论文部分内容阅读
【摘 要】文章从当前的企业信息安全现状谈起,阐述了企业的信息安全危机,并且从企业内网和外部网络安全方面讲述相关威胁,并提供一些相关的现有技术来建立一个安全的企业信息安全体系,如内网建设采用可信计算的方案进行。
【关键词】内网安全;可信计算;网络安全;安全危机
一、前言
震惊全球的“力拓案”给中国整个钢铁行业带来了价值不菲的经济损失。据调查,在力拓驻中国办事处的电脑内,存储有几十家国内钢铁企业的各种资料,包括企业详细的采购计划、生产细节、月产量、销售额和库存原料的各种数据资料。据《财富》杂志统计,全球排名前100位的企业,平均每次由电子文档泄密所造成的损失高达5万美元。由此可见,全球任何一家企业都可能会存在信息泄密的情况。企业信息泄密已经成为现代商业的的危机之一。
二、企业信息安全危机
(一)企业信息泄露途径
企业信息数据被泄露通常有三种途径,这三个途径与信息数据的三个使用状态密切相关,即分别为数据的使用、数据的存储以及数据的传输三个状态,围绕这三个使用状态去剖析商业机密的泄密,非常科学且浅显易懂。
数据的使用,即企业商业机密在使用过程中可能被泄密。例如企业智囊团在制定企业相关商业计划的过程中,会使用电脑进行文字的编辑、复制、打印、粘贴;产品宣传之前要找相关的印刷公司对企业产品的相关物料进行印刷等,在這些过程中,企业相关信息都有可能被泄密。数据的存储,即企业在对商业机密文件进行存储的过程中可能被泄密了。当企业的员工在通过电脑硬盘、移动硬盘、U盘存储相关数据存储设备存储数据的过程中,就有可能将数据拷贝带走造成泄密,甚至当公司的存储设备比如电脑、笔记本、移动硬盘等被丢失或者维修,都有可能被丢失。数据的传输,即企业在通过网络进行数据传输的过程中可能丢失数据。可以想象当公司的员工在通过E-mail、QQ、MSN传输企业计划的过程中,也有可能因为网络的漏洞而被不法分子截取。
(二)企业信息泄露危害
来自美国独立研究机构波尼蒙研究所(Ponemon Institute)的统计分析显示,美国企业2008年在数据丢失时的平均损失是,每条记录大约202美元。而2005年该公司同类性质调查的结果是每条记录损失138美元,2006年的调查结果是182美元,2007则是197美元,4年间每条记录损失费用增长64美元。2009年,波尼蒙对来自17个国家的43家大型公司做了一次数据泄漏大调查,结果发现每个公司有4200条到113000条不等的信息丢失记录,其造成的损失超过1亿5千万元人民币。相比之下,随着信息化水平的提升,国内的信息安全也开始得到各界的重视。2009年,央视3.15晚会上对一系列网银安全事件的报道,引爆了人们对信息安全的关注。据艾瑞咨询调研数据显示:有27.5%的用户在3.15晚会后决定减少使用网上银行和网上支付,有3.0%的用户决定不再使用。在网上银行和网上支付的潜在用户中,有57.6%的潜在用户决定推迟初次使用时间,有24.8%的潜在用户决定不再使用,仅有17.6%的潜在用户表示对其使用不会有太大影响。
(三)企业信息泄露案例
中国著名通讯设备提供商三名技术人员将公司重要机密资料带走,在上海创办光信号传输设备公司,使得通讯设备提供商大量客户流失;日本软银公司发生内部泄露客户数据,损失达数亿元;郎讯公司产品图纸泄露,新产品推出落后于竞争对手,直接损失3.5亿美元;美国万事达信用卡国际公司6月17日晚宣布,“信用卡第三方付款处理器”网络系统遭入侵,可能造成包括万事达、Visa等各种信用卡高达4000多万用户的数据资料被窃,其中涉及近9000张国内信用卡;英国国防部惊失绝密笔记本电脑,失窃电脑内存价值500亿英镑战斗机研制方案,惊曝英军军情内幕,神州数码发生财务报表泄露事件,造成停牌调查,名誉损失严重;广东佛山市政府项目招标方案书泄露,直接领导承担管理责任;某边防总队司令部电脑室的一台计算机硬盘被盗走,内有绝密级文件l份、机密级文件4份、秘密级文件1份;中科院上海某研究所一研究员来京参加重要会议,所携带的手提电脑被盗,电脑内存有军工秘密文件若干;创维两工程师偷卖技术换股份造成152万元损失被判刑。
三、企业内部信息安全保障
企业要做好信息安全的首要就是要解决好企业内部的信息安全,一般要设置一个合理的体系,严格的授权等级制度,良好的行为规范制度以及良好的管理制度。并且企业高层要重视企业内部的信息安全,不能单独的认为企业信息安全仅仅是信息部门的责任,而应该是意识到维护信息安全是企业每一个人都必须尽到的义务。电子信息的安全隐患主要来自于企业内部,然而,当前国内的企业用重金购置防火墙、防病毒软件来防止外界威胁的同时,往往忽视了对企业内部电子信息安全管理,而真正给企业造成重大隐患以及可能带来巨大损失的却往往是来自企业内部的机密泄露。
(一)企业内部网络安全弊端
随着企业信息化管理的普及,网络安全在企业中的作用可以说日益重要。不过可惜的是,很多IT负责人对于内网安全这一块,还只是停留在口号上。对于安全方面的设计存在着种种弊病。
