企業(yè)信息安全的管理與防護

吳櫻

摘 要：企業(yè)信息安全作為我國信息化建設(shè)健康發(fā)展的重要因素，關(guān)系到貫徹落實科學(xué)發(fā)展觀、全面建設(shè)小康社會、構(gòu)建社會主義和諧社會和建設(shè)創(chuàng)新型社會等國家戰(zhàn)略舉措的實施，是國家安全的重要組成部分。習(xí)近平總書記指出，沒有網(wǎng)絡(luò)信息安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化。在信息系統(tǒng)安全保障工作中，人是最活躍的因素，人員的企業(yè)信息安全意識、知識與技能已經(jīng)成為保障信息系統(tǒng)安全穩(wěn)定運行的重要基本要素之一。

關(guān)鍵詞：企業(yè)信息安全保障基礎(chǔ)；企業(yè)信息安全技術(shù)；企業(yè)信息安全管理

中圖分類號：TP311 文獻標(biāo)識碼：A 文章編號：1671-2064（2017）06-0020-02

隨著現(xiàn)代化無紙辦公要求的提高，相應(yīng)的也就要求了現(xiàn)在企業(yè)辦公離不開網(wǎng)絡(luò)，便于辦公的企業(yè)都自行建立了自己的企業(yè)內(nèi)網(wǎng)，“企業(yè)自身處內(nèi)網(wǎng)環(huán)境中，黑客難以入侵。但實際上，無線網(wǎng)絡(luò)、眾多智能設(shè)備（如手機、Pad等）為黑客提供了更多便利，而企業(yè)所信任的防火墻在黑客面前形同虛設(shè)?！敝髽I(yè)信息安全顧問、國家企業(yè)信息安全最高認證（CISP）金牌講師張勝生在講座中對目前國內(nèi)企業(yè)普遍缺乏企業(yè)信息安全專業(yè)團隊，漠視企業(yè)信息安全的現(xiàn)狀表示擔(dān)憂。

2013年中央電視臺播出的“棱鏡門 ”一時鬧的沸沸揚揚，棱鏡計劃（PRISM）是一項由美國國家安全局（NSA）自2007年小布什時期起開始實施的絕密電子監(jiān)聽計劃。美國情報機構(gòu)一直在九家美國互聯(lián)網(wǎng)公司中進行數(shù)據(jù)挖掘工作，從音頻、視頻、圖片、郵件、文檔以及連接信息中分析個人的聯(lián)系方式與行動。監(jiān)控的類型有10類：信息電郵、即時消息、視頻、照片、存儲數(shù)據(jù)、語音聊天、文件傳輸、視頻會議、登錄時間、社交網(wǎng)絡(luò)資料的細節(jié)，其中包括兩個秘密監(jiān)視項目，一是監(jiān)視、監(jiān)聽民眾電話的通話記錄，二是監(jiān)視民眾的網(wǎng)絡(luò)活動。

該類事件也反應(yīng)了關(guān)于企業(yè)及個人企業(yè)信息安全的問題。

1 企業(yè)信息安全管理基礎(chǔ)

1.1 企業(yè)信息安全事件分析

統(tǒng)計結(jié)果表明，在所有企業(yè)信息安全事故中，只有20%-30%是由于黑客入侵或其他外部原因造成的，70%-80%是由于內(nèi)部人員的疏忽或有意泄密造成的。站在較高的層次上來看信息和網(wǎng)絡(luò)安全的全貌就會發(fā)現(xiàn)安全問題實際上都是人的問題，單憑技術(shù)是無法實現(xiàn)從“最大威脅”到“最可靠防線”轉(zhuǎn)變的。

1.2 企業(yè)信息安全管理的需求

企業(yè)信息安全取決于兩個因素：技術(shù)和管理。安全技術(shù)是企業(yè)信息安全的構(gòu)筑材料，安全管理是真正的粘合劑和催化劑，企業(yè)信息安全管理是預(yù)防、阻止和減少企業(yè)信息安全事件發(fā)生的重要保障。

