如何保證企業資訊安全系列之-企業管理安全保障精要

企業網絡安全已經不僅僅是安全技術層面上的問題，管理問題也在越來越凸現其在企業網絡安全方面的重要地位。目前很多大型企業的安全問題無不在管理層上有所展現，管理安全無力導緻員工沒有安全概念，部署和貫徹安全技術和安全理念的觀念淡薄，導緻出現很多不應該出現的"馬其諾防線"。本文将從企業資訊安全标準化和在管理層面抵禦"社會工程"攻擊兩方面來介紹企業管理層的安全防護手段和技術。

資訊安全評估是資訊安全生命周期中的一個重要環節，是對企業的網絡拓撲結構、重要伺服器的位置、帶寬、協定、硬體、與Internet的接口、防火牆的配置、安全管理措施及應用流程等進行全面的安全分析，并提出安全風險分析報告和改進建議書。它主要可以發揮如下三方面的作用：

（1）明确企業資訊系統的安全現狀。進行資訊安全評估後，可以讓企業準确地了解自身的網絡、各種應用系統以及管理制度規範的安全現狀，進而明晰企業的安全需求。

（2）确定企業資訊系統的主要安全風險。在對網絡和應用系統進行資訊安全評估并進行風險分級後，可以确定企業資訊系統的主要安全風險，并讓企業選擇避免、降低、接受等風險處置措施。

（3）指導企業資訊系統安全技術體系與管理體系的建設。對企業進行資訊安全評估後，可以制定企業網絡和系統的安全政策及安全解決方案，進而指導企業資訊系統安全技術體系（如部署防火牆、入侵檢測與漏洞掃描系統、防病毒系統、資料備份系統、建立公鑰基礎設施PKI等）與管理體系（安全組織保證、安全管理制度及安全教育訓練機制等）的建設。

在當今全球一體化的商業環境中，資訊的重要性被廣泛接受，資訊系統在商業和政府組織中得到了真正的廣泛的應用。許多組織對其資訊系統不斷增長的依賴性，加上在資訊系統上運作業務的風險、收益和機會，使得資訊安全管理成為企業管理越來越關鍵的一部分。管理高層需要確定資訊技術适應企業戰略，企業戰略也恰當利用資訊技術的優勢。但現實世界的任何系統都是一串複雜的環節，安全措施必須滲透到系統的所有地方，其中一些甚至連系統的設計者、實作者和使用者都不知道。是以，不安全因素總是存在。沒有一個系統是完美的，沒有一項技術是靈丹妙藥。

網絡與資訊安全标準化工作是國家資訊安全保障體系建設的重要組成。網絡與資訊安全标準研究與制定為國家主管部門管理資訊安全裝置提供了有效的技術依據，這對于保證安全裝置的正常運作，并在此基礎上保證我國國民經濟和社會管理等領域中網絡資訊系統的運作安全和資訊安全具有非常重要的意義。

國際上資訊安全标準化工作興起于20世紀70年代中期，80年代有了較快的發展，90年代引起了世界各國的普遍關注。目前世界上有近300個國際和區域性組織制定标準或技術規則，與資訊安全标準化有關的組織主要有以下4個：

◆ISO（國際标準化組織）。ISO/IEC JTC1（資訊技術标準化委員會）所屬SC27（安全技術分委員會）的前身是SC20（資料加密技術分委員會），主要從事資訊技術安全的一般方法和技術的标準化工作。而ISO/TC68負責銀行業務應用範圍内有關資訊安全标準的制定，主要制定行業應用标準，與SC27有着密切的聯系。ISO/IEC JTC1負責制定的标準主要是開放系統互連、密鑰管理、數字簽名、安全評估等方面的内容。

◆IEC（國際電工委員會）。IEC在資訊安全标準化方面除了與ISO聯合成立了JTC1下分委員會外，還在電信、電子系統、資訊技術和電磁相容等方面成立技術委員會（如TC56可靠性、TC74 IT裝置安全和功效、TC77電磁相容、TC 108音頻/視訊、資訊技術和通信技術電子裝置的安全等），并且制定相關國際标準（如資訊技術裝置安全IEC60950等）。

◆ITU（國際電信聯盟）。ITU SG17組負責研究網絡安全标準，包括通信安全項目、安全架構和架構、計算安全、安全管理、用于安全的生物測定、安全通信服務。此外SG16和下一代網絡核心組也在通信安全、H.323網絡安全、下一代網絡安全等标準方面進行研究。