(1)客户端补丁升级依赖于员工的自觉。现在企业中大部分用户采用的都是Windows客户端。而这个客户端的特点就是补丁特别的多,包括IE补丁、Office办公软件补丁等等。如果不及时打上补丁的话,则很容易病毒利用,成为其传播的便捷渠道。不过可惜的是,有不少的IT 负责人不重视补丁方面的管理与控制。如有些管理员,纯粹依靠用户的自觉,来进行补丁的管理。如在客户端上通过自动更新服务来对给系统打补丁。采取这个操作是,需要客户端用户的手工操作。如需要进行手工确认是否需要进行补丁升级、升级完成后可能还需要重新启动等等。现实的情况是有些用户认为这么操作比较麻烦,为此都不会自觉的去升级补丁。如此的话,就给内网的安全造成了比必要的安全隐患。(2)自签名证书不兼容会惹祸。IE浏览器一直是微软操作系统与服务器的安全重灾区。其中用户的不正确设置是其总要的一个原因。微软为了改善这种情况,在微软的一些产品中,如Exchange中加入了自签名证书。简单的说,就是当企业用户没有采取任何安全措施的话,那么系统就会自动启用自签名证书,以启用一定的安全加密机制,如SSL加密等等。这种默认的安全措施在一定程度上提高了系统应用的安全性。特别是对于那些没有安全观念的用户来说,能够启动不少的帮助。但是到现在为止,这个自签名证书的作用只限于微软的产品。如企业现在使用的是Exchange的服务器,然后采用IE浏览器去访问这个邮箱的话,没有问题。但是如果采用其他的浏览器去访问的话,就可能会出现不兼容的问题。如浏览器会提示用户系统并不信任这一类的证书。有些管理员为了减少这种麻烦,就索性将自签名证书的功能也禁用掉。这无疑减弱了企业内部网络服务器的安全性。(3)不注重后续的追踪。有不少的企业,在网络设计与组建时,非常关注企业内部网络的安全。如禁用不必要的服务、禁止使用移动设备等等。但是在这方面他们也存在着一定的误区。就是非常重视前期的设计与配置,但是却缺少后续的追踪机制。在前期做好安全设计与相关的配置固然重要,但是在后续日常工作中也需要最好追踪分析的工作。当发现原有的配置跟不上企业安全的需求时,需要进行及时的调整。如对于文件服务器来说,可以启用审计功能。将用户的未经授权的访问都记录在案。然后对这个数据进行分析,以判断用户可能的攻击行为。(4)没有使用逆向代理来减少端口的开销。随着企业信息化管理的普及,现在企业越来越不满足于内部用户使用企业的信息化系统。(5)在同一个服务器上部署过多的应用程序。在同一个服务器上部署多个应用程序,这种情况在企业中也是司空见惯的事情。这虽然可以在一定程度上降低企业信息化部署的成本,但是也增加了服务器的安全隐患。假设现在一家企业的一个服务器上部署了三种应用,此时包括操作系统在内的话,其实就有四种信息化系统。如果一种信息化系统存在2个安全漏洞的话,那么这台服务器现在就有了8个漏洞。如果没有采取严格安全措施的话,那么攻击者只要利用其中的任何一个漏洞,就有可能窃取服务器上的内容,甚至控制服务器。(6)对邮件等需要授权的访问没有采取SSL加密机制。企业中不少的信息化系统需要授权才能够进行访问。如对于邮件系统,用户只能够访问自己的邮箱。对于文件服务器,也只能够访问授权允许访问的文件。而这些控制,基本上都是通过用户名与密码来进行限制的。在内部网络中,先主要采用的是HTTP与HTTPS两种访问机制。前者HTTP其特点是对于传输中的数据没有进行任何的加密措施。即用户名与密码在网络中都是明文传输的。如此的话,通过网络嗅探器等工具,就可以轻而易举的窃取到用户的用户名与密码。从而进行破坏活动。而如果用户名与密码信息泄露的话,最好的安全措施也无济于事。
(二)企业内部信息安全防范意识
1.信息安全防范意识现状。现在许多企业都认识到信息安全的重要性,但是对信息安全的防范意识还是停留在认为只要电脑安装了防火墙,安装了杀毒软件就万事无忧了。对于安全故障发生的原因,根据企业事后的分析,病毒、木马、蠕虫、垃圾邮件和系统漏洞等最为突出,而这五类故障在目前已大量成熟的解决方法,但在企业中发生的比例仍高达39%~87%,说明除了信息安全产品功能有待提高之外,更为关键的是企业缺乏安全意识和对安全的有效管理。调查显示其中56.8%的企业因未及时修补系统漏洞导致的安全隐患,33.5%的企业因缺少访问控制策略,31.6%的安全事故是因为内部人员作案或安全管理存在漏洞,26.7%的企业因为员工口令太简单造成了企业损失。因此,企业意识到改善IT安全,首先要提高自身的信息安全意识,特别是提高企业普通员工的信息安全意识,不让日常安全维护能解决的问题成为企业信息安全的难点,不让普通用户成为企业网络安全的杀手
2.加强企业内部信息安全的防范意识。保障公司不受外来威胁的侵扰被公认是安全管理员的职责所在,但确保公司的信息不被外泄却需要一个更大范围的协作。如今,保护企业敏感信息不被外泄是包括从IT部门到律政署、董事会等所有人员的共同责任。
