“互联网+”时代企业信息安全形势及对策

文/李 栋 方 芳

“互联网+”时代企业信息安全形势及对策

文/李 栋 方 芳

“互联网+”就是将互联网与传统产业企业相结合，促进企业发展。它代表一种新的经济形态，即充分发挥互联网在生产要素配置中的优化和集成作用，将互联网的创新成果深度融合于企业之中，提升企业的创新力和生产力。2015年3月，“互联网+”写进政府工作报告，被提升到前所未有的高度，政府推动传统产业企业与互联网结合，为企业带来了广阔的市场。但在看到这广阔市场的同时，我们必须清醒的认识到，伴随着企业与互联网结合成为大势所趋，企业面临的信息安全形势也愈发严峻。

“互联网+”时代企业面临的信息安全威胁

阿里巴巴公司曾统计了国内企业开发的上万个手机应用，“结果表明，86%的应用都存在着安全漏洞，40%的应用可以被植入病毒或者广告。而根据2014年6月美国战略与国际研究中心发布的报告显示，全球范围内90%的企业曾经在过去一年中遭遇过网络安全问题，而每一年由网络犯罪所带来的经济损失已经超过4450亿美元。“互联网+”要求企业业务高度互联互通，云服务、移动互联网、大数据、物联网等等这些新的网络现象使得“互联网+”时代的信息安全形势更加严峻。

1. 大数据呈井喷发展为企业信息安全带来隐患。

在“互联网+”时代，大数据在存储、处理、传输等过程中面临诸多安全风险，增加了隐私泄露的风险，实现大数据安全与隐私保护较以往其他安全问题更为棘手。非结构化数据已成为大数据的主流形式，而目前已经成熟的关系型数据库无法支持非结构化的大数据信息存储，关系型数据库中的隐私保护和用户访问控制等技术也无法在大数据管理中应用。同时，大数据来源的多样化也给企业信息安全带来了隐患，这些数据具有很强的开放性，海量数据随时通过网络汇聚，使用传统的存储和管理方式将会无法适应需求，容易导致数据管理混乱。存储设备的更新、管理、防电磁干扰、规划布局等都需要新的设计，企业网络管理员很难对所有数据信息一一进行跟踪保护。如果这些海量信息因为监管不力，就有可能造成企业运营数据、客户身份信息等企业机密信息的泄露。

2. DDoS攻击和APT攻击等威胁企业机密信息

当前，分布式拒绝服务攻击（DDos攻击）和高级持续性威胁攻击（APT攻击）成为入侵企业的主流。DDoS攻击方借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃账号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。APT攻击的原理相对于其他攻击形式更为高级和先进，其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中，此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞，利用这些漏洞组建攻击者所需的网络，并利用0day漏洞进行攻击。在“互联网+”时代，企业的数据隐私更是成为黑客们攻击的焦点，

黑客通过恶意电子邮件、SQL注入、僵尸主机、0day漏洞等方式窃取企业机密信息。使得企业信息泄露事件接连不断：2014年3月，携程网出现导致信息泄露的漏洞；5月，小米论坛800万用户资料遭泄露；9月，国外黑客利用苹果公司的iCloud云盘系统的漏洞，非法盗取众多全球当红女星的裸照，继而在网络论坛发布。

3. 移动安全威胁成为新的挑战

在“互联网+”时代，“携带个人设备办公”（BYOD）为攻击者提供了更多入口，企业需要更加关注移动安全策略。随着智能手机、平板等智能终端的普及，大量的员工的手机、平板电脑开始接入了公司网络，同时员工也习惯于通过移动终端进行工作，他们可能会直接使用手机收发邮件，或者通过微信讨论工作、传递文件。伴随而来的是恶意移动应用程序的增长，黑客可能通过员工移动设备窃取企业隐私。2014年5月，全球最大拍卖网站eBay官网发布通告，称因数据泄露呼吁其用户更新密码，媒体和用户普遍质疑eBay的安全应急计划是否完备以及是否有效付诸实施，后来调查显示，此次泄密是由于员工登录账号在终端被窃取引起的。因此企业在部署移动应用的时候需制定完善的移动安全保护策略，如智能手机、平板、笔记本等设备中数据信息的加密保护和访问权限。

然而面对在“互联网+”时代如此严峻的信息安全形势，目前我国企业对信息安全投入仍有不足，用户安全意识和安全防护技术水平的提升还有很大空间。部分企业对信息安全的重视不够，尚未建立起明确的企业信息安全目标和策略，缺乏切实可行的信息安全管理体制，从资金、技术和人员投入严重不足，迫切需要得到加强。企业的信息安全是一个系统工程，在这个系统工程中，体现着“三分技术，七分管理”。要加强企业的信息安全保密工作，管理方法和技术手段同等重要，缺一不可。

