企業(yè)存在的十五個信息安全問題分析

申請免費試用、咨詢電話：400-8352-114

許多企事業(yè)單位的業(yè)務依賴于信息系統(tǒng)安全運行，信息安全重要性日益凸顯。信息已經(jīng)成為各企事業(yè)單位中的重要資源，也是一種重要的“無形財富”，分析當前的信息安全問題，有十五個典型的信息安全問題急需解決。

互聯(lián)網(wǎng)和IT技術的普及，使得應用信息突破了時間和空間上的障礙，信息的價值在不斷提高。但與此同時，網(wǎng)頁篡改、計算機病毒、系統(tǒng)非法入侵、數(shù)據(jù)泄密、網(wǎng)站欺騙、服務癱瘓、漏洞非法利用等信息安全事件時有發(fā)生。據(jù)公安部公共信息網(wǎng)絡安全監(jiān)察局的調(diào)查結果顯示，2005年5月至2006年5月間，有54%的被調(diào)查單位發(fā)生過信息網(wǎng)絡安全事件，其中，感染計算機病毒、蠕蟲和木馬程序的安全事件為84%，遭到端口掃描或網(wǎng)絡攻擊的占36%，垃圾郵件占35%。未修補和防范軟件漏洞仍然是導致安全事件發(fā)生的最突出原因，占發(fā)生安全事件總數(shù)的73%。

目前，許多企事業(yè)單位的業(yè)務依賴于信息系統(tǒng)安全運行，信息安全重要性日益凸顯。信息已經(jīng)成為各企事業(yè)單位中的重要資源，也是一種重要的“無形財富”，分析當前的信息安全問題，有十五個典型的信息安全問題急需解決。

1 網(wǎng)絡共享與惡意代碼防控

網(wǎng)絡共享方便了不同用戶、不同部門、不同單位等之間的信息交換，但是，惡意代碼利用信息共享、網(wǎng)絡環(huán)境擴散等漏洞，影響越來越大。如果對惡意信息交換不加限制，將導致網(wǎng)絡的QoS下降，甚至系統(tǒng)癱瘓不可用。

2 信息化建設超速與安全規(guī)范不協(xié)調(diào)

網(wǎng)絡安全建設缺乏規(guī)范操作，常常采取“亡羊補牢”之策，導致信息安全共享難度遞增，也留下安全隱患。

3 信息產(chǎn)品國外引進與安全自主控制

國內(nèi)信息化技術嚴重依賴國外，從硬件到軟件都不同程度地受制于人。目前, 國外廠商的操作系統(tǒng)、數(shù)據(jù)庫、中間件、辦公文字處理軟件、瀏覽器等基礎性軟件都大量地部署在國內(nèi)的關鍵信息系統(tǒng)中,但是這些軟件或多或少存在一些安全漏洞，使得惡意攻擊者有機可乘。目前，我們國家的大型網(wǎng)絡信息系統(tǒng)許多關鍵信息產(chǎn)品長期依賴于國外，一旦出現(xiàn)特殊情況，后果就不堪設想。

4 IT產(chǎn)品單一性和大規(guī)模攻擊問題

信息系統(tǒng)中軟硬件產(chǎn)品單一性，如同一版本的操作系統(tǒng)、同一版本的數(shù)據(jù)庫軟件等，這樣一來攻擊者可以通過軟件編程，實現(xiàn)攻擊過程的自動化，從而常導致大規(guī)模網(wǎng)絡安全事件的發(fā)生，例如網(wǎng)絡蠕蟲、計算機病毒、“零日”攻擊等安全事件。

5 IT產(chǎn)品類型繁多和安全管理滯后矛盾

目前，信息系統(tǒng)部署了眾多的IT產(chǎn)品，包括操作系統(tǒng)、數(shù)據(jù)庫平臺、應用系統(tǒng)。但是不同類型的信息產(chǎn)品之間缺乏協(xié)同,特別是不同廠商的產(chǎn)品,不僅產(chǎn)品之間安全管理數(shù)據(jù)缺乏共享,而且各種安全機制缺乏協(xié)同,各產(chǎn)品缺乏統(tǒng)一的服務接口,從而造成信息安全工程建設困難,系統(tǒng)中安全功能重復開發(fā),安全產(chǎn)品難以管理,也給信息系統(tǒng)管理留下安全隱患。

6 IT系統(tǒng)復雜性和漏洞管理

多協(xié)議、多系統(tǒng)、多應用、多用戶組成的網(wǎng)絡環(huán)境，復雜性高，存在難以避免的安全漏洞。據(jù)SecurityFocus公司的漏洞統(tǒng)計數(shù)據(jù)表明，絕大部分操作系統(tǒng)存在安全漏洞。由于管理、軟件工程難度等問題，新的漏洞不斷地引入到網(wǎng)絡環(huán)境中，所有這些漏洞都將可能成為攻擊切入點，攻擊者可以利用這些漏洞入侵系統(tǒng)，竊取信息。1998年2月份，黑客利用Solar Sunrise漏洞入侵美國國防部網(wǎng)絡，受害的計算機數(shù)超過500臺，而攻擊者只是采用了中等復雜工具。當前安全漏洞時刻威脅著網(wǎng)絡信息系統(tǒng)的安全。

