企業信息安全

企業信息安全

國際、國內對信息安全的論述大致分為兩大類:一類是指具體的信息安全技術系統的安全;另一類是指某些特定的信息體系(如銀行系統、軍事指揮系統)的安全。但也有人認為這兩種定義也不能完全概括信息安全問題。

企業信息安全


特徵

信息入侵者不管懷有什麼用意,採用什麼手段,他們都要通過攻擊信息的4 個安全特徵來達到目的。這4個安全特徵是:完整性(Integrity)、可用性(Availability)、
保密性(Confidentiality)、可控性(Controllability)。在技術上,信息安全就是保證在客觀上杜絕對信息的4 種特徵的安全威脅,使信息的所有者在主觀上對其信息的本源性放心。

基本內容

信息安全的基本內容包括:實體安全、運行安全、信息資產安全和人員安全等內容。
實體安全
實體安全是保護計算機設備、設施(含網路)以及其他媒體免遭地震、水災、火災、有害氣體和其他環境事故破壞的措施和過程。實際上,實體安全是指環境安全、設備安全和媒體安全。
運行安全
運行安全是為了保障系統功能的安全實現,提供的一套安全措施來保護信息處理過程的安全。為了保障系統功能的安全,可以採取風險分析、審計跟蹤、備份與恢復、應急處理等措施。
信息資產安全
信息資產安全是防止信息資產被故意的或偶然的非授權泄露、更改、破壞或使信息被非法的系統辨識、控制,即確保信息的完整性、可用性、保密性和可控性。信息資產包括文件、數據等。信息資產安全包括操作系統安全、資料庫安全、網路安全、病毒防護、訪問控制、加密、鑒別等。
人員安全
人員安全主要是指信息系統使用人員的安全意識、法律意識、安全技能等。人員的安全意識是與其所掌握的安全技能有關,而安全技能又與其所接受安全技能培訓有關。因此,人員的安全意識是通過培訓,以及安全技能的積累才能逐步提高,人員安全在特定環境下、特定時間內是一定的。

發展過程


定義

企業信息化(Enterprises informatization) ,企業信息化是指企業廣泛利用現代信息技術,充分開發和利用企業內部或外部的,企業可能得到和利用的,並與企業生產經營活動有關的各種信息,以便及時把握機會,做出決策,增進運行效率,從而提高企業競爭力水平和經濟效益的過程。

作用

1、企業信息化,能提高企業經營管理信息的準確性和及時性,有助於企業決策的進一步科學化。
2、企業信息化,能促使企業業務辦事程序和管理程序更加合理,從而有助於增強企業的快速反應能力。
3、企業信息化,能進一步促進企業資源的合理組合及利用,使其在現有資源條件下達到最佳利用效果,從而大大提高企業的生產經營效率和管理效率。
4、企業信息化能給企業提供一個的強大、快捷的信息交流平台,有助於我們緊緊跟蹤一些先進經驗和成果,從而有助企業的發展,提高員工的創新能力。

