□ 文/张凌龄

企业信息化建设中的安全问题与防护建议

□ 文/张凌龄

目前，网络已经广泛地深入到人们的生活之中，从工作到学习，到娱乐，人们通过网络进行购物、网上交易、炒股、读书等都已经成为主流。网络给我们带来了优势和便利。网络不再是一种纯粹的信息交换的媒介，而是已经成为人们赖以生存的空间。然而，网络带给我们便利的同时也给我们带来了安全隐患。特别是伴随云计算、大数据、物联网、移动互联网时代的到来，网络安全的重要性更加突出。

企业缺乏风险抵御能力，损失惨重

现在，世界各地网络安全隐患层出不穷，网络环境恶劣。黑客组织规模及采用的攻击技术手段日益精进，网络犯罪波及范围、严重程度呈现逐步扩大的趋势，网络犯罪变得更加专业化、规模化、组织化，甚至以ISIS为代表的恐怖组织也加入了网络攻防战。

网络是信息化建设的基础，企业步入信息化必须要保证网络的安全与稳定。然而随着信息技术的发展，企业计算机网络系统的安全将受到更多的威胁。

资料显示，面对汹涌而来的网络安全危机事故，企业损失惨痛。

2016年7月，日本最大的旅游公司JTB Corp称，黑客窃取了公司793万条护照、家庭住址和电子邮箱地址信息。JTB发言人确认护照号码中有约4300份仍在有效期内。据安全公司Cylance分析，此次数据泄露是因为该公司雇员缺乏安全意识，打开了伪装成全日空公司发送的钓鱼邮件及附件文档，并感染了恶意木马PlugX (Korplug)，随后黑客通过植入Elirks木马后门得到此电脑访问权。

2016年5月，俄国黑客盗取2.73亿邮箱信息以1美元价钱贩卖。根据 The Guardian 的消息，一名俄国黑客盗取了2.723 亿邮箱信息，其中包括 4000 万个雅虎邮箱、3300 万微软邮箱以及 2400万个谷歌邮箱。

2015年10月，英国宽带服务提供商TalkTalk表示，该公司受到了严重的网络袭击，导致2210万用户个人信息泄露。

2015年9月，网络曝光非官方下载的苹果开发环境Xcode中包含恶意代码，会自动向编译的App应用注入信息窃取和远程控制功能。经确认，包括微信、网易云音乐、高德地图、滴滴出行、铁路12306，甚至一些银行的手机应用均受影响，App Store上超过3000个应用被感染。

2015年6月，美国人事管理局宣布遭到黑客大范围攻击，共造成2210万人的数据遭到泄露，包括社保账号、住址信息、薪资状况、背景调查信息等。

2015年2月，美国大型医保企业Anthem称，约8000万客户信息遭泄露。

据IBM发布的《2015年英国数据泄漏损失调查报告》显示，2015年英国平均每家公司因黑客攻击造成损失已达237万英镑。信息安全机构Ponemon发布的 《2015年网络犯罪损失报告》称，2015年美国平均每家企业因网络犯罪损失已达到1540万美元，较2010年的650万美元已成倍上涨。

张凌龄 山石网科产品市场副总裁

企业信息化建设面临诸多问题亟待解决

由于我国企业信息安全工作还不够成熟，基础薄弱，企业在加强信息化安全建设中，面临诸多问题亟待解决。

1.信息网络结构和边界风险。有些企业在信息网络结构上存在核心交换机选型不合理等问题，如核心交换机是一台二层交换机，网络的安全问题只有通过应用系统去解决。另外，企业的信息以各种方式与互联网连接，内部行政办公网、业务网、Internet网不同域之间是否进行有效的访问控制实现隔离及如何进行隔离，网段划分是否合理，路由是否正确，网络的容量、带宽是否考虑客户上网的峰值，网络设备有无冗余设计等都与扫描攻击、DOS攻击、非法侵入等安全风险密切相关。