(三)企业内部信息安全防范
1.利用可信计算解决企业内部信息安全环境建设。中国可信计算的产品都是以可信密码模块TCM(Trust Cryptography Module)为核心,其支撑计算机在整个运行过程中实现三个主要功能:第一,防御病毒攻击的功能,通过一种可信链来防御攻击;第二,建立一个可信的身份,识别假冒的平台;第三,高安全性的数据保护,使数据能够密封在非常安全的一个区域中。
可信计算技术是目前为解决计算机安全问题而提出的一种行之有效的解决方法,它通过在计算机主板上嵌入一款可信密码模块,从体系结构上构建计算机内在安全机制,从而系统化地解决平台恶意代码防护、可信身份标识和敏感数据保护等关键安全问题。因此,无论是普通的家庭用户,还是在政府、军队的指挥中枢,配备有TCM芯片的计算机都可完美的实现其保护隐私、安全功能。正是因为可信计算技术的独特安全优势,由中国自主研发的可信计算机将会给中国用户带来新一代计算机的应用体验,同时,很快就会像数字电视机取代模拟电视机一样,迅速普及,成为可信计算平台的基础设施。
在这一方面,國民技术可以说已经走在了业内的前列。国民技术是中国可信计算工作组的发起者之一,推出的可信密码模块(TCM)产品和方案是我国信息安全产业重要的自主创新成果,被誉为“中国信息安全DNA”,为中国互联网自主、可信的计算环境奠定了坚实的基础。
2.做好企业内部的信息安全管理。(1)制度上的管理。第一信息安全制度建设。从信息安全管理制度的制定和落实抓企业内网的安全管理工作。企业内部和各局域网管理单位制定“企业专网信息安全管理办法”,建立以主管领导为组长的信息安全领导小组,设置专职信息安全管理员,明确各应用系统主管部门、各系统的使用单位、信息系统运行维护单位的具体职责和管理上的要求。第二对各应用系统的用户的管理。对于应用系统的数据丢失、破坏,甚至攻击,往往是来自系统内部的攻击和终端设备的不安全因素造成的,有的是有意,更多的是无意,我们的管理就是要将这些有意、无意的不安全行为减少到最小。(2)技术上的规范。利用可信计算机技术对身份验证技术、移动存储介质控制、内网与外部联系的控制、网络远程监控、信息审计来进一步规范。要建立网络用户的信息数据库,对访问重点检测数据的用户、访问地点、访问时间有详细记录。建立内部网络主机登录日志,对登录主机的用户、登录时间、退出时间等有详细记录;对发现可疑操作如多次尝试用户名和密码的行为,要及时报警并采取必要的安全措施如关机等,并形成日志记录。对主机访问移动存储介质的操作以及各种在线设备进行监测和控制,如禁用或开启软驱、光驱、USB端口等,并在关机时检测这些解释是否取出驱动器,防止将移动存储介质丢失。要对每次所发生的事件进行记录,并对设备的更改自动形成日志。除了对非授权存取、外联、接入有必要的技术检测手段外,还要及时响应,并形成日志记录。管理员通过对日志的审计,可以发现一些可疑的信息,进行重点跟踪监测。(3)完善数据的备份恢复工作。针对各种突发灾难事件,建立灾难恢复与业务持续性计划,进行应急演练,形成快速响应、快速恢复的机制,将灾难造成的损失降到组织可以接受的程度。
四、企业网络信息安全保障
(一)企业网络受到的威胁
(1)计算机病毒、蠕虫、间谍软件的威胁计算机病毒的破坏位列所有安全威胁之首。病毒感染可能造成网络通信阻塞、文件系统破坏,系统无法提供服务甚至重要数据丢失。病毒的传播非常迅速;蠕虫是通过计算机网络进行自我复制的恶意程序,泛滥时可以导致网络阻塞和瘫痪;间谍软件在用户不知情的情况下进行非法安装(安装后很难找到其踪影),并悄悄把截获的机密信息发送给第三者。(2)拒绝服务攻击和分布式拒绝服务攻击DoS和DDoS可以被分为两类:一类是利用网络协议的固有缺陷或实现上的弱点来进行攻击,与漏洞攻击相似;另一类利用看似合理的海量服务请求来耗尽网络和系统的资源,达到网络和系统能力的极限,从而使合法用户无法得到服务的响应。(3)端口扫描这种信息收集型攻击可能会是某种攻击的前奏,虽然不会对目标本身造成危害,但由于会被用来为进一步入侵提供有用信息,这种探测应该被阻止。(4)信息传递的安全不容忽视一般随着集团办公自动化、财务、调度等生产经营方面的重要系统投入运行,大量重要数据和机密信息都需要通过内部局域网和广域网来传输,必须防止这些信息被非法截取而泄露机密;被非法篡改而造成数据混乱和信息错误;被非法用户假冒合法身份,发送虚假信息造成破坏和损失。保护信息资源,保证信息的传递成为企业信息安全中重要的一环。
(二)企业网络信息安全防范技术