◆IETF（Internet工程任務組）等。IETF标準制定的具體工作由各個工作組承擔。Internet工程任務組分成8個工作組，分别負責Internet路由、傳輸、應用等8個領域，其著名的IKE和IPSec都在RFC系列之中，還有電子郵件、網絡認證和密碼及其他安全協定标準。

◆國内的安全标準組織主要有資訊技術安全标準化技術委員會（CITS）以及中國通信标準化協會（CCSA）下轄的網絡與資訊安全技術工作委員會。CITS成立于1984年，在國家标準化管理委員會和資訊産業部的共同上司下負責全國資訊技術領域以及與ISO/IEC JTC1相對應的标準化工作，目前下設24個分技術委員會和特别工作組，是國内最大的标準化技術委員會，也是具有廣泛代表性、權威性和軍民結合的資訊安全标準化組織。

CITS主要負責資訊安全的通用架構、方法、技術和機制的标準化及歸口國内外對應的标準化工作，其中技術安全包括開放式安全體系結構、各種安全資訊交換的語義規則、有關的應用程式接口和協定引用安全功能的接口等。CCSA成立于2002年12月18日，是國内企事業機關自願聯合組織起來經業務主管部門準許的開展通信技術領域标準化活動的組織。CCSA下設了有線網絡資訊安全、無線網絡資訊安全、安全管理和安全基礎設施4個工作組負責研究：有線網絡中電話網、網際網路、傳輸網、接入網等在内所有電信網絡相關的安全标準；無線網絡中接入、核心網、業務等相關的安全标準以及安全管理工作組；安全基礎設施工作組中網管安全以及安全基礎設施相關的标準。

目前，國際上著名的資訊安全評估标準有如下幾種，可以為企業借鑒：

◆可信的計算機系統安全評估标準（TCSEC，從橘皮書到彩虹系列）由美國國防部于1985年公布的，是計算機系統資訊安全評估的第一個正式标準。它把計算機系統的安全分為4類、7個級别，對使用者登入、授權管理、通路控制、審計跟蹤、隐蔽通道分析、可信通道建立、安全檢測、生命周期保障、文檔寫作、使用者指南等内容提出了規範性要求。

◆資訊技術安全評估标準（ITSEC，歐洲百皮書）是由法、英、荷、德歐洲四國90年代初聯合釋出的，它提出了資訊安全的機密性、完整性、可用性的安全屬性。機密性就是保證沒有經過授權的使用者、實體或程序無法竊取資訊；完整性就是保證沒有經過授權的使用者不能改變或者删除資訊，進而資訊在傳送的過程中不會被偶然或故意破壞，保持資訊的完整、統一；可用性是指合法使用者的正常請求能及時、正确、安全地得到服務或回應。ITSEC把可信計算機的概念提高到可信資訊技術的高度上來認識，對國際資訊安全的研究、實施産生了深刻的影響。

◆資訊技術安全評價的通用标準（CC）由六個國家（美、加、英、法、德、荷）于1996年聯合提出的，并逐漸形成國際标準ISO15408。該标準定義了評價資訊技術産品和系統安全性的基本準則，提出了目前國際上公認的表述資訊技術安全性的結構，即把安全要求分為規範産品和系統安全行為的功能要求以及解決如何正确有效地實施這些功能的保證要求。CC标準是第一個資訊技術安全評價國際标準，它的釋出對資訊安全具有重要意義，是資訊技術安全評價标準以及資訊安全技術發展的一個重要裡程碑。

◆ISO13335标準首次給出了關于IT安全的保密性、完整性、可用性、審計性、認證性、可靠性6個方面含義，并提出了以風險為核心的安全模型：企業的資産面臨很多威脅（包括來自内部的威脅和來自外部的威脅）；威脅利用資訊系統存在的各種漏洞（如：實體環境、網絡服務、主機系統、應用系統、相關人員、安全政策等），對資訊系統進行滲透和攻擊。如果滲透和攻擊成功，将導緻企業資産的暴露；資産的暴露（如系統進階管理人員由于不小心而導緻重要機密資訊的洩露），會對資産的價值産生影響（包括直接和間接的影響）；風險就是威脅利用漏洞使資産暴露而産生的影響的大小，這可以為資産的重要性和價值所決定；對企業資訊系統安全風險的分析，就得出了系統的防護需求；根據防護需求的不同制定系統的安全解決方案，選擇适當的防護措施，進而降低安全風險，并抗擊威脅。該模型闡述了資訊安全評估的思路，對企業的資訊安全評估工作具有指導意義。

