企业信息系统安全风险分析及加固建议*
2015-02-24石兆军武越李可刘向东李楠
石兆军, 武越, 李可, 刘向东, 李楠
(中国航天科工集团第二研究院706所,北京100854)
企业信息系统安全风险分析及加固建议*
石兆军, 武越, 李可, 刘向东, 李楠
(中国航天科工集团第二研究院706所,北京100854)
近年来,随着信息技术的不断发展和广泛应用,信息系统已经成为人类社会中各个领域必不可少的基础设施,极大推动了人类社会的发展。但同时,随着信息技术的深入应用,也带来了新的威胁和挑战。本文在调研信息系统建设现状的基础上,总结了面临的信息安全风险,并针对这些风险提出了完善信息安全防护体系的加固措施及建议,能够为信息安全防护体系建设提供有效借鉴。
信息安全;安全风险;信息安全防护体系
0 引言
随着信息技术的不断发展、应用,极大的推动了人类社会的发展和进步,借助于信息技术人类步入了一个崭新的信息时代。信息系统已成为社会各个领域不可或缺、赖以生存的基础设施,信息已成为重要资源,信息化水平已成为衡量一个国家、一个企业现代化程度和综合实力的重要标志之一。
然而,信息化技术在不断支撑、丰富国家、企业各项业务有效开展的同时,也为各行各业的发展带来了新的威胁和挑战。国家的信息安全已成为国家安全最核心的要素之一。在信息时代,信息系统的不安全,也就谈不上国家的整体安全,并会引发其他一系列问题的产生,使整个国家建设陷入被动。
2014年2月27日,中共中央总书记、国家主席、中央军委主席、中央网络安全和信息化领导小组组长习近平主持召开中央网络安全和信息化领导小组第一次会议并发表重要讲话,标志着中央网络安全和信息化领导小组的成立。习近平强调,网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题,要从国际国内大势出发,总体布局,统筹各方,创新发展,努力把我国建设成为网络强国。他指出,没有网络安全就没有国家安全,没有信息化就没有现代化。习近平在会上还强调,网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。
1 企业信息系统安全防护现状
信息系统的建设已成为衡量各行各业发展的重要指标,其中不乏金融机构、高新技术产业、制造生产等行业领域。部分特殊的企业由于敏感性,对国家而言极其重要,当其安全性受到破坏后,将严重影响社会秩序、公众利益甚至国家的安全和稳定。因此,对于这些企业而言,信息安全除了强调保证信息的保密性、完整性、可用性之外,同时强调可靠性、可控性、不可抵赖性,总而言之,信息安全就是要保证信息系统及信息网络中的信息资源不因自然或人为的因素而遭到破坏、更改、泄露、窃取和非法使用。
2003年9月7日,中办和国办联合下发《关于加强信息安全保障工作的意见》(中办发[2003]27号,以下简称27号文件)。该文件是我国信息安全保障工作的基础性文件,作为国家信息安全保障工作的总体指导,奠定了我国信息安全保障体系的构建方向。该文件是我国信息安全历史上最重要的、具有转折的文件之一,确立了信息安全的重要位置,开始从国家的层面上关注、重视信息安全问题。该文件明确了对重要信息系统实行等级保护制度,对涉及国家秘密的信息系统实行分级保护制度。
不论是等级保护或者分级保护,中心思想是按照被保护对象的防护需求和等级,采取相应的措施来构建相应等级的信息安全保障体系。
随着27号文件的贯彻执行,经过多年的建设,大部分企业都初步建成了涵盖物理与网络安全、应用系统及数据安全以及安全保密管理等层面的信息安全体系,部署建设了防火墙、入侵检测、漏洞扫描、计算机防病毒、主机监控与审计、补丁管理、身份认证等安全产品,一些条件较好的企业还建设了存储备份系统和异地备份环境,进一步加强了对数据资产的安全防护。通过以上建设措施,实现了一定的防护目标,基本保证了业务发展的信息安全需求。
但就信息系统的组成而言,主要包括以下要素:
1)硬件设备:包括服务器、终端计算机、网络设备、工控机、存储设备等。
2)软件系统:包括操作系统、应用系统、数据库、中间件、软件工具(通用软件、专业软件)等。
3)安全防护设备:包括防火墙、入侵检测系统、补丁分发系统、计算机防病毒系统、主机监控与审计系统、网络接入控制、漏洞扫描系统、身份认证系统、打印监控与审计系统、刻盘监控与审计系统、安全NAS、堡垒机、WEB应用网关、数据库漏洞扫描系统、WEB应用漏洞扫描系统等。