我國的發展

中國的企業信息化建設大致經歷了下面四個階段:
(一)準備階段(1993年以前)
1982年10月4日,國務院成立了計算機與大規模集成電路領導小組。 1984年為了加強對電子和信息事業的集中統一領導,有效地推動這項工作,國務院決定將國務院計算機與大規模集成電路領導小組改為國務院電子振興領導小組。在“七五”期間,電子振興領導小組重點抓了十二項應用系統工程:郵電通信系統、國家經濟信息系統、銀行業務管理系統、電網監控系統、京滬鐵路運營系統、天氣預報系統、科技情報信息系統、民航旅客服務計算機系統、航天實時測控與數據處理系統、公安信息系統、財稅系統、軍事指揮系統,並建立電子信息技術推廣應用貼息貸款,支持應用電子信息技術改造傳統產業。
1986年3月,經鄧小平同志批准,投資100億元啟動了國家高技術研究發展計劃,即“863”計劃。 1988年5月,機電部成立並承擔電子產業的任務。隨後,國務院電子振興領導小組辦公室,更名為國務院電子信息系統推廣應用辦公室。
從1988年至1992年,國家經濟委員會、機電部、國家科委和電子信息技術推廣應用辦公室,在推動傳統產業技術改造、EDI技術、CAD/CAM以及MIS等領域,做了大量工作,不斷推動電子信息技術應用向縱深發展。
(二)啟動階段(1993年3月-1997年4月)
我國信息化正式起步於1993年,黨和國家領導人江澤民、李鵬、朱鎔基、李嵐清等提出信息化建設的任務,啟動了金卡、金橋、金關等重大信息化工程,拉開了國民經濟信息化的序幕。
1993年12月,成立了以國務院副總理鄒家華為主席的國家經濟信息化聯席會議,加強統一領導,確立了推進信息化工程實施、以信息化帶動產業發展的指導思想。
1994年5月成立了國家信息化專家組,作為國家信息化建設的決策參謀機構。
1996年以後,中央和地方都確立了信息化在國民經濟和社會發展中的重要地位,信息化在各領域、各地區形成了強勁的發展潮流。
1996年1月,國務院成立了以國務院副總理鄒家華任組長,由20多個部委領導組成的國務院信息化工作領導小組,統一領導和組織協調全國的信息化工作。
(三)展開階段(1997年4月-2000年10月)
經過1993-1997年的建設與發展,符合我國國情的信息化發展思路已經初步形成。
國務院信息化工作領導小組確立了國家信息化的定義和國家信息化體系六要素,進一步充實和豐富了我國信息化建設的內涵;提出了信息化建設"統籌規劃,國家主導;統一標準,聯合建設;互聯互通,資源共享"的二十四字指導方針。
經國務院批准,1997年4月18-21日,國務院信息化工作領導小組在深圳召開了首次全國信息化工作會議,會議全面部署了信息化工作,通過了規劃,成為我國信息化建設發展的里程碑。
1998年,原國務院信息化工作領導小組辦公室整建制併入新組建的信息產業部,成立了信息產業部信息化推進司(國家信息化辦公室),負責推進國民經濟和社會服務信息化的工作。
1999年2月,國家信息化專家組變更為國家信息化辦公室專家委員會。
1999年12月,根據國務院領導關於恢復國務院信息化領導小組的批示,成立了由國務院副總理吳邦國擔任組長的國家信息化工作領導小組,以繼續推進國家信息化工作。
信息產業部努力推動電信體制改革,進行了政企分開,郵電分營、電信重組和結構調整、國營企業改革。初步形成了中國電信、中國移動、中國聯通中國網通中國鐵通等多家電信運營公司開展市場競爭的格局。與此同時,會同有關部門,積極推動政府上網工程、企業上網工程和電子商務,在國民經濟信息化方面,做了大量工作。
(四)發展階段(2000年10月至今)
《中共中央關於制定國民經濟和社會發展第十個五年計劃的建議》指出:信息化是當今世界經濟和社會發展的大趨勢,也是我國產業優化升級和實現工業化、現代化的關鍵環節。要把推進國民經濟和社會信息化放在優先位置。大力推進國民經濟和社會信息化,是覆蓋現代化建設全局的戰略舉措。以信息化帶動工業化,發揮后發優勢,實現社會生產力的跨越式發展。

