企業(yè)信息的安全運(yùn)行維護(hù)與管理

文/張敏 王明珊

在運(yùn)營(yíng)管理過(guò)程中，企業(yè)整體運(yùn)營(yíng)水平和信息化建設(shè)情況息息相關(guān)，必須綜合分析各方面影響因素以及隱患問(wèn)題，深化信息安全運(yùn)行維護(hù)以及管理環(huán)節(jié)，促使信息系統(tǒng)設(shè)備處于高效運(yùn)行中，防止重要信息數(shù)據(jù)被竊取、篡改等，科學(xué)決策的同時(shí)實(shí)時(shí)開展各項(xiàng)經(jīng)濟(jì)活動(dòng)，有效提升利潤(rùn)空間與運(yùn)營(yíng)能力，增強(qiáng)市場(chǎng)核心競(jìng)爭(zhēng)力，實(shí)現(xiàn)可持續(xù)發(fā)展。

1 企業(yè)信息的安全運(yùn)行維護(hù)與管理意義

在信息技術(shù)持續(xù)發(fā)展中，不同行業(yè)、領(lǐng)域企業(yè)紛紛走上信息化建設(shè)道路，但企業(yè)信息化建設(shè)是項(xiàng)復(fù)雜化工程，涉及到多個(gè)方面，革新管理、優(yōu)化業(yè)務(wù)流程、安全運(yùn)行維護(hù)等，加上信息化建設(shè)環(huán)境復(fù)雜化，信息系統(tǒng)設(shè)備運(yùn)營(yíng)管理中極易出現(xiàn)各類安全隱患問(wèn)題，加強(qiáng)信息安全運(yùn)行維護(hù)和管理有著深遠(yuǎn)的意義。在日常運(yùn)營(yíng)管理中，信息化安全運(yùn)行維護(hù)和管理工作的有效開展利于企業(yè)隨時(shí)了解信息系統(tǒng)設(shè)備運(yùn)行情況，第一時(shí)間科學(xué)處理存在的隱患問(wèn)題，加強(qiáng)信息系統(tǒng)設(shè)備薄弱運(yùn)行環(huán)節(jié)的管理，防止運(yùn)行過(guò)程中頻繁出現(xiàn)各類風(fēng)險(xiǎn)，無(wú)法處于穩(wěn)定運(yùn)行中，利于高效“收集、分析、處理、存儲(chǔ)”大數(shù)據(jù)背景下產(chǎn)生的海量信息數(shù)據(jù)，全方位準(zhǔn)確把握日常各方面管理情況，尤其是各方面收入與支出，深化構(gòu)建的資金鏈，科學(xué)控制資金流，促使各階段各項(xiàng)業(yè)務(wù)活動(dòng)開展中有重要的資金保障。在此基礎(chǔ)上，企業(yè)信息安全運(yùn)行維護(hù)和管理能夠從根本上降低運(yùn)行成本，各項(xiàng)業(yè)務(wù)活動(dòng)開展中能獲取最大化的經(jīng)濟(jì)利潤(rùn)，順利提高市場(chǎng)占有率，最大化提高信息化建設(shè)水平，加快社會(huì)經(jīng)濟(jì)建設(shè)與發(fā)展步伐，為增強(qiáng)我國(guó)綜合國(guó)力提供有力保障。

2 企業(yè)信息的安全運(yùn)行維護(hù)與管理途徑

2.1 強(qiáng)化安全意識(shí)，構(gòu)建標(biāo)準(zhǔn)化安全運(yùn)維管理制度

在日常運(yùn)營(yíng)管理中，企業(yè)必須站在客觀的角度，重新審視各階段開展的信息安全運(yùn)行維護(hù)以及管理工作，明確各方面存在的漏洞問(wèn)題，樹立現(xiàn)代化信息安全運(yùn)維和管理理念，強(qiáng)化信息系統(tǒng)設(shè)備安全運(yùn)維以及管理意識(shí)，結(jié)合自身信息化建設(shè)具體情況，優(yōu)化信息安全運(yùn)維以及管理環(huán)節(jié)，促使復(fù)雜化運(yùn)行環(huán)境下各項(xiàng)信息安全運(yùn)維和管理工作高效開展。在此過(guò)程中，企業(yè)要結(jié)合信息安全運(yùn)行以及維護(hù)重難點(diǎn)、流程等，科學(xué)構(gòu)建標(biāo)準(zhǔn)化安全運(yùn)維管理制度，促使?fàn)I銷、財(cái)務(wù)、人事等子系統(tǒng)處于穩(wěn)定運(yùn)行中，順利將內(nèi)部不同業(yè)務(wù)部門有效銜接，能夠隨時(shí)進(jìn)行各方面資源互通共享，將各類資源及時(shí)應(yīng)用到開展的一系列經(jīng)濟(jì)活動(dòng)中，實(shí)時(shí)提高經(jīng)濟(jì)效益。在此基礎(chǔ)上，企業(yè)要根據(jù)各階段各方面運(yùn)營(yíng)管理情況，深化已構(gòu)建的標(biāo)準(zhǔn)化安全運(yùn)維管理制度，及時(shí)補(bǔ)充重要的內(nèi)容，刪除多余、不合理的內(nèi)容，確保管理制度更加規(guī)范化、精準(zhǔn)化。