為了解決來自漏洞的攻擊，一般通過打補丁的方式來增強系統(tǒng)安全。但是，由于系統(tǒng)運行不可間斷性及漏洞修補風險不可確定性，即使發(fā)現(xiàn)網(wǎng)絡系統(tǒng)存在安全漏洞，系統(tǒng)管理員也不敢輕易地安裝補丁。特別是，大型的信息系統(tǒng)，漏洞修補是一件極為困難的事。因為漏洞既要做到修補，又要能夠保證在線系統(tǒng)正常運行。

7 網(wǎng)絡攻擊突發(fā)性和防范響應滯后

網(wǎng)絡攻擊者常常掌握主動權，而防守者被動應付。攻擊者處于暗處，而攻擊目標則處于明處。以漏洞的傳播及利用為例，攻擊者往往先發(fā)現(xiàn)系統(tǒng)中存在的漏洞，然后開發(fā)出漏洞攻擊工具，最后才是防守者提出漏洞安全對策。

8 口令安全設置和口令易記性難題

在一個網(wǎng)絡系統(tǒng)中,每個網(wǎng)絡服務或系統(tǒng)都要求不同的認證方式，用戶需要記憶多個口令，據(jù)估算，用戶平均至少需要四個口令，特別是系統(tǒng)管理員，需要記住的口令就更多，例如開機口令、系統(tǒng)進入口令、數(shù)據(jù)庫口令、郵件口令、Telnet口令、FTP口令、路由器口令、交換機口令等。按照安全原則，口令設置既要求復雜，而且口令長度要足夠長，但是口令復雜則記不住，因此，用戶選擇口令只好用簡單的、重復使用的口令，以便于保管，這樣一來攻擊者只要猜測到某個用戶的口令，就極有可能引發(fā)系列口令泄露事件。

9 遠程移動辦公和內(nèi)網(wǎng)安全

隨著網(wǎng)絡普及，移動辦公人員在大量時間內(nèi)需要從互聯(lián)網(wǎng)上遠程訪問內(nèi)部網(wǎng)絡。由于互聯(lián)網(wǎng)是公共網(wǎng)絡，安全程度難以得到保證，如果內(nèi)部網(wǎng)絡直接允許遠程訪問，則必然帶來許多安全問題，而且移動辦公人員計算機又存在失竊或被非法使用的可能性?！凹纫构ぷ魅藛T能方便地遠程訪問內(nèi)部網(wǎng)，又要保證內(nèi)部網(wǎng)絡的安全。”就成了一個許多單位都面臨的問題。

10 內(nèi)外網(wǎng)絡隔離安全和數(shù)據(jù)交換方便性

由于網(wǎng)絡攻擊技術不斷增強，惡意入侵內(nèi)部網(wǎng)絡的風險性也相應急劇提高。網(wǎng)絡入侵者可以涉透到內(nèi)部網(wǎng)絡系統(tǒng)，竊取數(shù)據(jù)或惡意破壞數(shù)據(jù)。同時，內(nèi)部網(wǎng)的用戶因為安全意識薄弱，可能有意或無意地將敏感數(shù)據(jù)泄漏出去。為了實現(xiàn)更高級別的網(wǎng)絡安全，有的安全專家建議，“內(nèi)外網(wǎng)及上網(wǎng)計算機實現(xiàn)物理隔離，以求減少來自外網(wǎng)的威脅?！钡?，從目前網(wǎng)絡應用來說，許多企業(yè)或機構都需要從外網(wǎng)采集數(shù)據(jù)，同時內(nèi)網(wǎng)的數(shù)據(jù)也需要發(fā)布到外網(wǎng)上。因此，要想完全隔離開內(nèi)外網(wǎng)并不太現(xiàn)實，網(wǎng)絡安全必須既要解決內(nèi)外網(wǎng)數(shù)據(jù)交換需求，又要能防止安全事件出現(xiàn)。

11 業(yè)務快速發(fā)展與安全建設滯后

在信息化建設過程中，由于業(yè)務急需要開通，做法常常是“業(yè)務優(yōu)先，安全靠邊”，使得安全建設缺乏規(guī)劃和整體設計，留下安全隱患。安全建設只能是“亡羊補牢”,出了安全事件后才去做。這種情況，在企業(yè)中表現(xiàn)得更為突出，市場環(huán)境的動態(tài)變化，使得業(yè)務需要不斷地更新，業(yè)務變化超過了現(xiàn)有安全保障能力。

12 網(wǎng)絡資源健康應用與管理手段提升

復雜的網(wǎng)絡世界，充斥著各種不良信息內(nèi)容，常見的就是垃圾郵件。在一些企業(yè)單位中，網(wǎng)絡的帶寬資源被員工用來在線聊天，瀏覽新聞娛樂、股票行情、色情網(wǎng)站，這些網(wǎng)絡活動嚴重消耗了帶寬資源，導致正常業(yè)務得不到應有的資源保障。但是，傳統(tǒng)管理手段難以適應虛擬世界，網(wǎng)絡資源管理手段必須改進，要求能做到 “可信、可靠、可視、可控”。

