信息系統(tǒng)安全管理的問題和對(duì)策

本文主要研究了企業(yè)信息系統(tǒng)的現(xiàn)狀及防范措施。首先，分析了信息系統(tǒng)普遍存在的安全問題；其次，在此基礎(chǔ)上，依據(jù)法律法規(guī)、行業(yè)標(biāo)準(zhǔn)及信息系統(tǒng)安全等級(jí)保護(hù)要求，對(duì)信息系統(tǒng)從技術(shù)手段和管理措施等方面提出了一些防范措施；最終對(duì)信息安全工作進(jìn)行了肯定和展望。

【關(guān)鍵詞】信息系統(tǒng) 身份鑒別 漏洞掃描 信息安全管理體系（ISMS）

近年來，“Locky勒索軟件變種”、““水牢漏洞””、“支付寶實(shí)名認(rèn)證信息漏洞”、“京東12G用戶數(shù)據(jù)泄露”、“700元買他人隱私信息”等信息安全事件層出不窮，引起各國領(lǐng)導(dǎo)的重視和社會(huì)關(guān)注。為提高網(wǎng)絡(luò)安全和互聯(lián)網(wǎng)治理，2014年，我國成立了以習(xí)近平主席為最高領(lǐng)導(dǎo)的信息安全管理機(jī)構(gòu)-中央網(wǎng)信辦；2016年11月，在中國烏鎮(zhèn)舉行了《第三屆世界互聯(lián)網(wǎng)大會(huì)》。通過一系列的行為，為求現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)能夠提高安全能力，為廣大社會(huì)群眾提供服務(wù)的同時(shí)，能夠保證人民的利益。

信息系統(tǒng)是由硬件、軟件、信息、規(guī)章制度等組成，主要以處理信息流為主，信息系統(tǒng)的網(wǎng)絡(luò)安全備受關(guān)注。企業(yè)在應(yīng)對(duì)外部攻擊，安全風(fēng)險(xiǎn)的同時(shí)，當(dāng)務(wù)之急是建立一套完整的信息安全管理體系。在統(tǒng)一的體系管控下，分布實(shí)施，開展各項(xiàng)安全工作。

目前，大多數(shù)企業(yè)的信息安全工作比較單一，主要是部署安全防護(hù)設(shè)備，進(jìn)行簡單的配置。信息安全工作不全面，安全管理相對(duì)薄弱，不足以抵抗來自外部的威脅。

1 信息安全問題

1.1 身份鑒別不嚴(yán)格

考慮到方便記憶和頻繁的登錄操作，企業(yè)普遍存在管理員賬號(hào)簡單或者直接采用系統(tǒng)的默認(rèn)賬號(hào)現(xiàn)象，并且基本不設(shè)定管理員的權(quán)限，默認(rèn)使用最大權(quán)限。一旦攻擊者通過猜測(cè)或其他手段獲得管理員賬號(hào)，攻擊者如入無人之境，可以任意妄為。最終可造成數(shù)據(jù)泄露，系統(tǒng)癱瘓等不可估量的嚴(yán)重后果。注重信息安全的企業(yè)會(huì)修改默認(rèn)管理員賬號(hào)，設(shè)定較為復(fù)雜的口令，并定期進(jìn)行口令更換。但是也僅僅使用一種身份鑒別技術(shù)，不足以抵抗外部攻擊。

1.2 外部攻擊，層出不窮

隨著計(jì)算機(jī)技術(shù)的發(fā)展，信息系統(tǒng)的外部攻擊，層出不窮。攻擊者利用網(wǎng)絡(luò)系統(tǒng)的漏洞和缺陷，攻擊系統(tǒng)軟件、硬件和數(shù)據(jù)，進(jìn)行非法操作，造成系統(tǒng)癱瘓或者數(shù)據(jù)丟失。 目前主要存在的攻擊手段包括掃描技術(shù)、郵件