重要性


中國電子信息產業發展研究院曾經做過預測,針對中國中小企業調查他們對信息安全需求,企業對於信息安全的認知也跨出了一大步,有相當一部分的企業擔心信息安全問題,而網路問題則是他們關心的第一位,調查還顯示只有五分之一的企業沒有信息泄密的事實,卻也足以讓人心驚膽戰。企業的正常運作離不開信息資源的支持,包括企業的經營計劃、知識產權、生產工藝、流程配方、方案圖紙、客戶資源以及各種重要數據等,這些都是企業全體員工努力拚搏、刻苦鑽研、殫精竭慮、長期積累下來的智慧結晶,是企業發展的方向和動力,關乎著企業的生存與發展,企業的重要信息一旦被泄露會使企業頓失市場競爭優勢,甚至會遭受滅頂之災。
因此,企業要保持健康可持續性發展,信息安全是基本的保證之一。隨著網路環境的日益惡化以及企業自身的發展伴隨著越來越多的商業泄密事件的發生,信息安全問題逐漸被提上議事日程,企業管理者也逐漸走出以往的誤區,信息安全建設成了企業首要任務,一些中小企業也紛紛加入到這個日益龐大的隊伍中來。所以,在不久的將來,信息安全將更多的被企業所關注,會有更多的企業加入到安全行列中來的,這也是企業生存和發展的關鍵步驟之一。
隨著計算機技術的不斷發展,計算機被廣泛地應用於各個領域,如數值計算、數據處理、輔助設計與製造、人工智慧、家電產品等。在企業(包括政府機關、事業單位、生產企業、商品流通企業、金融財稅等)中,利用計算機進行管理的目的是為了提高工作效率,使企業管理水平有一個明顯的提高。例如,ERP(企業資源計劃)系統、O A ( 辦公自動化) 系統以及各類管理信息系統、各種信息製作和傳播工具等,都要涉及信息的存儲、傳輸與使用等信息處理問題,而尤為突出的是信息處理過程中的信息安全問題。對於存儲在計算機中的重要文件、資料庫中的重要數據等信息都存在著安全隱患,一旦丟失、損壞或泄露、不能及時送達,都會給企業造成很大的損失。如果是商業機密信息,給企業造成的損失會更大,甚至會影響到企業的生存和發展。
在沒有使用計算機進行信息管理之前,信息通常都是以紙介質和某些設備(如錄音、錄像設備等)進行保存和傳播,並對信息的安全管理有著嚴格的行政管理、法律法規約束,一旦出現安全問題,可以通過行政、執法手段進行追蹤,查出問題的根源,並追究其相應的責任。而用計算機管理的信息安全問題更為複雜,象數據瞬間丟失、瞬間被盜、瞬間被破壞等問題,大大增加了管理難度。如果管理不善,如重要文件、圖紙、信用卡賬戶等機密文件,出現安全問題時很難查清。因此,企業的信息安全問題、以及對信息的安全管理都是至關重要的。要保證企業信息安全,就必須找出存在信息安全問題的根源,並具有良好的安全管理策略。

我國現狀分析


天災,也叫“不可抗力”的災難,通常指水火無情的自然災害,而在科技越來越發達的今天,企業可能要面臨另一種“天災”,那就是——信息安全威脅。
二十世紀九十年代末出現的Internet標誌著人類社會已經進入了信息化時代,在這個時代,越來越多的人已經開始離不開Internet。由於internet的共享性和對外開外性,如何保證信息安全就成為發展internet的重要課題。我國整體的企業信息安全防護能力還很不夠,許多應用系統還處於不設防的狀態或系統安全維護得很不夠。
隨著企業上網的迅猛發展,企業信息安全問題變得尤為重要,因為企業信息安全問題直接關係到企業的生存與發展,確保企業信息安全、以便企業不受損失應該成為各級企業用戶的共識。現在許多企業沒有意識到網際網路的易受攻擊性,盲目相信國外的加密軟體,對於系統的訪問許可權和密鑰缺乏有力度的管理。這樣的系統一旦受到攻擊將十分脆弱,其中的機密數據得不到應有的保護。據調查,目前國內90%的網站存在安全問題,其主要原因是企業管理者缺少或沒有安全意識。某些企業網路管理員甚至認為其公司規模較小,不會成為黑客的攻擊目標,如此態度,企業信息安全更是無從談起。
當企業的業務、管理越來越多地依賴網路的時候,決策者們必須意識到企業的命運已經跟信息安全緊緊聯繫在一起。但令人遺憾的是,雖然信息安全將企業推上死路的例子數不勝數,因為安全問題造成的損失紀錄也不斷刷新,可是信息安全還沒有被企業決策者們真正重視起來。
安裝一個殺毒軟體,設立一個IT部門,購買一個防火牆,就認為萬事大吉了,企業信息安全從此徹底解決,其實這樣的想法是完全錯誤的,甚至會給企業帶來致命性的損失。
2015年12月8日最新發布的全球信息安全狀況調查顯示,在過去12個月中,中國大陸和香港企業檢測到的信息安全事件平均數量高達1245次,與前次調查記錄的241次事件相比,攀升517%。
本期調查發現,在過去一年中,全球各行業檢測到的信息安全事件平均數量為6,853次。與去年同期相比,由這些網路犯罪事件所導致的全球平均財務損失下降5%至255萬美金,而中國大陸和香港這一數字則提高10%,達263萬美金。為了應對信息安全事件的不斷升級,企業也在多方嘗試以求改善。相較前一期調查,中國大陸和香港受訪者在信息安全方面的預算增加了16%,平均值達790萬美金,高於全球510萬美金的平均值。
據了解,第18次全球信息安全狀況調查於2015年5月至6月進行,收到全球127個國家的10,000餘名企業高管和專業人員的反饋(其中超過330位受訪者來自中國大陸和香港地區)。這些受訪者包括企業的首席執行官(CEO)、首席財務官(CFO)、首席信息官(CIO)、首席信息安全官(CISO)、首席戰略官(CSO)、信息技術與安全事務副總裁及總監等。

