信息安全的分與分

信息安全的分與分

隨著計(jì)算機(jī)的廣泛應(yīng)用和信息安全問題的嚴(yán)重性越來越明顯。無論是政府機(jī)關(guān)還是企事業(yè)單位,乃至更多的普通百姓,都面臨著如何應(yīng)對日益嚴(yán)峻的網(wǎng)絡(luò)攻擊、信息泄密、信息丟失等信息安全方面問題的考驗(yàn)。世界各國以及眾多從事IT安全產(chǎn)品的廠家在產(chǎn)品的研發(fā)方面投入了巨大的人力和財(cái)力,本文試圖通過對信息安全技術(shù)的綜合分析,談?wù)務(wù)畽C(jī)關(guān)和企事業(yè)單位在信息安全防范方面應(yīng)采取的方針和措施。一、信息安全的分類對于信息安全的分類,可以從不同的角度進(jìn)行,從安全主體角度劃分,可把信息安全分為網(wǎng)絡(luò)安全和計(jì)算機(jī)安全兩大類。早期的信息安全主要表現(xiàn)為個(gè)體的計(jì)算機(jī)安全,如今的信息安全則更多的表現(xiàn)為整個(gè)網(wǎng)絡(luò)的群體安全,網(wǎng)絡(luò)的規(guī)模越大,安全問題就越突出,防范的難度也就越大。從表現(xiàn)形式來看,信息安全又可分為被動攻擊、主動泄密、病毒入侵等類別,實(shí)際上,這三種形式有時(shí)又是融為一體,兼而有之的。另外,網(wǎng)絡(luò)(包括計(jì)算機(jī))的可靠性也可列入信息安全的范疇。二、正確處理“使用與監(jiān)督”的關(guān)系,維護(hù)“人的合信息安全防范的措施可采取人防和技防兩種手段來實(shí)現(xiàn)。所謂人防,就是通過建立一系列的條例和制度來規(guī)范約束網(wǎng)絡(luò)和計(jì)算機(jī)的使用者,從而達(dá)到減少乃至杜絕信息安全事件的發(fā)生。通常這些制度包括入網(wǎng)審批、外網(wǎng)訪問權(quán)限審批、敏感類信息儲存和瀏覽的規(guī)定、敏感類信息對外發(fā)布的規(guī)定、重要設(shè)備的管理維護(hù)規(guī)定、計(jì)算機(jī)房管理規(guī)定、重要信息系統(tǒng)的管理規(guī)定、黑客類軟件的禁用規(guī)定、安全類軟件的使用規(guī)定、涉密信息管理規(guī)定等等。除上述規(guī)定外,還應(yīng)加強(qiáng)日常的信息安全培訓(xùn)、法規(guī)宣傳、警示教育和定期檢查,這些都是提高內(nèi)部職員信息安全意識的有效手段。所謂技防,就是通過安裝不同功能的安防設(shè)備或者軟件系統(tǒng),把各種可能發(fā)生的信息安全事件攔截在醞釀和萌發(fā)階段。IT業(yè)界有一種說法叫做“三分技術(shù),七分管理”,意為技防不是萬能的,更多的是要靠人防、靠制度,持有這種觀點(diǎn)的人不在少數(shù),包括相當(dāng)一部分的IT技術(shù)人員,然而,在筆者看來,應(yīng)當(dāng)反過來講,改為“七分技術(shù),三分管理”。誠然,世上任何事情的結(jié)果最終都取決于人,人的重要性自不待言,任何一個(gè)管理者都不會否認(rèn)這一點(diǎn),無論是政府機(jī)關(guān)還是企業(yè),沒有一套科學(xué)完善的管理制度,沒有一批訓(xùn)練有素的職員,它的信息安全就不可能得到保證。但信息安全不同于其它安全,有其特殊的一面,以消防安全為例,只要人們充分認(rèn)識到火災(zāi)的嚴(yán)重性,具有較強(qiáng)的防范意識,火災(zāi)的避免是比較容易做到的,即使發(fā)生了火災(zāi),往往在火災(zāi)初期也能夠?qū)⑵淇刂?進(jìn)而被迅速撲滅。而信息安全則不然,由于信息技術(shù)的飛速發(fā)展以及操作系統(tǒng)的天生缺陷,給各種“怪才”和居心叵測者提供了施展“才能”的空間,盡管建立了完備的管理制度,但是,我們不可能要求每一個(gè)計(jì)算機(jī)使用者都具備較高的專業(yè)素質(zhì),正是由于信息技術(shù)的特殊性和信息安全事件的隱蔽性,使得當(dāng)事人往往在不知不覺中就已經(jīng)中招,甚至成為“被犯罪”。