文/李 棟 方 芳

“互聯(lián)網(wǎng)+”時代企業(yè)信息安全形勢及對策

文/李 棟 方 芳

“互聯(lián)網(wǎng)+”就是將互聯(lián)網(wǎng)與傳統(tǒng)產(chǎn)業(yè)企業(yè)相結(jié)合，促進企業(yè)發(fā)展。它代表一種新的經(jīng)濟形態(tài)，即充分發(fā)揮互聯(lián)網(wǎng)在生產(chǎn)要素配置中的優(yōu)化和集成作用，將互聯(lián)網(wǎng)的創(chuàng)新成果深度融合于企業(yè)之中，提升企業(yè)的創(chuàng)新力和生產(chǎn)力。2015年3月，“互聯(lián)網(wǎng)+”寫進政府工作報告，被提升到前所未有的高度，政府推動傳統(tǒng)產(chǎn)業(yè)企業(yè)與互聯(lián)網(wǎng)結(jié)合，為企業(yè)帶來了廣闊的市場。但在看到這廣闊市場的同時，我們必須清醒的認識到，伴隨著企業(yè)與互聯(lián)網(wǎng)結(jié)合成為大勢所趨，企業(yè)面臨的信息安全形勢也愈發(fā)嚴峻。

“互聯(lián)網(wǎng)+”時代企業(yè)面臨的信息安全威脅

阿里巴巴公司曾統(tǒng)計了國內(nèi)企業(yè)開發(fā)的上萬個手機應用，“結(jié)果表明，86%的應用都存在著安全漏洞，40%的應用可以被植入病毒或者廣告。而根據(jù)2014年6月美國戰(zhàn)略與國際研究中心發(fā)布的報告顯示，全球范圍內(nèi)90%的企業(yè)曾經(jīng)在過去一年中遭遇過網(wǎng)絡安全問題，而每一年由網(wǎng)絡犯罪所帶來的經(jīng)濟損失已經(jīng)超過4450億美元?！盎ヂ?lián)網(wǎng)+”要求企業(yè)業(yè)務高度互聯(lián)互通，云服務、移動互聯(lián)網(wǎng)、大數(shù)據(jù)、物聯(lián)網(wǎng)等等這些新的網(wǎng)絡現(xiàn)象使得“互聯(lián)網(wǎng)+”時代的信息安全形勢更加嚴峻。

1. 大數(shù)據(jù)呈井噴發(fā)展為企業(yè)信息安全帶來隱患。

在“互聯(lián)網(wǎng)+”時代，大數(shù)據(jù)在存儲、處理、傳輸?shù)冗^程中面臨諸多安全風險，增加了隱私泄露的風險，實現(xiàn)大數(shù)據(jù)安全與隱私保護較以往其他安全問題更為棘手。非結(jié)構(gòu)化數(shù)據(jù)已成為大數(shù)據(jù)的主流形式，而目前已經(jīng)成熟的關系型數(shù)據(jù)庫無法支持非結(jié)構(gòu)化的大數(shù)據(jù)信息存儲，關系型數(shù)據(jù)庫中的隱私保護和用戶訪問控制等技術也無法在大數(shù)據(jù)管理中應用。同時，大數(shù)據(jù)來源的多樣化也給企業(yè)信息安全帶來了隱患，這些數(shù)據(jù)具有很強的開放性，海量數(shù)據(jù)隨時通過網(wǎng)絡匯聚，使用傳統(tǒng)的存儲和管理方式將會無法適應需求，容易導致數(shù)據(jù)管理混亂。存儲設備的更新、管理、防電磁干擾、規(guī)劃布局等都需要新的設計，企業(yè)網(wǎng)絡管理員很難對所有數(shù)據(jù)信息一一進行跟蹤保護。如果這些海量信息因為監(jiān)管不力，就有可能造成企業(yè)運營數(shù)據(jù)、客戶身份信息等企業(yè)機密信息的泄露。

2. DDoS攻擊和APT攻擊等威脅企業(yè)機密信息

當前，分布式拒絕服務攻擊（DDos攻擊）和高級持續(xù)性威脅攻擊（APT攻擊）成為入侵企業(yè)的主流。DDoS攻擊方借助于客戶/服務器技術，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標發(fā)動DDoS攻擊，從而成倍地提高拒絕服務攻擊的威力。通常，攻擊者使用一個偷竊賬號將DDoS主控程序安裝在一個計算機上，在一個設定的時間主控程序?qū)⑴c大量代理程序通訊，代理程序已經(jīng)被安裝在網(wǎng)絡上的許多計算機上。代理程序收到指令時就發(fā)動攻擊。利用客戶/服務器技術，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運行。APT攻擊的原理相對于其他攻擊形式更為高級和先進，其高級性主要體現(xiàn)在APT在發(fā)動攻擊之前需要對攻擊對象的業(yè)務流程和目標系統(tǒng)進行精確的收集。在此收集的過程中，此攻擊會主動挖掘被攻擊對象受信系統(tǒng)和應用程序的漏洞，利用這些漏洞組建攻擊者所需的網(wǎng)絡，并利用0day漏洞進行攻擊。在“互聯(lián)網(wǎng)+”時代，企業(yè)的數(shù)據(jù)隱私更是成為黑客們攻擊的焦點，

