關(guān)鍵詞：信息安全 數(shù)據(jù)安全 信息泄露 高級(jí)持續(xù)性威脅

現(xiàn)代社會(huì)已經(jīng)全面進(jìn)入了信息化時(shí)代，電腦與互聯(lián)網(wǎng)已經(jīng)是企業(yè)日常生產(chǎn)經(jīng)營(yíng)中無(wú)法脫離的工具。廣大企業(yè)在利用信息技術(shù)提高生產(chǎn)效率的同時(shí)，也往往對(duì)信息系統(tǒng)安全，尤其企業(yè)核心數(shù)據(jù)的安全如何防護(hù)十分擔(dān)心。

從近些年企業(yè)數(shù)據(jù)安全事件來(lái)看，信息安全防護(hù)情形不容樂(lè)觀。

案例一：2011年6月，國(guó)內(nèi)某裝備制造業(yè)領(lǐng)軍公司頻遭黑客攻擊造成數(shù)據(jù)泄露，經(jīng)查，為競(jìng)爭(zhēng)對(duì)手以每月數(shù)萬(wàn)價(jià)格雇傭黑客入侵辦公自動(dòng)化（OA）系統(tǒng)，竊取大量的商業(yè)秘密。

案例二：2012年1月，亞馬遜旗下美國(guó)電子商務(wù)網(wǎng)站Zappos遭到黑客網(wǎng)絡(luò)攻擊，2400萬(wàn)用戶的電子郵件和密碼等信息被竊取。而且讓人堪憂的是，部分網(wǎng)站的密碼和用戶名稱是以未加密的方式儲(chǔ)存在純文字檔案內(nèi)，意味著所有人都可使用這些信息。

案例三：2012年8月，上海數(shù)十萬(wàn)條新生兒信息遭倒賣(mài)，據(jù)了解，信息是由上海市衛(wèi)生局?jǐn)?shù)據(jù)庫(kù)外包維護(hù)工作人員泄露。

案例四：2013年3月，東軟集團(tuán)被曝商業(yè)秘密外泄，約20名員工因涉嫌侵犯公司商業(yè)秘密被警方抓捕。此次商業(yè)秘密外泄造成東軟公司損失高達(dá)4000余萬(wàn)元人民幣。

案例五：2014年3月，烏云漏洞平臺(tái)發(fā)布消息稱，攜程網(wǎng)用戶支付信息出現(xiàn)漏洞，漏洞泄露的信息包括用戶的姓名、身份證號(hào)碼、銀行卡卡號(hào)、銀行卡CVV碼等。

案例六：2014年8月15日，國(guó)內(nèi)虛擬貨幣交易所比特兒遭到攻擊，被盜5000萬(wàn)個(gè)NXT（未來(lái)幣），按照目前每一枚NXT 0.2073元的價(jià)格計(jì)算，如果不能收回?fù)p失，交易所將虧損1000萬(wàn)元。

這些安全事件發(fā)生在不同行業(yè)，產(chǎn)生的原因也不同，總結(jié)下來(lái)有四類(lèi)：

1. 來(lái)自于內(nèi)部人員泄漏。

由于對(duì)內(nèi)部企業(yè)數(shù)據(jù)訪問(wèn)管理和防護(hù)失當(dāng)，以致內(nèi)部人員能夠輕易的利用數(shù)據(jù)牟取不法私利。

2. 來(lái)自于外部黑客攻擊。

新的系統(tǒng)漏洞在不斷地被發(fā)現(xiàn)，如果企業(yè)沒(méi)有能力應(yīng)對(duì)黑客的挑戰(zhàn)，往往會(huì)遭受極大損失。

3. 來(lái)自于應(yīng)用系統(tǒng)不完善。

企業(yè)未經(jīng)嚴(yán)格審核向外發(fā)布的互聯(lián)網(wǎng)應(yīng)用有重大的安全漏洞或者安全隱患，比如重要數(shù)據(jù)信息未加密等。影響較大的還有中國(guó)鐵路客戶服務(wù)中心12306網(wǎng)站在上線之初就被發(fā)現(xiàn)有漏洞泄露用戶信息，可查詢登錄名、郵箱、姓名、身份證號(hào)碼以及電話號(hào)碼等隱私信息。

4. 來(lái)自于第三方服務(wù)公司泄漏。

有些機(jī)構(gòu)或企業(yè)沒(méi)有足夠技術(shù)能力，運(yùn)維是外包給第三方公司完成的，但未能定時(shí)監(jiān)督第三方運(yùn)維公司對(duì)信息數(shù)據(jù)的各種操作，使得企業(yè)數(shù)據(jù)安全不得不僅僅依靠第三方運(yùn)維公司其自身的職業(yè)操守和職業(yè)道德，這種缺乏流程監(jiān)督的操作顯然是極為不可靠的。