2.蠕虫和病毒的侵害。计算机蠕虫和病毒是最常见的安全威胁。随着病毒变得更加智能、更具破坏性，其传播速度也更快，甚至能够在片刻间感染整个办公场所，而要清除被感染计算机中的病毒所耗费的时间也更长，可能对企业造成严重的后果。虽然企业可以通过防病毒软件和为操作系统打补丁来防范，但是企业中的防病毒软件只能查杀病毒，却不能有效地阻止病毒的传播;入侵检测系统可以检查出蠕虫在网络上传播，却不能清除蠕虫;补丁管理可以防止蠕虫的感染，却不能查杀蠕虫。企业各个安全产品单独工作，无法系统地查杀病毒并防止病毒传播。所以，企业网络安全系统必须能够在网络的每一点对蠕虫、病毒和间谍软件进行检测和防范。

3.系统安全风险。系统安全风险主要指操作系统、数据库系统和各种应用系统所存在的安全风险。不管使用哪一种操作系统都存在大量已知和未知的漏洞，这些漏洞可以导致人侵者获得管理员的权限，可以被用来实施拒绝服务等攻击。特别是Windows作为世界范围内的主流操作系统,自然受到黑客更多的注目与青睐。

4.信息日常传递风险。企业的日常信息数据在网络中传输时面临着多种安全风险，例如：被非法用户截取，从而泄露企业机密，或者被入侵者非法篡改，造成数据混乱、信息错误从而造成工作失误等。此外，入侵者还有可能假冒合法身份，发送虚假信息，给正常的生产经营秩序带来混乱，造成企业损失。

5.信息安全管理措施不到位。企业因配置不当或使用过时的操作系统、邮件程序等，造成企业内部网络存在入侵者可利用的缺陷。当厂商通过发布补丁或升级软件来解决安全问题时，许多用户因安全风险意识不足而未对系统进行同步升级。有些信息系统采用开放的操作系统，安全级别低，又没有附加安全措施，难以抵御黑客和信息炸弹的攻击。虽然当前很多企业尽管采取了一些安全措施，但安全保护措施较为零散，缺乏整体性与系统性，对于企业网络信息安全保护缺乏统一的、完善的安全体系，这是引发安全问题的主要源头。

5.企业信息管理革新明显滞后技术发展。相对于信息技术的发展与应用，企业管理革新处于落后状况。有的企业引入了先进的业务系统、管理系统，而管理模式未能实施有效革新，最终导致了信息系统未能发挥预期的、应有的作用。

7.用户身份认证和访问控制不够。在实际应用中，企业部分应用系统的用户权限管理功能过于简单，不能灵活实现更细的权限控制;部分应用系统没有一个统一的用户管理，无法保证账号的有效管理和安全;同时因缺乏严格的验证机制，导致非法用户使用关键业务系统;不同业务系统之间缺少较细粒度的访问控制。

8.员工安全意识不足。企业的安全与每位员工密切相关，员工的安全意识又能够促进企业安全工作的运行。有关资料显示，企业管理者们最担忧的并非来自外部竞争对手的黑客攻击，而是内部威胁。员工安全意识不足，增加了黑客进攻的机会和信息泄露的风险，这都将给企业网络信息安全埋下隐患。如：共用口令、随意复制及传播企业内部信息等行为。

9.企业信息资产管理风险较高。在激烈竞争的市场环境中信息资产的安全风险较高。一般来说，信息资产经常处于公共的介质中或处于流动状态，这就使信息资产的复制成本较低，从而导致企业拥有和控制的信息资产的安全性很差。没有安全保障的信息资产，谈不上资产价值。信息资产具有工程性和社会性的软硬属性，短期无法量化，价值的确认存在风险，管理的过程中也存在类似风险。

