當(dāng)前企業(yè)存在的十五個(gè)信息安全問(wèn)題分析

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

許多企事業(yè)單位的業(yè)務(wù)依賴于信息系統(tǒng)安全運(yùn)行，信息安全重要性日益凸顯。信息已經(jīng)成為各企事業(yè)單位中的重要資源，也是一種重要的“無(wú)形財(cái)富”，分析當(dāng)前的信息安全問(wèn)題，有十五個(gè)典型的信息安全問(wèn)題急需解決。

互聯(lián)網(wǎng)和IT技術(shù)的普及，使得應(yīng)用信息突破了時(shí)間和空間上的障礙，信息的價(jià)值在不斷提高。但與此同時(shí)，網(wǎng)頁(yè)篡改、計(jì)算機(jī)病毒、系統(tǒng)非法入侵、數(shù)據(jù)泄密、網(wǎng)站欺騙、服務(wù)癱瘓、漏洞非法利用等信息安全事件時(shí)有發(fā)生。據(jù)公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局的調(diào)查結(jié)果顯示，2005年5月至2006年5月間，有54%的被調(diào)查單位發(fā)生過(guò)信息網(wǎng)絡(luò)安全事件，其中，感染計(jì)算機(jī)病毒、蠕蟲(chóng)和木馬程序的安全事件為84%，遭到端口掃描或網(wǎng)絡(luò)攻擊的占36%，垃圾郵件占35%。未修補(bǔ)和防范軟件漏洞仍然是導(dǎo)致安全事件發(fā)生的最突出原因，占發(fā)生安全事件總數(shù)的73%。

目前，許多企事業(yè)單位的業(yè)務(wù)依賴于信息系統(tǒng)安全運(yùn)行，信息安全重要性日益凸顯。信息已經(jīng)成為各企事業(yè)單位中的重要資源，也是一種重要的“無(wú)形財(cái)富”，分析當(dāng)前的信息安全問(wèn)題，有十五個(gè)典型的信息安全問(wèn)題急需解決。

1 網(wǎng)絡(luò)共享與惡意代碼防控

網(wǎng)絡(luò)共享方便了不同用戶、不同部門(mén)、不同單位等之間的信息交換，但是，惡意代碼利用信息共享、網(wǎng)絡(luò)環(huán)境擴(kuò)散等漏洞，影響越來(lái)越大。如果對(duì)惡意信息交換不加限制，將導(dǎo)致網(wǎng)絡(luò)的QoS下降，甚至系統(tǒng)癱瘓不可用。

2 信息化建設(shè)超速與安全規(guī)范不協(xié)調(diào)

網(wǎng)絡(luò)安全建設(shè)缺乏規(guī)范操作，常常采取“亡羊補(bǔ)牢”之策，導(dǎo)致信息安全共享難度遞增，也留下安全隱患。

3 信息產(chǎn)品國(guó)外引進(jìn)與安全自主控制

國(guó)內(nèi)信息化技術(shù)嚴(yán)重依賴國(guó)外，從硬件到軟件都不同程度地受制于人。目前, 國(guó)外廠商的操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、辦公文字處理軟件、瀏覽器等基礎(chǔ)性軟件都大量地部署在國(guó)內(nèi)的關(guān)鍵信息系統(tǒng)中,但是這些軟件或多或少存在一些安全漏洞，使得惡意攻擊者有機(jī)可乘。目前，我們國(guó)家的大型網(wǎng)絡(luò)信息系統(tǒng)許多關(guān)鍵信息產(chǎn)品長(zhǎng)期依賴于國(guó)外，一旦出現(xiàn)特殊情況，后果就不堪設(shè)想。