黑客通過惡意電子郵件、SQL注入、僵尸主機、0day漏洞等方式竊取企業(yè)機密信息。使得企業(yè)信息泄露事件接連不斷：2014年3月，攜程網(wǎng)出現(xiàn)導致信息泄露的漏洞；5月，小米論壇800萬用戶資料遭泄露；9月，國外黑客利用蘋果公司的iCloud云盤系統(tǒng)的漏洞，非法盜取眾多全球當紅女星的裸照，繼而在網(wǎng)絡論壇發(fā)布。

3. 移動安全威脅成為新的挑戰(zhàn)

在“互聯(lián)網(wǎng)+”時代，“攜帶個人設備辦公”（BYOD）為攻擊者提供了更多入口，企業(yè)需要更加關注移動安全策略。隨著智能手機、平板等智能終端的普及，大量的員工的手機、平板電腦開始接入了公司網(wǎng)絡，同時員工也習慣于通過移動終端進行工作，他們可能會直接使用手機收發(fā)郵件，或者通過微信討論工作、傳遞文件。伴隨而來的是惡意移動應用程序的增長，黑客可能通過員工移動設備竊取企業(yè)隱私。2014年5月，全球最大拍賣網(wǎng)站eBay官網(wǎng)發(fā)布通告，稱因數(shù)據(jù)泄露呼吁其用戶更新密碼，媒體和用戶普遍質(zhì)疑eBay的安全應急計劃是否完備以及是否有效付諸實施，后來調(diào)查顯示，此次泄密是由于員工登錄賬號在終端被竊取引起的。因此企業(yè)在部署移動應用的時候需制定完善的移動安全保護策略，如智能手機、平板、筆記本等設備中數(shù)據(jù)信息的加密保護和訪問權(quán)限。

然而面對在“互聯(lián)網(wǎng)+”時代如此嚴峻的信息安全形勢，目前我國企業(yè)對信息安全投入仍有不足，用戶安全意識和安全防護技術水平的提升還有很大空間。部分企業(yè)對信息安全的重視不夠，尚未建立起明確的企業(yè)信息安全目標和策略，缺乏切實可行的信息安全管理體制，從資金、技術和人員投入嚴重不足，迫切需要得到加強。企業(yè)的信息安全是一個系統(tǒng)工程，在這個系統(tǒng)工程中，體現(xiàn)著“三分技術，七分管理”。要加強企業(yè)的信息安全保密工作，管理方法和技術手段同等重要，缺一不可。

完善企業(yè)信息安全管理制度的對策

應根據(jù)企業(yè)信息安全保密工作的具體要求建立適合本企業(yè)的信息安全保密規(guī)定，建立可操作的工作制度。具體包括：

1. 企業(yè)秘密信息的分級管理

根據(jù)企業(yè)秘密的重要程度、知悉范圍等，劃分企業(yè)秘密級別，如企業(yè)秘密級、企業(yè)機密級、企業(yè)絕密級等。并對企業(yè)涉密人員及涉密信息設備實行分別歸類，規(guī)定各類信息設備的處理方法和保護級別。涉密人員根據(jù)自身涉密等級明確在使用各類信息設備時的權(quán)責，并加強監(jiān)督，而密級文件只能在具備相應或更高密級的計算機上才能被讀取。

2. 企業(yè)涉密人員的管理

信息安全保密的管理，首先應加強人員管理，主要是指涉及企業(yè)秘密的員工的上崗管理、在崗管理和離崗管理。最核心的是加強教育培訓，定期對涉密人員開展信息安全保密形勢、防范技術、政策法規(guī)等教育，提高員工隱患意識、業(yè)務素質(zhì)及良好作風。同時對信息保密工作的實施成果進行考評，將信息保密工作的結(jié)果作為員工年終考核能力的一項關鍵指標，并明確獎懲機制。

3. 計算機的安全管理

涉密計算機及信息設備的采購、安裝、調(diào)試、維修、報廢等，都應按規(guī)定報批，并由企業(yè)專門部門統(tǒng)一管理，避免私自拿到市場中的普通維修公司進行維修或數(shù)據(jù)恢復時導致機密信息的泄漏。計算機應分密級使用，保證密級文件的安全。對于企業(yè)非涉密計算機，也應加強管理。非法使用公司網(wǎng)絡訪問權(quán)限訪問外網(wǎng)，有很大的可能會導致信息泄漏或者感染病毒等。因此要加強企業(yè)計算機網(wǎng)絡運行控制的安全管理制度，包括上網(wǎng)審查，權(quán)限定義，文件訪問、數(shù)據(jù)庫訪問以及應用系統(tǒng)訪問的口令管理，使用規(guī)則等。

