随着网络的发展和普及,信息安全与每个人息息相关,包含方方面。每个人既是独立个体又必须和社会交换资源。这就需要把控一个尺度。
要了解信息安全,首先需要对信息有个大体了解。从拥有者和使用者分类分为,个人,企业(个体工商户,集团,公司),国家(军事,银行),公共服务(医院,税务,公园)等。
信息安全从存储介质上分:移动存储(U盘,光盘,磁盘,硬盘,磁带),移动设备(手机,PDA,mini计算机,pad),计算机(个人计算机,企业个人电脑),内部服务器(fileweb,ftp,直播源),云存储(海康云,阿里云,百度云,金山云等),企业自建云,公司混合云,私有云
互联网应用的飞速发展和普及,网络安全越来越受到各级用户的普遍关注。
在个人买房后很多装修公司给你打电话,贷款公司接踵而来,当你开公司,各种代办公司,地图公司,产品公司就会给你打电话。
这里我们不针对个人信息安全做讨论,也不做国家信息安全讨论。我做企业信息安全讨论。
企业信息安全现在状况
传统企业信息安全主要由规章制度,法律约束,防火墙构成。随着企业信息化越来越多传统的安全架构设计存在巨大的缺陷。
职员离职或者发生矛盾,企业信息泄露不胜枚举,传统安全更多在于信息的保护如果加密磁盘,私有云,excel加密,文档加密,文件夹加密,系统权限,防火墙拦截。都是针对数据安全的管理方向。信息之所以会泄露其根本不在于信息而在于人的行为,因此传统的的安全存在问题。
传统的防火墙,譬如医院,交警,气象局,政务大厅通过边界网关+高强度防火墙(深信服,华为,安全狗,360安全大脑,阿里云御城呵)等,这些防御技术看似无坚不摧但是有个巨大缺陷,在信息外围建立了保护屏障,但是一旦内部有一台中毒,感染那么就会畅通无阻,如同2018年的永恒之蓝勒索病毒,一旦内网中毒,将大面积中招。表面看起来是病毒厉害实际上是安全防护的缺失,当然我没有否定前人的意思,先人们设计的防火墙还是非常好用,发挥着巨大作用,但是随着互联多样化,就显得力不从心。这需要更多正义人士共同抵御新的攻击,保护信息安全。
新信息安全保护分类
信息安全分类:内鬼、强敌,也可以说成:上网行为(人和计算机)+防火墙。
传统防火墙的安全防火相当于强敌攻入城堡,防火墙负责抵御外敌。传统的防火墙设置在网络边界,在内部企业网和外部互联网之间构成一个屏障,进行网络存取控制,所以称为边界防火墙(Perimeter Firewall)。
边界网络最大的缺点就是没有对内鬼做防护。
目前针对内鬼的就是上网行为管理,一般可以限制访问网络,qq,微信,看电影,电影内容。从设定上我们不难看出企业主要担心职员上班在做其他事情。
然而内鬼实际上比强敌更可怕,因为内鬼很容易带走公司资料,也了解公司资料分类,了解公司资料重要级别,一旦自立门户,去对手公司相当可怕。
企业信息安全泄露大多数来自内鬼
统计,80%的攻击和越权访问来自与内部,边界防火墙在对付网络内部威胁时束手无策。因为传统IPIPIPIPSec 、 SSH 、 SSL 等) IP SSL VPN IP。
1.设计公司,职员离职将CAD图带走,使企业无法修改设计图和无法交付。
2.职员离职删库,导致公司业务瘫痪。
3.公司采购与供应商串通,泄露招标信息,泄露竞标价格。
4.销售获取公司产品配方售卖与对手公司
5.U盘复制公司培训资料,外带
6.职员将信息通过邮件发出,上传自己云盘。
7.职员篡改销售数据。
8.IT运维作为数字资源一把手没有监管和监视,审计,导致篡改数据。
9.公司随意带电脑和U盘一台中毒,全公司中招。
企业信息安全防火-内鬼防火制度篇
制度上防止内鬼:有很多公司上班禁止携带个人设备,包含手机,U盘,如果工作中需要用到U盘拷贝资料,会发需要准备资料的名称和文件向主管申请,审批通过后由专人拷贝到U盘,带到客户公司,传输电脑上,再有职员进行操作。
不难看出除非职员有过目不忘,否则很难将资料带走。
传统防火墙缺陷
1.内部安全隐患没有涉及
传统的防火墙只对企业网络的周边提供保护。防火墙会从外部网络进入企业内部局域网的流量进行过滤和审查,但是,他们并不能确保企业内部网络内部用户之间的安全访问。这就好比给一座办公楼的大门安装防盗门,但是办公楼内的每个工作室却四门大开一样,一旦有人通进入办公楼,就可以随意出入办公楼内任何一个房间。要处理这种安全性隐患的最简单办法便是为楼内每个房间都配置防盗锁。边界式防火墙的作用就相当于整个企业网络大门的那把锁,但它并没有为每个客户端配备相应的安全“大锁”,与上述所举只给办公楼大门配锁,而每个房间的大门却敞开所带来的安全性隐患的道理是一样的。