對于內(nèi)部授權(quán)人員刻意的非法行為,任何制度、任何技防措施都是無力的,但是,完備的技防措施可以有效地阻止非授權(quán)人員的惡意行為。所以說,“三七”說是欠妥當(dāng)?shù)?至少也要“五五”開。之所以有IT人士也堅(jiān)持“三七”說,不排除這是在為自己開脫責(zé)任,作為專業(yè)人士,應(yīng)當(dāng)站在高層管理者的角度,從技術(shù)、成本、可行性等方面綜合考慮,為網(wǎng)絡(luò)信息系統(tǒng)設(shè)計(jì)一個(gè)合乎要求的安防體系,不給或者減少使用者犯錯誤的機(jī)會。三、單一功能產(chǎn)品信息安防產(chǎn)品的種類繁多,各有千秋,大致可分為基于網(wǎng)絡(luò)和基于桌面兩大類型。前者主要用于對整個(gè)網(wǎng)絡(luò)系統(tǒng)的安防,多采取網(wǎng)關(guān)的形式,如網(wǎng)絡(luò)防火墻、VPN網(wǎng)關(guān)、安全網(wǎng)關(guān)、防病毒網(wǎng)關(guān)等。后者則主要用于單機(jī)的防護(hù),安裝在個(gè)人計(jì)算機(jī)上,如桌面安全系統(tǒng)、個(gè)人防火墻、防病毒軟件、隔離卡等。事實(shí)上,安全產(chǎn)品的趨勢正在逐漸地向融合的方向發(fā)展,當(dāng)前市場上的安全產(chǎn)品往往是你中有我,我中有你,單一功能的產(chǎn)品并不多見。以防火墻為例,傳統(tǒng)的防火墻是基于包過濾技術(shù),工作在網(wǎng)絡(luò)層和傳輸層,無法識別控制應(yīng)用層的惡意攻擊,另外,由于硬件技術(shù)制約,傳統(tǒng)的防火墻不能滿足建立精細(xì)規(guī)則的要求。早期,為了實(shí)現(xiàn)安全目的,往往要在網(wǎng)絡(luò)邊界部署防火墻、VPN、上網(wǎng)行為管理、防病毒網(wǎng)關(guān)等一系列的產(chǎn)品,從專業(yè)角度講,術(shù)有專攻,單一功能的產(chǎn)品,其防護(hù)效果最好,但是多個(gè)單一功能產(chǎn)品疊加后,有許多操作都是重復(fù)的,對網(wǎng)絡(luò)影響較大,會形成多個(gè)瓶頸。隨著硬件技術(shù)的突破,系統(tǒng)的處理能力大幅提高,新的防火墻產(chǎn)品正在向下一代防火墻(NGFW)(也有稱統(tǒng)一安全網(wǎng)關(guān)(UTM))的方向發(fā)展,它克服了傳統(tǒng)防火墻的不足,將VPN、入侵防御、流量控制和上網(wǎng)行為管理等多項(xiàng)功能集成,減少了大量的重復(fù)操作,使網(wǎng)絡(luò)的整體性能得以改觀。四、網(wǎng)絡(luò)安全問題網(wǎng)絡(luò)信息安全防護(hù)的重要性和必要性已成為共識,對于個(gè)人電腦和家用電腦,可以肯定的說幾乎百分之百地都安裝了殺毒軟件,但對于政府機(jī)關(guān)和企業(yè)的網(wǎng)絡(luò),由于其結(jié)構(gòu)復(fù)雜,應(yīng)用內(nèi)容繁多,規(guī)模不同,以及安全防護(hù)的投入成本較高,使得一些信息主管在采用什么樣的安全策略上猶豫不決。據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心的統(tǒng)計(jì),2010年中國內(nèi)地共有近3.5萬家網(wǎng)站被黑客篡改,其中被篡改的政府網(wǎng)站達(dá)4635個(gè),占全國政府網(wǎng)站的十分之一,比2009年上升了67.6%。由此可見,黨政機(jī)關(guān)網(wǎng)站的安全防護(hù)措施薄弱是一個(gè)較為普遍的現(xiàn)象。相對而言,省部級黨政機(jī)關(guān)的網(wǎng)站,由于領(lǐng)導(dǎo)重視,資金投入有保障,其安全性要好得多,市縣一級的網(wǎng)站,由于缺少資金投入和維護(hù)力量的原因,網(wǎng)站的安全性十分堪憂。