攻擊、拒絕服務(wù)攻擊、口令攻擊、惡意程序等等；入侵常用的步驟包括采用漏洞掃描工具進(jìn)行掃描、選擇合適的方式入侵、獲取系統(tǒng)的一定權(quán)限、提升為系統(tǒng)最高權(quán)限、安裝系統(tǒng)后門、獲取敏感信息或者其他攻擊目的。攻擊者會(huì)根據(jù)系統(tǒng)特性和網(wǎng)絡(luò)結(jié)構(gòu)采取不同的手段對(duì)網(wǎng)絡(luò)進(jìn)行攻擊，如果不采取相應(yīng)的防御手段，很容易被黑客攻擊，造成損失。

1.3 員工安全意識(shí)薄弱

很多互聯(lián)網(wǎng)企業(yè)的員工缺乏信息安全意識(shí)，存在離開辦公電腦時(shí)不鎖屏現(xiàn)象；將重要客戶信息、合同等敏感材料放在辦公桌上或者不及時(shí)取走打印機(jī)房內(nèi)的材料；優(yōu)盤未經(jīng)殺毒直接連接公司電腦；隨意點(diǎn)擊不明郵件的鏈接；更有員工將系統(tǒng)賬號(hào)、密碼粘貼在辦公桌上；在系統(tǒng)建設(shè)階段，大到管理者，小到開發(fā)人員、測(cè)試人員，均注重技術(shù)實(shí)現(xiàn)和業(yè)務(wù)要求，而忽略了系統(tǒng)的安全和管理。由于員工的信息安全意識(shí)較為薄弱，很容易造成公司信息泄露，進(jìn)而導(dǎo)致公司的損失。

1.4 內(nèi)部管理制度不完善

俗話說，“不以規(guī)矩，不能成方圓”。未形成全面的信息安全管理制度體系，缺失部分安全策略、管理制度、操作規(guī)程，可能導(dǎo)致信息安全管理制度體系存在疏漏，部分管理內(nèi)容無法有效實(shí)施。使相關(guān)工作過程缺乏規(guī)范依據(jù)和質(zhì)量保障，進(jìn)而影響到信息系統(tǒng)的安全建設(shè)和安全運(yùn)維。比如在軟件開發(fā)過程中，開發(fā)人員會(huì)因?yàn)楦鞣N原因而忽略安全開發(fā)（存在開發(fā)人員沒有意識(shí)到代碼安全開發(fā)的問題；有些開發(fā)人員不愿意使用邊界檢查，怕影響系統(tǒng)的效率和性能；當(dāng)然也存在許多遺留代碼存在問題的現(xiàn)象，從而導(dǎo)致二次開發(fā)同樣產(chǎn)生問題），可能導(dǎo)致系統(tǒng)存在后門，被黑客攻擊。

2 防范措施

企業(yè)需依據(jù)《信息安全等級(jí)保護(hù)管理辦法（公通字[2007]43號(hào)）》、《中華人民共和國網(wǎng)絡(luò)安全法》》、《ISO/IEC 27001》等標(biāo)準(zhǔn)和法律法規(guī)進(jìn)行信息系統(tǒng)安全建設(shè)工作。測(cè)評(píng)機(jī)構(gòu)在網(wǎng)安的要求下，對(duì)企業(yè)信息系統(tǒng)的安全進(jìn)行測(cè)評(píng)，并出具相應(yīng)測(cè)評(píng)結(jié)果。根據(jù)測(cè)評(píng)結(jié)果和整改建議，采用相應(yīng)的技術(shù)手段（安全認(rèn)證、入侵檢測(cè)、漏洞掃描、監(jiān)控管理、數(shù)據(jù)備份與加密等）和管理措施（安全團(tuán)隊(duì)、教育與培訓(xùn)、管理體系等）對(duì)信息系統(tǒng)進(jìn)行整改。如圖1所示。