4 IT產(chǎn)品單一性和大規(guī)模攻擊問(wèn)題

信息系統(tǒng)中軟硬件產(chǎn)品單一性，如同一版本的操作系統(tǒng)、同一版本的數(shù)據(jù)庫(kù)軟件等，這樣一來(lái)攻擊者可以通過(guò)軟件編程，實(shí)現(xiàn)攻擊過(guò)程的自動(dòng)化，從而常導(dǎo)致大規(guī)模網(wǎng)絡(luò)安全事件的發(fā)生，例如網(wǎng)絡(luò)蠕蟲(chóng)、計(jì)算機(jī)病毒、“零日”攻擊等安全事件。

5 IT產(chǎn)品類型繁多和安全管理滯后矛盾

目前，信息系統(tǒng)部署了眾多的IT產(chǎn)品，包括操作系統(tǒng)、數(shù)據(jù)庫(kù)平臺(tái)、應(yīng)用系統(tǒng)。但是不同類型的信息產(chǎn)品之間缺乏協(xié)同,特別是不同廠商的產(chǎn)品,不僅產(chǎn)品之間安全管理數(shù)據(jù)缺乏共享,而且各種安全機(jī)制缺乏協(xié)同,各產(chǎn)品缺乏統(tǒng)一的服務(wù)接口,從而造成信息安全工程建設(shè)困難,系統(tǒng)中安全功能重復(fù)開(kāi)發(fā),安全產(chǎn)品難以管理,也給信息系統(tǒng)管理留下安全隱患。

6 IT系統(tǒng)復(fù)雜性和漏洞管理

多協(xié)議、多系統(tǒng)、多應(yīng)用、多用戶組成的網(wǎng)絡(luò)環(huán)境，復(fù)雜性高，存在難以避免的安全漏洞。據(jù)SecurityFocus公司的漏洞統(tǒng)計(jì)數(shù)據(jù)表明，絕大部分操作系統(tǒng)存在安全漏洞。由于管理、軟件工程難度等問(wèn)題，新的漏洞不斷地引入到網(wǎng)絡(luò)環(huán)境中，所有這些漏洞都將可能成為攻擊切入點(diǎn)，攻擊者可以利用這些漏洞入侵系統(tǒng)，竊取信息。 1998年2月份，黑客利用Solar Sunrise漏洞入侵美國(guó)國(guó)防部網(wǎng)絡(luò)，受害的計(jì)算機(jī)數(shù)超過(guò)500臺(tái)，而攻擊者只是采用了中等復(fù)雜工具。當(dāng)前安全漏洞時(shí)刻威脅著網(wǎng)絡(luò)信息系統(tǒng)的安全。

為了解決來(lái)自漏洞的攻擊，一般通過(guò)打補(bǔ)丁的方式來(lái)增強(qiáng)系統(tǒng)安全。但是，由于系統(tǒng)運(yùn)行不可間斷性及漏洞修補(bǔ)風(fēng)險(xiǎn)不可確定性，即使發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)存在安全漏洞，系統(tǒng)管理員也不敢輕易地安裝補(bǔ)丁。特別是，大型的信息系統(tǒng)，漏洞修補(bǔ)是一件極為困難的事。因?yàn)槁┒醇纫龅叫扪a(bǔ)，又要能夠保證在線系統(tǒng)正常運(yùn)行。

7 網(wǎng)絡(luò)攻擊突發(fā)性和防范響應(yīng)滯后

網(wǎng)絡(luò)攻擊者常常掌握主動(dòng)權(quán)，而防守者被動(dòng)應(yīng)付。攻擊者處于暗處，而攻擊目標(biāo)則處于明處。以漏洞的傳播及利用為例，攻擊者往往先發(fā)現(xiàn)系統(tǒng)中存在的漏洞，然后開(kāi)發(fā)出漏洞攻擊工具，最后才是防守者提出漏洞安全對(duì)策。