4)数据资产:数据资产是信息系统的重点防护对象,其主要存储于数据库、应用系统、服务器、终端计算机、安全产品、存储设备等。
5)人员:包括使用人员和运维管理人员。
2 信息系统的防护难点及存在的主要问题分析
2.1 信息系统的防护难点
近些年,借助于等级保护和分级保护工作的推力,各个企业的信息系统在物理安全、运行安全、安全保密管理等方面取得了一定的成效,具备了一定的防护能力,但是,随着信息技术的飞速发展和广泛应用,信息安全防护难点更加突显出来,主要体现在以下几个方面:
(1)高度脆弱性和风险性
现如今,信息系统的应用需求在不断增加,涉及各个业务领域,网络规模不断增长,信息系统体系结构更加复杂。但是,由于信息安全的木桶效应,再加上难以控制的技术漏洞和管理不当,必然会导致不可避免的安全攻击和灾难,也就造成信息系统存在高度的脆弱性和风险性。
(2)攻击源的多样性和防范对象的不确定性
传统的国家安全中,有能力对国家的军事和政治安全构成威胁的主要是国家的敌对国家和敌对组织,当一个国家受到了攻击,也能很快确定攻击是由谁发动的,进而采取有针对性地措施。但是,随着信息化的不断推进,信息系统规模不断扩大,组成信息系统的各类硬件、软件、系统,以及各类人员都有可能成为威胁主体,软硬件的后门、漏洞、缺陷,包括对人员的诱惑都是攻击信息系统的常用手段。正是由于攻击源的多样性和防范对象的不确定性也就造成了企业信息系统的信息安全保障防不慎防。
2.2 存在的主要问题分析
信息系统随着等级保护和分级保护工作的不断开展,初步具备了防止内部人员过失泄密的防护效果,但是信息系统在防止外部非法入侵和内部主动窃密等方面仍面临着严峻的局面。具体体现在以下几个方面:
(1)终端、服务器层面
1)计算机基本安全保密配置不到位或管理不到位,导致用户可以私自更改BIOS启动顺序,造成用户终端的所有安全防护产品功能失效,进而窃取用户终端所有的文件资料、植入病毒或者木马。
2)安全产品配置不当,不能起到预期的防护效果,误报、漏报情况多见;安全产品之间、安全产品与应用软件之间兼容性存在问题,多数情况下为了保障业务应用的正常开展,只能放弃安全技术防护措施,仅仅借助于管理手段进行管理,然而实际过程中是否严格管理、是否有效监督不好衡量。
3)服务器的防护、监控措施不足,大部分服务器仅仅安装了病毒防护软件,且大量服务器均存在刻录光驱,且安装有刻录软件,对服务器的输入输出没有监控审计技术手段。
4)操作系统基本上都是用国外,服务器大部分为Windows Server2003(已停止升级服务)、Windows Server2008,用户终端操作系统Windows XP(已停止升级服务),据了解,自Windows XP、Windows Server2003停止补丁升级以来,国内外已囤积大量的0day工具,一旦0day漏洞被利用,后果不堪设想。
(2)网络层面
1)网络设备安全配置不当,开启多余服务、端口,存在被非授权访问的隐患。
2)未采取接入控制措施对接入设备进行一一绑定,造成存在设备非法接入的风险。
3)未对设备、用户进行分域分级,未按照“最小化”原则采取严格的访问控制措施,导致网络拓扑混乱,重要资产(服务器、防火墙、核心交换机等)存在被非授权访问的安全隐患。
(3)硬件设备层面
所使用的大量硬件资产(服务器、交换机、工控设备等)采用国外进口,不了解底层硬件的工作机制,是否存在隐通道至今没有检测验证手段。国家层面缺少对该类设备的检测方法,存在诸如后门、系统缺陷的安全隐患,如惠普某型号服务器、三星某打印机已经被证实存在后门;另外,由于某些特殊的工作只能使用国外进口的专用设备,对其只能依靠厂商的专业维修团队来进行维修,也就造成在维修过程中存在被植入恶意程序或窃取数据的风险。
(4)应用层面
1)应用系统存在身份认证缺陷,如管理员弱口令、或者仅使用用户名、身份证号等简单信息作为身份认证的凭证,攻击者可以利用这些漏洞进行水平或者垂直提权,进而盗取数据、获得管理员权限,对系统实施非授权管理和控制。
2)现有应用系统的开发重点关注业务需求的实现方面,很少考虑代码安全性,如SQL注入、跨站脚本攻击、文件上传等简单易用的高风险漏洞,导致在系统上线之后,轻易被攻击,获取权限、拖库,沦为攻击跳板。另外,在用的一些应用系统仍有部分使用开源代码,攻击者通过研究开源代码,就能轻松对系统实施攻击。为防止WEB应用的漏洞被利用,有些企业也采取了一些措施,比如实施WEB防火墙,但是,这种方法治标不治本,仅仅能防范一些低级攻击者。