2.1 技術(shù)手段

2.1.1 安全認(rèn)證

身份鑒別是指在計(jì)算機(jī)系統(tǒng)中確認(rèn)執(zhí)行者身份的過程，以確定該用戶是否具有訪問某種資源的權(quán)限，防止非法用戶訪問系統(tǒng)資源，保障合法用戶訪問授權(quán)的信息系統(tǒng)。凡登錄系統(tǒng)的用戶，均需進(jìn)行身份鑒別和標(biāo)識(shí)，且標(biāo)識(shí)需具有唯一性。用戶身份鑒別機(jī)制一般分為用戶知道的信息、用戶持有的信息、用戶生物特征信息三種。針對(duì)不同鑒別機(jī)制，常用的鑒別技術(shù)（認(rèn)證技術(shù)）如表1所示。

不同的認(rèn)證技術(shù)，在安全性、便捷性方面存在不同的特性。比如USB-Key的安全等級(jí)較高，但會(huì)遇到各種問題，導(dǎo)致便捷性較差（比如存在軟硬件適配性問題，移動(dòng)終端無USB口等）。一般認(rèn)為在相同的便捷性前提下，選擇安全等級(jí)較高的認(rèn)證技術(shù)。針對(duì)重要系統(tǒng)應(yīng)采用雙因子認(rèn)證技術(shù)。

2.1.2 入侵檢測(cè)

入侵檢測(cè)能夠依據(jù)安全策略，對(duì)網(wǎng)絡(luò)和系統(tǒng)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊行為，能夠?qū)崟r(shí)保護(hù)內(nèi)部攻擊、外部攻擊和誤操作的情況，保證信息系統(tǒng)網(wǎng)絡(luò)資源的安全。入侵檢測(cè)系統(tǒng)（IDS）是一個(gè)旁路監(jiān)聽設(shè)備，需要部署在網(wǎng)絡(luò)內(nèi)部。如果信息系統(tǒng)中包含了多個(gè)邏輯隔離的子網(wǎng)，則需要在整個(gè)信息系統(tǒng)中實(shí)施分布部署，從而掌控整個(gè)信息系統(tǒng)安全狀況。

2.1.3 漏洞掃描

漏洞掃描是指基于漏洞數(shù)據(jù)庫，通過掃描等手段對(duì)目標(biāo)系統(tǒng)的安全脆弱性進(jìn)行檢測(cè)，發(fā)現(xiàn)可利用的漏洞的一種安全檢測(cè)行為。常見的漏洞掃描類型主要包括系統(tǒng)安全隱患掃描、應(yīng)用安全隱患掃描、數(shù)據(jù)庫安全配置隱患掃描等。系統(tǒng)安全隱患掃描根據(jù)掃描方式的不同，分為基于網(wǎng)絡(luò)的和基于主機(jī)的系統(tǒng)安全掃描，可以發(fā)現(xiàn)系統(tǒng)存在的安全漏洞、安全配置隱患、弱口令、服務(wù)和端口等。應(yīng)用安全隱患掃描可以掃描出Web應(yīng)用中的SQL注入、Cookie注入、XPath注入、LDAP注入、跨站腳本、第三方軟件等大部分漏洞。數(shù)據(jù)庫安全配置隱患掃描可以檢測(cè)出數(shù)據(jù)庫的DBMS漏洞、缺省配置、權(quán)限提升漏洞、緩沖區(qū)溢出、補(bǔ)丁未升級(jí)等自身漏洞。

漏洞掃描主要用于評(píng)估主機(jī)操作系統(tǒng)、網(wǎng)絡(luò)和安全設(shè)備操作系統(tǒng)、數(shù)據(jù)庫以及應(yīng)用平臺(tái)軟件的安全情況，它能有效避免黑客攻擊行為，做到防患于未然。