企业信息化安全建设首先要从自身做起

加强企业安全防护能力，首先要从企业自身做起。企业用户需要保护的业务越来越多，联网的业务越来越多。而用户的专业安全人员不足，并且短时间难以改善。

美国SANS研究所发布报告称，通过调查770家企业后得出结论，约三分之一的企业无抵御网络威胁的手段，主要原因是因为缺乏培训、预算不足以及称职员工缺失。

惠普年报也显示，全球企业在防御网络攻击方面的准备工作严重不足。当前，随着网络攻击规模和影响力的不断扩大，企业高管必须对此予以重视，并制定出相应的方案。

面对安全风险，企业领导，技术管理人员和普通工人都必须进一步提高网络安全意识，高度重视，确保网络的安全、稳定运行。对于存储在计算机中的重要文件、数据库中的重要数据等信息都存在着安全隐患，一旦丢失、损坏或泄露、不能及时送达，都会给企业造成很大的损失。如果是商业机密信息，给企业造成的损失会更大，甚至会影响到企业的生存和发展。

其次，网络攻击手段越来越复杂，攻击行为越来越多，这使得用户必须借助专业的安全企业的帮助，才能应对安全风险。安全企业需要为企业用户提供自身需求相匹配的安全产品、技术和解决方案，从而满足用户的需求。而且几乎每个有一定规模的安全企业都有一支安全专家服务团队，会针对企业的实际情况提供安全测试等服务。根据企业的实际需求定制化产品和解决方案。

在网络强国战略写入“十三五规划”后，中国网络安全产业各方面都在不断推进，并得到政府的高度重视。虽然相对于国外安全行业来说，国内安全行业起步较晚，但是有不少国内安全企业在立足用户需求的情况下，不断提升产品和服务与用户的匹配度，通过不断的技术创新，为用户提供了优质的产品。例如：山石网科的云•格，获得NSS labs推荐级的山石网科E5960下一代防火墙和华为USG6650下一代防火墙，以及今年安恒信息发布的“玄武盾”系列云安全新品。

企业信息安全建设离不开的那些主流的安全技术

威胁情报：如果威胁情报在去年还仅仅是一个热门词汇，那今年就是威胁情报的逐步落地，其应用正在逐步走向成熟。威胁情报应用于信息系统的安全运维能力提升，将是未来安全研究的重点。

物联网安全：根据Gartner报告显示，到2020年大约有300亿个互联设备将在行业中得到广泛的使用，物联网将渗透至企业中的每一个角落。近两年，物联网安全已成为业界关注的焦点，而今天物联网安全更是正在一步步走向落地。

加密技术：无论何时数据都是企业最核心的资源，尤其是在如今的互联网时代，数据保护更是成为了企业信息安全防护的核心。但是今天的数据安全以及加密所面临的难题不是技术问题，而是法律和政策上的问题，这需要政府下大力气解决。

沙盒技术：沙盒技术与主动防御技术原理截然不同。主动防御是发现程序有可疑行为时立即拦截并终止运行。沙盒技术则是发现可疑行为后让程序继续运行，当发现的确是病毒时才会终止。

自适应安全：2015年Gartner提出自适应安全架构，并预测，功能强大、灵活高效的自适应安全会成为未来十年的科技趋势之一，真正地为企业提供可持续、可运营的解决方案。

CASB（ 即 Cloud Access Security Broker）：作为部署在云服务使用者和提供商之间的“经纪人”， CASB能够嵌入企业安全策略，通过整合云服务发现&评级，单点登录，设备&行为识别，加密，凭证化等多种安全技术，在云上资源被连接访问的过程中并加以监控和防护。其优势在于能够让用户自由使用云化业务时，满足安全需求和相关的合规性监管要求。

2016年企业信息安全趋势

1.网络安全防护和立法将加强

2014年，中央网信办召开专题会议讨论网络立法问题，全国人大也将“网络安全法”列入立法工作计划。2016年，我国网络安全法治建设进程将显著加快。美国总统奥巴马计划将网络安全保护的预算增加到140亿美元，并表示将加强网络安全立法，要求企业及时披露和共享攻击数据，并对出售僵尸网络和数据的行为加强打击。

