吴樱
摘 要:企业信息安全作为我国信息化建设健康发展的重要因素,关系到贯彻落实科学发展观、全面建设小康社会、构建社会主义和谐社会和建设创新型社会等国家战略举措的实施,是国家安全的重要组成部分。习近平总书记指出,没有网络信息安全就没有国家安全,没有信息化就没有现代化。在信息系统安全保障工作中,人是最活跃的因素,人员的企业信息安全意识、知识与技能已经成为保障信息系统安全稳定运行的重要基本要素之一。
关键词:企业信息安全保障基础;企业信息安全技术;企业信息安全管理
中图分类号:TP311 文献标识码:A 文章编号:1671-2064(2017)06-0020-02
随着现代化无纸办公要求的提高,相应的也就要求了现在企业办公离不开网络,便于办公的企业都自行建立了自己的企业内网,“企业自身处内网环境中,黑客难以入侵。但实际上,无线网络、众多智能设备(如手机、Pad等)为黑客提供了更多便利,而企业所信任的防火墙在黑客面前形同虚设。”知名企业信息安全顾问、国家企业信息安全最高认证(CISP)金牌讲师张胜生在讲座中对目前国内企业普遍缺乏企业信息安全专业团队,漠视企业信息安全的现状表示担忧。
2013年中央电视台播出的“棱镜门 ”一时闹的沸沸扬扬,棱镜计划(PRISM)是一项由美国国家安全局(NSA)自2007年小布什时期起开始实施的绝密电子监听计划。美国情报机构一直在九家美国互联网公司中进行数据挖掘工作,从音频、视频、图片、邮件、文档以及连接信息中分析个人的联系方式与行动。监控的类型有10类:信息电邮、即时消息、视频、照片、存储数据、语音聊天、文件传输、视频会议、登录时间、社交网络资料的细节,其中包括两个秘密监视项目,一是监视、监听民众电话的通话记录,二是监视民众的网络活动。
该类事件也反应了关于企业及个人企业信息安全的问题。
1 企业信息安全管理基础
1.1 企业信息安全事件分析
统计结果表明,在所有企业信息安全事故中,只有20%-30%是由于黑客入侵或其他外部原因造成的,70%-80%是由于内部人员的疏忽或有意泄密造成的。站在较高的层次上来看信息和网络安全的全貌就会发现安全问题实际上都是人的问题,单凭技术是无法实现从“最大威胁”到“最可靠防线”转变的。
1.2 企业信息安全管理的需求
企业信息安全取决于两个因素:技术和管理。安全技术是企业信息安全的构筑材料,安全管理是真正的粘合剂和催化剂,企业信息安全管理是预防、阻止和减少企业信息安全事件发生的重要保障。
1.3 信息安全保障的内涵
信息安全保障要综合技术、管理、工程和人。应融入信息系统生命周期的全过程,目的不仅仅是保障信息系统本身,更应该是通过保障信息系统,从而保障运行于信息系统之上的业务系统、保障组织机构。信息安全保障不仅仅是孤立的自身的问题,更应该是一个社会化的、需要各方参与的工作,信息安全保障是主观和客观的结合。
2 企业信息系统安全系统结构组成要素
实现企业信息安全系统结构的安全,要从多方面考虑,通常定义包括安全属性、系统组成、安全策略、安全机制等4个方面。在每一个方面中,还可以继续划分多个层次;对于一个给定的层次,包含着多种安全要素。
2.1 安全属性
安全本身是对信息系统一种属性要求,信息系统通过安全服务来实现安全性。基本的安全服务包括标识与鉴别、保密性、完整性、可用性等。安全服务和安全机制的对应关系如下:5大类安全服务:身份鉴别、访问控制、数据保密、数据完整性、不可否认性及提供这些服务的8类安全机制及其相应的OSI安全管理等对应OSI模型的7层协议中的不同层,以实现端系统企业信息安全传送的通信通路。这样从安全性到安全服务机制到具体安全技术手段形成了安全属性的不同层次。
2.2 系统组成
系统组成描述信息系统的组成要素。对于信息系统的组成划分,有不同的方法。可以分为硬件和软件,在硬件和软件中又可以进一步地划分。对于分布的信息系统,可以将信息系统资源分为用户单元和网络单元,即将信息系统的组成要素分为本地计算环境和网络,以及计算环境边界。
2.3 安全策略
在安全系统结构中,安全策略指用于限定一个系统、实体或对象进行安全相关操作的规则。即要表明在安全范围内什么是允许的,什么是不允许的。直接体现了安全需求,并且也有面向不同层次、视图及原理的安全策略。其描述内容和形式也各不相同。对于抽象型和一般型安全系统结构而言,安全策略主要是对加密、访问控制、多级安全等策略的通用规定,不涉及具体的软硬件实现;而对于具体型安全系统结构,其安全策略则是要对实现系统安全功能的主体和客体特性进行具体的标识和说明,亦即要描述允许或禁止系统和用户何时执行哪些动作,并要能反射到软硬件安全组件的具体配置,如,网络操作系统的账号、用户权限等。
2.4 安全机制
安全机制是实现信息系统安全需求及安全策略的各种措施,具体可以表现为所需要的安全标准、安全協议、安全技术、安全单元等。对于不同层次、不同视图及不同原理的安全系统结构,安全机制的重点也有所不同。例如:OSI安全系统结构中建议采用7种安全机制。而对于特定系统的安全系统结构,则要进一步说明有关安全机制的具体实现技术,如认证机制的实现可以有口令、密码技术及实体特征鉴别等方法。
3 企业信息安全攻防技术
3.1 恶意代码及网络安全攻防
3.1.1 恶意代码定义