◆AS/NZS 4360：1999是澳洲和紐西蘭聯合開發的風險管理标準，第一版于1995年釋出。在AS/NZS 4360:1999中，風險管理分為建立環境、風險識别、風險分析、風險評價、風險處置、風險監控與回顧、通信和咨詢七個步驟。AS/NZS 4360:1999是風險管理的通用指南，它給出了一整套風險管理的流程，對資訊安全風險評估具有指導作用。目前該标準已廣泛應用于新南威爾士洲、澳洲政府、英聯邦衛生組織等機構。

◆BS7799是英國的工業、政府和商業共同需求而發展的一個标準，它分兩部分：第一部分為"資訊安全管理事務準則"；第二部分為"資訊安全管理系統的規範"。目前此标準已經被很多國家采用，并已成為國際标準ISO17799。 BS7799包含10個控制大項、36個控制目标和127個控制措施。BS7799/ISO17799主要提供了有效地實施資訊系統風險管理的建議，并介紹了風險管理的方法和過程。企業可以參照該标準制定出自己的安全政策和風險評估實施步驟。

國内主要是等同采用國際标準。公安部主持制定、國家品質技術監督局釋出的中華人民共和國國家标準GB17895-1999《計算機資訊系統安全保護等級劃分準則》已正式頒布并實施。該準則将資訊系統安全分為5個等級：自主保護級、系統審計保護級、安全标記保護級、結構化保護級和通路驗證保護級。主要的安全考核名額有身份認證、自主通路控制、資料完整性、審計等，這些名額涵蓋了不同級别的安全要求。GB18336也是等同采用ISO 15408标準。在制定的過程中，主要可以參照如下的方法進行：

◆定制個性化的評估方法

雖然已經有許多标準評估方法和流程，但在實踐過程中，不應隻是這些方法的套用和拷貝，而是以他們作為參考，根據企業的特點及安全風險評估的能力，進行"基因"重組，定制個性化的評估方法，使得評估服務具有可裁剪性和靈活性。評估種類一般有整體評估、IT安全評估、滲透測試、邊界評估、網絡結構評估、脆弱性掃描、政策評估、應用風險評估等。

◆安全整體架構的設計

風險評估的目的，不僅在于明确風險，更重要的是為管理風險提供基礎和依據。作為評估直接輸出，用于進行風險管理的安全整體架構，至少應該明确。但是由于不同企業環境差異、需求差異，加上在操作層面可參考的模闆很少，使得整體架構應用較少。但是，企業至少應該完成近期1～2年内架構，這樣才能做到有律可依。

◆多使用者決策評估

不同層面的使用者能看到不同的問題，要全面了解風險，必須進行多使用者溝通評估。将評估過程作為多使用者"決策"過程，對于了解風險、了解風險、管理風險、落實行動，具有極大的意義。事實證明，多使用者參與的效果非常明顯。多使用者"決策"評估，也需要一個具體的流程和方法。

◆敏感性分析

由于企業的系統越發複雜且互相關聯，使得風險越來越隐蔽。要提高評估效果，必須進行深入關聯分析，比如對一個老漏洞，不是簡單地分析它的影響和解決措施，而是要推斷出可能相關的其他技術和管理漏洞，找出病"根"，開出有效的"處方"。這需要強大的評估經驗知識庫支撐，同時要求評估者具有敏銳的分析能力。

◆集中化決策管理

安全風險評估需要具有多種知識和能力的人參與，對這些能力和知識的管理，有助于提高評估的效果。集中化決策管理，是評估項目成功的保障條件之一，它不僅是項目管理問題，而且是知識、能力等"基因"的組合運用。必須選用具有特殊技能的人，去執行相應的關鍵任務。如控制台審計和滲透性測試，由不具備攻防經驗和知識的人執行，就達不到任何效果。

◆評估結果管理

安全風險評估的輸出，不應是文檔的堆砌，而是一套能夠進行記錄、管理的系統。它可能不是一個完整的風險管理系統，但至少是一個非常重要的可管理的風險表述系統。企業需要這樣的評估管理系統，使用它來指導評估過程，管理評估結果，以便在管理層面提高評估效果。

社會工程學（Social Engineering)是一種利用人的弱點：如人的本能反應、好奇心、信任、貪婪等進行諸如欺騙、傷害等危害手段，擷取自身利益的手法。近年來，由于資訊安全廠商不斷開發出更先進的安全産品，系統安全防範在技術上越來越嚴密，使得攻擊者利用技術上的漏洞變得越來越困難。于是，更多的人轉向利用人為因素的手段--社會工程學來進行攻擊。