4. 移動存儲介質(zhì)管理

應建立涉及企業(yè)秘密的移動存儲設備的管理制度，涵蓋使用，復制，傳送，攜帶，移交，保存，銷毀等全過程。采取技術手段，禁止未經(jīng)許可的移動存儲介質(zhì)在涉密計算機上進行使用。在企業(yè)非涉密計算機上使用移動存儲介質(zhì)也應進行注冊管理，已注冊移動存儲介質(zhì)在企業(yè)內(nèi)網(wǎng)、工作電腦上可正常使用和交換數(shù)據(jù)；在外網(wǎng)或外部設備時需要密碼驗證后允許使用；非注冊移動存儲介質(zhì)無法在企業(yè)內(nèi)網(wǎng)的工作電腦上使用。因工作需要向企業(yè)集團以外的電腦中拷貝電子數(shù)據(jù)時，需經(jīng)企業(yè)專門部門進行保密審查后方可。

健全企業(yè)信息安全保密技術防范體系的對策

根據(jù)企業(yè)網(wǎng)絡與信息安全的實際需求，從各方面加強信息安全保密技術措施，構(gòu)建系統(tǒng)的信息安全保密防范體系。主要包括：

1. 終端準入

對終端電腦及移動智能設備實行注冊管理，接入企業(yè)網(wǎng)絡時需進行認證控制。只允許已在企業(yè)注冊、符合安全標準的終端接入企業(yè)網(wǎng)絡，同時用戶需要輸入賬號及密碼進行身份驗證，驗證成功才允許訪問內(nèi)部信息資源；非注冊終端設備及非授權(quán)賬號不允許接入企業(yè)內(nèi)網(wǎng)。

2．應用管控

對連接企業(yè)內(nèi)網(wǎng)的終端，進行出口認證，加強網(wǎng)絡監(jiān)控和管理。禁止進行游戲、炒股、P2P下載、以及QQ、微信等與工作無關的網(wǎng)絡操作，禁止一個賬號在多臺機器上同時登錄互聯(lián)網(wǎng)。同時在國家法律規(guī)定范圍內(nèi)對終端上網(wǎng)行為進行后臺監(jiān)控，必要時對后臺監(jiān)控日志進行審計；禁止訪問非工作相關網(wǎng)站或不良信息網(wǎng)站。

3. 監(jiān)控審計

通過監(jiān)控審計系統(tǒng)，完整記錄企業(yè)內(nèi)網(wǎng)內(nèi)所有用戶訪問互聯(lián)網(wǎng)、收發(fā)郵件、電子文件拷貝、電腦操作以及信息系統(tǒng)管理員操作等所有信息傳遞活動日志，以協(xié)助分析判斷是否發(fā)生信息泄漏以及發(fā)生的時間，以便跟蹤調(diào)查原因。審計工作由專門部門負責，主要包括網(wǎng)絡審計、主機審計制度、數(shù)據(jù)庫審計等。

4. 病毒防范

強化反病毒措施，主要包括對網(wǎng)絡服務器中的文件進行頻繁掃描和監(jiān)視，在服務器上裝防病毒模塊，在網(wǎng)絡接口卡上安裝防毒芯片，在計算機上插防病毒卡，對網(wǎng)絡目錄及文件設置訪問權(quán)限，設置防火墻加強網(wǎng)絡間的訪問控制，以及采用屏蔽等反偵查措施防止他人從電磁信號中分析獲取研制或注入病毒的根據(jù)。

5. 動態(tài)追蹤

動態(tài)追蹤主要包括兩個方面。一是要追蹤計算機網(wǎng)絡竊密技術的最新動態(tài)，協(xié)助對應防范措施的研究；二是追蹤先進的信息安全保密技術措施，并根據(jù)企業(yè)實際需求考慮是否推進應用。通過動態(tài)追蹤改進信息安全保密工作，提高企業(yè)信息安全保密防范水平。

結(jié)語

“互聯(lián)網(wǎng)+”推動大量企業(yè)開始“觸網(wǎng)”，企業(yè)在不斷提高信息化水平和創(chuàng)新商業(yè)模式的機遇與挑戰(zhàn)中，面臨的安全威脅將會更大。企業(yè)要擁抱互聯(lián)網(wǎng)，必須要過信息安全這道關，企業(yè)應該深刻認識到信息安全保密的重要性，從管理和技術兩方面著手，做好企業(yè)的信息安全保密工作，從而為企業(yè)在“互聯(lián)網(wǎng)+”時代健康、快速的發(fā)展打下堅實基礎。

(作者單位：寧波國研軟件技術有限公司）