3)自2014年4月爆出的OpenSSL心脏流血漏洞[1]来看,目前所有使用的网络协议还有多少存在重大安全问题,都是未知数。
4)目前大部分应用均配合使用了中间件,如Tomcat、Weblogic、普元等,中间件已经成为攻击者的重点攻击对象,中间件不可避免的不停升级,但是,大部分企业使用的应用系统基本都是一次性交付,很少及时为中间件升级;另外,在实际应用中仍然存在使用默认用户名口令的情况,为攻击提供了极大的便利。
(5)数据层面
在数据资源方面,目前,大部分数据仍以明文的形式、或者简单的格式变换存储于服务器、数据库、用户终端,服务器的运维人员能够非授权访问到业务数据。
(6)安全审计层面
1)虽然部署了一些安全产品,如杀毒软件、IDS、防火墙等,每一类产品仅能针对某一类安全问题较为有效,对于信息系统的审计目前过于松散、独立,没有关联性,不成体系,同时由于各类系统日志信息的不完整、误报、漏报,造成审计的实际作用未充分体现。
2)虽然部分单位部署了安全管理平台类收集日志的系统,但存在日志收集不全面,智能分析能力弱,缺乏针对全局的整体安全形势监控手段,难以实现多信息系统的综合监控及安全事件及态势分析。
2.3 攻击技术的主要特点
近年来,网络安全攻击事件逐年增加,针对特定目标的各类攻击的精确性及针对性大大提高,目标对象范围不断扩大,从传统的互联网领域逐渐蔓延至涵盖了各类信息基础实施、通信链路的网络电磁空间领域,涉及到经济、工业、政府部门、国防军工、民用领域的各类网络基础设施。
目前最流行、最大威胁的攻击就是APT攻击[2]。APT攻击: APT(AdvancedPersistentThreat高级持续性威胁),此类攻击的特点包括:
(1)针对性强,目的明确
1)重点针对具有大量有价值信息的特定组织机构,如:政府、军事机构、军工企业等;
2)主要以窃取信息为主要目的,如:国家秘密、军事情报、政府文件等;
(2)准备充分,攻击持续时间长
1)利用几个月甚至更长的时间收集目标信息,分析目标系统漏洞,有针对性的设计开发漏洞利用工具;
2)一旦攻击成功,将长时间潜伏在目标系统中,窃取关键信息;
(3)影响广泛
由于信息系统复杂的依赖关系,且此类攻击一般针对重要的组织机构,一旦攻击成功将波及其他信息系统安全。
APT攻击的典型代表有“震网”病毒、“火焰”病毒以及“高斯”病毒等。
3 信息系统的安全加固建议
基于信息系统存在的脆弱性以及面临的安全风险,应从以下几个方面进行加固和改进。
(1)采取措施加强对数据资源全生命周期的安全性、可控性、可用性防护。
重点针对数据资源安全,围绕存储安全、标识安全、安全访问、备份安全开展数据资源安全防护体系建设。
存储安全:采取加密技术,从数据资产产生之初就保障其安全性;
标识安全:采取标识技术,对信息进行标识,经流程审定后,标识与信息主体在其整个生命周期内不可分离,不可随意篡改。
安全访问:采取强制访问控制措施,严格限制数据资产的访问主体和访问权限,如只读、打印、编辑、再授权等细粒度权限控制。
(2)加强应用系统全生命的信息安全约束。
重点针对应用安全,加强对应用系统在需求调研、系统设计、系统开发、系统测试、系统试运行、系统验收、系统运维等全生命周期过程中的安全保障。同时,应定期对应用系统开展渗透测试,有条件的建议开展软件源代码安全性分析,不断查找漏洞,不断提升应用系统的安全性,同时,将已发现的问题进行整理、分析、总结,形成应用系统的开发管理规范,指导后续应用系统安全建设。
(3)建立综合安全事件分析统计平台,形成统一安全监控能力。
针对各类安全产品的孤岛现象,结合现有的安全产品的告警日志、应用系统的审计日志,建立异常事件审计模型,建设综合安全事件分析统计平台,对安全事件进行关联审计分析、实时报警,并展示出安全事件的发展路线图和影响范围。
(4)开展核心信息资产的梳理,提升应急与灾备能力。
对信息资产按重要性进行分类梳理,开展应急灾备能力建设,定期开展应急恢复演练,确保备份的有效性和恢复的及时性。
(5)深入开展信息系统精细化管理,加强信息安全专项检查,切实提高信息系统运维管理能力。
制定信息系统日常管理操作的详细规范,明确定义日常管理具体工作流程和操作步骤,使信息系统日常运行管理制度化、规范化、流程化和信息化,闭环管理所有信息安全和运维事件,杜绝低层次信息安全问题的出现,同时,进一步加强信息安全专项检查,提升信息系统安全运维能力。