一些黨政機(jī)關(guān)網(wǎng)站,由于建站人員安全意識差,技術(shù)一般,使網(wǎng)站存在許多漏洞和隱患,致使一些黑客使用很簡單的入侵手段即可得手,甚至發(fā)生過黑客以攻擊政府網(wǎng)站來要挾敲詐政府的案件。隨著政府執(zhí)政理念的轉(zhuǎn)變,網(wǎng)上辦公、網(wǎng)上便民服務(wù)、網(wǎng)上與民眾溝通的應(yīng)用也將越來越多,如果網(wǎng)絡(luò)安全不能得到保障,很有可能造成意想不到的嚴(yán)重后果,因此,黨政機(jī)關(guān)今后應(yīng)當(dāng)也必然會加大信息安全方面的投入,配備必要的網(wǎng)絡(luò)安全設(shè)備和網(wǎng)絡(luò)維護(hù)人員。一般來講,黨政機(jī)關(guān)的內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)需求都不是很復(fù)雜,工作人員素質(zhì)較高,安全防護(hù)措施比較容易實(shí)施。需要注意的是,黨政機(jī)關(guān)的一些計(jì)算機(jī)中存儲有含有密級的敏感信息,對于這部分計(jì)算機(jī)是絕對不允許與公網(wǎng)有任何的物理連接,目前,許多地方的保密部門都已建立了涉密計(jì)算機(jī)違規(guī)外聯(lián)監(jiān)管系統(tǒng),從而能夠有效地對涉密計(jì)算機(jī)實(shí)施監(jiān)管。與政府網(wǎng)相比,企業(yè)網(wǎng)絡(luò)就要復(fù)雜得多,尤其是規(guī)模較大的央企行業(yè)網(wǎng)絡(luò),入網(wǎng)計(jì)算機(jī)動輒幾百臺、幾千臺,最多的甚至可達(dá)幾十萬臺,計(jì)算機(jī)的數(shù)量越多,出現(xiàn)問題的幾率就越高,管理的難度也越大。此外,企業(yè)由于經(jīng)營上的需要,往往在外地設(shè)有眾多的分支機(jī)構(gòu),出于成本考慮,這些分支機(jī)構(gòu)與總部之間不可能都采用專線連接,通常是采取VPN技術(shù),通過公網(wǎng)實(shí)現(xiàn)連接,這又使網(wǎng)絡(luò)安全管理的難度進(jìn)一步增大。目前,占上網(wǎng)企業(yè)大多數(shù)的中小企業(yè)中,有相當(dāng)一部分企業(yè)是通過ADSL或一條光纜專線直接接入互聯(lián)網(wǎng)的,在網(wǎng)絡(luò)出口處沒有采取任何網(wǎng)絡(luò)安防措施,只是在每臺計(jì)算機(jī)上安裝了殺毒軟件,這種幾乎不設(shè)防的做法無異于使企業(yè)的內(nèi)部網(wǎng)在互聯(lián)網(wǎng)上“裸奔”,企業(yè)的信息毫無安全可言。在這方面,大型企業(yè)尤其是大型國企做得比較好,以中石油為例,它的網(wǎng)絡(luò)規(guī)模達(dá)到了6位數(shù),2011年,中石油聘請權(quán)威機(jī)構(gòu)對整個(gè)網(wǎng)絡(luò)進(jìn)行檢查和評估,采取強(qiáng)制措施,將原來大大小小,多如牛毛的互聯(lián)網(wǎng)出口全部關(guān)閉,僅保留了少數(shù)幾個(gè)區(qū)域中心的出口,并在出口處部署了一系列高端的網(wǎng)絡(luò)安防設(shè)備,在網(wǎng)絡(luò)內(nèi)部,它們部署了桌面安全、端點(diǎn)準(zhǔn)入、病毒防護(hù)和身份認(rèn)證等多個(gè)系統(tǒng),使中石油網(wǎng)絡(luò)的安全性得以提升。目前在信息安全方面,已經(jīng)有越來越多的黨政機(jī)關(guān)和企業(yè)認(rèn)識到保證信息安全的重要性,舍得在信息安全方面花錢了,這對于從事信息工作的專業(yè)人員來說,無疑是個(gè)好現(xiàn)象,但是,也應(yīng)看到,由于不懂專業(yè)和貪大求洋,在信息安全建設(shè)方面存在著盲目崇拜國外品牌的現(xiàn)象,這一點(diǎn)應(yīng)當(dāng)引起有關(guān)部門的重視。不可否認(rèn),國外的IT產(chǎn)品在功能和性能方面確實(shí)比國內(nèi)品牌具有優(yōu)