1.3 信息安全保障的內(nèi)涵

信息安全保障要綜合技術(shù)、管理、工程和人。應(yīng)融入信息系統(tǒng)生命周期的全過程，目的不僅僅是保障信息系統(tǒng)本身，更應(yīng)該是通過保障信息系統(tǒng)，從而保障運行于信息系統(tǒng)之上的業(yè)務(wù)系統(tǒng)、保障組織機構(gòu)。信息安全保障不僅僅是孤立的自身的問題，更應(yīng)該是一個社會化的、需要各方參與的工作，信息安全保障是主觀和客觀的結(jié)合。

2 企業(yè)信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)組成要素

實現(xiàn)企業(yè)信息安全系統(tǒng)結(jié)構(gòu)的安全，要從多方面考慮，通常定義包括安全屬性、系統(tǒng)組成、安全策略、安全機制等4個方面。在每一個方面中，還可以繼續(xù)劃分多個層次；對于一個給定的層次，包含著多種安全要素。

2.1 安全屬性

安全本身是對信息系統(tǒng)一種屬性要求，信息系統(tǒng)通過安全服務(wù)來實現(xiàn)安全性?；镜陌踩?wù)包括標(biāo)識與鑒別、保密性、完整性、可用性等。安全服務(wù)和安全機制的對應(yīng)關(guān)系如下：5大類安全服務(wù)：身份鑒別、訪問控制、數(shù)據(jù)保密、數(shù)據(jù)完整性、不可否認性及提供這些服務(wù)的8類安全機制及其相應(yīng)的OSI安全管理等對應(yīng)OSI模型的7層協(xié)議中的不同層，以實現(xiàn)端系統(tǒng)企業(yè)信息安全傳送的通信通路。這樣從安全性到安全服務(wù)機制到具體安全技術(shù)手段形成了安全屬性的不同層次。

2.2 系統(tǒng)組成

系統(tǒng)組成描述信息系統(tǒng)的組成要素。對于信息系統(tǒng)的組成劃分，有不同的方法?？梢苑譃橛布蛙浖?，在硬件和軟件中又可以進一步地劃分。對于分布的信息系統(tǒng)，可以將信息系統(tǒng)資源分為用戶單元和網(wǎng)絡(luò)單元，即將信息系統(tǒng)的組成要素分為本地計算環(huán)境和網(wǎng)絡(luò)，以及計算環(huán)境邊界。

2.3 安全策略

在安全系統(tǒng)結(jié)構(gòu)中，安全策略指用于限定一個系統(tǒng)、實體或?qū)ο筮M行安全相關(guān)操作的規(guī)則。即要表明在安全范圍內(nèi)什么是允許的，什么是不允許的。直接體現(xiàn)了安全需求，并且也有面向不同層次、視圖及原理的安全策略。其描述內(nèi)容和形式也各不相同。對于抽象型和一般型安全系統(tǒng)結(jié)構(gòu)而言，安全策略主要是對加密、訪問控制、多級安全等策略的通用規(guī)定，不涉及具體的軟硬件實現(xiàn)；而對于具體型安全系統(tǒng)結(jié)構(gòu)，其安全策略則是要對實現(xiàn)系統(tǒng)安全功能的主體和客體特性進行具體的標(biāo)識和說明，亦即要描述允許或禁止系統(tǒng)和用戶何時執(zhí)行哪些動作，并要能反射到軟硬件安全組件的具體配置，如，網(wǎng)絡(luò)操作系統(tǒng)的賬號、用戶權(quán)限等。

2.4 安全機制

安全機制是實現(xiàn)信息系統(tǒng)安全需求及安全策略的各種措施，具體可以表現(xiàn)為所需要的安全標(biāo)準(zhǔn)、安全協(xié)議、安全技術(shù)、安全單元等。對于不同層次、不同視圖及不同原理的安全系統(tǒng)結(jié)構(gòu)，安全機制的重點也有所不同。例如：OSI安全系統(tǒng)結(jié)構(gòu)中建議采用7種安全機制。而對于特定系統(tǒng)的安全系統(tǒng)結(jié)構(gòu)，則要進一步說明有關(guān)安全機制的具體實現(xiàn)技術(shù)，如認證機制的實現(xiàn)可以有口令、密碼技術(shù)及實體特征鑒別等方法。

