疏堵结合“治”安全

文｜本刊记者 陈昕

病毒传播、黑客攻击等安全问题，大大增加了信息安全的管理难度，信息安全一旦出现纰漏，企业的相关信息将面临丢失乃至落到竞争对手手中。企业的信息安全问题、以及对信息的安全管理都变得至关重要，企业要想保证信息安全，就必须找出存在信息安全问题的根源，并具有良好的安全管理策略。

企业信息化建设是一项长期工作。通常企业在信息化建设过程中会对信息化需求的分析、系统选型及实施上线给予足够的关注，然而企业信息化建设并不以系统的上线为止，相反更多和更重要的工作是如何保证系统在上线后，能够随着企业业务变化而持续地推广、维护和优化升级。

随着企业对信息化应用的不断深入，企业对系统的依赖性也越来越强，信息化在帮助企业提高管理效率的同时，安全体系缺乏所隐藏的风险也将越来越突出，比如说信息安全的隐患、无形资产流失的风险、系统故障给业务运行带来的影响等。同时，信息化在使用过程中会存在众多风险，例如数据风险、硬件风险等。在信息高速发展的今天，信息化系统建设集中化趋势和云平台等信息技术的发展，使得数据的集中度越来越高，数据集中为信息化系统的部署、更新和实施带来高效，同时，如何保证数据信息的安全，建立完整的信息保障体系也显得愈加重要。

日趋复杂的信息安全环境

现在利用信息技术管理信息安全问题相较之前变得更为复杂，目前，企业信息安全面临的潜在威胁主要有以下几个方面，一是病毒危害，计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码，它是具有破坏作用的程序或指令集合。计算机病毒已经泛滥成灾，几乎无孔不入。据统计，计算机病毒的种类已经超过4万多种，而且还在以每年40%的速度递增，随着互联网技术的发展，病毒在企业信息系统中传播的速度越来越快，其破坏性也越来越强。

二是“黑客”攻击。“黑客”是英文Hacker的谐音，黑客是利用技术手段进入其权限以外的计算机系统的人。黑客破解或破坏某个程序、系统及网络安全，或者破解某系统或网络以提醒该系统所有者的系统安全漏洞的过程。通常采用后门程序、信息炸弹、拒绝服务、网络监听、密码破解等手段侵入计算机系统，盗窃系统保密信息，进行信

息破坏或占用系统资源，黑客攻击已经成为近年来经常出现的问题。

三是网络攻击。网络攻击就是对网络安全威胁的具体表现，利用网络存在的漏洞和安全缺陷对系统和资源进行的攻击。尤其是在最近几年里，网络攻击技术和攻击工具有了新的发展趋势，使借助互联网运行业务的企业面临着前所未有的风险。

病毒传播、黑客攻击等安全问题，大大增加了信息安全的管理难度，信息安全一旦出现纰漏，企业的相关信息将面临丢失乃至落到竞争对手手中。企业的信息安全问题、以及对信息的安全管理都变得至关重要，企业要想保证信息安全，就必须找出存在信息安全问题的根源，并具有良好的安全管理策略。

立体分布式解决信息安全问题

信息安全问题在近年来已经逐渐获得了更多的关注。据媒体报道，全球领先的信息安全整体解决方案厂商瑞星公司，与全球领先的信息与通信解决方案供应商华为通过签署战略合作协议，建立云计算虚拟化防病毒领域战略合作伙伴关系，联手研发国内首个自主知识产权的虚拟化安全产品。

信息安全系统的搭建并不是简单将信息安全产品安装到企业的电脑中，对于一些大型跨国企业来说，企业的信息系统及其复杂，针对企业对于内网信息安全管理的需求，企业需要建立立体分布式体系并不断强化信息安全理念，通过构建符合企业自身特点的信息安全体系，借鉴成功部署信息安全企业的成熟经验和先进的信息技术，设计好信息安全解决方案，使信息安全系统不但可以杀毒、防毒，还不会拖慢企业整体IT环境，保障企业网络通畅。

当然，这是理想情况下的企业信息安全系统构建。眼下，业内主流、商用的服务器操作系统基本为国外产品，本身存在漏洞和后门，而且一旦出现漏洞、后门后，系统补丁升级需要时间。在此期间，服务器系统的应用、数据安全如何得到保证，一直是困扰企业的一个难题。

以某一资源丰富、技术与人才密集的国有特大型企业为例，该企业工作区域主要分布在其所在省的8个地市及28个县（区）内。随着企业业务的不断拓展，支撑企业运转的信息化应用系统越来越多，主要包括生产指挥系统、源头数据采集系统、地理信息系统、数据库系统、办公自动化系统等。由于业务空间上的分散，来自网络内外的信息安全问题也随之增多。

该企业服务器上普遍部署的是国际通用的主流商业服务器操作系统，这些操作系统在美国的TECSE（橘皮书）标准中都属于C2级操作系统，其本身不具备完善安全的防护功能，存在诸多的漏洞和后门，很多来自内外网应用层的攻击，通过包装重组技术可以透过传统的网络安全防护设备，直接进入企业内任何一台服务器，一旦企业系统的核心应用被破坏或关键数据被窃取，将造成不可弥补的损失或影响。基于这样的考虑，该企业与国内某大型软件厂商合作，为企业的服务器操作系统安全、应用安全等量身定做了相关的解决方案，极大规避了服务器应用的安全风险。