2.效率低故障率高
由于边界式防火墙把检查机制集中在网络边界处的单点上,产成了网络的瓶颈和单点故障隐患。所以墙边界防火墙难以平衡网络效率与安全性设定之间的矛盾,无法为网络中的每台服务器订制规则,它只能使用一个折衷的规则来近似满足所有被保护的服务器的需要,因此或者损失效率,或者损失安全性。
3.安全拦截规则缺陷
传统的的防火墙基本采用一刀切的方式,无法满足现代式的互联网安全,主要原因是防火墙与业务系统孤立,独立运行。
一般服务器上有多个服务,一刀切的边界防火墙模式显得力不从心。
举例说明:
限制访问频率矛盾,
不难看出,针对普通企业复杂的业务防火墙的频率限制无法发挥,这导致DDOS攻击没法一刀切。很多公司采取了多节点模式,即将高频与低频分离。
简单方案:发文章只有内网可以访问,内网不做限制。但是这么一来内网安全就彻底放开了。
如果图片携带病毒就不会检测,一般发布带有病毒的图片那么全网很多地方都会中招。
导致这个问题主要是防火墙业务与业务系统不能形成统一战线。
4.防火墙的出站设计缺陷
一般本地计算机安装软件时候如果有访问网络的需求会直接请求彻底放行,出站采用的方式有:信任程序(所有端口),信任端口(所有程序),信任地址(任何ip,程序)。
看似完美,市面上的大多数的出站软件(上网行为)没有对数据,sql注入,后门传数据进行过滤审查,普通的上网行为也没有拦截日志,这导致我们无法对实际的安全作出准确判断。
譬如职员把公司资料通过邮箱外传,拷贝这种设计公司秘密的操作都没有审计,一旦有内鬼那么就可以肆无忌惮的传输资料。
5.规则创建缺陷
出于安全考虑防火墙没有提供api,socket等方式实现动态规则更新。市面上号称最安全的安全审计网关也无非是通过:防火墙自己学习+人工配置。这看起来很安全,但是随着加密技术成熟,防火墙无法解密传输的数据内容,这也导致无法审计内容,这时候如果业务系统发现需要拦截规则就无法传递给防火墙。
网络信息传播线路
信息传播途径:互联网(DNS服务器,数字证书服务器)→路由器→硬件网关→操作系统网卡(驱动软件)→系统防火墙→web、应用防火墙→应用服务器防护→业务系统应用层防护
从传播路径和途径我们不难看出防火墙只是其中一个环节,要想企业信息安全仅仅只依靠防火墙,和信息审计服务器远远不够。
新企业信息安全设计方向
分布式防火墙
1.Internet访问控制
依据工作站名称、设备指纹等属性,使用“Internet访问规则”,控制该工作站或工作站组在指定的时间段内是否允许/禁止访问模板或网址列表中所规定的Internet Web服务器
2.应用访问控制
通过对网络通讯从链路层、网络层、传输层、应用层基于源地址、目标地址、端口、协议的逐层包过滤与入侵监测,控制来自局域网/Internet的应用服务请求,如SQL数据库访问、IPX协议访问等。
3.网络状态监控
实时动态报告当前网络中所有的用户登陆、Internet访问、内网访问、网络入侵事件等信息
4.黑客攻击的防御
抵御包括Smurf拒绝服务攻击、ARP欺骗式攻击、Ping攻击、Trojan木马攻击等在内的近百种来自网络内部以及来自Internet的黑客攻击手段
5.日志管理
对工作站协议规则日志、用户登陆事件日志、用户Internet访问日志、指纹验证规则日志、入侵检测规则日志的记录与查询分析。
6.防火墙与业务系统相互作用
防火墙遇到紧急事件可以通知业务系统采取措施。
业务系统遇到紧急情况可以通知防火墙拦截。
7.上网行为管理审计和日志
传统上网行为拦截只针对特定网址,特定应用拦截,而对授信的应用没做限制,例如sql病毒,图片病毒,这些文件感染那么上网行为不会监管,这就出现了2018年永恒之蓝病毒那样,一台中毒,整个局域网都受到牵连。不仅要做好出口拦截,还要做好出口日志审计(传文件,传邮件,共享打印,图片扫描,文档扫描,压缩文件病毒)。
由于传统没做内网审查和扫描这导致很多医院虽然不能上外网,普通人也接触不到,但是依然没有逃脱病毒的魔爪。其主要原因还是因为工作计算机出口没做审计和安全,一旦带病毒的U盘插入工作计算机,那么医院的服务器就会受到感染。
