文/张敏 王明珊
在运营管理过程中,企业整体运营水平和信息化建设情况息息相关,必须综合分析各方面影响因素以及隐患问题,深化信息安全运行维护以及管理环节,促使信息系统设备处于高效运行中,防止重要信息数据被窃取、篡改等,科学决策的同时实时开展各项经济活动,有效提升利润空间与运营能力,增强市场核心竞争力,实现可持续发展。
在信息技术持续发展中,不同行业、领域企业纷纷走上信息化建设道路,但企业信息化建设是项复杂化工程,涉及到多个方面,革新管理、优化业务流程、安全运行维护等,加上信息化建设环境复杂化,信息系统设备运营管理中极易出现各类安全隐患问题,加强信息安全运行维护和管理有着深远的意义。在日常运营管理中,信息化安全运行维护和管理工作的有效开展利于企业随时了解信息系统设备运行情况,第一时间科学处理存在的隐患问题,加强信息系统设备薄弱运行环节的管理,防止运行过程中频繁出现各类风险,无法处于稳定运行中,利于高效“收集、分析、处理、存储”大数据背景下产生的海量信息数据,全方位准确把握日常各方面管理情况,尤其是各方面收入与支出,深化构建的资金链,科学控制资金流,促使各阶段各项业务活动开展中有重要的资金保障。在此基础上,企业信息安全运行维护和管理能够从根本上降低运行成本,各项业务活动开展中能获取最大化的经济利润,顺利提高市场占有率,最大化提高信息化建设水平,加快社会经济建设与发展步伐,为增强我国综合国力提供有力保障。
在日常运营管理中,企业必须站在客观的角度,重新审视各阶段开展的信息安全运行维护以及管理工作,明确各方面存在的漏洞问题,树立现代化信息安全运维和管理理念,强化信息系统设备安全运维以及管理意识,结合自身信息化建设具体情况,优化信息安全运维以及管理环节,促使复杂化运行环境下各项信息安全运维和管理工作高效开展。在此过程中,企业要结合信息安全运行以及维护重难点、流程等,科学构建标准化安全运维管理制度,促使营销、财务、人事等子系统处于稳定运行中,顺利将内部不同业务部门有效衔接,能够随时进行各方面资源互通共享,将各类资源及时应用到开展的一系列经济活动中,实时提高经济效益。在此基础上,企业要根据各阶段各方面运营管理情况,深化已构建的标准化安全运维管理制度,及时补充重要的内容,删除多余、不合理的内容,确保管理制度更加规范化、精准化。
在运营管理过程中,企业要围绕构建的标准化安全运维管理制度,以信息系统设备风险隐患问题为媒介,将信息安全防范技术灵活作用到运行中的信息系统设备中,高效防范的基础上促使信息系统设备处于安全、稳定运行中。企业要借助可行的信息安全防范技术,科学安装合理化的网络准入系统、防病毒系统,随时更新系统补丁,包括构建的病毒库,确保信息系统设备安全的过程中确保信息数据准确。在此过程中,企业要借助防火墙技术,灵活应用可行的身份认证机制,随时动态监督信息系统设备运行中传输的各类信息数据,防止受到恶意攻击,确保信息数据安全,利用加密保护技术,对关键性信息资料以及文件进行合理化加密,合理控制对应的打开权限,只能在内部局域网内才能使用,全面提升信息系统设备保护性能,信息数据传输、分析、整理等过程中有安全的外部环境,最大化提高业务活动开展中各方面信息数据准确率。同时,企业要巧妙应用网络恢复以及保护技术,确保信息系统设备发生故障问题之后,主系统可以第一时间切换到对应的备用系统,其中的链路层、业务层等正常运行,防止隐患问题频繁发生。此外,企业要加大对计算机终端的管控力度,提高计算机终端运行安全性,强调对用户账号、授权等方面的管理,促使业务活动开展中移动、远程等办公顺利实现,提高信息系统设备安全运行层次,客观呈现各类信息安全防范技术应用价值。
在信息安全运维管理中,企业要将信息安全运维管理人员培训工作落到实处,以运行中的信息系统设备为切入点,优化人员培训制度、方案、流程、目标等,将人员培训工作融入到信息安全运行维护和管理工作开展中。企业要围绕信息系统设备安全运维以及管理情况,细化信息安全运维管理人员培训工作内容,科学组织不同层次信息安全运维管理人员培训工作,强化人员信息安全意识,学习最新信息系统设备安全运行维护以及管理理论知识,深化已构建的知识体系,夯实理论基础,促使各项信息安全运维以及管理工作的开展有重要的理论基础。在此基础上,企业要根据业务活动开展中信息系统设备出现的安全隐患问题,选取具有代表性的案例,进行专题讲座,开展针对性培训活动,引导各层次信息安全运维管理人员参与培训实践,全面提升自身问题处理、系统设备运维与管理等能力,具备较高的综合素养,科学开展信息安全运维和管理工作,确保信息系统设备高效运转。
案例一:“影子经纪人”