完善企业信息安全管理制度的对策

应根据企业信息安全保密工作的具体要求建立适合本企业的信息安全保密规定，建立可操作的工作制度。具体包括：

1. 企业秘密信息的分级管理

根据企业秘密的重要程度、知悉范围等，划分企业秘密级别，如企业秘密级、企业机密级、企业绝密级等。并对企业涉密人员及涉密信息设备实行分别归类，规定各类信息设备的处理方法和保护级别。涉密人员根据自身涉密等级明确在使用各类信息设备时的权责，并加强监督，而密级文件只能在具备相应或更高密级的计算机上才能被读取。

2. 企业涉密人员的管理

信息安全保密的管理，首先应加强人员管理，主要是指涉及企业秘密的员工的上岗管理、在岗管理和离岗管理。最核心的是加强教育培训，定期对涉密人员开展信息安全保密形势、防范技术、政策法规等教育，提高员工隐患意识、业务素质及良好作风。同时对信息保密工作的实施成果进行考评，将信息保密工作的结果作为员工年终考核能力的一项关键指标，并明确奖惩机制。

3. 计算机的安全管理

涉密计算机及信息设备的采购、安装、调试、维修、报废等，都应按规定报批，并由企业专门部门统一管理，避免私自拿到市场中的普通维修公司进行维修或数据恢复时导致机密信息的泄漏。计算机应分密级使用，保证密级文件的安全。对于企业非涉密计算机，也应加强管理。非法使用公司网络访问权限访问外网，有很大的可能会导致信息泄漏或者感染病毒等。因此要加强企业计算机网络运行控制的安全管理制度，包括上网审查，权限定义，文件访问、数据库访问以及应用系统访问的口令管理，使用规则等。

4. 移动存储介质管理

应建立涉及企业秘密的移动存储设备的管理制度，涵盖使用，复制，传送，携带，移交，保存，销毁等全过程。采取技术手段，禁止未经许可的移动存储介质在涉密计算机上进行使用。在企业非涉密计算机上使用移动存储介质也应进行注册管理，已注册移动存储介质在企业内网、工作电脑上可正常使用和交换数据；在外网或外部设备时需要密码验证后允许使用；非注册移动存储介质无法在企业内网的工作电脑上使用。因工作需要向企业集团以外的电脑中拷贝电子数据时，需经企业专门部门进行保密审查后方可。

健全企业信息安全保密技术防范体系的对策

根据企业网络与信息安全的实际需求，从各方面加强信息安全保密技术措施，构建系统的信息安全保密防范体系。主要包括：

1. 终端准入

对终端电脑及移动智能设备实行注册管理，接入企业网络时需进行认证控制。只允许已在企业注册、符合安全标准的终端接入企业网络，同时用户需要输入账号及密码进行身份验证，验证成功才允许访问内部信息资源；非注册终端设备及非授权账号不允许接入企业内网。

2．应用管控

对连接企业内网的终端，进行出口认证，加强网络监控和管理。禁止进行游戏、炒股、P2P下载、以及QQ、微信等与工作无关的网络操作，禁止一个账号在多台机器上同时登录互联网。同时在国家法律规定范围内对终端上网行为进行后台监控，必要时对后台监控日志进行审计；禁止访问非工作相关网站或不良信息网站。

3. 监控审计

通过监控审计系统，完整记录企业内网内所有用户访问互联网、收发邮件、电子文件拷贝、电脑操作以及信息系统管理员操作等所有信息传递活动日志，以协助分析判断是否发生信息泄漏以及发生的时间，以便跟踪调查原因。审计工作由专门部门负责，主要包括网络审计、主机审计制度、数据库审计等。

4. 病毒防范

强化反病毒措施，主要包括对网络服务器中的文件进行频繁扫描和监视，在服务器上装防病毒模块，在网络接口卡上安装防毒芯片，在计算机上插防病毒卡，对网络目录及文件设置访问权限，设置防火墙加强网络间的访问控制，以及采用屏蔽等反侦查措施防止他人从电磁信号中分析获取研制或注入病毒的根据。

5. 动态追踪

动态追踪主要包括两个方面。一是要追踪计算机网络窃密技术的最新动态，协助对应防范措施的研究；二是追踪先进的信息安全保密技术措施，并根据企业实际需求考虑是否推进应用。通过动态追踪改进信息安全保密工作，提高企业信息安全保密防范水平。

结语

“互联网+”推动大量企业开始“触网”，企业在不断提高信息化水平和创新商业模式的机遇与挑战中，面临的安全威胁将会更大。企业要拥抱互联网，必须要过信息安全这道关，企业应该深刻认识到信息安全保密的重要性，从管理和技术两方面着手，做好企业的信息安全保密工作，从而为企业在“互联网+”时代健康、快速的发展打下坚实基础。

(作者单位：宁波国研软件技术有限公司）