威脅因素


病毒木馬、黑客攻擊、區域網內部ARP、溢出攻擊、內部人員故意泄密、內部人員無意泄密、數據信息存儲設備故障、自然災害等等。

安全產品


傳統安全產品

所謂傳統信息安全產品,就是指那些功能單一型的信息安全產品,他大致包括:
用戶身份認證,如靜態密碼、動態密碼(簡訊密碼、動態口令牌、手機令牌)、USB KEYIC卡數字證書、指紋虹膜等。
防火牆:即訪問控制系統,它在內部網路與不安全的外部網路之間設置障礙,阻止外界對內部資源的非法訪問,防止內部對外部的不安全訪問。但它其本身可能存在安全問題,也可能會是一個潛在的瓶頸。
安全路由器:由於WAN連接需要專用的路由器設備,因而可通過路由器來控制網路傳輸。通常採用訪問控制列表技術來控制網路信息流。
安全伺服器:安全伺服器主要針對一個區域網內部信息存儲、傳輸的安全保密問題,其實現功能包括對區域網資源的管理和控制,對區域網內用戶的管理,以及區域網中所有安全相關事件的審計和跟蹤。
安全管理中心:由於網上的安全產品較多,且分佈在不同的位置,這就需要建立一套集中管理的機制和設備,即安全管理中心。它用來給各網路安全設備分發密鑰,監控網路安全設備的運行狀態,負責收集網路安全設備的審計信息等。
入侵檢測系統(IDS):入侵檢測,作為傳統保護機制(比如訪問控制,身份識別等)的有效補充,形成了信息系統中不可或缺的反饋鏈。
入侵防禦系統IPS):入侵防禦,入侵防禦系統作為IDS很好的補充,是信息安全發展過程中佔據重要位置的計算機網路硬體。
安全資料庫:由於大量的信息存儲在計算機資料庫內,有些信息是有價值的,也是敏感的,需要保護。安全資料庫可以確保資料庫的完整性、可靠性、有效性、機密性、可審計性及存取控制與用戶身份識別等。
數據容災設備:數據容災作為一個重要的企業信息安全管理體系中的一個重要補救措施,在整個企業信息安全管理體系中有著舉足輕重的作用。數據容災設備包括數據恢復設備、數據複製設備、數據銷毀設備等。應用較多的數據容災設備包括效率源HD Doctor、Data Compass數據指南針、Data Copy King硬碟複製機、開盤機等。