2.2 巧用信息安全防范技術(shù)

在運(yùn)營(yíng)管理過(guò)程中，企業(yè)要圍繞構(gòu)建的標(biāo)準(zhǔn)化安全運(yùn)維管理制度，以信息系統(tǒng)設(shè)備風(fēng)險(xiǎn)隱患問(wèn)題為媒介，將信息安全防范技術(shù)靈活作用到運(yùn)行中的信息系統(tǒng)設(shè)備中，高效防范的基礎(chǔ)上促使信息系統(tǒng)設(shè)備處于安全、穩(wěn)定運(yùn)行中。企業(yè)要借助可行的信息安全防范技術(shù)，科學(xué)安裝合理化的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)、防病毒系統(tǒng)，隨時(shí)更新系統(tǒng)補(bǔ)丁，包括構(gòu)建的病毒庫(kù)，確保信息系統(tǒng)設(shè)備安全的過(guò)程中確保信息數(shù)據(jù)準(zhǔn)確。在此過(guò)程中，企業(yè)要借助防火墻技術(shù)，靈活應(yīng)用可行的身份認(rèn)證機(jī)制，隨時(shí)動(dòng)態(tài)監(jiān)督信息系統(tǒng)設(shè)備運(yùn)行中傳輸?shù)母黝愋畔?shù)據(jù)，防止受到惡意攻擊，確保信息數(shù)據(jù)安全，利用加密保護(hù)技術(shù)，對(duì)關(guān)鍵性信息資料以及文件進(jìn)行合理化加密，合理控制對(duì)應(yīng)的打開權(quán)限，只能在內(nèi)部局域網(wǎng)內(nèi)才能使用，全面提升信息系統(tǒng)設(shè)備保護(hù)性能，信息數(shù)據(jù)傳輸、分析、整理等過(guò)程中有安全的外部環(huán)境，最大化提高業(yè)務(wù)活動(dòng)開展中各方面信息數(shù)據(jù)準(zhǔn)確率。同時(shí)，企業(yè)要巧妙應(yīng)用網(wǎng)絡(luò)恢復(fù)以及保護(hù)技術(shù)，確保信息系統(tǒng)設(shè)備發(fā)生故障問(wèn)題之后，主系統(tǒng)可以第一時(shí)間切換到對(duì)應(yīng)的備用系統(tǒng)，其中的鏈路層、業(yè)務(wù)層等正常運(yùn)行，防止隱患問(wèn)題頻繁發(fā)生。此外，企業(yè)要加大對(duì)計(jì)算機(jī)終端的管控力度，提高計(jì)算機(jī)終端運(yùn)行安全性，強(qiáng)調(diào)對(duì)用戶賬號(hào)、授權(quán)等方面的管理，促使業(yè)務(wù)活動(dòng)開展中移動(dòng)、遠(yuǎn)程等辦公順利實(shí)現(xiàn)，提高信息系統(tǒng)設(shè)備安全運(yùn)行層次，客觀呈現(xiàn)各類信息安全防范技術(shù)應(yīng)用價(jià)值。