3 企業(yè)信息安全攻防技術(shù)

3.1 惡意代碼及網(wǎng)絡(luò)安全攻防

3.1.1 惡意代碼定義

惡意代碼（Unwanted Code，Malicious Software，Malware，Malicous code）是指沒有作用卻會帶來危險的代碼。

惡意代碼類型：二進制代碼、二進制文件、腳本語言、宏語言。

3.1.2 惡意代碼傳播方式

移動存儲、文件傳播、網(wǎng)絡(luò)傳播、網(wǎng)頁、電子郵件、漏洞、共享、即時通訊、軟件捆綁。

3.2 惡意代碼的防治

增強安全策略與意識：減少漏洞、補丁管理、主機加固、減輕威脅、防病毒軟件、間諜軟件檢測和刪除工具、入侵檢測/入侵防御系統(tǒng)、防火墻、路由器、應(yīng)用安全設(shè)置等。

3.3 惡意代碼檢測技術(shù)

3.3.1 特征碼掃描

工作機制：特征匹配、病毒庫（惡意代碼特征庫）、掃描（特征匹配過程）、優(yōu)勢、準(zhǔn)確（誤報率低）、易于管理不足、效率問題（特征庫不斷龐大、依賴廠商）、滯后（先有病毒后有特征庫，需要更新特征庫）。

3.3.2 惡意代碼檢測技術(shù)-沙箱技術(shù)

工作機制：將惡意代碼放入虛擬機中執(zhí)行，其執(zhí)行的所有操作都被虛擬化重定向，不改變實際操作系統(tǒng)優(yōu)勢。

優(yōu)點：能較好的解決變形代碼的檢測。

3.3.3 惡意代碼檢測技術(shù)-行為檢測

工作機制：基于統(tǒng)計數(shù)據(jù)、惡意代碼行為有哪些、行為符合度。

優(yōu)勢：能檢測到未知病毒。

不足：誤報率高。

難點：病毒不可判定原則。

3.3.4 惡意代碼清除技術(shù)

惡意代碼清除技術(shù)有：

（1）感染引導(dǎo)區(qū)型、修復(fù)/重建引導(dǎo)區(qū)。（2）文件感染型、附著型：病毒行為逆向還原、替換型：備份還原。（3）獨立型：獨立可執(zhí)行程序：終止進程、刪除。（4）獨立依附型：內(nèi)存退出、刪除。（5）嵌入型。（6）更新軟件或系統(tǒng)。（7）重置系統(tǒng)。

4 企業(yè)信息安全攻防技術(shù)常見的手段和工具

4.1 攻擊的過程

4.1.1 攻擊的過程

信息安全當(dāng)中攻擊方式有：信息收集、目標(biāo)分析、實施攻擊，留后門方便再次進入、打掃戰(zhàn)場，清理入侵記錄。

針對以上提到的行為了解其原理并考慮應(yīng)對措施網(wǎng)絡(luò)攻擊的方式：（1）主動攻擊：掃描、滲透、拒絕服務(wù)等。（2）被動攻擊：嗅探、釣魚等。

攻擊過程的一些術(shù)語：后門、0-day、提權(quán)。

4.1.2 信息收集攻擊的第一步

信息收集-攻擊的第一步：獲取攻擊目標(biāo)資料，網(wǎng)絡(luò)信息，主機信息，應(yīng)用部署信息，漏洞信息，其他任何有價值的信息，分析目標(biāo)信息、尋找攻擊途徑，排除迷惑信息，可被利用的漏洞，利用工具。