8 口令安全設(shè)置和口令易記性難題

在一個(gè)網(wǎng)絡(luò)系統(tǒng)中,每個(gè)網(wǎng)絡(luò)服務(wù)或系統(tǒng)都要求不同的認(rèn)證方式，用戶需要記憶多個(gè)口令，據(jù)估算，用戶平均至少需要四個(gè)口令，特別是系統(tǒng)管理員，需要記住的口令就更多，例如開(kāi)機(jī)口令、系統(tǒng)進(jìn)入口令、數(shù)據(jù)庫(kù)口令、郵件口令、Telnet口令、FTP口令、路由器口令、交換機(jī)口令等。按照安全原則，口令設(shè)置既要求復(fù)雜，而且口令長(zhǎng)度要足夠長(zhǎng)，但是口令復(fù)雜則記不住，因此，用戶選擇口令只好用簡(jiǎn)單的、重復(fù)使用的口令，以便于保管，這樣一來(lái)攻擊者只要猜測(cè)到某個(gè)用戶的口令，就極有可能引發(fā)系列口令泄露事件。

9 遠(yuǎn)程移動(dòng)辦公和內(nèi)網(wǎng)安全

隨著網(wǎng)絡(luò)普及，移動(dòng)辦公人員在大量時(shí)間內(nèi)需要從互聯(lián)網(wǎng)上遠(yuǎn)程訪問(wèn)內(nèi)部網(wǎng)絡(luò)。由于互聯(lián)網(wǎng)是公共網(wǎng)絡(luò)，安全程度難以得到保證，如果內(nèi)部網(wǎng)絡(luò)直接允許遠(yuǎn)程訪問(wèn)，則必然帶來(lái)許多安全問(wèn)題，而且移動(dòng)辦公人員計(jì)算機(jī)又存在失竊或被非法使用的可能性?！凹纫构ぷ魅藛T能方便地遠(yuǎn)程訪問(wèn)內(nèi)部網(wǎng)，又要保證內(nèi)部網(wǎng)絡(luò)的安全?！本统闪艘粋€(gè)許多單位都面臨的問(wèn)題。

10 內(nèi)外網(wǎng)絡(luò)隔離安全和數(shù)據(jù)交換方便性

由于網(wǎng)絡(luò)攻擊技術(shù)不斷增強(qiáng)，惡意入侵內(nèi)部網(wǎng)絡(luò)的風(fēng)險(xiǎn)性也相應(yīng)急劇提高。網(wǎng)絡(luò)入侵者可以涉透到內(nèi)部網(wǎng)絡(luò)系統(tǒng)，竊取數(shù)據(jù)或惡意破壞數(shù)據(jù)。同時(shí)，內(nèi)部網(wǎng)的用戶因?yàn)榘踩庾R(shí)薄弱，可能有意或無(wú)意地將敏感數(shù)據(jù)泄漏出去。為了實(shí)現(xiàn)更高級(jí)別的網(wǎng)絡(luò)安全，有的安全專家建議，“內(nèi)外網(wǎng)及上網(wǎng)計(jì)算機(jī)實(shí)現(xiàn)物理隔離，以求減少來(lái)自外網(wǎng)的威脅?！钡?，從目前網(wǎng)絡(luò)應(yīng)用來(lái)說(shuō)，許多企業(yè)或機(jī)構(gòu)都需要從外網(wǎng)采集數(shù)據(jù)，同時(shí)內(nèi)網(wǎng)的數(shù)據(jù)也需要發(fā)布到外網(wǎng)上。因此，要想完全隔離開(kāi)內(nèi)外網(wǎng)并不太現(xiàn)實(shí)，網(wǎng)絡(luò)安全必須既要解決內(nèi)外網(wǎng)數(shù)據(jù)交換需求，又要能防止安全事件出現(xiàn)。

11 業(yè)務(wù)快速發(fā)展與安全建設(shè)滯后

在信息化建設(shè)過(guò)程中，由于業(yè)務(wù)急需要開(kāi)通，做法常常是“業(yè)務(wù)優(yōu)先，安全靠邊”，使得安全建設(shè)缺乏規(guī)劃和整體設(shè)計(jì)，留下安全隱患。安全建設(shè)只能是“亡羊補(bǔ)牢”,出了安全事件后才去做。這種情況，在企業(yè)中表現(xiàn)得更為突出，市場(chǎng)環(huán)境的動(dòng)態(tài)變化，使得業(yè)務(wù)需要不斷地更新，業(yè)務(wù)變化超過(guò)了現(xiàn)有安全保障能力。

