随着云计算、大数据、物联网、人工智能等一系列互联网科技的引入,当今的IT世界风起云涌。复杂的网络业务平台、各种层次的云服务、无处不在的数据访问、多样化的通信网络环境等等,都对每一位IT专业人士,提出了新的、越来越多的信息安全需求。
近年来,我国的网络安全事件频发,无孔不入,而网络罪犯造成的经济损失量,高居全球第一,侵害了大量个人和企业的切身利益。可以说,信息安全与我们每个人、每个企业都息息相关。
但由于绝大多数个人,以及绝大多数企业,对于信息安全的知识了解甚少,因此很多时候,并不能真正地做好个人信息及企业信息的保护,从而造成了极大的信息安全隐患。
在这里,我们将信息安全的基本知识做了一个简单的梳理,让大家能够对信息安全的知识范畴有个基本的了解。而如果希望掌握更全面的知识,可以找一些信息安全方面的专业书籍来系统学习,我们有一本电子版的信息安全教材,感兴趣的朋友可以联系获取。
第一:网络安全
现在,无论一个企业地处何处或规模多小,它们可能都会在工作中使用互联网,并有可能会将一定规模的业务,发布至互联网上供用户公开访问。所有的网络系统都会给企业带来风险,控制措施包括如防火墙、资源隔离、加固系统配置、认证和访问控制以及加密等多种方法。
各种网络设备(交换机、路由器、防火墙等)应具备一定的冗余级别,以确保网络的可用性;
要能识别各种网络设备的关键安全控制机制,并了解这些控制机制失效的后果,并有效管控;
可利用代理服务或Web过滤,阻止内部和外部的直接连接;
要及时为各种网络设备安装升级补丁以及经常校验设备的安全配置是否正确(或被修改了);
可在网络设备中禁用多余的服务,以及保护关键的服务;
要进行正确的无线用户认证,以及无线局域网的入侵检测和异常追踪。
第二:系统安全
一个安全的系统可以保护主机和所有运行于其上的软件和硬件。安全是操作系统的一个非常重要的设计目标,操作系统接触(内存、文件、硬件、设备驱动程序等)的每一个资源,都必须从安全的角度进行交互。
在开始安装一个全新的系统之前,必须百分之百地确保系统里的软件都是可信的;
通过访问控制列表,实现操作系统的基础安全功能;
关闭不必要的服务来减少攻击系统的可能;
安装安全软件,以及定期和快速地更新系统和基础软件的安全补丁;
强化身份验证的过程,以及限制管理员的数量和权限。
第三:应用安全
编写完的应用程序,会带着尚未被发现的安全漏洞,被部署在环境中,它将在一段或长或短的时间内,以原本的功能去面对各种威胁、失误、误用或者恶意使用。环境里的恶意主体,也将有同样长的时间,去观察这些应用程序,调整其攻击方式,直至起作用。虽然总体概率较低,可一旦不希望的事情发生了,后果则可能是非常非常严重的。而预先在软件里面构筑安全防护功能,相较于等到软件发布后再提供安全更新,更加容易和方便。
每个开发人员都应参与相应的安全培训,以规范他们的安全活动和使用的技术;
对开发过程中的源代码库、文件共享以及开发和测试服务器等,必须进行安全管控;
应针对开发活动,制定必要的安全要求和安全目标,以及在设计文档中添加安全属性;
应建立一套独立于开发团队的安全设计评审机制来验证应用架构的安全性;
应使用安全或已审核的函数和库的版本,消除未使用的代码,正确处理数据;
可使用静态分析工具或手动代码检查等方式来检查应用代码中的安全问题;
应执行重复性的测试(如回归测试)和探索性的测试(如渗透测试)来发现安全问题;
如果应用程序需要对外交付,则需要提供详细的安全文档,以指导应用的安全部署和使用;
在应用发布后,一旦暴露了安全问题,应及时发布补丁程序来更新该应用。
第四:数据安全
数据是企业的核心信息资产,也是绝大多数网络攻击的最终目标。不过,对数据进行保护,不能仅仅保护存储在数据库中的静态数据,还要关注在使用中的数据,以及在传输中的数据;不能仅仅保护规整的结构化数据库,还要关注分散存储的各种非结构化数据。
保护数据库中的数据,最常用的方法就是使用加密;
要实行身份访问控制,以限制对数据的读取;
要对数据的导出尤其是批量导出进行严格的管控;
要提供对数据进行操作的各种审计和日志记录;
要注重各种非结构化数据的管理,例如网页、邮件、社交工具中被展示和传输的数据。
第五:管理安全
企业的IT信息安全已经不能再靠单纯的防火墙,它需要一个全面的风险管理方法。随着企业越来越多地依赖于全球的供应链和通信网络,以及TB级的大量业务数据,只凭借一两个信息化部门的技术员工,已不再能胜任所有的信息安全工作了。信息安全必须得到组织高层的认可、思考、拥护和倡导。
必须有基于问责制的整体和明确最终责任人的风险管理,可以在企业高层设置首席安全官;
要确保所有部门关键岗位的业务人员得到了与岗位匹配的充分的信息安全知识和技能培训;
安全部门要了解公司的业务发展,并能够及时发现甚至预测新的信息安全问题;
对于负责网络业务研发的部门,应该有专注于信息安全的架构师来测试和处理安全漏洞;
要建立跨部门的安全事件响应团队,随时准备调动内外部资源,处理棘手的安全问题;
可以适当地与外部信息安全公司合作,以从不同的以及更专业化的角度查找安全问题。
第六:物理安全
传统的观念认为,物理安全性一直与IT世界保持完全的隔离。但是随着技术不断取代纸张和手工操作,物理安全性正日益成为信息安全的重点。IT世界和物理安全性世界正在迅速融合。
数据中心的站点如果建在有可能遭受洪水、地震、台风的地区,则会有显著的风险;
锁不再只是为门而设计,任何有价值的东西,都应该在有锁的位置进行保护;
物理入侵检测需要深谋远虑,而利用摄像头、警报器等安全设施时,需要经常确认其可用性;
随着图像、视频、声纹识别的发展,需要充分认识到,信息的盗取未必一定通过网络。
信息安全既独立,又与各个具体的行业领域密切相关。而随着各行各业加快互联网转型的步伐,随着各类关系民生的重要企业全面推进业务上云,随着信息安全产业上升至国家安全战略层面,未来的社会,将需要大量的信息安全方面的人才;未来的企业,也将需要在信息安全方面投入更多的重视。