13 信息系統(tǒng)用戶安全意識差和安全整體提高困難

目前，普遍存在“重產(chǎn)品、輕服務，重技術、輕管理，重業(yè)務、輕安全”的思想，“安全就是安裝防火墻，安全就是安裝殺毒軟件”，人員整體信息安全意識不平衡，導致一些安全制度或安全流程流于形式。典型的事例如下:

用戶選取弱口令，使得攻擊者可以從遠程直接控制主機；

用戶開放過多網(wǎng)絡服務，例如,網(wǎng)絡邊界沒有過濾掉惡意數(shù)據(jù)包或切斷網(wǎng)絡連接,允許外部網(wǎng)絡的主機直接“ping”內(nèi)部網(wǎng)主機，允許建立空連接；

用戶隨意安裝有漏洞的軟件包；

用戶直接利用廠家缺省配置；

用戶泄漏網(wǎng)絡安全敏感信息，如DNS服務配置信息。

14 安全崗位設置和安全管理策略實施難題

根據(jù)安全原則，一個系統(tǒng)應該設置多個人員來共同負責管理，但是受成本、技術等限制，一個管理員既要負責系統(tǒng)的配置，又要負責安全管理，安全設置和安全審計都是“一肩挑”。這種情況使得安全權限過于集中，一旦管理員的權限被人控制，極易導致安全失控。

15 信息安全成本投入和經(jīng)濟效益回報可見性

由于網(wǎng)絡攻擊手段不斷變化，原有的防范機制需要隨著網(wǎng)絡系統(tǒng)環(huán)境和攻擊適時而變，因而需要不斷地進行信息安全建設資金投入。但是，一些信息安全事件又不同于物理安全事件，信息安全事件所產(chǎn)生的經(jīng)濟效益往往是間接的，不容易讓人清楚明白，從而造成企業(yè)領導人的誤判，進而造成信息安全建設資金投入困難。這樣一來，信息安全建設投入往往是“事后”進行，即當安全事件產(chǎn)生影響后，企業(yè)領導人才會意識安全的重要性。這種做法造成信息安全建設缺乏總體規(guī)劃，基本上是“頭痛醫(yī)頭，腳痛醫(yī)腳”，信息網(wǎng)絡工作人員整天疲于奔命工作，成了“救火隊員”。

鏈接：信息安全建設8步驟

信息安全建設是一個循序漸進、逐步完善提升的過程，信息安全建設大致來說要經(jīng)歷三個階段：基本階段、規(guī)范階段、改進完善階段。每個階段在信息安全組織、信息安全管理、信息安全措施上都有所側(cè)重，主要在安全組織健全程度、安全管理規(guī)范性、安全技術措施嚴密性等方面表現(xiàn)出來。

信息安全建設是一個復雜的系統(tǒng)工程 ，一般來說，信息安全工程包含八個基本環(huán)節(jié)和步驟。

第一步，分析信息網(wǎng)絡系統(tǒng)所承載的業(yè)務和基本安全目標。

第二步，在所管轄的信息網(wǎng)絡范圍內(nèi)，進行信息網(wǎng)絡安全風險評估，建立信息網(wǎng)絡資產(chǎn)清單，識別信息網(wǎng)絡資產(chǎn)的威脅和脆弱性，確定信息網(wǎng)絡資產(chǎn)的風險類型和保護等級。

第三步，根據(jù)信息網(wǎng)絡資產(chǎn)的風險類型和保護等級，制定合適的安全策略和安全防護體系。

第四步，根據(jù)信息網(wǎng)絡的安全策略，設計安全防范機制，選擇風險控制的目標，實現(xiàn)風險控制管理。

第五步，將信息安全建設工作分解為若干個信息安全工程項目。典型項目有漏洞掃描和安全風險評估項目、用戶統(tǒng)一認證和授權管理項目、網(wǎng)絡防病毒項目、桌面機集中安全管理項目、服務器安全增強項目、網(wǎng)絡安全監(jiān)控項目、網(wǎng)絡邊界防護項目、遠程安全通信項目、網(wǎng)絡內(nèi)容管理項目、補丁管理項目、系統(tǒng)和數(shù)據(jù)容災備份項目。

第六步，根據(jù)信息安全工程項目要求，制定實施計劃，調(diào)整信息網(wǎng)絡結構和重新安全配置，部署選購合適的安全產(chǎn)品；制定相應信息網(wǎng)絡安全管理制度、操作規(guī)程以及法律聲明。

第七步，對信息安全工程項目進行驗收，檢查信息網(wǎng)絡的安全風險是否已經(jīng)得到有效控制; 檢查信息網(wǎng)絡的安全保障能力是否達到業(yè)務安全要求。

第八步，驗收后，工程項目建設成果正式交付運行; 并根據(jù)安全控制系統(tǒng)的實際運行情況，及時調(diào)整安全策略，改進安全控制措施。 （amteam)