1.防火墙技术。针对因特网安全问题的最为广泛的商业解决方案是防火墙,防火墙一台位于本地局域网和因特网之间的网络访问控制设备,用于拒绝除了明确允许通过之外的所有通信数据,它不同于只会确定网络信息传输方向的简单路由器,而是在网络传输通过相关的访问站点时对其实施一整套访问策略的一个或一组系统,成为整个机构安全体系中不可缺少的一个基本组成部分。大多数防火墙都采用几种功能相结合的形式来保护自己的网络不受恶意传输的攻击,其中最流行的技术有静态分组过滤、动态分组过滤、状态过滤和代理服务器技术,它们的安全级别依次升高,但具体实践中既要考虑体系的性价比,又要考虑安全兼顾网络连接能力。此外,现今良好的防火墙还采用了VPN、监视和入侵检测技术。防火墙的安全控制主要是基于IP地址的,难以为用户在防火墙内外提供一致的安全策略;而且防火墙只实现了粗粒度的访问控制,也不能与企业内部使用的其他安全机制(如访问控制)集成使用;另外,防火墙难于管理和配置,由多个系统(路由器、过滤器、代理服务器、网关、保垒主机)组成的防火墙,管理上难免有所疏忽。
2.入侵检测系统。入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要,首先因为它能够对付来自内部网络的攻击,其次它能够减少被黑客入侵的时间。基于网络的入侵检测系统使用原始的网络包作为信息源。
入侵检测技术是一种积极主动的安全防护技术,提供了对内部入侵、外部入侵和误操作的实时保护,在网络系统受到危害之前拦截相应入侵。随着时代的发展,入侵检测技术将朝着三个方向发展:分布式入侵检测、智能化入侵检测和全面的安全防御方案。入侵检测系统(Intrusion Detection System,IDS)是进行入侵检测的软件与硬件的组合,其主要功能是检测,除此之外还有检测部分阻止不了的入侵;检测入侵的前兆,从而加以处理,如阻止、封闭等;入侵事件的归档,从而提供法律依据;网络遭受威胁程度的评估和入侵事件的恢复等功能。
3.虚拟专用网(VPN)技术。所谓VPN技术就是在公共网络上建立专用网络,使数据通过安全的“加密管道”在公共网络中传播。用以在公共通信网络上构建VPN有两种主流的机制,这两种机制为路由过滤技术和隧道技术。目前VPN主要采用了如下四项技术来保障安全:隧道技术(Tunneling)、加解密技术(Encryption &Decryption)、密匙管理技术(Key Management)和使用者与设备身份认证技术(Authentication)。(下转第183页)
(上接第177页)其中几种流行的隧道技术分别为PPTP、L2TP和Ipse。VPN隧道机制应能技术不同层次的安全服务,这些安全服务包括不同强度的源鉴别、数据加密和数据完整性等。VPN也有几种分类方法,如按接入方式分成专线VPN和拨号VPN;按隧道协议可分为第二层和第三层的;按发起方式可分成客户发起的和服务器发起的。
4.安全漏洞评估系统。安全漏洞评估系统是一个漏洞和风险评估工具,用于发现、发掘和报告网络安全漏洞。一个出色的安全评估系统不仅能够检测和报告漏洞,而且还可以证明漏洞发生在什么地方以及发生的原因。它质询网络和系统;在系统间分享信息并继续探测各种漏洞直到发现所有的安全漏洞;还可以通过发掘漏洞以提供更高的可信度以确保被检测出的漏洞是真正的漏洞。
5.其他网络信息安全技术。(1)智能卡技术,智能卡技术和加密技术相近,其实智能卡就是密匙的一种媒体,由授权用户持有并由该用户赋与它一个口令或密码字,该密码字与内部网络服务器上注册的密码一致。智能卡技术一般与身份验证联合使用。(2)安全脆弱性扫描技术,它为能针对网络分析系统当前的设置和防御手段,指出系统存在或潜在的安全漏洞,以改进系统对网络入侵的防御能力的一种安全技术。(3)网络数据存储、备份及容灾规划,它是当系统或设备不幸遇到灾难后就可以迅速地恢复数据,使整个系统在最短的时间内重新投入正常运行的一种安全技术方案。其他网络信息安全技术还有我们较熟悉的各种网络防杀病毒技术等等。在实际应用中,越来越多通过互联网传播的病毒泛滥,使网络在为企业带来便利的同时,也带来了安全隐患和威胁。许多企业已开始大规模地着手实施企业防病毒解决方案。
五、总结
在竞争日益激烈的当今社会,捍卫企业的数据安全,同样是企业提高自身竞争力的要素之一。如何能够保障信息安全,是当今企业需要面对的一个难题。因此从应用层面来讲,不管是企业还是个人,保障信息安全应该从多个方面同时着手,包括基础架构设施,内容、应用以及操作上的安全,还应该在安全意识方面有所增强。随着信息技术的日益发展,信息安全问题也层出不穷,但是只要做好每一个细节工作,把责任落实到具体个人,按照规范的操作,信息安全将会得到保障。
参 考 文 献
[1]王福生,陈志.企业信息安全从内网安全抓起.信息安全与通信保密[J].2009(5)
[2]春增军.基于ISO27001的企业信息安全保障体系的构建设想.情报杂志[J].2009(5)
[3]闫兵.企业信息安全概述及防范.科技资讯[J].2010(4)
[4]王克.内网安全防范技术.信息网络安全[J].2009(1)