12 網(wǎng)絡(luò)資源健康應(yīng)用與管理手段提升

復(fù)雜的網(wǎng)絡(luò)世界，充斥著各種不良信息內(nèi)容，常見(jiàn)的就是垃圾郵件。在一些企業(yè)單位中，網(wǎng)絡(luò)的帶寬資源被員工用來(lái)在線聊天，瀏覽新聞娛樂(lè)、股票行情、色情網(wǎng)站，這些網(wǎng)絡(luò)活動(dòng)嚴(yán)重消耗了帶寬資源，導(dǎo)致正常業(yè)務(wù)得不到應(yīng)有的資源保障。但是，傳統(tǒng)管理手段難以適應(yīng)虛擬世界，網(wǎng)絡(luò)資源管理手段必須改進(jìn)，要求能做到 “可信、可靠、可視、可控”。

13 信息系統(tǒng)用戶安全意識(shí)差和安全整體提高困難

目前，普遍存在“重產(chǎn)品、輕服務(wù)，重技術(shù)、輕管理，重業(yè)務(wù)、輕安全”的思想，“安全就是安裝防火墻，安全就是安裝殺毒軟件”，人員整體信息安全意識(shí)不平衡，導(dǎo)致一些安全制度或安全流程流于形式。典型的事例如下:

 * 用戶選取弱口令，使得攻擊者可以從遠(yuǎn)程直接控制主機(jī)；

 * 用戶開(kāi)放過(guò)多網(wǎng)絡(luò)服務(wù)，例如,網(wǎng)絡(luò)邊界沒(méi)有過(guò)濾掉惡意數(shù)據(jù)包或切斷網(wǎng)絡(luò)連接,允許外部網(wǎng)絡(luò)的主機(jī)直接“ping”內(nèi)部網(wǎng)主機(jī)，允許建立空連接；

 * 用戶隨意安裝有漏洞的軟件包；

 * 用戶直接利用廠家缺省配置；

* 用戶泄漏網(wǎng)絡(luò)安全敏感信息，如DNS服務(wù)配置信息。

14 安全崗位設(shè)置和安全管理策略實(shí)施難題

根據(jù)安全原則，一個(gè)系統(tǒng)應(yīng)該設(shè)置多個(gè)人員來(lái)共同負(fù)責(zé)管理，但是受成本、技術(shù)等限制，一個(gè)管理員既要負(fù)責(zé)系統(tǒng)的配置，又要負(fù)責(zé)安全管理，安全設(shè)置和安全審計(jì)都是“一肩挑”。這種情況使得安全權(quán)限過(guò)于集中，一旦管理員的權(quán)限被人控制，極易導(dǎo)致安全失控。

15 信息安全成本投入和經(jīng)濟(jì)效益回報(bào)可見(jiàn)性

由于網(wǎng)絡(luò)攻擊手段不斷變化，原有的防范機(jī)制需要隨著網(wǎng)絡(luò)系統(tǒng)環(huán)境和攻擊適時(shí)而變，因而需要不斷地進(jìn)行信息安全建設(shè)資金投入。但是，一些信息安全事件又不同于物理安全事件，信息安全事件所產(chǎn)生的經(jīng)濟(jì)效益往往是間接的，不容易讓人清楚明白，從而造成企業(yè)領(lǐng)導(dǎo)人的誤判，進(jìn)而造成信息安全建設(shè)資金投入困難。這樣一來(lái)，信息安全建設(shè)投入往往是“事后”進(jìn)行，即當(dāng)安全事件產(chǎn)生影響后，企業(yè)領(lǐng)導(dǎo)人才會(huì)意識(shí)安全的重要性。這種做法造成信息安全建設(shè)缺乏總體規(guī)劃，基本上是 “頭痛醫(yī)頭，腳痛醫(yī)腳”，信息網(wǎng)絡(luò)工作人員整天疲于奔命工作，成了“救火隊(duì)員”。