4.2 收集哪些信息

目標(biāo)系統(tǒng)的信息系統(tǒng)相關(guān)資料：域名、網(wǎng)絡(luò)拓撲、操作系統(tǒng)、應(yīng)用軟件、相關(guān)脆弱性、目標(biāo)系統(tǒng)的組織相關(guān)資料、組織架構(gòu)及關(guān)聯(lián)組織、地理位置細節(jié)、電話號碼、郵件等聯(lián)系方式、近期重大事件、員工簡歷、其他可能令攻擊者感興趣的任何信息。

4.2.1 信息收集的技術(shù)

（1）公開信息收集（媒體、搜索引擎、廣告等）。（2）域名及IP信息收集（whois、nslookup等）。（3）網(wǎng)絡(luò)結(jié)構(gòu)探測（Ping、tracert等）。（4）系統(tǒng)及應(yīng)用信息收集（端口掃描、旗標(biāo)、協(xié)議指紋等）。（5）脆弱性信息收集（nessus、sss等）。

4.2.2 域名信息收集

在維護企業(yè)信息安全的過程中需要搜集域名信息：（1）NSlookup域名解析查詢。（2）Whois 是一個標(biāo)準(zhǔn)服務(wù)，可以用來查詢域名是否被注冊以及注冊的詳細資料 Whois 可以查詢到的信息。（3）域名所有者。（4）域名及IP地址對應(yīng)信息。（5）聯(lián)系方式。（6）域名注冊日期。（7）域名到期日期。（8）域名所使用的 DNS Servers。

4.3 工具介紹

4.3.1 檢索工具

基礎(chǔ)檢索工具：（1）TFN2K。（2）Trinoo。

4.3.2 電子欺騙的類型

（1）IP欺騙（IP Spoof）。（2）TCP會話劫持（TCP Hijack）。（3）ARP欺騙（ARP Spoof）。（4）DNS欺騙（DNS spoof）。（5）路由欺騙（ICMP重定向報文欺騙、RIP路由欺騙、源徑路由欺騙）。

4.3.3 利用應(yīng)用腳本開發(fā)的缺陷-SQL注入

SQL注入原理：SQL注入（SQL Injection）：程序員在編寫代碼的時候，沒有對用戶輸入數(shù)據(jù)的合法性進行判斷，使應(yīng)用程序存在安全隱患。用戶可以提交一段數(shù)據(jù)庫查詢代碼，根據(jù)程序返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)或進行數(shù)據(jù)庫操作。

4.3.4 SQL注入防御

防御的對象：所有外部傳入數(shù)據(jù)、用戶的輸入、提交的URL請求中、參數(shù)部分、從cookie中得到的數(shù)據(jù)、其他系統(tǒng)傳入的數(shù)據(jù)。

防御的方法：

白名單：限制傳遞數(shù)據(jù)的格式。

黑名單：過濾特殊字串：update、insert、delete等。

開發(fā)時過濾特殊字符：單引號、雙引號、斜杠、反斜杠、冒號、空字符等的字符、部署防SQL注入系統(tǒng)或腳本。

5 結(jié)語

在了解信息安全和風(fēng)險管理基礎(chǔ)上，結(jié)合企業(yè)安全需求和信息安全風(fēng)險管理實踐，提出企業(yè)信息安全風(fēng)險管理的框架，用以指導(dǎo)企業(yè)信息安全的實踐、結(jié)合實際的網(wǎng)絡(luò)構(gòu)架、通常遇到的網(wǎng)絡(luò)攻擊，給出了企業(yè)通過具體安全項目實施信息安全風(fēng)險管理的方法，以引導(dǎo)企業(yè)安全系統(tǒng)的建立。

參考文獻

[1]姚鍵，孫昌平，孫虎，茅兵，黃皓，謝立.基于策略的安全管理研究[J].計算機應(yīng)用與軟件，2005年03期.

[2]李守鵬，孫紅波.信息系統(tǒng)安全策略研究[J].電子學(xué)報，2003年07期.

[3]林則夫，陳德泉.企業(yè)信息安全風(fēng)險分析及其對應(yīng)急管理的啟示[A].第八屆中國管理科學(xué)學(xué)術(shù)年會論文集[C]，2006年.