[5]肖茜.网络信息安全研究.网络安全[J].2009(4)
[6]熊光澤,常政威,桑楠..可信计算发展综述..计算机应用[J].2009(4)
【关键词】内网安全;可信计算;网络安全;安全危机
一、前言
震惊全球的“力拓案”给中国整个钢铁行业带来了价值不菲的经济损失。据调查,在力拓驻中国办事处的电脑内,存储有几十家国内钢铁企业的各种资料,包括企业详细的采购计划、生产细节、月产量、销售额和库存原料的各种数据资料。据《财富》杂志统计,全球排名前100位的企业,平均每次由电子文档泄密所造成的损失高达5万美元。由此可见,全球任何一家企业都可能会存在信息泄密的情况。企业信息泄密已经成为现代商业的的危机之一。
二、企业信息安全危机
(一)企业信息泄露途径
企业信息数据被泄露通常有三种途径,这三个途径与信息数据的三个使用状态密切相关,即分别为数据的使用、数据的存储以及数据的传输三个状态,围绕这三个使用状态去剖析商业机密的泄密,非常科学且浅显易懂。
数据的使用,即企业商业机密在使用过程中可能被泄密。例如企业智囊团在制定企业相关商业计划的过程中,会使用电脑进行文字的编辑、复制、打印、粘贴;产品宣传之前要找相关的印刷公司对企业产品的相关物料进行印刷等,在這些过程中,企业相关信息都有可能被泄密。数据的存储,即企业在对商业机密文件进行存储的过程中可能被泄密了。当企业的员工在通过电脑硬盘、移动硬盘、U盘存储相关数据存储设备存储数据的过程中,就有可能将数据拷贝带走造成泄密,甚至当公司的存储设备比如电脑、笔记本、移动硬盘等被丢失或者维修,都有可能被丢失。数据的传输,即企业在通过网络进行数据传输的过程中可能丢失数据。可以想象当公司的员工在通过E-mail、QQ、MSN传输企业计划的过程中,也有可能因为网络的漏洞而被不法分子截取。
(二)企业信息泄露危害
来自美国独立研究机构波尼蒙研究所(Ponemon Institute)的统计分析显示,美国企业2008年在数据丢失时的平均损失是,每条记录大约202美元。而2005年该公司同类性质调查的结果是每条记录损失138美元,2006年的调查结果是182美元,2007则是197美元,4年间每条记录损失费用增长64美元。2009年,波尼蒙对来自17个国家的43家大型公司做了一次数据泄漏大调查,结果发现每个公司有4200条到113000条不等的信息丢失记录,其造成的损失超过1亿5千万元人民币。相比之下,随着信息化水平的提升,国内的信息安全也开始得到各界的重视。2009年,央视3.15晚会上对一系列网银安全事件的报道,引爆了人们对信息安全的关注。据艾瑞咨询调研数据显示:有27.5%的用户在3.15晚会后决定减少使用网上银行和网上支付,有3.0%的用户决定不再使用。在网上银行和网上支付的潜在用户中,有57.6%的潜在用户决定推迟初次使用时间,有24.8%的潜在用户决定不再使用,仅有17.6%的潜在用户表示对其使用不会有太大影响。
(三)企业信息泄露案例
中国著名通讯设备提供商三名技术人员将公司重要机密资料带走,在上海创办光信号传输设备公司,使得通讯设备提供商大量客户流失;日本软银公司发生内部泄露客户数据,损失达数亿元;郎讯公司产品图纸泄露,新产品推出落后于竞争对手,直接损失3.5亿美元;美国万事达信用卡国际公司6月17日晚宣布,“信用卡第三方付款处理器”网络系统遭入侵,可能造成包括万事达、Visa等各种信用卡高达4000多万用户的数据资料被窃,其中涉及近9000张国内信用卡;英国国防部惊失绝密笔记本电脑,失窃电脑内存价值500亿英镑战斗机研制方案,惊曝英军军情内幕,神州数码发生财务报表泄露事件,造成停牌调查,名誉损失严重;广东佛山市政府项目招标方案书泄露,直接领导承担管理责任;某边防总队司令部电脑室的一台计算机硬盘被盗走,内有绝密级文件l份、机密级文件4份、秘密级文件1份;中科院上海某研究所一研究员来京参加重要会议,所携带的手提电脑被盗,电脑内存有军工秘密文件若干;创维两工程师偷卖技术换股份造成152万元损失被判刑。
三、企业内部信息安全保障
企业要做好信息安全的首要就是要解决好企业内部的信息安全,一般要设置一个合理的体系,严格的授权等级制度,良好的行为规范制度以及良好的管理制度。并且企业高层要重视企业内部的信息安全,不能单独的认为企业信息安全仅仅是信息部门的责任,而应该是意识到维护信息安全是企业每一个人都必须尽到的义务。电子信息的安全隐患主要来自于企业内部,然而,当前国内的企业用重金购置防火墙、防病毒软件来防止外界威胁的同时,往往忽视了对企业内部电子信息安全管理,而真正给企业造成重大隐患以及可能带来巨大损失的却往往是来自企业内部的机密泄露。
(一)企业内部网络安全弊端
随着企业信息化管理的普及,网络安全在企业中的作用可以说日益重要。不过可惜的是,很多IT负责人对于内网安全这一块,还只是停留在口号上。对于安全方面的设计存在着种种弊病。