現代安全產品

其實任何一種企業信息化安全產品產品,不論是軟體還是硬體都不可能做到100%的防護企業信息化安全,何況新的信息安全隱患也在不斷的出現,這在一定程度上也導致了企業信息安全產品的局限性。歐美等信息化發展較早的國家在2004年前就發現了這個問題,因此在2000年左右就開始著手研發側重於信息安全事故應急補救,也就是專業數據恢復和安全數據擦除銷毀的信息安全產品,為了與以前的防火牆、殺毒軟體等信息安全產品相區別,國際企業信息安全行業稱這種信息安全產品為“現代企業信息安全產品”。
據了解,我國大多數的數據信息安全產品都局限於殺毒軟體、防火牆、備份工具等等這些歐美國家早在2004年前就已經淘汰了的傳統數據信息安全產品。這些過時產品功能大多只能抵禦外部攻擊、簡單數據信息二次存儲等等,對於內部泄密的防範、信息系統的日常維護、以及數據信息安全事故發生后的補救等都沒有很好的解決辦法。這些落後的數據信息安全產品早已經遠遠不能適應信息化高速發展時代數據信息安全保障的需求。因此研發出具有全球頂尖數據安全保障技術的數據信息安全保障系統,對於數據信息安全來說就顯得尤為重要。
隨著中國企業信息化發展的不斷完善,國產企業信息安全產品的研發也進入了現代企業信息安全產品階段,其中代表作就是國家高新技術企業效率源科技的數據信息安全保障系統SD-DSM,他將數據信息安全防禦、數據信息安全日常監管、數據信息安全事故應急補救融為一體,可以徹底排查數據信息安全隱患,為單位的數據信息系統提供全程、全方位的數據信息安全保障。
三位一體企事業單位數據信息安全保障系統
三位一體企事業單位數據信息安全保障系統
效率源技術總工張彬介紹,近幾年,國家發改委、科技部、國家保密局都大力支持全領域數據信息安全保障系統的研製,2014年更是將信息產業作為了“十二五”信息化發展的基礎產業。SD-DSM是此次國家大力扶植的高新技術產品之一,也是國內首款功能最完善、技術最先進的全領域數據信息安全保障系統,他融合了效率源數十項國際尖端數據安全保障專利技術,將高速離線數據備份、數據恢復和安全數據擦除銷毀等國際主流數據安全技術匯聚一身,是我國數據信息安全保障從此進入全領域防護結合時代的代表作。他可以為企事業單位的信息系統提供三位一體的數據信息安全保護,從而保障企事業單位信息運維管理高效、有序的進行。該系統核心技術已通過國家保密局檢測中心和軍隊信息評測中心的認證,獲得了由國家科技部發放的專項項目資金扶植,成功配備於中國工程物理研究院、國家保密局、總參部57研究所、中糧集團、四川長虹集團等百餘家國家重點單位和部門,獲得了廣泛的好評。

方法技巧


正確配置

多數防火牆損害是由於其錯誤配置造成的,而不是由防火牆的缺陷造成的。這至少說明一點,保障安全設備的正確配置很有意義。在防禦自己的網路時,實施恰當的安全工具和策略是很重要的。因而,如果企業的設備過期了,遺漏了關鍵的補丁或沒有配置,企業網路遭受暴露的可能性就很大了。有人也許會說,我擁有強健的防火牆規則,我的網路固若金湯。但是,如果路由器運行在一個有嚴重漏洞的老操作系統上,其中的安全漏洞隨時可被利用,這不是相當於摟著一顆隨時有可能發生爆炸的定時炸彈嗎?

打破壁壘

企業的低效安全是企業文化問題的一個癥狀。IT和IT運營團隊都要為管理、支持、保障越來越複雜的網路環境負責,並呼籲更多的資源參與到安全工作中。隨著工作日益增多,每一個部門都非常重視自己的業務應用,複雜的連通性需求也牽涉到多個方面,如應用程序的所有者和防火牆的管理員等。企業應當考慮打破無形的壁壘,讓有關各方都能夠相互有效交流,在不影響工作效率的前提下改善安全性。

過程自動化

如果你解決了上述兩個問題,就需要自動化來強化安全和運營了。許多企業認為,在管理網路安全設備時,耗時過多、手工操作、易於出錯等是最大的困難。如果讓人工去發現由於某個變化而影響的防火牆規則,這是相當耗時且易於出錯的。企業不妨藉助自動化技術來保障準確性,減少風險,極大地減少處理變化時所花費的時間。這時,IT就可以更快捷地應對變化的業務需求。

