關(guān)鍵詞：信息安全 數(shù)據(jù)安全 信息泄露 高級持續(xù)性威脅

現(xiàn)代社會已經(jīng)全面進入了信息化時代，電腦與互聯(lián)網(wǎng)已經(jīng)是企業(yè)日常生產(chǎn)經(jīng)營中無法脫離的工具。廣大企業(yè)在利用信息技術(shù)提高生產(chǎn)效率的同時，也往往對信息系統(tǒng)安全，尤其企業(yè)核心數(shù)據(jù)的安全如何防護十分擔心。

從近些年企業(yè)數(shù)據(jù)安全事件來看，信息安全防護情形不容樂觀。

案例一：2011年6月，國內(nèi)某裝備制造業(yè)領(lǐng)軍公司頻遭黑客攻擊造成數(shù)據(jù)泄露，經(jīng)查，為競爭對手以每月數(shù)萬價格雇傭黑客入侵辦公自動化（OA）系統(tǒng)，竊取大量的商業(yè)秘密。

案例二：2012年1月，亞馬遜旗下美國電子商務(wù)網(wǎng)站Zappos遭到黑客網(wǎng)絡(luò)攻擊，2400萬用戶的電子郵件和密碼等信息被竊取。而且讓人堪憂的是，部分網(wǎng)站的密碼和用戶名稱是以未加密的方式儲存在純文字檔案內(nèi)，意味著所有人都可使用這些信息。

案例三：2012年8月，上海數(shù)十萬條新生兒信息遭倒賣，據(jù)了解，信息是由上海市衛(wèi)生局數(shù)據(jù)庫外包維護工作人員泄露。

案例四：2013年3月，東軟集團被曝商業(yè)秘密外泄，約20名員工因涉嫌侵犯公司商業(yè)秘密被警方抓捕。此次商業(yè)秘密外泄造成東軟公司損失高達4000余萬元人民幣。

案例五：2014年3月，烏云漏洞平臺發(fā)布消息稱，攜程網(wǎng)用戶支付信息出現(xiàn)漏洞，漏洞泄露的信息包括用戶的姓名、身份證號碼、銀行卡卡號、銀行卡CVV碼等。

案例六：2014年8月15日，國內(nèi)虛擬貨幣交易所比特兒遭到攻擊，被盜5000萬個NXT（未來幣），按照目前每一枚NXT 0.2073元的價格計算，如果不能收回損失，交易所將虧損1000萬元。

這些安全事件發(fā)生在不同行業(yè)，產(chǎn)生的原因也不同，總結(jié)下來有四類：

1. 來自于內(nèi)部人員泄漏。

由于對內(nèi)部企業(yè)數(shù)據(jù)訪問管理和防護失當，以致內(nèi)部人員能夠輕易的利用數(shù)據(jù)牟取不法私利。

2. 來自于外部黑客攻擊。

新的系統(tǒng)漏洞在不斷地被發(fā)現(xiàn)，如果企業(yè)沒有能力應(yīng)對黑客的挑戰(zhàn)，往往會遭受極大損失。

3. 來自于應(yīng)用系統(tǒng)不完善。

企業(yè)未經(jīng)嚴格審核向外發(fā)布的互聯(lián)網(wǎng)應(yīng)用有重大的安全漏洞或者安全隱患，比如重要數(shù)據(jù)信息未加密等。影響較大的還有中國鐵路客戶服務(wù)中心12306網(wǎng)站在上線之初就被發(fā)現(xiàn)有漏洞泄露用戶信息，可查詢登錄名、郵箱、姓名、身份證號碼以及電話號碼等隱私信息。

4. 來自于第三方服務(wù)公司泄漏。

有些機構(gòu)或企業(yè)沒有足夠技術(shù)能力，運維是外包給第三方公司完成的，但未能定時監(jiān)督第三方運維公司對信息數(shù)據(jù)的各種操作，使得企業(yè)數(shù)據(jù)安全不得不僅僅依靠第三方運維公司其自身的職業(yè)操守和職業(yè)道德，這種缺乏流程監(jiān)督的操作顯然是極為不可靠的。

