信息系统安全管理的问题和对策

本文主要研究了企业信息系统的现状及防范措施。首先，分析了信息系统普遍存在的安全问题；其次，在此基础上，依据法律法规、行业标准及信息系统安全等级保护要求，对信息系统从技术手段和管理措施等方面提出了一些防范措施；最终对信息安全工作进行了肯定和展望。

【关键词】信息系统 身份鉴别 漏洞扫描 信息安全管理体系（ISMS）

近年来，“Locky勒索软件变种”、““水牢漏洞””、“支付宝实名认证信息漏洞”、“京东12G用户数据泄露”、“700元买他人隐私信息”等信息安全事件层出不穷，引起各国领导的重视和社会关注。为提高网络安全和互联网治理，2014年，我国成立了以习近平主席为最高领导的信息安全管理机构-中央网信办；2016年11月，在中国乌镇举行了《第三届世界互联网大会》。通过一系列的行为，为求现有的网络系统能够提高安全能力，为广大社会群众提供服务的同时，能够保证人民的利益。

信息系统是由硬件、软件、信息、规章制度等组成，主要以处理信息流为主，信息系统的网络安全备受关注。企业在应对外部攻击，安全风险的同时，当务之急是建立一套完整的信息安全管理体系。在统一的体系管控下，分布实施，开展各项安全工作。

目前，大多数企业的信息安全工作比较单一，主要是部署安全防护设备，进行简单的配置。信息安全工作不全面，安全管理相对薄弱，不足以抵抗来自外部的威胁。

1 信息安全问题

1.1 身份鉴别不严格

考虑到方便记忆和频繁的登录操作，企业普遍存在管理员账号简单或者直接采用系统的默认账号现象，并且基本不设定管理员的权限，默认使用最大权限。一旦攻击者通过猜测或其他手段获得管理员账号，攻击者如入无人之境，可以任意妄为。最终可造成数据泄露，系统瘫痪等不可估量的严重后果。注重信息安全的企业会修改默认管理员账号，设定较为复杂的口令，并定期进行口令更换。但是也仅仅使用一种身份鉴别技术，不足以抵抗外部攻击。

1.2 外部攻击，层出不穷

随着计算机技术的发展，信息系统的外部攻擊，层出不穷。攻击者利用网络系统的漏洞和缺陷，攻击系统软件、硬件和数据，进行非法操作，造成系统瘫痪或者数据丢失。 目前主要存在的攻击手段包括扫描技术、邮件

攻击、拒绝服务攻击、口令攻击、恶意程序等等；入侵常用的步骤包括采用漏洞扫描工具进行扫描、选择合适的方式入侵、获取系统的一定权限、提升为系统最高权限、安装系统后门、获取敏感信息或者其他攻击目的。攻击者会根据系统特性和网络结构采取不同的手段对网络进行攻击，如果不采取相应的防御手段，很容易被黑客攻击，造成损失。

1.3 员工安全意识薄弱

很多互联网企业的员工缺乏信息安全意识，存在离开办公电脑时不锁屏现象；将重要客户信息、合同等敏感材料放在办公桌上或者不及时取走打印机房内的材料；优盘未经杀毒直接连接公司电脑；随意点击不明邮件的链接；更有员工将系统账号、密码粘贴在办公桌上；在系统建设阶段，大到管理者，小到开发人员、测试人员，均注重技术实现和业务要求，而忽略了系统的安全和管理。由于员工的信息安全意识较为薄弱，很容易造成公司信息泄露，进而导致公司的损失。

1.4 内部管理制度不完善

俗话说，“不以规矩，不能成方圆”。未形成全面的信息安全管理制度体系，缺失部分安全策略、管理制度、操作规程，可能导致信息安全管理制度体系存在疏漏，部分管理内容无法有效实施。使相关工作过程缺乏规范依据和质量保障，进而影响到信息系统的安全建设和安全运维。比如在软件开发过程中，开发人员会因为各种原因而忽略安全开发（存在开发人员没有意识到代码安全开发的问题；有些开发人员不愿意使用边界检查，怕影响系统的效率和性能；当然也存在许多遗留代码存在问题的现象，从而导致二次开发同样产生问题），可能导致系统存在后门，被黑客攻击。