減少複雜性

企業IT環境中往往有多種設備和策略都與關鍵業務應用緊密聯繫,因而在保障網路、應用程序、信息安全時,往往存在諸多困難。而且通常一種設備、策略或應用對另一種設備或策略、應用的影響並不明顯。例如,如果安全策略發生了變化,那麼它對維持企業運行的關鍵業務應用會產生怎樣的影響?反過來也是一樣,如果應用程序發生了變化,對安全策略和網路會有影響嗎?這不僅是一個安全問題(應當移除與退役應用程序相關的不再使用的規則),而且還是一個保障業務高效運行的問題。

反思網路安全

上述標題是什麼意思?在規劃防禦時,根據一個乾淨的沒有遭受損害的網路來制定計劃也為了一種標準。但是,如今惡意軟體深藏不露,針對性攻擊日益強烈,而且網路越來越開放,上述標準就成為了一種錯誤的假設。反思網路安全意味著IT要從一種不同的假設開始,要假定自己已經遭受了黑客攻擊。IT應當重新規劃企業防禦,只有這樣才能使安全狀況煥然一新。

構建安全體系


安全技術演變

在關於企業信息安全的報告中,專家們都期望著信息安全能夠隨著近幾年來幾項截然不同的技術的不斷發展,而得到進步。這幾項技術所包含的元素毫不相干,例如,Web應用防火牆,應用程序安全測試解決方案,資料庫活動監測(DAM),數據標記以及身份管理等等。
對於如何整合這些完全不同的技術以及來自於他們的數據就成了一個關鍵性的需求。根據一位ESI的一位分析師的觀點,當前這些互不相干的數據安全技術,實際上限制了安全分析系統來獲得監控日誌並取得報告,缺乏必要的數據管理,分析以及規劃的能力。而當前確有很多企業採用這些獨立的安全技術,由於很多獨立的產品之間並不能很好的協作,這實際上是對追求完整的企業信息安全體系是一種阻礙。
而且從另一方面來講,獲得安全信息並不意味著只是收集安全日誌,你還需要了解到你的敏感數據在哪,數據的內容是什麼。在2014年的四月,得克薩斯州審計辦公室曾經發生一起數據泄露事件,大約350萬人的姓名、社會安全號碼和郵寄地址,另外還有一些人的出生日期和駕駛執照號碼在網上被公開泄露。正是由於得克薩斯州審計辦公室的一台沒有加密的誰都可以訪問的伺服器,得克薩斯州三個政府機構的資料庫所收集的敏感信息被泄密了將近整整一年,這三個政府機構是得克薩斯州教師退休中心、得克薩斯州勞動力委員會和得克薩斯州僱員退休系統。據稱負責把數據發布到網上的幾個員工違反了部門的工作程序,這起泄密事件披露后已被開除。

安全體系

如果不安裝技術性的監控解決方案來認真執行程序,那麼就沒有太大意義。員工能夠將資料庫信息置於如此不堪一擊的險境,證明要是整個安全體系的規則沒有採取"強制實施的有效手段",會給企業帶來多大的風險。得克薩斯州因這起泄密事件而面臨兩起集體訴訟,其中一起要求對該州判以向每個受影響的人賠償1000美元的賠償處罰,考慮到這起事件影響到數百萬人,這筆費用無疑如同天文數字。
因此,一個真正全面的安全體系,還要考慮到執行程序的員工的角色以及職責。例如,如果某個僱員可以接觸到實際的客戶數據,那麼他會不會利用工作之便取得這些數據,這是一個不得不考慮的問題。而採用一套合理的規則就成了防範此類時間發生的關鍵,例如,對那些可以接觸到客戶數據的員工強制執行“最低許可權”可以有效的防止發生員工數據泄露事件,因為無論是誰,都可能因為貪婪或者其他原因獲得企業的數據。
可以肯定的是,這些數據所能驅動的商業價值是肯定要遠遠超出部署安全體系所花費的成本的。廠商通過分析數據來做出更好的商業決策就是一個很明顯的證據。就像商業情報提供商可以通過軟體來讓一家保險公司利用客戶數據來取得更好的決策一樣,數據安全提供商也可以通過幫助企業保護他們的關鍵性數據來使企業充分利用這些數據做出最有利的決策,從而促進整個企業的發展。