2.3 做好信息安全運(yùn)維管理人員培訓(xùn)工作

在信息安全運(yùn)維管理中，企業(yè)要將信息安全運(yùn)維管理人員培訓(xùn)工作落到實(shí)處，以運(yùn)行中的信息系統(tǒng)設(shè)備為切入點(diǎn)，優(yōu)化人員培訓(xùn)制度、方案、流程、目標(biāo)等，將人員培訓(xùn)工作融入到信息安全運(yùn)行維護(hù)和管理工作開展中。企業(yè)要圍繞信息系統(tǒng)設(shè)備安全運(yùn)維以及管理情況，細(xì)化信息安全運(yùn)維管理人員培訓(xùn)工作內(nèi)容，科學(xué)組織不同層次信息安全運(yùn)維管理人員培訓(xùn)工作，強(qiáng)化人員信息安全意識(shí)，學(xué)習(xí)最新信息系統(tǒng)設(shè)備安全運(yùn)行維護(hù)以及管理理論知識(shí)，深化已構(gòu)建的知識(shí)體系，夯實(shí)理論基礎(chǔ)，促使各項(xiàng)信息安全運(yùn)維以及管理工作的開展有重要的理論基礎(chǔ)。在此基礎(chǔ)上，企業(yè)要根據(jù)業(yè)務(wù)活動(dòng)開展中信息系統(tǒng)設(shè)備出現(xiàn)的安全隱患問(wèn)題，選取具有代表性的案例，進(jìn)行專題講座，開展針對(duì)性培訓(xùn)活動(dòng)，引導(dǎo)各層次信息安全運(yùn)維管理人員參與培訓(xùn)實(shí)踐，全面提升自身問(wèn)題處理、系統(tǒng)設(shè)備運(yùn)維與管理等能力，具備較高的綜合素養(yǎng)，科學(xué)開展信息安全運(yùn)維和管理工作，確保信息系統(tǒng)設(shè)備高效運(yùn)轉(zhuǎn)。

3 企業(yè)信息的安全運(yùn)行維護(hù)與管理案例

案例一：“影子經(jīng)紀(jì)人”

北京時(shí)間2017年5月12日，全球互聯(lián)網(wǎng)遭受Wannacry勒索軟件蠕蟲感染。截止17日16時(shí)，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心監(jiān)測(cè)發(fā)現(xiàn)全球近356.3萬(wàn)個(gè)IP地址遭受“永恒之藍(lán)”SMB漏洞攻擊，其中位于我國(guó)境內(nèi)的IP地址數(shù)量接近12.5萬(wàn)個(gè)，對(duì)我國(guó)互聯(lián)網(wǎng)造成嚴(yán)重的安全威脅。綜合國(guó)家互聯(lián)網(wǎng)應(yīng)急中心和國(guó)內(nèi)網(wǎng)絡(luò)安全企業(yè)已獲知的樣本情況和分析結(jié)果，該勒索軟件蠕蟲在傳播時(shí)基于445端口并利用SMB漏洞（對(duì)應(yīng)微軟漏洞公告：MS17-010），可以判斷是由于“影子經(jīng)紀(jì)人”（ShadowBrokers）組織此前公開披露漏洞攻擊工具而導(dǎo)致的后續(xù)勒索軟件蠕蟲攻擊。2017年4月14日晚，“影子經(jīng)紀(jì)人”組織在互聯(lián)網(wǎng)上發(fā)布“方程式”（EquationGroup）組織的部分工具文件，包含針對(duì)Windows操作系統(tǒng)以及其他辦公、郵件軟件的多個(gè)高危漏洞攻擊工具，這些工具集成化程度高、部分攻擊利用方式較為高效。針對(duì)可能引發(fā)的互聯(lián)網(wǎng)上針對(duì)Window操作系統(tǒng)主機(jī)或應(yīng)用軟件的大規(guī)模攻擊，4月16日，國(guó)家信息安全漏洞共享平臺(tái)（CNVD）《關(guān)于加強(qiáng)防范Windows操作系統(tǒng)和相關(guān)軟件漏洞攻擊風(fēng)險(xiǎn)的情況公告》。時(shí)隔不到一個(gè)月，Wannacry勒索軟件蠕蟲大范圍感染事件也印證了當(dāng)時(shí)推測(cè)的嚴(yán)重危害。

解決方案：

針對(duì)“影子經(jīng)紀(jì)人”發(fā)布的黑客使用的大量針對(duì)Windows操作系統(tǒng)以及其他廣泛應(yīng)用的軟件產(chǎn)品的工程化工具及其對(duì)應(yīng)的利用安全漏洞，云南電網(wǎng)應(yīng)急中心進(jìn)行了詳細(xì)梳理，并提供相應(yīng)處置建議，在云南電網(wǎng)應(yīng)急中心的領(lǐng)導(dǎo)下，我們及時(shí)做出了行之有效的網(wǎng)絡(luò)信息安全運(yùn)行防范對(duì)策，主要對(duì)策如下所示：

（1）為所有服務(wù)器及時(shí)更新和安裝Windows已發(fā)布的安全補(bǔ)丁；

（2）關(guān)閉135、137、138、139、445等端口的外部網(wǎng)絡(luò)訪問(wèn)權(quán)限，在主機(jī)上關(guān)閉不必要的上述服務(wù)端口；

（3）加強(qiáng)對(duì) 135、137、138、139、445等端口的內(nèi)部網(wǎng)絡(luò)區(qū)域訪問(wèn)審計(jì)，及時(shí)發(fā)現(xiàn)非授權(quán)行為或潛在的攻擊行為；

