2018-05-07（旧文整理）企业信息安全建设

企业信息安全面临的威胁

今天，企业生产活动越来越依赖于信息系统，企业的发展壮大也需要信息系统的助力，因此，信息系统的安全保障正变的越来越重要。

当前，对于企业信息系统的威胁呈现立体化，纵深化，职业化的特点。对企业信息系统的攻击不再局限于简单的病毒传播或是粗暴的DDoS^[^注2]，而是包含了由内网渗透，内网漫游，数据窃取，系统破坏等一系列攻击方式组成的高级持续攻击（APT^[^注1]）。攻击的组织也从无组织的个人发展为有组织，有产业链的团队，甚至是军队。

这些更为精巧的攻击，可以直接影响企业的生产活动，甚至造成机密数据外泄，破坏生产系统，给企业带来更大的损失。

索尼影业黑客入侵事件

在发生于2014年11月24日的一场黑客攻击事件中，黑客组织“和平卫士”（Guardians of Peace）公布了索尼影业员工电邮，涉及公司高管薪酬和索尼非发行电影拷贝等内容。

由于索尼网络存在简单密码，黑客组织通过猜测密码进入SONY内部网络。黑客组织包含有一名SONY曾经的雇员。这导致该组织对SONY内部网站结构非常熟悉。他们在SONY的内部网络里一个网段一个网段的扫描，寻找可以入侵的重要主机。在发现重要主机后，透过SMB蠕虫^[^注6]去猜测密码，并植入数据窃取木马和逻辑炸弹。木马程序将主机中的重要数据回传到远端的一个USB存储设备上。在这个过程中，黑客组织不断变换代理服务器，以避免被监视设备发现。在数据传输完成后，黑客组织向SONY发出了威胁通告。在SONY拒绝了黑客组织的要求后，该黑客组积利用事先植入的逻辑炸弹将邮件服务器破坏，使SONY内部邮件系统停止运转。

事件发生的当天，SONY集团股价在5天内下跌10%，公司市值减少100多亿元。在入侵事件发生后的2015年，维基解密^[^注4]公布了黑客获取到的数据，包含有30287份索尼影视美国公司的文件和173132封电子邮件。

由于这些数据曝光了索尼影视高管艾米·帕斯卡（Amy Pascal）发送的邮件包含了关于总统奥巴马的种族敏感话题，艾米被迫辞职。

这一事件向世人清楚的展示了新时代下，黑客组织如何有计划，有目的的对企业组织进行破坏。其技术之精细，实施的时间跨度之大，都已经不是上个世纪黑客嬉皮士们所能相比的，对企业造成的打击也极为沉重。

信息安全建设的核心需求

新时代下，信息安全局面的新变化，推动企业更为积极的进行信息安全建设。

有明确的目标，才能有明确的实施计划。进行信息系统安全建设的第一步，是要明确我们的需求。通常来说，信息安全建设的核心需求是：快速检测，约束影响，快速定位，快速恢复。

在攻防技术对抗方面，防守方总是处于劣势的。因为，防守方面对的一个全面的信息系统。而进攻只要能找到一个入口就能突破进来。因为，防守一方不能幻想着把所有的攻击都阻挡在企业信息系统的外面，我们要接受进攻者能突破进来的这个事实，而把力量和资源放在检测能力加强的方向。做到能检测到，可以赶出去。

在检测到入侵之后，信息系统的维护人员要做到使入侵者所获取的权限尽可能的小，获取到的数据尽可能的少，对系统的破坏尽可能的减弱，把其关在一个尽可能小的“笼子”里。为检测破坏范围，查找漏洞，确定恢复方案争取时间。

在漏洞定位后，建立恢复方案，并迅速实施，清理信息系统，恢复被破坏的信息系统。

企业信息安全的建设方法

为了满足信息安全建设的核心需求，我们需要在企业信息安全建设中，集中做好三件事，第一件是建立安全基线，这是为信息系统的网络安全打下基础。第二件，是建立监控和入侵检测能力，特别是多维度的入侵检测，出现情况时，相关人员可以得到有针对性的检测报告。第三件，是建立灾后应急响应能力。让响应的时间成本更短，溯源和根因分析的能力更强。