十大威脅


DDoS攻擊

IT專家認為分散式拒絕服務攻擊就是:大量數據包湧入受害者的網路,讓有效請求無法通過。但這只是最基本的DDoS攻擊形式,防禦方面的改進已經迫使攻擊者改變了他們的攻擊方式。DDoS攻擊使用的數據包越來越多,攻擊流量最多達到100Gbps。
攻擊者還開始針對基礎設施的其他部分,其中企業域名服務的伺服器的攻擊者最喜歡的目標。因為當攻擊者成功攻擊DNS伺服器后,客戶將無法訪問企業的服務。
大規模DDoS攻擊通常會採用“低且慢”的攻擊,這種攻擊使用特製的請求來讓web應用程序或設備來處理特定的服務,以快速消耗處理和內存資源。這種應用層攻擊占所有攻擊的四分之一。
此外,攻擊者還會尋找目標網站的網址,然後呼叫該網站的後端資料庫,對這些網頁的頻繁呼叫將很快消耗掉網站的資源。
在速度慢的攻擊中,路由器將崩潰,因此,企業無法使用設備來阻止不好的流量。這些攻擊還可以通過雲DDoS防護服務。企業應該採用混合的方法,使用web應用程序防火牆、網路安全設備和內容分發網路來建立一個多層次的防禦,以儘可能早地篩選出不需要的流量。

舊版本瀏覽器

每年涉及數百萬美元的銀行賬戶欺詐網路攻擊都是利用瀏覽器漏洞,更常見的是,利用處理OracleJavaAdobeFlash及Reader的瀏覽器插件。漏洞利用工具包匯聚了十幾個針對各種易受攻擊組件的漏洞利用,如果企業沒有及時更新,攻擊者將通過這種工具包迅速侵入企業的系統。例如,最新版本的Blackhole漏洞利用工具包包含7個針對Java瀏覽器插件的漏洞利用,5個針對Adobe PDF Reader插件,2個針對Flash。
企業應該特別注意Oracle的Java插件,因為Java被廣泛部署,但卻鮮少修復。企業應該利用補丁修復管理產品來阻止這種漏洞利用攻擊。

不良網站

知名的合法網站開始成為攻擊者的目標,因為攻擊者可以利用用戶對這些網站的信任。企業不可能阻止員工訪問這些知名網站,並且企業的技術防禦總是不夠。
還有另一種更陰險的攻擊--惡意廣告攻擊,這種攻擊將惡意內容插入廣告網路中,惡意廣告可能只是偶爾出現在廣告跳轉中,這使這種攻擊很難察覺。
同樣的,企業應該採用多層次的防禦方法,例如,安全代理伺服器結合員工計算機上的反惡意軟體保護來阻止已知威脅的執行。

移動應用程序

BYOD趨勢導致企業內消費者設備激增,但移動應用程序安全性很差,這使企業數據處於危險之中。
60%的移動應用程序從設備獲取獨特的硬體信息並通過網路介面傳出去,更糟糕的是,10%的應用程序沒有安全地傳輸用戶的登錄憑證。
此外,支持很多移動應用的Web服務也很不安全。由於用戶不喜歡輸入密碼來使用移動設備上的服務,移動應用經常使用沒有過期的會話令牌。而攻擊者可以在熱點嗅探流量並獲取這些令牌,從而訪問用戶的賬戶。
企業很難限制員工使用的應用程序,但企業可以限制員工放到其設備的數據以及限制進入企業的設備。

SQL注入

對於SQL注入攻擊,最簡單的辦法就是檢查所有用戶提供的輸入,以確保其有效性。
企業在修復SQL漏洞時,通常專註於他們的主要網站,而忽視了其他連接的網站,例如遠程協作系統等。攻擊者可以利用這些網站來感染員工的系統,然後侵入內部網路。
為了減少SQL注入問題的風險,企業應該選擇自己的軟體開發框架,只要開發人員堅持按照該框架來編程,並保持更新,他們將創造出安全的代碼。

證書的危害

企業不能盲目地信任證書,攻擊者可能使用偷來的證書創建假的網站和服務,或者使用這些證書來簽署惡意代碼,使這些代碼看起來合法。
此外,糟糕的證書管理也會讓企業付出巨大的代價。企業應該跟蹤證書使用情況,並及時撤銷問題證書。