操作系统是衔接服务器硬件与服务器应用软件的桥梁，桥梁的安全、可靠，决定了应用系统和数据的安全、可靠。针对于此，软件厂商增加目标应用服务器上操作系统的内核级安全，对操作系统的文件、注册表、服务、进程等资源实现强制访问控制，消除病毒等恶意程序的生存环境，使服务器能够免疫针对操作系统的攻击，实现对已知或未知病毒程序、ROOTKIT级后门威胁的主动防御，避免出现企业信息系统因新的蠕虫等感染型病毒的出现，而导致的网络瘫痪、应用服务中断等安全事故。

在系统的运维过程中，如果系统缺乏身份认证以及授权机制，来自内、外部的频繁访问有可能使得不法分子获得很好的伪装身份，从而轻而易举的获取到重要信息。针对于此，软件厂商采用了规范系统管理员行为、强制访问控制、关键业务进程保护机制以及建立安全审计机制4个维度的管控机制，有效降低了内、外部的运维风险。

该企业通过加强对操作系统管理员行为的管理，实现对不同厂商的运维人员的“最小授权”，通过技术和制度手段对ROOT账号的权力加以分散。即使拥有ROOT账号的运维人员，如果需要访问不属于自己的资源，也必须取得相关部门的授权。这样既保证了运维工作的正常进行，又能够规避因为运维人员权限过大而带来的风险。而对服务器的资源，尤其是业务信息系统资源，则实现细粒度的强制访问控制，使得运维人员或恶意攻击人员不能够随意安装和开启远程控制软件，即便在利用SSH等方式远程登录后，也不能对系统关键资源实施窃取、破坏等行为。

同时，该企业通过建立行之有效的进程保护机制，确保业务进程不会因为运维人员的误操作等原因终止，也不会被病毒、木马等恶意程序注入而导致业务过程被破坏。建立安全审计机制，通过“三权分立”机制实现对操作人员的最小授权。当出现操作人员企图越权访问核心数据资产的情况时，会及时的按照访问用户、程序、时间、动作等信息记录在系统中，在日后的企业内审中作为技术判断依据。在发生病毒、木马等恶意程序通过移动介质企图进入系统时，信息安全系统会及时的定位病毒文件，便于安全运维人员清理和删除这些危险程序。

信息安全 全民防护

系统安全管理就是要建立信息安全保障机制，信息安全保障体系并不是仅仅指建立防火墙、系统用户安全管理、信息备份和病毒防护，通常包含准入、保护、验证、培训和监控五大领域的信息管理和服务保障体系。这五大领域又相互加强，成为一个闭环的安全管控体系。

五大领域对应的信息保障体系具体内容包括准入，即安全政策的制定、企业信息安全管理架构的建立、对安全风险和威胁评估、对系统架构脆弱性的检测、灾备计划、安全审计等内容。保护，不仅包括软件系统中密码系统（例如单点登录系统，系统用户密码规则等）的建立，还包括防火墙的实施、VPN的实施、系统安全程序的开发和集成、管理安全服务等。验证，安全管理需要保障系统文档的保存和及时更新、定期测试，对可能的攻击、风险和系统脆弱性进行分析和更新，定期对系统、计划和程序的IT安全性进行审计等。培训，包括对员工和信息系统管理人员的培训，让全公司的人员都有安全意识，并主动在工作中遵循相关的安全和信息保障规定。这些培训包括安全认识培训、入侵侦测培训、安全操作小组培训、系统管理员的安全培训等。监控，即对入侵的侦测、系统和网络监控、入侵历史分析、恶意代码分析、安全事件汇报、成立安全事件响应小组等。

随着云计算、物联网等新技术、新应用的出现，现有的产品检测标准已经滞后或缺失，很难发现深层次的问题。为了更好地维护企业信息安全，企业还要定期开展对关键技术设备的系统漏洞检测评估，发掘深层次隐患，提出相应的加固解决办法。有效的漏洞分析、风险评估可以使企业集中研讨当前突出问题的解决办法，提出对策建议。此外，企业还要加强网络安全态势感知和预警平台的建设。由于现在境外的网络攻击都比较隐秘，行为加密，很难被发现，要想排除威胁就必须加强网络安全态势感知，发现深层次问题。

信息安全的维护更需要从国家层面上进一步加强对基础设施的保障保护，并建立一些主动防御手段。无论是企业还是个人都需要进一步强化漏洞意识和危机意识，从维护国家安全、公共安全和个人隐私的角度进行全民防护。对于企业来说应当在企业的系统中采取相应防护措施，拒绝非正当的数据获取和利用；对于个人来说应该加强安全意识，杜绝弱口令和不安全行为。

更为重要的是，信息安全工作的开展亟需一个强有力的协调部门。我国国家信息安全战略的总体目标是：提高信息化建设能力，控制和化解信息化进程中出现的问题与风险，创建安全健康的网络幻境，保障和促进信息化发展，保护公众利益、维护国家安全。建立和完善维护国家信息安全的长效机制，掌握国家信息安全的战略主动权。

针对我国的实际情况，仅仅依靠企业自发地去建设信息化及其安全意识是不够的，发达国家的经验已经证明：在企业信息化建设过程中，政府的支持、鼓励与引导至关重要。政府的作用主要是改进和完善企业信息化建设的环境，包括信息化基础设施建设、配套体系的建立和完善、信息安全相关法律法规的制定等，从而为企业信息化建设工作及其信息安全管理营造一个良好的环境，确保企业核心信息受国家法律保护而不受侵害。