（4） 重 點(diǎn) 對(duì)Window XP和Windows Server 2003這兩類操作系統(tǒng)主機(jī)進(jìn)行排查；

（5）配置網(wǎng)絡(luò)防火墻和Windows防火墻只允許信任的白名單IP地址的訪問(wèn)，同時(shí)將RDP服務(wù)端口3389配置（映射）為其他非常用端口；

（6）針對(duì)Windows 2003/2008/2012，下載和升級(jí)系統(tǒng)補(bǔ)丁，并在防火墻中配置tcp 88端口的安全訪問(wèn)控制；

（7）關(guān)閉WEBDAV，使用WAF、IPS等安全防護(hù)，升級(jí)Window XP和Windows Server 2003操作系統(tǒng)到Windows Server 2008及以上。

案例二：“震網(wǎng)三代”

2017年6月14 日，微軟發(fā)布補(bǔ)丁，“震網(wǎng)三代”LNK文件遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2017-8464）和Windows搜索遠(yuǎn)程命令執(zhí)行漏洞（CVE-2017-8543）等兩個(gè)相關(guān)安全漏洞，經(jīng)研判分析得到核實(shí)確認(rèn)。

“震網(wǎng)三代”LNK文件遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2017-8464）是一個(gè)微軟 Windows 系統(tǒng)處理 LNK 文件過(guò)程中發(fā)生的遠(yuǎn)程代碼執(zhí)行漏洞，其原理同 2010 年美國(guó)和以色列入侵并破壞伊朗核設(shè)施的“震網(wǎng)”行動(dòng)中所使用的Windows 安全漏洞CVE-2010-2568相似，由U盤、光盤、網(wǎng)絡(luò)共享等途徑觸發(fā)漏洞，可以穿透核設(shè)施中隔離網(wǎng)絡(luò)環(huán)境。微軟公告指出，此漏洞已被黑客組織制作為網(wǎng)絡(luò)攻擊武器。“震網(wǎng)三代”對(duì)能源基礎(chǔ)設(shè)施隔離網(wǎng)極具殺傷力，基本覆蓋所有的Windows操作系統(tǒng)，影響范圍十分廣泛，對(duì)處于物理隔離狀態(tài)的電力企業(yè)生產(chǎn)控制大區(qū)（I/II區(qū)）、邏輯隔離狀態(tài)的電力企業(yè)生產(chǎn)管理大區(qū)（III區(qū)）和管理信息大區(qū)（IV區(qū)）的關(guān)鍵信息基礎(chǔ)設(shè)施會(huì)造成嚴(yán)重威脅。

Windows搜索遠(yuǎn)程命令執(zhí)行漏洞（CVE-2017-8543）是Windows操作系統(tǒng)中搜索服務(wù)（Windows Search Service）的一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞，通過(guò)向 Windows 搜索服務(wù)發(fā)送特定SMB消息（使用139、445端口）遠(yuǎn)程觸發(fā)漏洞。

解決方案：

針對(duì)“震網(wǎng)三代”這一典型案例，我們?cè)谠颇想娋W(wǎng)應(yīng)急中心的領(lǐng)導(dǎo)下及時(shí)升級(jí)安裝Windows操作系統(tǒng)相關(guān)補(bǔ)丁，對(duì)已感染病毒的機(jī)器進(jìn)行立即斷網(wǎng)，避免進(jìn)一步傳播感染；做好U盤安全管控，關(guān)閉網(wǎng)絡(luò)共享及Webclient service、Windows Search服務(wù)；加強(qiáng)網(wǎng)絡(luò)流量監(jiān)測(cè)預(yù)警，做好網(wǎng)絡(luò)區(qū)域訪問(wèn)審計(jì)，及時(shí)發(fā)現(xiàn)異常攻擊行為并進(jìn)行合理化處理，確保網(wǎng)絡(luò)系統(tǒng)處于高效運(yùn)行中，傳輸?shù)男畔?shù)據(jù)更加完整、準(zhǔn)確。

4 結(jié)語(yǔ)

總而言之，在日常管理過(guò)程中，企業(yè)要在統(tǒng)籌兼顧的基礎(chǔ)上準(zhǔn)確把握信息化建設(shè)具體要求，通過(guò)不同路徑采取行之有效的對(duì)策，強(qiáng)化信息安全運(yùn)行維護(hù)和管理，降低信息系統(tǒng)設(shè)備運(yùn)行風(fēng)險(xiǎn)以及成本，獲取更多經(jīng)濟(jì)利潤(rùn)的過(guò)程中同步提高盈利和運(yùn)營(yíng)能力，全面推動(dòng)社會(huì)經(jīng)濟(jì)穩(wěn)定發(fā)展。