北京时间2017年5月12日,全球互联网遭受Wannacry勒索软件蠕虫感染。截止17日16时,国家互联网应急中心监测发现全球近356.3万个IP地址遭受“永恒之蓝”SMB漏洞攻击,其中位于我国境内的IP地址数量接近12.5万个,对我国互联网造成严重的安全威胁。综合国家互联网应急中心和国内网络安全企业已获知的样本情况和分析结果,该勒索软件蠕虫在传播时基于445端口并利用SMB漏洞(对应微软漏洞公告:MS17-010),可以判断是由于“影子经纪人”(ShadowBrokers)组织此前公开披露漏洞攻击工具而导致的后续勒索软件蠕虫攻击。2017年4月14日晚,“影子经纪人”组织在互联网上发布“方程式”(EquationGroup)组织的部分工具文件,包含针对Windows操作系统以及其他办公、邮件软件的多个高危漏洞攻击工具,这些工具集成化程度高、部分攻击利用方式较为高效。针对可能引发的互联网上针对Window操作系统主机或应用软件的大规模攻击,4月16日,国家信息安全漏洞共享平台(CNVD)《关于加强防范Windows操作系统和相关软件漏洞攻击风险的情况公告》。时隔不到一个月,Wannacry勒索软件蠕虫大范围感染事件也印证了当时推测的严重危害。
解决方案:
针对“影子经纪人”发布的黑客使用的大量针对Windows操作系统以及其他广泛应用的软件产品的工程化工具及其对应的利用安全漏洞,云南电网应急中心进行了详细梳理,并提供相应处置建议,在云南电网应急中心的领导下,我们及时做出了行之有效的网络信息安全运行防范对策,主要对策如下所示:
(1)为所有服务器及时更新和安装Windows已发布的安全补丁;
(2)关闭135、137、138、139、445等端口的外部网络访问权限,在主机上关闭不必要的上述服务端口;
(3)加强对 135、137、138、139、445等端口的内部网络区域访问审计,及时发现非授权行为或潜在的攻击行为;
(4) 重 点 对Window XP和Windows Server 2003这两类操作系统主机进行排查;
(5)配置网络防火墙和Windows防火墙只允许信任的白名单IP地址的访问,同时将RDP服务端口3389配置(映射)为其他非常用端口;
(6)针对Windows 2003/2008/2012,下载和升级系统补丁,并在防火墙中配置tcp 88端口的安全访问控制;
(7)关闭WEBDAV,使用WAF、IPS等安全防护,升级Window XP和Windows Server 2003操作系统到Windows Server 2008及以上。
案例二:“震网三代”
2017年6月14 日,微软发布补丁,“震网三代”LNK文件远程代码执行漏洞(CVE-2017-8464)和Windows搜索远程命令执行漏洞(CVE-2017-8543)等两个相关安全漏洞,经研判分析得到核实确认。
“震网三代”LNK文件远程代码执行漏洞(CVE-2017-8464)是一个微软 Windows 系统处理 LNK 文件过程中发生的远程代码执行漏洞,其原理同 2010 年美国和以色列入侵并破坏伊朗核设施的“震网”行动中所使用的Windows 安全漏洞CVE-2010-2568相似,由U盘、光盘、网络共享等途径触发漏洞,可以穿透核设施中隔离网络环境。微软公告指出,此漏洞已被黑客组织制作为网络攻击武器。“震网三代”对能源基础设施隔离网极具杀伤力,基本覆盖所有的Windows操作系统,影响范围十分广泛,对处于物理隔离状态的电力企业生产控制大区(I/II区)、逻辑隔离状态的电力企业生产管理大区(III区)和管理信息大区(IV区)的关键信息基础设施会造成严重威胁。
Windows搜索远程命令执行漏洞(CVE-2017-8543)是Windows操作系统中搜索服务(Windows Search Service)的一个远程代码执行漏洞,通过向 Windows 搜索服务发送特定SMB消息(使用139、445端口)远程触发漏洞。
解决方案:
针对“震网三代”这一典型案例,我们在云南电网应急中心的领导下及时升级安装Windows操作系统相关补丁,对已感染病毒的机器进行立即断网,避免进一步传播感染;做好U盘安全管控,关闭网络共享及Webclient service、Windows Search服务;加强网络流量监测预警,做好网络区域访问审计,及时发现异常攻击行为并进行合理化处理,确保网络系统处于高效运行中,传输的信息数据更加完整、准确。
总而言之,在日常管理过程中,企业要在统筹兼顾的基础上准确把握信息化建设具体要求,通过不同路径采取行之有效的对策,强化信息安全运行维护和管理,降低信息系统设备运行风险以及成本,获取更多经济利润的过程中同步提高盈利和运营能力,全面推动社会经济稳定发展。