(1)客户端补丁升级依赖于员工的自觉。现在企业中大部分用户采用的都是Windows客户端。而这个客户端的特点就是补丁特别的多,包括IE补丁、Office办公软件补丁等等。如果不及时打上补丁的话,则很容易病毒利用,成为其传播的便捷渠道。不过可惜的是,有不少的IT 负责人不重视补丁方面的管理与控制。如有些管理员,纯粹依靠用户的自觉,来进行补丁的管理。如在客户端上通过自动更新服务来对给系统打补丁。采取这个操作是,需要客户端用户的手工操作。如需要进行手工确认是否需要进行补丁升级、升级完成后可能还需要重新启动等等。现实的情况是有些用户认为这么操作比较麻烦,为此都不会自觉的去升级补丁。如此的话,就给内网的安全造成了比必要的安全隐患。(2)自签名证书不兼容会惹祸。IE浏览器一直是微软操作系统与服务器的安全重灾区。其中用户的不正确设置是其总要的一个原因。微软为了改善这种情况,在微软的一些产品中,如Exchange中加入了自签名证书。简单的说,就是当企业用户没有采取任何安全措施的话,那么系统就会自动启用自签名证书,以启用一定的安全加密机制,如SSL加密等等。这种默认的安全措施在一定程度上提高了系统应用的安全性。特别是对于那些没有安全观念的用户来说,能够启动不少的帮助。但是到现在为止,这个自签名证书的作用只限于微软的产品。如企业现在使用的是Exchange的服务器,然后采用IE浏览器去访问这个邮箱的话,没有问题。但是如果采用其他的浏览器去访问的话,就可能会出现不兼容的问题。如浏览器会提示用户系统并不信任这一类的证书。有些管理员为了减少这种麻烦,就索性将自签名证书的功能也禁用掉。这无疑减弱了企业内部网络服务器的安全性。(3)不注重后续的追踪。有不少的企业,在网络设计与组建时,非常关注企业内部网络的安全。如禁用不必要的服务、禁止使用移动设备等等。但是在这方面他们也存在着一定的误区。就是非常重视前期的设计与配置,但是却缺少后续的追踪机制。在前期做好安全设计与相关的配置固然重要,但是在后续日常工作中也需要最好追踪分析的工作。当发现原有的配置跟不上企业安全的需求时,需要进行及时的调整。如对于文件服务器来说,可以启用审计功能。将用户的未经授权的访问都记录在案。然后对这个数据进行分析,以判断用户可能的攻击行为。(4)没有使用逆向代理来减少端口的开销。随着企业信息化管理的普及,现在企业越来越不满足于内部用户使用企业的信息化系统。(5)在同一个服务器上部署过多的应用程序。在同一个服务器上部署多个应用程序,这种情况在企业中也是司空见惯的事情。这虽然可以在一定程度上降低企业信息化部署的成本,但是也增加了服务器的安全隐患。假设现在一家企业的一个服务器上部署了三种应用,此时包括操作系统在内的话,其实就有四种信息化系统。如果一种信息化系统存在2个安全漏洞的话,那么这台服务器现在就有了8个漏洞。如果没有采取严格安全措施的话,那么攻击者只要利用其中的任何一个漏洞,就有可能窃取服务器上的内容,甚至控制服务器。(6)对邮件等需要授权的访问没有采取SSL加密机制。企业中不少的信息化系统需要授权才能够进行访问。如对于邮件系统,用户只能够访问自己的邮箱。对于文件服务器,也只能够访问授权允许访问的文件。而这些控制,基本上都是通过用户名与密码来进行限制的。在内部网络中,先主要采用的是HTTP与HTTPS两种访问机制。前者HTTP其特点是对于传输中的数据没有进行任何的加密措施。即用户名与密码在网络中都是明文传输的。如此的话,通过网络嗅探器等工具,就可以轻而易举的窃取到用户的用户名与密码。从而进行破坏活动。而如果用户名与密码信息泄露的话,最好的安全措施也无济于事。
(二)企业内部信息安全防范意识
1.信息安全防范意识现状。现在许多企业都认识到信息安全的重要性,但是对信息安全的防范意识还是停留在认为只要电脑安装了防火墙,安装了杀毒软件就万事无忧了。对于安全故障发生的原因,根据企业事后的分析,病毒、木马、蠕虫、垃圾邮件和系统漏洞等最为突出,而这五类故障在目前已大量成熟的解决方法,但在企业中发生的比例仍高达39%~87%,说明除了信息安全产品功能有待提高之外,更为关键的是企业缺乏安全意识和对安全的有效管理。调查显示其中56.8%的企业因未及时修补系统漏洞导致的安全隐患,33.5%的企业因缺少访问控制策略,31.6%的安全事故是因为内部人员作案或安全管理存在漏洞,26.7%的企业因为员工口令太简单造成了企业损失。因此,企业意识到改善IT安全,首先要提高自身的信息安全意识,特别是提高企业普通员工的信息安全意识,不让日常安全维护能解决的问题成为企业信息安全的难点,不让普通用户成为企业网络安全的杀手
2.加强企业内部信息安全的防范意识。保障公司不受外来威胁的侵扰被公认是安全管理员的职责所在,但确保公司的信息不被外泄却需要一个更大范围的协作。如今,保护企业敏感信息不被外泄是包括从IT部门到律政署、董事会等所有人员的共同责任。
(三)企业内部信息安全防范
