結構探測（Ping、tracert等）。（4）系統及應用信息收集（端口掃描、旗標、協議指紋等）。（5）脆弱性信息收集（nessus、sss等）。

4.2.2 域名信息收集

在維護企業信息安全的過程中需要搜集域名信息：（1）NSlookup域名解析查詢。（2）Whois 是一個標準服務，可以用來查詢域名是否被注冊以及注冊的詳細資料 Whois 可以查詢到的信息。（3）域名所有者。（4）域名及IP地址對應信息。（5）聯系方式。（6）域名注冊日期。（7）域名到期日期。（8）域名所使用的 DNS Servers。

4.3 工具介紹

4.3.1 檢索工具

基礎檢索工具：（1）TFN2K。（2）Trinoo。

4.3.2 電子欺騙的類型

（1）IP欺騙（IP Spoof）。（2）TCP會話劫持（TCP Hijack）。（3）ARP欺騙（ARP Spoof）。（4）DNS欺騙（DNS spoof）。（5）路由欺騙（ICMP重定向報文欺騙、RIP路由欺騙、源徑路由欺騙）。

4.3.3 利用應用腳本開發的缺陷-SQL注入

SQL注入原理：SQL注入（SQL Injection）：程序員在編寫代碼的時候，沒有對用戶輸入數據的合法性進行判斷，使應用程序存在安全隱患。用戶可以提交一段數據庫查詢代碼，根據程序返回的結果，獲得某些他想得知的數據或進行數據庫操作。

4.3.4 SQL注入防御

防御的對象：所有外部傳入數據、用戶的輸入、提交的URL請求中、參數部分、從cookie中得到的數據、其他系統傳入的數據。

防御的方法：

白名單：限制傳遞數據的格式。

黑名單：過濾特殊字串：update、insert、delete等。

開發時過濾特殊字符：單引號、雙引號、斜杠、反斜杠、冒號、空字符等的字符、部署防SQL注入系統或腳本。

5 結語

在了解信息安全和風險管理基礎上，結合企業安全需求和信息安全風險管理實踐，提出企業信息安全風險管理的框架，用以指導企業信息安全的實踐、結合實際的網絡構架、通常遇到的網絡攻擊，給出了企業通過具體安全項目實施信息安全風險管理的方法，以引導企業安全系統的建立。

參考文獻

[1]姚鍵，孫昌平，孫虎，茅兵，黃皓，謝立.基于策略的安全管理研究[J].計算機應用與軟件，2005年03期.

[2]李守鵬，孫紅波.信息系統安全策略研究[J].電子學報，2003年07期.

[3]林則夫，陳德泉.企業信息安全風險分析及其對應急管理的啟示[A].第八屆中國管理科學學術年會論文集[C]，2006年.