恶意代码(Unwanted Code,Malicious Software,Malware,Malicous code)是指没有作用却会带来危险的代码。
恶意代码类型:二进制代码、二进制文件、脚本语言、宏语言。
3.1.2 恶意代码传播方式
移动存储、文件传播、网络传播、网页、电子邮件、漏洞、共享、即时通讯、软件捆绑。
3.2 恶意代码的防治
增强安全策略与意识:减少漏洞、补丁管理、主机加固、减轻威胁、防病毒软件、间谍软件检测和删除工具、入侵检测/入侵防御系统、防火墙、路由器、应用安全设置等。
3.3 恶意代码检测技术
3.3.1 特征码扫描
工作机制:特征匹配、病毒库(恶意代码特征库)、扫描(特征匹配过程)、优势、准确(误报率低)、易于管理不足、效率问题(特征库不断庞大、依赖厂商)、滞后(先有病毒后有特征库,需要更新特征库)。
3.3.2 恶意代码检测技术-沙箱技术
工作机制:将恶意代码放入虚拟机中执行,其执行的所有操作都被虚拟化重定向,不改变实际操作系统优势。
优点:能较好的解决变形代码的检测。
3.3.3 恶意代码检测技术-行为检测
工作机制:基于统计数据、恶意代码行为有哪些、行为符合度。
优势:能检测到未知病毒。
不足:误报率高。
难点:病毒不可判定原则。
3.3.4 恶意代码清除技术
恶意代码清除技术有:
(1)感染引导区型、修复/重建引导区。(2)文件感染型、附着型:病毒行为逆向还原、替换型:备份还原。(3)独立型:独立可执行程序:终止进程、删除。(4)独立依附型:内存退出、删除。(5)嵌入型。(6)更新软件或系统。(7)重置系统。
4 企业信息安全攻防技术常见的手段和工具
4.1 攻击的过程
4.1.1 攻击的过程
信息安全當中攻击方式有:信息收集、目标分析、实施攻击,留后门方便再次进入、打扫战场,清理入侵记录。
针对以上提到的行为了解其原理并考虑应对措施网络攻击的方式:(1)主动攻击:扫描、渗透、拒绝服务等。(2)被动攻击:嗅探、钓鱼等。
攻击过程的一些术语:后门、0-day、提权。
4.1.2 信息收集攻击的第一步
信息收集-攻击的第一步:获取攻击目标资料,网络信息,主机信息,应用部署信息,漏洞信息,其他任何有价值的信息,分析目标信息、寻找攻击途径,排除迷惑信息,可被利用的漏洞,利用工具。
4.2 收集哪些信息
目标系统的信息系统相关资料:域名、网络拓扑、操作系统、应用软件、相关脆弱性、目标系统的组织相关资料、组织架构及关联组织、地理位置细节、电话号码、邮件等联系方式、近期重大事件、员工简历、其他可能令攻击者感兴趣的任何信息。
4.2.1 信息收集的技术
(1)公开信息收集(媒体、搜索引擎、广告等)。(2)域名及IP信息收集(whois、nslookup等)。(3)网络结构探测(Ping、tracert等)。(4)系统及应用信息收集(端口扫描、旗标、协议指纹等)。(5)脆弱性信息收集(nessus、sss等)。
4.2.2 域名信息收集
在维护企业信息安全的过程中需要搜集域名信息:(1)NSlookup域名解析查询。(2)Whois 是一个标准服务,可以用来查询域名是否被注册以及注册的详细资料 Whois 可以查询到的信息。(3)域名所有者。(4)域名及IP地址对应信息。(5)联系方式。(6)域名注册日期。(7)域名到期日期。(8)域名所使用的 DNS Servers。
4.3 工具介绍
4.3.1 检索工具
基础检索工具:(1)TFN2K。(2)Trinoo。
4.3.2 电子欺骗的类型
(1)IP欺骗(IP Spoof)。(2)TCP会话劫持(TCP Hijack)。(3)ARP欺骗(ARP Spoof)。(4)DNS欺骗(DNS spoof)。(5)路由欺骗(ICMP重定向报文欺骗、RIP路由欺骗、源径路由欺骗)。
4.3.3 利用应用脚本开发的缺陷-SQL注入
SQL注入原理:SQL注入(SQL Injection):程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据或进行数据库操作。
4.3.4 SQL注入防御
防御的对象:所有外部传入数据、用户的输入、提交的URL请求中、参数部分、从cookie中得到的数据、其他系统传入的数据。
防御的方法:
白名单:限制传递数据的格式。
黑名单:过滤特殊字串:update、insert、delete等。
开发时过滤特殊字符:单引号、双引号、斜杠、反斜杠、冒号、空字符等的字符、部署防SQL注入系统或脚本。
5 结语
在了解信息安全和风险管理基础上,结合企业安全需求和信息安全风险管理实践,提出企业信息安全风险管理的框架,用以指导企业信息安全的实践、结合实际的网络构架、通常遇到的网络攻击,给出了企业通过具体安全项目实施信息安全风险管理的方法,以引导企业安全系统的建立。
参考文献
[1]姚键,孙昌平,孙虎,茅兵,黄皓,谢立.基于策略的安全管理研究[J].计算机应用与软件,2005年03期.
[2]李守鹏,孙红波.信息系统安全策略研究[J].电子学报,2003年07期.
[3]林则夫,陈德泉.企业信息安全风险分析及其对应急管理的启示[A].第八届中国管理科学学术年会论文集[C],2006年.