以上的信息安全事件，揭露了信息泄露的主要途徑。其中，黑客入侵屬于網(wǎng)絡(luò)安全的外部隱患，而其他方面卻主要歸結(jié)于內(nèi)部信息安全管理防護差，管理措施的缺失、監(jiān)管環(huán)節(jié)的薄弱、信息安全防護水平的偏低等因素，使得不法之徒有機可乘。前車覆，后車鑒，隨著信息安全形勢更加嚴峻，在市場競爭激烈的今天，企業(yè)保護自身核心數(shù)據(jù)安全必須成為重要的工作。

可是對于企業(yè)而言，核心數(shù)據(jù)的安全防護卻有著格外的困難。

當前，以高級持續(xù)性威脅（Advanced Persistent Threat，APT）為代表的數(shù)據(jù)泄露是企業(yè)級信息安全面臨的主要挑戰(zhàn)，嚴重威脅著企業(yè)信息資產(chǎn)安全。APT是黑客以竊取核心資料為目的，針對客戶所發(fā)動的網(wǎng)絡(luò)攻擊和侵襲行為，是一種蓄謀已久的“惡意商業(yè)間諜威脅”。這種行為往往經(jīng)過長期的經(jīng)營與策劃，并具備高度的隱蔽性。APT的攻擊手法，在于隱匿自己，針對特定對象，長期、有計劃性和組織性地竊取數(shù)據(jù)，這種發(fā)生在數(shù)字空間的偷竊資料、搜集情報的行為，就是一種“網(wǎng)絡(luò)間諜”的行為。

“潛伏性”和“持續(xù)性”是APT攻擊最大的特點，APT以目標網(wǎng)絡(luò)中的用戶為切入點，利用社交工程實施攻擊，繞過傳統(tǒng)被動安全方案（如防病毒軟件、防火墻、IPS等），并更長時間地潛伏在系統(tǒng)中，長期進行有計劃性、組織性的竊取情報行為，讓傳統(tǒng)防護體系難以應(yīng)對。

同時，隨著計算機網(wǎng)絡(luò)硬件設(shè)施成本的降低，企業(yè)信息化程度越來越高，公司制度、發(fā)展規(guī)劃、會議紀錄、財務(wù)數(shù)據(jù)、商業(yè)合同、客戶信息這些對企業(yè)極其重要的數(shù)據(jù)都存儲在硬盤上。另一方面當前大多數(shù)企業(yè)開始地從勞動密集向技術(shù)知識密集轉(zhuǎn)型，公司的設(shè)計方案、工程圖紙、程序代碼、科研成果這些代表企業(yè)核心機密的數(shù)據(jù)尤其需要保護。

然而中小型企業(yè)對于信息安全的防護力量卻難以保障：很少有企業(yè)雇傭信息安全專員，而是只有IT維護人員；很少有企業(yè)有完善的信息安全制度，即便有也很難執(zhí)行，因為會影響工作效率；很少有企業(yè)長期購買信息安全服務(wù)，但往往當信息安全事件已經(jīng)發(fā)生時再應(yīng)急響應(yīng)已經(jīng)來不及。

這類企業(yè)對于數(shù)據(jù)安全需求有這樣的特點：

高效性，數(shù)據(jù)安全解決方案決不能以犧牲生產(chǎn)力為代價，在設(shè)計安全管理解決方案之前，首先應(yīng)對具體企業(yè)實際業(yè)務(wù)需求做詳細的評估。目標應(yīng)是能夠保障、提升企業(yè)生產(chǎn)能力，為企業(yè)創(chuàng)造更高的效益。在確保高生產(chǎn)力的目標實現(xiàn)的前提下，企業(yè)的安全解決方案應(yīng)實現(xiàn)盡可能的簡化，對于安全架構(gòu)人員和安全實施人員而言，將減少很多后續(xù)的管理和維護工作，對于企業(yè)終端用戶而言，不要花費太長時間的培訓，用戶即能夠應(yīng)用、升級、維護現(xiàn)有的安全防護。