2.1.4 監(jiān)控管理

網(wǎng)絡(luò)監(jiān)控主要包括上網(wǎng)監(jiān)控和內(nèi)網(wǎng)監(jiān)控兩部分。目前市場上已做的完整監(jiān)控軟件已包含上述功能。網(wǎng)絡(luò)監(jiān)控需結(jié)合網(wǎng)絡(luò)拓?fù)?，在網(wǎng)絡(luò)關(guān)鍵點(diǎn)接入監(jiān)控工具監(jiān)測(cè)當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)流量，分析可疑信息流，通過截包解碼分析的方式驗(yàn)證系統(tǒng)數(shù)據(jù)傳輸?shù)陌踩?。例如Solarwinds網(wǎng)絡(luò)監(jiān)控平臺(tái)，它包括Network Performance Monitoring、Network Traffic Analysis、WAN Performance （IP SLA） 、IP Address Management、Network Configuration Management、Application Performance Monitoring等。可以執(zhí)行全面的帶寬性能監(jiān)控和故障管理；可以分析網(wǎng)絡(luò)流量；可以對(duì)服務(wù)器上運(yùn)行的服務(wù)和進(jìn)程進(jìn)行自動(dòng)監(jiān)控，并在故障發(fā)生時(shí)及時(shí)告警；可對(duì)VOIP的相關(guān)參數(shù)進(jìn)行監(jiān)控；可以通過直觀的網(wǎng)絡(luò)控制臺(tái)管理整個(gè)IP架構(gòu)；可快速檢測(cè)、診斷及解決虛擬化環(huán)境的網(wǎng)絡(luò)性能；強(qiáng)大的應(yīng)用程序監(jiān)視、告警、報(bào)告功能等。

2.1.5 數(shù)據(jù)備份與加密

企業(yè)高度重視業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)和軟件系統(tǒng)。數(shù)據(jù)在存儲(chǔ)時(shí)應(yīng)加密存儲(chǔ)，防止黑客攻擊系統(tǒng)，輕易獲得敏感數(shù)據(jù)，造成公司的重大經(jīng)濟(jì)損失。常用的加密算法包括對(duì)稱加密（DES、AES）和不對(duì)稱加密算法（RSA）。密碼技術(shù)不僅可以防止信息泄露，同時(shí)可以保證信息的完整性和不可抵賴性。例如現(xiàn)在比較成熟的哈希算法、數(shù)字簽名、數(shù)字證書等。

除了對(duì)數(shù)據(jù)進(jìn)行加密存儲(chǔ)外，由于存在數(shù)據(jù)丟失、系統(tǒng)斷電、機(jī)房著火等意外，需對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行備份。按照備份環(huán)境，備份分為本地備份和異地備份；按照備份數(shù)據(jù)量的多少，備份分為全備、增備、差分備份和按需備份。各企業(yè)需根據(jù)自己的業(yè)務(wù)要求和實(shí)際情況，選取合適的備份方式進(jìn)行備份。理想的備份是綜合了軟件數(shù)據(jù)備份和硬件冗余設(shè)計(jì)。

2.2 管理措施

2.2.1 安全團(tuán)隊(duì)

企業(yè)應(yīng)設(shè)立能夠統(tǒng)一指揮、協(xié)調(diào)有序、組織有力的專業(yè)的安全管理團(tuán)隊(duì)負(fù)責(zé)信息安全工作，該團(tuán)隊(duì)包括信息安全委員會(huì)，信息安全部門及其成員。安全部門負(fù)責(zé)人除了具備極強(qiáng)的業(yè)務(wù)處理能力，還需要有管理能力、溝通能力、應(yīng)變能力。目前安全團(tuán)隊(duì)的從業(yè)人員數(shù)量在逐漸增加，話語權(quán)在增多，肩上的擔(dān)子也越來越大。安全團(tuán)隊(duì)需要定好自己的位，多檢查少運(yùn)維，多幫企業(yè)解決問題。即安全團(tuán)隊(duì)修路，各部門在上面跑自己的需求。

2.2.2 教育與培訓(xùn)