1.利用可信计算解决企业内部信息安全环境建设。中国可信计算的产品都是以可信密码模块TCM(Trust Cryptography Module)为核心,其支撑计算机在整个运行过程中实现三个主要功能:第一,防御病毒攻击的功能,通过一种可信链来防御攻击;第二,建立一个可信的身份,识别假冒的平台;第三,高安全性的数据保护,使数据能够密封在非常安全的一个区域中。
可信计算技术是目前为解决计算机安全问题而提出的一种行之有效的解决方法,它通过在计算机主板上嵌入一款可信密码模块,从体系结构上构建计算机内在安全机制,从而系统化地解决平台恶意代码防护、可信身份标识和敏感数据保护等关键安全问题。因此,无论是普通的家庭用户,还是在政府、军队的指挥中枢,配备有TCM芯片的计算机都可完美的实现其保护隐私、安全功能。正是因为可信计算技术的独特安全优势,由中国自主研发的可信计算机将会给中国用户带来新一代计算机的应用体验,同时,很快就会像数字电视机取代模拟电视机一样,迅速普及,成为可信计算平台的基础设施。
在这一方面,國民技术可以说已经走在了业内的前列。国民技术是中国可信计算工作组的发起者之一,推出的可信密码模块(TCM)产品和方案是我国信息安全产业重要的自主创新成果,被誉为“中国信息安全DNA”,为中国互联网自主、可信的计算环境奠定了坚实的基础。
2.做好企业内部的信息安全管理。(1)制度上的管理。第一信息安全制度建设。从信息安全管理制度的制定和落实抓企业内网的安全管理工作。企业内部和各局域网管理单位制定“企业专网信息安全管理办法”,建立以主管领导为组长的信息安全领导小组,设置专职信息安全管理员,明确各应用系统主管部门、各系统的使用单位、信息系统运行维护单位的具体职责和管理上的要求。第二对各应用系统的用户的管理。对于应用系统的数据丢失、破坏,甚至攻击,往往是来自系统内部的攻击和终端设备的不安全因素造成的,有的是有意,更多的是无意,我们的管理就是要将这些有意、无意的不安全行为减少到最小。(2)技术上的规范。利用可信计算机技术对身份验证技术、移动存储介质控制、内网与外部联系的控制、网络远程监控、信息审计来进一步规范。要建立网络用户的信息数据库,对访问重点检测数据的用户、访问地点、访问时间有详细记录。建立内部网络主机登录日志,对登录主机的用户、登录时间、退出时间等有详细记录;对发现可疑操作如多次尝试用户名和密码的行为,要及时报警并采取必要的安全措施如关机等,并形成日志记录。对主机访问移动存储介质的操作以及各种在线设备进行监测和控制,如禁用或开启软驱、光驱、USB端口等,并在关机时检测这些解释是否取出驱动器,防止将移动存储介质丢失。要对每次所发生的事件进行记录,并对设备的更改自动形成日志。除了对非授权存取、外联、接入有必要的技术检测手段外,还要及时响应,并形成日志记录。管理员通过对日志的审计,可以发现一些可疑的信息,进行重点跟踪监测。(3)完善数据的备份恢复工作。针对各种突发灾难事件,建立灾难恢复与业务持续性计划,进行应急演练,形成快速响应、快速恢复的机制,将灾难造成的损失降到组织可以接受的程度。
四、企业网络信息安全保障
(一)企业网络受到的威胁
(1)计算机病毒、蠕虫、间谍软件的威胁计算机病毒的破坏位列所有安全威胁之首。病毒感染可能造成网络通信阻塞、文件系统破坏,系统无法提供服务甚至重要数据丢失。病毒的传播非常迅速;蠕虫是通过计算机网络进行自我复制的恶意程序,泛滥时可以导致网络阻塞和瘫痪;间谍软件在用户不知情的情况下进行非法安装(安装后很难找到其踪影),并悄悄把截获的机密信息发送给第三者。(2)拒绝服务攻击和分布式拒绝服务攻击DoS和DDoS可以被分为两类:一类是利用网络协议的固有缺陷或实现上的弱点来进行攻击,与漏洞攻击相似;另一类利用看似合理的海量服务请求来耗尽网络和系统的资源,达到网络和系统能力的极限,从而使合法用户无法得到服务的响应。(3)端口扫描这种信息收集型攻击可能会是某种攻击的前奏,虽然不会对目标本身造成危害,但由于会被用来为进一步入侵提供有用信息,这种探测应该被阻止。(4)信息传递的安全不容忽视一般随着集团办公自动化、财务、调度等生产经营方面的重要系统投入运行,大量重要数据和机密信息都需要通过内部局域网和广域网来传输,必须防止这些信息被非法截取而泄露机密;被非法篡改而造成数据混乱和信息错误;被非法用户假冒合法身份,发送虚假信息造成破坏和损失。保护信息资源,保证信息的传递成为企业信息安全中重要的一环。
(二)企业网络信息安全防范技术
