摘要:网络和信息系统作为企业运行发展的核心基础设施,安全问题尤为重要。本文在简要概述信息系统运行过程中各种安全威胁,以及安全威胁防御原理的基础上,提出信息系统安全的运维措施,以确保信息系统的安全性和可靠性。
关键词:信息系统;安全威胁;防御
21世纪以来,伴随着全球信息化建设的井喷式发展,网络和信息系统已成为全球范围内各行各业运行发展的核心基础设施,利用信息系统实现企业内外部信息的高效传递、共享和应用,已成为企业日常经营与管理的核心环节,因此,信息系统安全问题,也成为企业高度重视的问题。然另一方面,信息技术迅猛发展的同时,互联网攻击技术和威胁水平也不断提高,给企业信息系统的设备安全、数据安全、内容安全和行为安全埋下巨大隐患。因此,在信息系统安全形势愈发严峻的大背景下,如何运用多样化、多层次的风险管控和安全防御措施,提升信息系统安全水平,成为各企业工作的重点和难点,本文就此进行分析探讨。
1企业信息系统运行中主要安全威胁
要保障企业信息系统的安全性和可靠性,首先要明确信息系统常见的的威胁类型有哪些,从而在此基础上提出切实有效的防御措施。实践中,企业信息系统主要由物理层、网络层、系统层、数据库层、应用层和用户层等六大层面构成,非法用户对企业信息系统的威胁,主要是通过对以上各层的入侵进行,尤其是由由软件、数据、信息和协议组成的网络层、系统层、数据库层、应用层,更是非法用户入侵的主要途径,而物理层因以实物组成为主,故而威胁较少。故本文总结的威胁类型,也以网络层、系统层、数据库层和应用层为主,具体如表1所示:
.png)
2企业信息系统安全威胁防御原理
由上文所述可知,非法用户对企业信息系统的攻击,主要通过网络层、系统层、数据库层、应用层等层面来完成,因此,为进一步提高企业风险管控和安全防御的针对性,有必要系统地掌握信息系统安全威胁的防御原理,在此基础上采取针对性措施开展防御保护。实践中,企业信息系统安全威胁防御原理大致如图1所示。由图中可见,信息系统遭遇安全威胁的内在原因和根本前提,在于入侵者通过用户层同企业信息系统接触,利用网络层、系统层、数据库层和应用层存在的系统脆弱性,寻找可利用点发起各种攻击。因此,从安全防御角度出发,要保证企业信息系统安全,首先就是要完善信息系统脆弱性。实践中,广义的信息系统脆弱性主要含系统技术脆弱性(物理环境脆弱性、应用软件脆弱性、操作系统脆弱性、网络结构脆弱性等)、管理脆弱性(管理制度脆弱性、组织结构脆弱性、岗位设置脆弱性等)及人员脆弱性(人员准入脆弱性、人员操作脆弱性、人员能力脆弱性等)等三方面内容,其中又以系统技术脆弱性(即狭义的系统脆弱性)的危害性最大,如以往曾引发过大量安全事件的Windows、Liunx等操作系统的漏洞、TCP/IP、Http等网络协议的漏洞以及Office、Oracle等应用软件的漏洞,都是防御的关键。同时,实践中由于信息系统脆弱性被非法入侵者找到和利用的几率很高,因此还要充分发挥入侵检测系统与人工调查等安全技术的作用,以便对非法入侵行为进行有效的阻挡或检测。而以上两种措施,归根结底,其实都是对信息系统安全技术的选择与配置,而这也是信息系统安全技术策略的主要内容。
图1业信息系统安全威胁防御原理
3企业信息系统安全的运维措施
3.1企业信息系统安全技术配置要点
实践中,信息系统安全技术种类繁多,从传统的防火墙、杀毒软件、加密等技术、入侵检测系统、访问控制、漏洞扫描,再到VPN(虚拟专用网)技术、数字签名和认证技术、代理服务技术、蜜罐技术、UTM(综合安全网关)等新型技术,均有各自特性及应用优势,以满足企业不同的安全需求。以入侵检测系统为例,基于主机的入侵检测系统(HIDS)、基于网络的入侵检测系统(NIDS)以及分布式入侵检测系统(DIDS)的优势分别如下:HIDS 适用于被加密和交换的环境,可监视特定的系统活动,并可接近事实地检测和应答;NIDS 适用于在共享网段上对通信数据的侦听采集数据,分析可疑现象;DIDS 既能检测到网络入侵行为又能检测出主机的入侵行为,适用于系统脆弱性分散在网络中的各个主机上的情形以及出现协作式入侵行为而非单一入侵行为的情形等。因此,企业在对信息系统安全技术进行配置时,应结合实际安全需求、人员状况、安全技术供应商、安全服务提供商以及黑客等各方面内容,进行综合考虑。以企业安全需求分析为例,主要包括企业受到的主要威胁类型、威胁发生概率、安全技术特性、信息系统脆弱性水平、信息系统安全等级等的分析,在此基础上,因地制宜地合理配置信息系统安全技术,以确保信息系统安全技术能最大限度地发挥自身作用。
3.2企业信息系统安全技术数量选择
近年来,随着当前计算机技术的日新月异,企业信息系统安全问题呈现出明显的多样化倾向,具有特征复杂、危害多样、传播速度快、损害过程隐蔽以及组合攻击和饱和攻击等复杂性特点,在一定程度上增加了威胁识别、预测和控制的难度,因此,单一的安全技术在应对威胁方面越来越捉襟见肘,因此,业内人士越来越倾向于通过多样化和多层次的技术组合,如多入侵检测系统技术组合、单个入侵检测系统与人工调查技术组合、部署多个入侵检测系统与人工调查技术组合等,实现对信息系统安全的纵深防御。当前,普遍得到业内认同的信息系统安全技术组合模式主要有:入侵检测系统和防火墙组合、蜜罐与入侵检测系统的技术组合以及防火墙、入侵检测系统和漏洞扫描的技术组合等,以入侵检测系统和防火墙的组合模式为例,防火墙技术可以将入侵者挡在系统之外,而入侵检测系统IDS则可以检测到绕过防火墙的入侵行为,能很好地满足电子商务类公司预防网络瘫痪的安全需求。但需要特别指出的是,信息系统安全技术组合并非是技术配置均越高越好,而是应该根据各类威胁发生概率和各安全技术选择概率对各技术资源进行合理分配,应强调的是组合配置的相互补充及最优化,而非是组合配置的最大化,以免造成技术组合相互冲突甚至相互无关的问题。结合以往实践看,企业信息系统安全技术数量选择方面,可参照如下思路进行,即:入侵检测率较低时,通过增加入侵检测系统数量来提高入侵检测的概率,以威慑入侵者,降低其发起入侵的可能性;反正则不应盲目增加入侵检测系统数量。
总之,随着当前计算机应用服务类型、数量和复杂程度的日新月异,企业信息系统的规模、结构以及空间和网络分布愈发朝着庞大化、复杂化、宽广化方向发展,这也使得信息系统安全遭遇越来越严重的挑战。这就需要我们要清晰、准确地认清信息安全形式,在结合企业自身安全需求情况的基础上,汲取众家安全防护之所长,同时不断探索和积累实践经验,坚决打赢企业信息系统安全防御战。
参考文献:
[1]蔡传晰. 基于博弈关系的企业信息系统安全技术配置策略研究[D].?东南大学博士学位论文,2018.
[2]罗仁芝.计算机信息系统安全技术的应用探析[J].信息系统工程,2020(4):64-65.