2 防范措施

企业需依据《信息安全等级保护管理办法（公通字[2007]43号）》、《中华人民共和国网络安全法》》、《ISO/IEC 27001》等标准和法律法规进行信息系统安全建设工作。测评机构在网安的要求下，对企业信息系统的安全进行测评，并出具相应测评结果。根据测评结果和整改建议，采用相应的技术手段（安全认证、入侵检测、漏洞扫描、监控管理、数据备份与加密等）和管理措施（安全团队、教育与培训、管理体系等）对信息系统进行整改。如图1所示。

2.1 技术手段

2.1.1 安全认证

身份鉴别是指在计算机系统中确认执行者身份的过程，以确定该用户是否具有访问某种资源的权限，防止非法用户访问系统资源，保障合法用户访问授权的信息系统。凡登录系统的用户，均需进行身份鉴别和标识，且标识需具有唯一性。用户身份鉴别机制一般分为用户知道的信息、用户持有的信息、用户生物特征信息三种。针对不同鉴别机制，常用的鉴别技术（认证技术）如表1所示。

不同的认证技术，在安全性、便捷性方面存在不同的特性。比如USB-Key的安全等级较高，但会遇到各种问题，导致便捷性较差（比如存在软硬件适配性问题，移动终端无USB口等）。一般认为在相同的便捷性前提下，选择安全等级较高的认证技术。针对重要系统应采用双因子认证技术。

2.1.2 入侵检测

入侵检测能够依据安全策略，对网络和系统进行监视，发现各种攻击行为，能够实时保护内部攻击、外部攻击和误操作的情况，保证信息系统网络资源的安全。入侵检测系统（IDS）是一个旁路监听设备，需要部署在网络内部。如果信息系统中包含了多个逻辑隔离的子网，则需要在整个信息系统中实施分布部署，从而掌控整个信息系统安全状况。

2.1.3 漏洞扫描

漏洞扫描是指基于漏洞数据库，通过扫描等手段对目标系统的安全脆弱性进行检测，发现可利用的漏洞的一种安全检测行为。常见的漏洞扫描类型主要包括系统安全隐患扫描、应用安全隐患扫描、数据库安全配置隐患扫描等。系统安全隐患扫描根据扫描方式的不同，分为基于网络的和基于主机的系统安全扫描，可以发现系统存在的安全漏洞、安全配置隐患、弱口令、服务和端口等。应用安全隐患扫描可以扫描出Web应用中的SQL注入、Cookie注入、XPath注入、LDAP注入、跨站脚本、第三方软件等大部分漏洞。数据库安全配置隐患扫描可以检测出数据库的DBMS漏洞、缺省配置、权限提升漏洞、缓冲区溢出、补丁未升级等自身漏洞。

漏洞扫描主要用于评估主机操作系统、网络和安全设备操作系统、数据库以及应用平台软件的安全情况，它能有效避免黑客攻击行为，做到防患于未然。

2.1.4 监控管理

网络监控主要包括上网监控和内网监控两部分。目前市场上已做的完整监控软件已包含上述功能。网络监控需结合网络拓扑，在网络关键点接入监控工具监测当前网络数据流量，分析可疑信息流，通过截包解码分析的方式验证系统数据传输的安全。例如Solarwinds网络监控平台，它包括Network Performance Monitoring、Network Traffic Analysis、WAN Performance （IP SLA） 、IP Address Management、Network Configuration Management、Application Performance Monitoring等。可以执行全面的带宽性能监控和故障管理；可以分析网络流量；可以对服务器上运行的服务和进程进行自动监控，并在故障发生时及时告警；可对VOIP的相关参数进行监控；可以通过直观的网络控制台管理整个IP架构；可快速检测、诊断及解决虚拟化环境的网络性能；强大的应用程序监视、告警、报告功能等。