以上的信息安全事件，揭露了信息泄露的主要途徑。其中，黑客入侵屬于網(wǎng)絡(luò)安全的外部隱患，而其他方面卻主要?dú)w結(jié)于內(nèi)部信息安全管理防護(hù)差，管理措施的缺失、監(jiān)管環(huán)節(jié)的薄弱、信息安全防護(hù)水平的偏低等因素，使得不法之徒有機(jī)可乘。前車(chē)覆，后車(chē)鑒，隨著信息安全形勢(shì)更加嚴(yán)峻，在市場(chǎng)競(jìng)爭(zhēng)激烈的今天，企業(yè)保護(hù)自身核心數(shù)據(jù)安全必須成為重要的工作。

可是對(duì)于企業(yè)而言，核心數(shù)據(jù)的安全防護(hù)卻有著格外的困難。

當(dāng)前，以高級(jí)持續(xù)性威脅（Advanced Persistent Threat，APT）為代表的數(shù)據(jù)泄露是企業(yè)級(jí)信息安全面臨的主要挑戰(zhàn)，嚴(yán)重威脅著企業(yè)信息資產(chǎn)安全。APT是黑客以竊取核心資料為目的，針對(duì)客戶所發(fā)動(dòng)的網(wǎng)絡(luò)攻擊和侵襲行為，是一種蓄謀已久的“惡意商業(yè)間諜威脅”。這種行為往往經(jīng)過(guò)長(zhǎng)期的經(jīng)營(yíng)與策劃，并具備高度的隱蔽性。APT的攻擊手法，在于隱匿自己，針對(duì)特定對(duì)象，長(zhǎng)期、有計(jì)劃性和組織性地竊取數(shù)據(jù)，這種發(fā)生在數(shù)字空間的偷竊資料、搜集情報(bào)的行為，就是一種“網(wǎng)絡(luò)間諜”的行為。

“潛伏性”和“持續(xù)性”是APT攻擊最大的特點(diǎn)，APT以目標(biāo)網(wǎng)絡(luò)中的用戶為切入點(diǎn)，利用社交工程實(shí)施攻擊，繞過(guò)傳統(tǒng)被動(dòng)安全方案（如防病毒軟件、防火墻、IPS等），并更長(zhǎng)時(shí)間地潛伏在系統(tǒng)中，長(zhǎng)期進(jìn)行有計(jì)劃性、組織性的竊取情報(bào)行為，讓傳統(tǒng)防護(hù)體系難以應(yīng)對(duì)。

同時(shí)，隨著計(jì)算機(jī)網(wǎng)絡(luò)硬件設(shè)施成本的降低，企業(yè)信息化程度越來(lái)越高，公司制度、發(fā)展規(guī)劃、會(huì)議紀(jì)錄、財(cái)務(wù)數(shù)據(jù)、商業(yè)合同、客戶信息這些對(duì)企業(yè)極其重要的數(shù)據(jù)都存儲(chǔ)在硬盤(pán)上。另一方面當(dāng)前大多數(shù)企業(yè)開(kāi)始地從勞動(dòng)密集向技術(shù)知識(shí)密集轉(zhuǎn)型，公司的設(shè)計(jì)方案、工程圖紙、程序代碼、科研成果這些代表企業(yè)核心機(jī)密的數(shù)據(jù)尤其需要保護(hù)。

然而中小型企業(yè)對(duì)于信息安全的防護(hù)力量卻難以保障：很少有企業(yè)雇傭信息安全專員，而是只有IT維護(hù)人員；很少有企業(yè)有完善的信息安全制度，即便有也很難執(zhí)行，因?yàn)闀?huì)影響工作效率；很少有企業(yè)長(zhǎng)期購(gòu)買(mǎi)信息安全服務(wù)，但往往當(dāng)信息安全事件已經(jīng)發(fā)生時(shí)再應(yīng)急響應(yīng)已經(jīng)來(lái)不及。

這類(lèi)企業(yè)對(duì)于數(shù)據(jù)安全需求有這樣的特點(diǎn)：

高效性，數(shù)據(jù)安全解決方案決不能以犧牲生產(chǎn)力為代價(jià)，在設(shè)計(jì)安全管理解決方案之前，首先應(yīng)對(duì)具體企業(yè)實(shí)際業(yè)務(wù)需求做詳細(xì)的評(píng)估。目標(biāo)應(yīng)是能夠保障、提升企業(yè)生產(chǎn)能力，為企業(yè)創(chuàng)造更高的效益。在確保高生產(chǎn)力的目標(biāo)實(shí)現(xiàn)的前提下，企業(yè)的安全解決方案應(yīng)實(shí)現(xiàn)盡可能的簡(jiǎn)化，對(duì)于安全架構(gòu)人員和安全實(shí)施人員而言，將減少很多后續(xù)的管理和維護(hù)工作，對(duì)于企業(yè)終端用戶而言，不要花費(fèi)太長(zhǎng)時(shí)間的培訓(xùn)，用戶即能夠應(yīng)用、升級(jí)、維護(hù)現(xiàn)有的安全防護(hù)。