可控性，安全解決方案的效果應(yīng)具有明確的效果，讓企業(yè)對于安全的投資有直觀的認識，方便企業(yè)做判斷和選擇，包括安全的可控性、成本的可控性和擴展的可控性。

對策建議：預(yù)設(shè)打擊，站在攻擊者的角度思考和解決問題

傳統(tǒng)安全方案以被動防護為主，以“網(wǎng)域”中的各個物理節(jié)點為防御陣地，層層設(shè)防，通過安裝防病毒軟件、防火墻、安全代理等在不同部位逐層設(shè)防，其技術(shù)手段滯后于黑客技術(shù)的發(fā)展，部署方式也為黑客所熟知，可以被黑客有針對性地逐一突破，已經(jīng)難以滿足數(shù)據(jù)安全保障的基本需求。

最好的防御就是進攻，網(wǎng)絡(luò)安全領(lǐng)域就是如此，網(wǎng)絡(luò)安全事件的生命周期包括滲透、控制、竊取三個基本階段。滲透階段包括信息搜集與用戶攻擊，攻擊者明確攻擊對象，利用社會工程實施滲透攻擊?？刂齐A段包括主機控制與內(nèi)網(wǎng)控制，攻擊者通過權(quán)限提升和控制木馬實現(xiàn)對本地主機和內(nèi)網(wǎng)存放敏感信息的重要服務(wù)器（如郵件服務(wù)器）的控制。竊取階段包括信息挖掘和數(shù)據(jù)外傳，攻擊者為確保獲取最有價值的數(shù)據(jù)不斷搜索和分析，并將敏感的重要數(shù)據(jù)回傳。

為此，可以通過研究黑客的攻擊方法和技術(shù)手段，采用“預(yù)設(shè)打擊”的理念對不同攻擊階段進行反滲透、反控制、反竊取，對在黑客攻擊的不同階段進行全程對抗，對不同攻擊行為進行全時覆蓋、全域監(jiān)測、全源感知，實現(xiàn)對安全事件的全生命周期檢測，并通過與傳統(tǒng)安全應(yīng)急響應(yīng)服務(wù)和安全阻斷防護系統(tǒng)的聯(lián)動實現(xiàn)對安全事件的處置。

對滲透階段的檢測，對涉及用戶的各種外部數(shù)據(jù)入口實施檢測，對攻擊者可能采用的攻擊通道、攻擊載體和攻擊載荷進行檢測。

對控制階段的檢測，對攻擊者控制主機和控制內(nèi)網(wǎng)的過程進行檢測，發(fā)現(xiàn)攻擊者實施的木馬控制、權(quán)限提升、內(nèi)網(wǎng)拓展等控制行為。

對竊取階段的檢測，對非正常搜集數(shù)據(jù)和回傳數(shù)據(jù)的過程進行檢測，發(fā)現(xiàn)攻擊者訪問內(nèi)部網(wǎng)絡(luò)敏感數(shù)據(jù)存儲部位、挖掘內(nèi)部網(wǎng)絡(luò)敏感信息和非法傳輸敏感數(shù)據(jù)至外部的行為。

全時覆蓋，針對攻擊者在不同階段的手法、行為和數(shù)據(jù)特點采用針對性的檢測手段，與攻擊者進行全程對抗。全域監(jiān)測，將檢測手段覆蓋所有計算節(jié)點和通信節(jié)點，實現(xiàn)一點觸發(fā)，全域聯(lián)動。全源感知，綜合分析網(wǎng)絡(luò)通信、用戶行為、文件流等各類信息源，實現(xiàn)對網(wǎng)絡(luò)內(nèi)已知或未知威脅的感知。

結(jié)語

云計算和大數(shù)據(jù)為企業(yè)利用信息技術(shù)實現(xiàn)跨越式發(fā)展提供了寶貴機遇，但也為企業(yè)信息資產(chǎn)安全帶來了巨大挑戰(zhàn)。通過科學的數(shù)據(jù)安全解決方案和有效的信息安全管理，我們可以防止大多數(shù)的安全事故，即便有來自外部的攻擊，也有能力及時發(fā)現(xiàn)和響應(yīng)，切不可疏于防范，導致追悔莫及。