8.企业有条件可以自建拦截库配置防火墙使用,譬如拦截对手公司访问。
企业信息安全措施
1.尽量减少职员携带自己电脑,U盘等私人存储设备进入公司。
2.如果条件不允许,可以使用usbserver,职员的文件统一管理在公司服务器,计算机不存放文件和拷贝,这样做可以做到u盘拷贝数据一定要通过系统审计,减少职员直接拷贝公司资料。
3.特殊文件采用公司公文系统,进行部门,职员授权,只有特定人群可以访问。
4.财物信息,金融信息,台账报表,进货价敏感信息加密存储,网络分离,常见的财务网络与办公网络分离
5.重要数据,医院、政府、交警,银行,公共服务做数据容灾服务,多地备份,防止数据损坏,丢失,可以尽量降低损失。
7.本地计算机安装安全软件,需要经过本地同步到服务器的文件,进行安全扫描。
8.搭建沙箱实验环境,对于外来软件需要安装的可以在沙箱运行一遍,安全检测后在安装到真实环境。
9.服务器安装防火墙
针对服务器进出口做安全策略,数据备份
10.对于外网增加硬件防火墙和安全审计
例如深信服的硬件防火墙,数据库审计系统
11.不要下载来路不明的软件,够买盗版源码
很多公司中毒都是购买了盗版软件,有些盗版软件自带病毒,后门。而且购买盗版软件一旦发生数据丢失是不受法律保护,软件厂商也不会协助你处理。
12.服务上线前进行安全测试
13.安全常用工具准备
漏洞扫描工具,上网行为管理工具,病毒扫描工具,后门发现工具,网路监控工具(如果有后门向外发送数据可以看到),网络入站监控工具,系统补丁工具,日志分析软件,安全审计工具,文件监视器(检测文件修改记录),打印监视器(打印日志和审查)。
14.制定信息安全管理
企业指定信息安全责任人,信息安全管理规章制度,信息使用流程,信息使用规范,业务系统安全规范,信息安全巡检,信息安全登记,信息安全日志。
记录设备ip信息,设备型号,涉及安全的病毒库版本,更新时间,包含病毒库。
监控设备记录ip,是否有弱口令,是否连接外网,外网是否可以控制,是否与客户网交叉,如餐厅与客户网交叉,那么客户链接wifi就可以控制餐厅监控。
设备是否专用,还是混合使用,使用人群登记。
多人使用设备情况,最好采用业务系统,这样保证了A职员修改B职员文档,拷走其他职员文档,导致责任划分不清。使用业务系统有审计,有权限。
设备使用记录表
记录使用人,使用目的,使用时间,操作磁盘,使用设备,使用前设备安全情况。
定期巡检设备安全,采用安全工具扫描,时间间隔根据自己公司情况安排和设定,可以按照信息安全等级,设定不同周期。
安全培训,对涉及敏感操作的岗位,上岗前做到持证上岗,我记得在2012年一个职员没有告知客户情况下将服务直接格式化,结果赔偿几十万,对于安全岗位要做到心里有数,操作前备份,操作后校验。切记不可犯错,数据无价。
15.突发事件
为保障外包服务应急预案的顺利实施,成立外包应急领导小组、外包应急处理协调小组,其中外包应急处理协调小组由外包商联系组、技术支持组、业务支持组和对外联络组等组成,外包管理应急组织架。
16.计算机硬件存放
计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。
存放备份数据的介质必须具有明确的标识。备份数据必须异地存放,并明确落实异地备份数据的管理职责注意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理,保证存储介质的物理安全。
17.密码安全
对于高等级安全密码系统维护用户的密码应至少由两人共同设置、保管和使用。
有关密码授权工作人员调离岗位,有关部门负责人须指定专人接替并对密码立即修改或用户删除,同时在“密码管理登记簿”中登记。
18.数据还原与清除
数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行,出现问题时由技术部门进行现场技术支持。数据恢复后,必须进行验证、确认,确保数据恢复的完整性和可用性。
数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存,并确保可以随时使用。数据清理的实施应避开业务高峰期,避免对联机业务运行造成影响。