2.1.5 数据备份与加密

企业高度重视业务信息、系统数据和软件系统。数据在存储时应加密存储，防止黑客攻击系统，轻易获得敏感数据，造成公司的重大经济损失。常用的加密算法包括对称加密（DES、AES）和不对称加密算法（RSA）。密码技术不仅可以防止信息泄露，同时可以保证信息的完整性和不可抵赖性。例如现在比较成熟的哈希算法、数字签名、数字证书等。

除了对数据进行加密存储外，由于存在数据丢失、系统断电、机房着火等意外，需对系统数据进行备份。按照备份环境，备份分为本地备份和异地备份；按照备份数据量的多少，备份分为全备、增备、差分备份和按需备份。各企业需根据自己的业务要求和实际情况，选取合适的备份方式进行备份。理想的备份是综合了软件数据备份和硬件冗余设计。

2.2 管理措施

2.2.1 安全团队

企业应设立能够统一指挥、协调有序、组织有力的专业的安全管理团队负责信息安全工作，该团队包括信息安全委员会，信息安全部门及其成员。安全部门负责人除了具备极强的业务处理能力，还需要有管理能力、沟通能力、应变能力。目前安全团队的从业人员数量在逐渐增加，话语权在增多，肩上的担子也越来越大。安全团队需要定好自己的位，多检查少运维，多帮企业解决问题。即安全团队修路，各部门在上面跑自己的需求。

2.2.2 教育與培训

保护企业信息安全，未雨绸缪比亡羊补牢要强。培养企业信息安全意识文化，树立员工信息安全责任心，是解决企业信息安全的关键手段之一。企业的竞争实际上是人才的竞争，除了定期进行技能培训外，还需对员工的安全意识进行教育和培训。信息安全团队应制定信息安全意识教育和培训计划，包括但不限于在线、邮件、海报（标语）、视频、专场、外培等形式。通过对员工的安全意识教育，能从内部预防企业安全事件的发生，提高企业的安全保障能力。

2.2.3 管理体系

随着计算机攻击技术的不断提高，攻击事件越来越多，且存在部分攻击来自公司组织内部。单靠个人的力量已无法保障信息系统的安全。因此，企业需建立自上而下的信息安全管理体系（ISMS， Information Security Management System），以达到分工明确，职责清晰，安全开发，可靠运维。安全管理制度作为安全管理体系的纲领性文件，在信息系统的整个生命周期中起着至关重要的作用。不同机构在建立与完善信息安全管理体系时，可根据自身情况，采取不同的方法，一般经过PDCA四个基本阶段（Plan：策划与准备；Do文件的编制；Check运行；Action审核、评审和持续改进）。可依据ISO27000，信息安全等级保护等，从制度、安全机构、人员、系统建设和系统运维5个方面去制定信息安全管理体系。通常，信息安全管理体系主要由总体方针和政策、安全管理制度、日常操作规程和记录文档组成，如图2所示。

3 结语

国家不断加强对各个互联网企业、金融、银行等的信息安全工作监督，通过ISO27000、信息安全等级保护测评、电子银行评估、互联网网站专项安全测评等方式，规范企业的信息安全建设工作。同样，信息安全工作长期面临挑战，不能一蹴而就，需要相关安全工作人员戮力同心、同舟共济、相互扶持、携手共建信息安全的共同体。

参考文献

[1]沈昌祥，张焕国，冯登国等.信息安全综述[J].中国科学杂志社，2007（37）：129-150.

[2]李嘉，蔡立志，张春柳等.信息系统安全等级保护测评实践[M].哈尔滨工程大学出版社，2016（01）.

[3]蒋欣.计算机网络战防御技术分析[J].指挥控制与仿真，2006（08），28-4.

作者简介

康玉婷（1988-），女，上海市人。硕士学位。现为信息安全等级测评师、初级工程师。主要研究方向为信息安全。

作者单位

1.上海计算机软件技术开发中心 上海市 201112

2.上海软中信息技术有限公司 上海市 200235