1.防火墙技术。针对因特网安全问题的最为广泛的商业解决方案是防火墙,防火墙一台位于本地局域网和因特网之间的网络访问控制设备,用于拒绝除了明确允许通过之外的所有通信数据,它不同于只会确定网络信息传输方向的简单路由器,而是在网络传输通过相关的访问站点时对其实施一整套访问策略的一个或一组系统,成为整个机构安全体系中不可缺少的一个基本组成部分。大多数防火墙都采用几种功能相结合的形式来保护自己的网络不受恶意传输的攻击,其中最流行的技术有静态分组过滤、动态分组过滤、状态过滤和代理服务器技术,它们的安全级别依次升高,但具体实践中既要考虑体系的性价比,又要考虑安全兼顾网络连接能力。此外,现今良好的防火墙还采用了VPN、监视和入侵检测技术。防火墙的安全控制主要是基于IP地址的,难以为用户在防火墙内外提供一致的安全策略;而且防火墙只实现了粗粒度的访问控制,也不能与企业内部使用的其他安全机制(如访问控制)集成使用;另外,防火墙难于管理和配置,由多个系统(路由器、过滤器、代理服务器、网关、保垒主机)组成的防火墙,管理上难免有所疏忽。
2.入侵检测系统。入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要,首先因为它能够对付来自内部网络的攻击,其次它能够减少被黑客入侵的时间。基于网络的入侵检测系统使用原始的网络包作为信息源。
入侵检测技术是一种积极主动的安全防护技术,提供了对内部入侵、外部入侵和误操作的实时保护,在网络系统受到危害之前拦截相应入侵。随着时代的发展,入侵检测技术将朝着三个方向发展:分布式入侵检测、智能化入侵检测和全面的安全防御方案。入侵检测系统(Intrusion Detection System,IDS)是进行入侵检测的软件与硬件的组合,其主要功能是检测,除此之外还有检测部分阻止不了的入侵;检测入侵的前兆,从而加以处理,如阻止、封闭等;入侵事件的归档,从而提供法律依据;网络遭受威胁程度的评估和入侵事件的恢复等功能。
3.虚拟专用网(VPN)技术。所谓VPN技术就是在公共网络上建立专用网络,使数据通过安全的“加密管道”在公共网络中传播。用以在公共通信网络上构建VPN有两种主流的机制,这两种机制为路由过滤技术和隧道技术。目前VPN主要采用了如下四项技术来保障安全:隧道技术(Tunneling)、加解密技术(Encryption &Decryption)、密匙管理技术(Key Management)和使用者与设备身份认证技术(Authentication)。(下转第183页)
(上接第177页)其中几种流行的隧道技术分别为PPTP、L2TP和Ipse。VPN隧道机制应能技术不同层次的安全服务,这些安全服务包括不同强度的源鉴别、数据加密和数据完整性等。VPN也有几种分类方法,如按接入方式分成专线VPN和拨号VPN;按隧道协议可分为第二层和第三层的;按发起方式可分成客户发起的和服务器发起的。
4.安全漏洞评估系统。安全漏洞评估系统是一个漏洞和风险评估工具,用于发现、发掘和报告网络安全漏洞。一个出色的安全评估系统不仅能够检测和报告漏洞,而且还可以证明漏洞发生在什么地方以及发生的原因。它质询网络和系统;在系统间分享信息并继续探测各种漏洞直到发现所有的安全漏洞;还可以通过发掘漏洞以提供更高的可信度以确保被检测出的漏洞是真正的漏洞。
5.其他网络信息安全技术。(1)智能卡技术,智能卡技术和加密技术相近,其实智能卡就是密匙的一种媒体,由授权用户持有并由该用户赋与它一个口令或密码字,该密码字与内部网络服务器上注册的密码一致。智能卡技术一般与身份验证联合使用。(2)安全脆弱性扫描技术,它为能针对网络分析系统当前的设置和防御手段,指出系统存在或潜在的安全漏洞,以改进系统对网络入侵的防御能力的一种安全技术。(3)网络数据存储、备份及容灾规划,它是当系统或设备不幸遇到灾难后就可以迅速地恢复数据,使整个系统在最短的时间内重新投入正常运行的一种安全技术方案。其他网络信息安全技术还有我们较熟悉的各种网络防杀病毒技术等等。在实际应用中,越来越多通过互联网传播的病毒泛滥,使网络在为企业带来便利的同时,也带来了安全隐患和威胁。许多企业已开始大规模地着手实施企业防病毒解决方案。
五、总结
在竞争日益激烈的当今社会,捍卫企业的数据安全,同样是企业提高自身竞争力的要素之一。如何能够保障信息安全,是当今企业需要面对的一个难题。因此从应用层面来讲,不管是企业还是个人,保障信息安全应该从多个方面同时着手,包括基础架构设施,内容、应用以及操作上的安全,还应该在安全意识方面有所增强。随着信息技术的日益发展,信息安全问题也层出不穷,但是只要做好每一个细节工作,把责任落实到具体个人,按照规范的操作,信息安全将会得到保障。
参 考 文 献
[1]王福生,陈志.企业信息安全从内网安全抓起.信息安全与通信保密[J].2009(5)
[2]春增军.基于ISO27001的企业信息安全保障体系的构建设想.情报杂志[J].2009(5)
[3]闫兵.企业信息安全概述及防范.科技资讯[J].2010(4)
[4]王克.内网安全防范技术.信息网络安全[J].2009(1)
[5]肖茜.网络信息安全研究.网络安全[J].2009(4)
[6]熊光澤,常政威,桑楠..可信计算发展综述..计算机应用[J].2009(4)