基础的安全基线

l IT资产统一管理

首先，要对IT环境中的资产做到记录在册，统一管理。资产包括硬资产和软资产。软资产不仅仅指软件，也包括环境数据。比如，操作系统信息，业务系统信息，网络环境配置参数，网络拓扑结构，域名等等。IT资产管理到位，才能做到安全措施不会被遗漏。否则，被遗漏的资产很有可能因为做到没有足够的安全保护措施而为黑客所利用。

l 基本的补丁管理

有了资产的统一管理，就能够对整个信息系统的软件配置有清晰的判断。进而，可以部署补丁推送系统。比如：微软的SCCMM，也可以利用第三方终端管理软件附带的补丁管理功能。许多的入侵渗透都是利用的一些公布的漏洞，而这些漏洞，软件的开发商都发布了相应的补丁。做好补丁管理工作，绝大多数的漏洞就都会被封都住，阻止了黑客的入侵。

l 漏洞管理

中国和美国都建设有自己的漏洞发布中心和数据库^[^注7]。它们都是可以免费访问和使用的。一些开源的漏洞扫描软件就是从这些数据库中得到最新的漏洞数据。应该使用这些开源漏洞扫描软件对IT环境内的主机资产进行定期扫描，找到存在的漏洞，并通过补丁管理系统为其打上补丁。

偶尔会有重大漏洞被发布，安全管理人员应订阅这类的资讯，保持跟踪。当发现重大软件漏洞被披露时，及时跟进软件开发商的发布平台，下载补丁或实施一些临时缓解措施。

l 基本的访问控制

对企业信息系统应该划分不同的安全域。至少生产系统与办公网络应该是不同的安全域和安全等级。帐号应该统一管理，为不同的级别的员工设定不同的安全策略。

l 弱密码的检测，以及密码的管理

大多数的入侵并不是利用高技术高价值的零日漏洞^[^注3]，或是物理攻击。而是利用内部员工的帐号进入的。使用弱密码会大大降低防御能力，也能得为安全的许多努力白费功夫。

企业网络中，大部分的资产都被纳入到帐号统一管理中，但总会有一些设备，例如，某个第三方的设备，无法接入企业的帐号统一管理系统中。那么，这类资产就存在出现弱密码，甚至是无密码的情况。

一方面，我们通过帐号统一管理，设定密码的设置策略，强制保证受控资产新设置的密码符合强度要求。另一方面，建立密码扫描系统^注]，定时扫描系统里是否存在有弱密码的情况。

监控和入侵检测能力

监控能力是对公司生产及办公网络中各种资产和行为进行记录的能力。对于高危的行为可以进行阻断和告警。

监控能力越强，在出现了入侵行为后，就能够追本溯源，并可以精确的确定入侵行为的影响范围和受损资产。反之，如果监控不足，我们既不能找到入侵行为的源头，也不知道入侵影响的范围。就无法针对性的进行内部网络进行清理。入侵就成为了挥之不去的隐患。

入侵检测可以在多种维度同时进行，包括网络流量，或是基于业务系统，在主机侧实行，甚至在移动设备上进行。不过，对于非IT企业，并不需要建设如此纵深的检测系统。

通常来说，我们只需要对关键域采用IDS设备进行网络流量检测，以及采用邮件网关对容易被入侵者利用的邮件系统进行内容扫描，以及在办公域的主机上部署杀毒软件，就可以了。

应急响应

安全应急响应是指企业在遇到突发安全事件后所采取的活动。安全事件则是指影响企业内部信息系统正常工作的情况，例如信息窃取、黑客入侵、网络流量异常、DDoS等。应急响应的目标是以最快速度恢复系统的保密性、完整性和可用性，阻止和减小安全事件带来的影响。

应急响应首先应该明确责任人。通常企业应该成立一个网络安全应急响应小组（简称CERT）。通常这个小组的成员数量不会多。不过，如果企业网络和信息系统复杂的话，还应该准备各个系统的相关专家的联系方式。

应急响应的执行方案应该遵守PDCERF模型。简单说来就是一系列的步骤：

P是指准备(Preparation)。CERT应该为可能发生的应急响应事件准备好相当的数据和软硬件工具。

数据包含各个业务系统的初始配置数据，配置手册，网络结构图，IP地址表等等。

软件工具包含各种设备配置程序，清理程序，终端程序，远程控制程序等等。

D是指诊断（Decttion）。在连接到现场，得到初步信息或是更深度的数据后，可以开始诊断发生了什么类型的问题。是网络问题，还是业务系统配置有误，还是病毒爆发，还是有入侵者进行了破坏。这是这个阶段需要进行判断的。这个阶段并不要求立刻找到根本原因和源头，甚至，只需要做出一个基本面的判断即可。