跨站腳本問題

跨站腳本利用了瀏覽器對網站的信任,代碼安全公司Veracode發現,超過70%的應用程序包含跨站腳本漏洞,這是影響商業開源和內部開發軟體的首要漏洞問題。
企業可以利用自動代碼檢查工具來檢測跨站腳本問題,企業還應該修改其開發流程,在將程序投入生產環境之前,檢查程序的漏洞問題。

“物聯網”漏洞

在物聯網中,路由器、印表機、門鎖等一切事物都通過網際網路連接,在很多情況下,這些設備使用的是較舊版本的軟體,而這通常很難更新。攻擊者很容易利用這些設備來侵入企業內部網路。
企業應該及時發現和禁用其環境中任何UPnP端點,並通過有效的工具來發現易受攻擊的設備。

情報機器人

並非所有攻擊的目的都是攻擊企業的防禦系統。自動web機器人可以收集你網頁中的信息,從而讓你的競爭對手更了解你的情況,但這並不會破壞你的網路。
企業可以利用web應用程序防火牆服務來判斷哪些流量連接到良好的搜索索引機器人,而哪些連接到競爭對手的市場情報機器人或者假的谷歌機器人。這些服務可以防止企業信息流到競爭對手。

新技術 舊問題

不同企業可能會遇到不同的威脅,有網上業務的企業可能會有SQL注入和HTML5問題,有很多遠程辦公人員的企業可能會有移動問題。企業不應該試圖將每一種威脅降到最低,而應該專註於最常被利用的漏洞,並解決漏洞問題。同時,培養開發人員採用安全做法,並讓開發人員互相檢查代碼以減少漏洞。

制定方法


瘦客戶端

進程集中化,信息本土化
瘦客戶端很早就被零信託計劃策略採用,它集中了很多技術。像流媒體伺服器、虛擬主機桌面技術和虛擬工作間技術。為了加強它的安全性,須將敏感數據集中在安全性能更好的設備里,遠程設備只有通過瘦客戶機的終端應用程序才能進行數據訪問。由於這裡需要與網路對接,所以瘦客戶端不支持離線使用。

瘦設備

出於設備安全考慮,使用備份數據
瘦形設備模式通過限制允許訪問數據的設備類型來控制訪問途徑。智能手機等設備只能儲存一定量的敏感信息。它們所儲存的信息是複製而來的,原始數據則儲存在數據中心。由於它們的體積、儲存容量和處理速度的限制,應用程序被局限在電子郵件、小規模瀏覽網頁和簡單的網頁程序中,根本談不上通常的數據處理。而在薄形設備模式中,IT安全團隊仍能控制設備的安全,即使他們並不具備設備的擁有權。

進程保護

在一個安全的環境中處理本地信息
瘦客戶機模式中用戶設備不儲存敏感信息,但進程保護模式與此不同,它允許數據運行在非IT所有的設備中。一個獨立進程環境中的敏感信息,即從用戶的本地操作系統環境中分離出來——基本上是一個“氣泡”——其中的安全和備份性能是由IT控制。進程保護模式有很多優勢:本地執行、離線操作、中央管理和一個高精度的安全控制,包括遠程擦除功能。

數據保護

文檔自我保護不受位置限制
鑒於以前的模式都設法通過控制運行環境來處理信息,而數據保護模式保護的是數據本身。如企業版權管理(ERM)這樣的技術可直接訪問文件規則。無論文件放置在何處,這些依靠密碼方式強制執行的規則都是適用的,這是一個重要的優勢。所有零信託數據安全戰略里的模式保護數據都是最精細、最有效的,因為它的重點是信息,而不是信息的載體。
這種模式缺點之一是,ERM的每個終端都需要客戶端代理。

跟蹤

明確重要的信息移除的時間
零信託數據安全設計的第五種模式使用的是補充數據檢測控制技術,用來檢測、記錄和選擇性封殺物理或邏輯企業邊界的敏感數據。數據泄漏防護(DLP)技術和較小程度的安全信息和事件管理(SIEM)工具,是這一模式的重要組成部分。