(6)借助于攻击技术,不断完善信息安全防护体系。
矛与盾、攻与防永远都是相对存在的,要验证盾的有效性就要用矛去不断的攻,信息安全同样。因此有必要培养、成立一支团队,学习、掌握、熟练攻的技术,并不断的实战验证,站在攻击者的角度去思考防的方法,信息系统的安全防护体系只有经历不断的攻防迭代过程,其防护效能才能有实质的提升。
(7)逐步开展国产自主化产品应用,提升自主可控能力。
以试点的形式逐步开展国产自主化网络设备、硬件设备、操作系统、安全设备和各类应用系统的实际应用,逐步替代现有的国外产品,探索自主信息安全保障体系,提升信息系统的自主可控能力。
4 结语
随着国家、企业对信息安全保障工作的不断重视,经过多年的信息安全体系建设,企业已经具备了一定的安全防范能力,但是现有的信息安全防护体系仍处于、并将长期处于如履薄冰的状态。从近些年持续不断爆出的各类安全事件(如OpenSSL协议漏洞、Apache Struts2漏洞、USB固件漏洞等)来看,现在广泛使用的、所谓安全的基础信息技术都可能存在着深层次的、隐蔽的漏洞,因此,对于企业发展、国家安全来说如何在现有的条件下,构建一个完整、有效、可靠的信息安全保障体系显得极其重要。
[1]戚小光,许玉敏,韩菲等."心脏出血"漏洞的危害、应对及影响[J].信息安全与通信保密,2014(05):60-62.
[2]牛伟,戴卫国.APT攻击建模与安全防护技术研究[J].电子对抗,2014(02):34-38.
Security Risk Analysis and Enforcement Suggestion of Enterprise Information System
SHI Zhao-jun,WU Yue,LI Ke,LIU Xiang-dong,LI Nan
(Institute 706,the Second Academy of China Aerospace Science and Industry Corporation,Beijing 100854,China)
With the wide application and continuous development of information technology,information system recently becomes an essential infrastructure and greatly promoted the development of human society.And however at the same time,the in-depth application of information technology also brings new threats and challenges.Based on investigation of the present situation of information system construction,this paper discusses the risk of information security,and gives suggestion in enforcing the protection system of information security,and all this could serve as a reference for the construction of infosec protection system.
information security;risk of information security;protection system of information security
TP309.2
A
1009-8054(2015)12-0120-04
石兆军(1984—),男,硕士,工程师,主要研究方向为信息安全;
武 越(1989—),女,硕士,助理工程师,主要研究方向为信息安全;
李 可(1987—),男,本科,助理工程师,主要研究方向为信息安全;
刘向东(1974—),男,硕士,研究员,主要研究方向为信息安全;
李 楠(1986—),男,本科,工程师,主要研究方向为信息安全。■
2015-08-19