C是指抑制（Containment）。首先应该是抑制受害范围，隔离使用受害面不继续扩大，再追求根治，而不是一边任其蔓延，一边去查各种系统数据，执行各类扫描工具，到头来当清楚一台，或数台机器的情况后，病毒或是入侵者又破坏了其它的系统。这就是为什么在上一步的诊断阶段里，我们只需要做出初步的判断（当然，如果可以一眼就看出源头，这是最好的结果。），指导抑制阶段的工作。目标是快速的恢复系统，降低事件的影响。

E是指根除（Eradication）。这是我们熟悉的一个阶段。这个阶段的时间比较充分。CERT也可以调动更多的资源，找到事件的起始肇因。

R是指恢复（Recovery）。把业务恢复至正常水平。隔离区也可以在清除后，接入业务网络。被破坏的数据，程序也都被恢复。对于不可逆的损失，可以记录下来，用于下一阶段的复盘。

F是指跟踪（follow-up）。监控有无异常，整理各类，各系统的报告，提出自省和改进措施，对安全运营持续改进。

a.png

图1 PDCERF模型

建设过程

虽然我们知道要集中办好三件事，但罗马不是一天就可以建成的。信息安全建设也是一步步完成的。

在从0到1的起步阶段，首先要做的是基础安全策略的实施，这部分虽然看起来没有太多的高新技术，但却是ROI^[^注5]最高的部分。这一步不需要高投入就可以解决大多数的安全问题。即使没有太多的安全预算，对于企业至少完成这一步，可以避免很多的安全威胁。

第二步，是建设监控和入侵检测能力。一般来说，购买商业解决方案可以解决这一步的需求。同时，在这步的实施中，不仅仅是增加了一些IT设备，同时，也要建设技术团队，以支持安全系统的运行。建设安全流程，安全检查规范。使购买的设备发挥作用，也为应急响应的实施做好技术和人员的准备工作。

第三步，就是应急响应能力。应急响应没有一个固定的模板，不同的企业有不同的要求。但总的要求是快和准。应急响应要明确责任人，和处理流程。流程即不能冗长，也不能太灵活。太长了，就无法快速响应，太灵活了，处理人在响应过程随意发挥，容易小事变大事。

应急响应能力是一个需要不断迭代进化的过程。做好处理纪录，经常复盘和演示，总结最佳实践，是非常必要的。

信息安全是一个没有硝烟，永不结束的战争

只要有人就有江湖，只要有利益就有战争。黑客一直是信息战争的主角。只要利益的存在，黑客就不会退出江湖。信息安全是一个需要长期建设，不断投入的工程。不存在一劳永逸的解决方案。

技术的进步，计算环境的更迭，组织结构的变化，企业业务的调整，都会对企业信息安全体系产生影响。

企业信息安全系统的团队需要不断的更新自己的知识，密切关注信息系统的运行，保护企业的信息系统的正常运行。

注：

高级长期威胁，Advanced Persistent Threat，缩写为APT

DDoS

分布式拒绝服务攻击（distributed denial-of-service attack，缩写：DDoS attack、DDoS）亦称分布式洪水攻击，是一种网络攻击手法，其目的在于使目标电脑的网络或系统资源耗尽，使服务暂时中断或停止，导致其正常用户无法访问。

零日漏洞

零日漏洞或零时差漏洞（英语：Zero-day exploit）通常是指还没有补丁的安全漏洞，而零日攻击或零时差攻击（英语：Zero-day attack）则是指利用这种漏洞进行的攻击。

维基解密

维基解密（又称维基揭密或维基泄密；英语：WikiLeaks），是透过协助知情人[6][7][8]让组织[9]、企业[10]、政府[11]在阳光下运作的、无国界非盈利的互联网媒体。

投资回报率(Return On Investment，ROI)投资回报率（ROI）是指通过投资而应返回的价值，企业从一项投资性商业活动的投资中得到的经济回报。

SMB蠕虫

计算机蠕虫与计算机病毒相似，是一种能够自我复制的计算机程序。与计算机病毒不同的是，计算机蠕虫不需要附在别的程序内，可能不用使用者介入操作也能自我复制或执行。计算机蠕虫未必会直接破坏被感染的系统，却几乎都对网络有害。SMB蠕虫是指利用SMB网络协议进行传播的计算机蠕虫。

漏洞数据库

https://cve.mitre.org/ MITRE

http://www.cnnvd.org.cn/ 中国国家信息安全漏洞库