鏈接：信息安全建設(shè)8步驟

信息安全建設(shè)是一個(gè)循序漸進(jìn)、逐步完善提升的過(guò)程，信息安全建設(shè)大致來(lái)說(shuō)要經(jīng)歷三個(gè)階段：基本階段、規(guī)范階段、改進(jìn)完善階段。每個(gè)階段在信息安全組織、信息安全管理、信息安全措施上都有所側(cè)重，主要在安全組織健全程度、安全管理規(guī)范性、安全技術(shù)措施嚴(yán)密性等方面表現(xiàn)出來(lái)。

信息安全建設(shè)是一個(gè)復(fù)雜的系統(tǒng)工程 ，一般來(lái)說(shuō)，信息安全工程包含八個(gè)基本環(huán)節(jié)和步驟。

第一步，分析信息網(wǎng)絡(luò)系統(tǒng)所承載的業(yè)務(wù)和基本安全目標(biāo)。

第二步，在所管轄的信息網(wǎng)絡(luò)范圍內(nèi)，進(jìn)行信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，建立信息網(wǎng)絡(luò)資產(chǎn)清單，識(shí)別信息網(wǎng)絡(luò)資產(chǎn)的威脅和脆弱性，確定信息網(wǎng)絡(luò)資產(chǎn)的風(fēng)險(xiǎn)類型和保護(hù)等級(jí)。

第三步，根據(jù)信息網(wǎng)絡(luò)資產(chǎn)的風(fēng)險(xiǎn)類型和保護(hù)等級(jí)，制定合適的安全策略和安全防護(hù)體系。

第四步，根據(jù)信息網(wǎng)絡(luò)的安全策略，設(shè)計(jì)安全防范機(jī)制，選擇風(fēng)險(xiǎn)控制的目標(biāo)，實(shí)現(xiàn)風(fēng)險(xiǎn)控制管理。

第五步，將信息安全建設(shè)工作分解為若干個(gè)信息安全工程項(xiàng)目。典型項(xiàng)目有漏洞掃描和安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目、用戶統(tǒng)一認(rèn)證和授權(quán)管理項(xiàng)目、網(wǎng)絡(luò)防病毒項(xiàng)目、桌面機(jī)集中安全管理項(xiàng)目、服務(wù)器安全增強(qiáng)項(xiàng)目、網(wǎng)絡(luò)安全監(jiān)控項(xiàng)目、網(wǎng)絡(luò)邊界防護(hù)項(xiàng)目、遠(yuǎn)程安全通信項(xiàng)目、網(wǎng)絡(luò)內(nèi)容管理項(xiàng)目、補(bǔ)丁管理項(xiàng)目、系統(tǒng)和數(shù)據(jù)容災(zāi)備份項(xiàng)目。

第六步，根據(jù)信息安全工程項(xiàng)目要求，制定實(shí)施計(jì)劃，調(diào)整信息網(wǎng)絡(luò)結(jié)構(gòu)和重新安全配置，部署選購(gòu)合適的安全產(chǎn)品；制定相應(yīng)信息網(wǎng)絡(luò)安全管理制度、操作規(guī)程以及法律聲明。

第七步，對(duì)信息安全工程項(xiàng)目進(jìn)行驗(yàn)收，檢查信息網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)是否已經(jīng)得到有效控制; 檢查信息網(wǎng)絡(luò)的安全保障能力是否達(dá)到業(yè)務(wù)安全要求。

第八步，驗(yàn)收后，工程項(xiàng)目建設(shè)成果正式交付運(yùn)行; 并根據(jù)安全控制系統(tǒng)的實(shí)際運(yùn)行情況，及時(shí)調(diào)整安全策略，改進(jìn)安全控制措施。 （AMT）