保護(hù)企業(yè)信息安全，未雨綢繆比亡羊補(bǔ)牢要強(qiáng)。培養(yǎng)企業(yè)信息安全意識(shí)文化，樹立員工信息安全責(zé)任心，是解決企業(yè)信息安全的關(guān)鍵手段之一。企業(yè)的競爭實(shí)際上是人才的競爭，除了定期進(jìn)行技能培訓(xùn)外，還需對(duì)員工的安全意識(shí)進(jìn)行教育和培訓(xùn)。信息安全團(tuán)隊(duì)?wèi)?yīng)制定信息安全意識(shí)教育和培訓(xùn)計(jì)劃，包括但不限于在線、郵件、海報(bào)（標(biāo)語）、視頻、專場、外培等形式。通過對(duì)員工的安全意識(shí)教育，能從內(nèi)部預(yù)防企業(yè)安全事件的發(fā)生，提高企業(yè)的安全保障能力。

2.2.3 管理體系

隨著計(jì)算機(jī)攻擊技術(shù)的不斷提高，攻擊事件越來越多，且存在部分攻擊來自公司組織內(nèi)部。單靠個(gè)人的力量已無法保障信息系統(tǒng)的安全。因此，企業(yè)需建立自上而下的信息安全管理體系（ISMS， Information Security Management System），以達(dá)到分工明確，職責(zé)清晰，安全開發(fā)，可靠運(yùn)維。安全管理制度作為安全管理體系的綱領(lǐng)性文件，在信息系統(tǒng)的整個(gè)生命周期中起著至關(guān)重要的作用。不同機(jī)構(gòu)在建立與完善信息安全管理體系時(shí)，可根據(jù)自身情況，采取不同的方法，一般經(jīng)過PDCA四個(gè)基本階段（Plan：策劃與準(zhǔn)備；Do文件的編制；Check運(yùn)行；Action審核、評(píng)審和持續(xù)改進(jìn)）?？梢罁?jù)ISO27000，信息安全等級(jí)保護(hù)等，從制度、安全機(jī)構(gòu)、人員、系統(tǒng)建設(shè)和系統(tǒng)運(yùn)維5個(gè)方面去制定信息安全管理體系。通常，信息安全管理體系主要由總體方針和政策、安全管理制度、日常操作規(guī)程和記錄文檔組成，如圖2所示。

3 結(jié)語

國家不斷加強(qiáng)對(duì)各個(gè)互聯(lián)網(wǎng)企業(yè)、金融、銀行等的信息安全工作監(jiān)督，通過ISO27000、信息安全等級(jí)保護(hù)測(cè)評(píng)、電子銀行評(píng)估、互聯(lián)網(wǎng)網(wǎng)站專項(xiàng)安全測(cè)評(píng)等方式，規(guī)范企業(yè)的信息安全建設(shè)工作。同樣，信息安全工作長期面臨挑戰(zhàn)，不能一蹴而就，需要相關(guān)安全工作人員戮力同心、同舟共濟(jì)、相互扶持、攜手共建信息安全的共同體。

參考文獻(xiàn)

[1]沈昌祥，張煥國，馮登國等.信息安全綜述[J].中國科學(xué)雜志社，2007（37）：129-150.

[2]李嘉，蔡立志，張春柳等.信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)實(shí)踐[M].哈爾濱工程大學(xué)出版社，2016（01）.

[3]蔣欣.計(jì)算機(jī)網(wǎng)絡(luò)戰(zhàn)防御技術(shù)分析[J].指揮控制與仿真，2006（08），28-4.

作者簡介

康玉婷（1988-），女，上海市人。碩士學(xué)位?，F(xiàn)為信息安全等級(jí)測(cè)評(píng)師、初級(jí)工程師。主要研究方向?yàn)樾畔踩?/p>

作者單位

1.上海計(jì)算機(jī)軟件技術(shù)開發(fā)中心 上海市 201112

2.上海軟中信息技術(shù)有限公司 上海市 200235