可控性，安全解決方案的效果應(yīng)具有明確的效果，讓企業(yè)對(duì)于安全的投資有直觀的認(rèn)識(shí)，方便企業(yè)做判斷和選擇，包括安全的可控性、成本的可控性和擴(kuò)展的可控性。

對(duì)策建議：預(yù)設(shè)打擊，站在攻擊者的角度思考和解決問(wèn)題

傳統(tǒng)安全方案以被動(dòng)防護(hù)為主，以“網(wǎng)域”中的各個(gè)物理節(jié)點(diǎn)為防御陣地，層層設(shè)防，通過(guò)安裝防病毒軟件、防火墻、安全代理等在不同部位逐層設(shè)防，其技術(shù)手段滯后于黑客技術(shù)的發(fā)展，部署方式也為黑客所熟知，可以被黑客有針對(duì)性地逐一突破，已經(jīng)難以滿足數(shù)據(jù)安全保障的基本需求。

最好的防御就是進(jìn)攻，網(wǎng)絡(luò)安全領(lǐng)域就是如此，網(wǎng)絡(luò)安全事件的生命周期包括滲透、控制、竊取三個(gè)基本階段。滲透階段包括信息搜集與用戶攻擊，攻擊者明確攻擊對(duì)象，利用社會(huì)工程實(shí)施滲透攻擊。控制階段包括主機(jī)控制與內(nèi)網(wǎng)控制，攻擊者通過(guò)權(quán)限提升和控制木馬實(shí)現(xiàn)對(duì)本地主機(jī)和內(nèi)網(wǎng)存放敏感信息的重要服務(wù)器（如郵件服務(wù)器）的控制。竊取階段包括信息挖掘和數(shù)據(jù)外傳，攻擊者為確保獲取最有價(jià)值的數(shù)據(jù)不斷搜索和分析，并將敏感的重要數(shù)據(jù)回傳。

為此，可以通過(guò)研究黑客的攻擊方法和技術(shù)手段，采用“預(yù)設(shè)打擊”的理念對(duì)不同攻擊階段進(jìn)行反滲透、反控制、反竊取，對(duì)在黑客攻擊的不同階段進(jìn)行全程對(duì)抗，對(duì)不同攻擊行為進(jìn)行全時(shí)覆蓋、全域監(jiān)測(cè)、全源感知，實(shí)現(xiàn)對(duì)安全事件的全生命周期檢測(cè)，并通過(guò)與傳統(tǒng)安全應(yīng)急響應(yīng)服務(wù)和安全阻斷防護(hù)系統(tǒng)的聯(lián)動(dòng)實(shí)現(xiàn)對(duì)安全事件的處置。

對(duì)滲透階段的檢測(cè)，對(duì)涉及用戶的各種外部數(shù)據(jù)入口實(shí)施檢測(cè)，對(duì)攻擊者可能采用的攻擊通道、攻擊載體和攻擊載荷進(jìn)行檢測(cè)。

對(duì)控制階段的檢測(cè)，對(duì)攻擊者控制主機(jī)和控制內(nèi)網(wǎng)的過(guò)程進(jìn)行檢測(cè)，發(fā)現(xiàn)攻擊者實(shí)施的木馬控制、權(quán)限提升、內(nèi)網(wǎng)拓展等控制行為。

對(duì)竊取階段的檢測(cè)，對(duì)非正常搜集數(shù)據(jù)和回傳數(shù)據(jù)的過(guò)程進(jìn)行檢測(cè)，發(fā)現(xiàn)攻擊者訪問(wèn)內(nèi)部網(wǎng)絡(luò)敏感數(shù)據(jù)存儲(chǔ)部位、挖掘內(nèi)部網(wǎng)絡(luò)敏感信息和非法傳輸敏感數(shù)據(jù)至外部的行為。

全時(shí)覆蓋，針對(duì)攻擊者在不同階段的手法、行為和數(shù)據(jù)特點(diǎn)采用針對(duì)性的檢測(cè)手段，與攻擊者進(jìn)行全程對(duì)抗。全域監(jiān)測(cè)，將檢測(cè)手段覆蓋所有計(jì)算節(jié)點(diǎn)和通信節(jié)點(diǎn)，實(shí)現(xiàn)一點(diǎn)觸發(fā)，全域聯(lián)動(dòng)。全源感知，綜合分析網(wǎng)絡(luò)通信、用戶行為、文件流等各類(lèi)信息源，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)內(nèi)已知或未知威脅的感知。

結(jié)語(yǔ)

云計(jì)算和大數(shù)據(jù)為企業(yè)利用信息技術(shù)實(shí)現(xiàn)跨越式發(fā)展提供了寶貴機(jī)遇，但也為企業(yè)信息資產(chǎn)安全帶來(lái)了巨大挑戰(zhàn)。通過(guò)科學(xué)的數(shù)據(jù)安全解決方案和有效的信息安全管理，我們可以防止大多數(shù)的安全事故，即便有來(lái)自外部的攻擊，也有能力及時(shí)發(fā)現(xiàn)和響應(yīng)，切不可疏于防范，導(dǎo)致追悔莫及。