2.DDoS攻击规模、危害更大

2015年DDoS攻击数量有了惊人的增长，仅仅第四季度就比前季度增长90%。2016年，DDoS攻击的数量、规模和危害将会继续增加。由于缺乏有效的技术手段来记录这种攻击，很多企业可能没有意识到已经发生的攻击。企业有必要将DDoS防御措施视为整体IT安全策略中不可或缺的一部分。对于企业而言，抵御DDoS攻击与部署反病毒保护、针对性攻击防御、数据泄露措施等安全方案同样至关重要。

3.更多数据泄露事件

2015年国内外有多次重大数据泄露事件。安全专家人士预计，随着黑客攻击技能的泛化，攻击工具的商品化，更多应用和系统漏洞被爆出和利用，2016将会有更多大型的数据泄露事件出现。这些事件背后，正是那些神秘而强大的黑客工具。

4.威胁情报更受重视

安全专家人士预计，2016年威胁情报将会成为未来企业安全部署的重要组成部分。专注于提供威胁情报的机构将会改变企业的安全防御态势，使其更加从容和有效地应对威胁。作为威胁情报的目标，企业需要更多了解黑客的动机。了解黑客的攻击动机和策略，将有助于理解哪些类型的黑客对企业威胁最大，以及他们的攻击方式。

5.移动设备将成企业攻击工具

一方面移动设备的企业数据会成为黑客的目标，此外，由于移动应用具有自动登录功能，因此移动设备将会成为证书窃取或身份认证攻击的主要目标，并用于以后的攻击。这些攻击通过手机作为接入点，访问日益增多的云端企业应用和设备可自由存取的数据资源。

6.APT攻击将更加普遍

2015年发生了多起由APT攻击导致的大型数据外泄事件，随着黑客攻击技能的泛化，攻击工具的商品化，这一威胁将更会更加猖獗。尽管很多政府机构和企业在安全上都投入了巨大的人力和物力，但APT攻击仍然会渗透进这些组织，并导致敏感数据泄露。另外，“电子邮件”成为了黑客最易取得APT攻击成效的入口。在某些案例中，攻击者会利用受害者的电子邮件账号来增加他们鱼叉式网络钓鱼攻击邮件的可信度。

7.关键基础设施安全风险加大

高级可持续性攻击的目标正在从传统的IT系统，转向石油、天然气、航空运输等关键基础设施的工业控制系统。近几年大量的实际案例中，这种趋势越来越明显。2016年，工业控制系统的安全风险持续加大，美国、欧盟等都在采取措施加强关键领域控制系统安 全保护。而在我国，80%关键系统都使用了相同的控制系统，由于依赖国外组件、安全意识低、持续接入互联网等原因，更容易受到攻击。

8.将出现更多利用系统和应用漏洞的攻击

未来黑客仍将继续挖掘像Heartbleed、 Shellshock和Ghost 这类潜藏已久的漏洞，这些可能比25年前就存在的漏洞更古老，但却对系统造成了更大的风险。这些漏洞可以入侵Linux桌面终端和服务器，控制Android系统及APP连接的内容，盗取数据或利用这些移动设备发动分布式拒绝服务(DDoS)等攻击。此外，Windows系统及其相关应用也将会陆续有高危漏洞被爆出和利用。对企业来说，一方面需要及时修改各类漏洞，同时也要尽量防范未知漏洞的威胁。

写在最后

在云计算、大数据时代，互联网已成为企业传递信息的主流工具，使工作沟通更加便捷，工作形式更加灵活。然而，企业信息化程度越高，面临的安全风险越大，一旦发生安全事件，所造成的损失也就越大。因此，企业必须时刻加强自身的安全防御能力，并借助安全厂商的能力来实现专业的防护体系，而安全厂商也应时刻关注企业用户的实际需求。总之，企业信息安全不可大意。

责任编辑：向坤

Xiangkun@staff.ccidnet.com