許多資訊技術從業者都普遍存在着類似的一種觀念：他們認為自己的系統部署了先進、周密的安全裝置，包括防火牆、IDS、IPS、漏洞掃描、防病毒網關、内容過濾、安全審計、身份認證和通路控制系統，甚至于最新的UTM和防水牆，以為靠這些安全設施即可保證系統的安全。事實上，很多安全行為出現在騙取内部人員（資訊系統管理、使用、維護人員等）的信任，進而輕松繞過所有技術上的保護。信任是一切安全的基礎，對于保護與稽核的信任，通常被認為是整個安全鍊條中最薄弱的一環。為規避安全風險，技術專家精心設計的安全解決方案，卻很少重視和解決最大的安全漏洞，那就是人為因素。是以，對于目前的企業來說，缺乏對社會工程學防範的資訊系統，不管其安全技術多麼先進完善，很可能會成為一種自我安慰的擺設，其投入大筆資金購置的最先進的安全裝置，很可能成為一種浪費。

社會工程學攻擊基本上可以分為兩個層次：實體的和心理的。與以往的入侵行為相類似，社會工程學在實施之前要完成很多相關的前期工作的，這些工作甚至要比後續的入侵行為本身更為繁重和更具技巧。這些工作包括：社會工程學的實施者（一般稱為社會工程師）必須掌握心理學、人際關系學、行為學等知識與技能，以便收集和掌握實施入侵行為所需要的相關資料與資訊。通常為了達到預期目的，社會工程學攻擊都要将心理的和行為的攻擊兩者結合運用。其常見形式包括如下幾種：

第一，僞裝。從早期的求職信病毒、愛蟲病毒、聖誕節賀卡到目前流行的網絡釣魚，都是利用電子郵件和僞造的Web站點來進行詐騙活動的。有調查顯示,在所有接觸詐騙資訊的使用者中，有高達5%的人都會對這些騙局做出響應。攻擊者越來越喜歡玩弄社會工程學的手段，把惡件、間諜軟體、勒索軟體（ransom-ware）、流氓軟體等網絡陷阱僞裝起來欺騙被害者。

第二，引誘。社會工程學是現在多數蠕蟲病毒進行傳播時所使用的技術，它使計算機使用者本能地去打開郵件，執行具有誘惑性同時具有危害的附件。例如，用一些關于某些型号的處理器存在運算瑕疵的"瑕疵聲明"或更能引起人的興趣的"幸運中獎"、"最新反病毒軟體"等說辭，并給出一個頁面連接配接，誘惑你進入該頁面運作下載下傳程式或線上注冊個人相關資訊，利用人們疏于防範的心理引誘你上鈎。

第三，恐吓。利用人們對安全、漏洞、病毒、木馬、黑客等内容會特别敏感，以權威機構的面目出現，散布諸如安全警告、系統風險之類的資訊，使用危言聳聽的伎倆恐吓欺騙計算機使用者，聲稱如果不及時按照他們的要求去做就會造成緻命的危害或遭受嚴重損失。

第四，說服。社會工程師說服目标的目的是增強他們主動完成所指派的任務的順從意識，進而變為一個可以被信任并由此獲得敏感資訊的人。大多數企業咨詢幫助台人員一般接受的訓練都是要求他（她）們熱情待人并盡可能地為來人來電提供幫助，是以這裡就成了社會工程學實施者擷取有價值資訊的"金礦"。

第五，恭維。社會工程師通常十分友善，很講究說話的藝術，知道如何借助機會去迎合人，投其所好，使多數人會友善地作出回應，恭維和虛榮心的對接會讓目标樂意繼續合作。

第六，滲透。通常社會工程學攻擊者都擅長刺探資訊，很多表面上看起來豪無用處的資訊都會被他們利用來進行系統滲透。通過觀察目标對電子郵件的響應速度、重視程度以及可能提供的相關資料，比如一個人的姓名、生日、ID、電話号碼、管理者的IP位址、郵箱等都可能被利用起來，通過這些收集資訊來判斷目标的網絡架構或系統密碼的大緻内容，進而用密碼心理學來分析密碼，而不僅僅是使用暴力破解。

除了以上的攻擊手段，一些比較另類的行為也開始在社會工程學中出現，其中包括像翻垃圾（dumpster diving）、背後偷窺（shoulder surfing）、反向社會工程學等都是竊取資訊的捷徑辦法。

面對社會工程學帶來的安全挑戰，企業必須采用新的防禦方法，其實這些工作更多的偏向于管理層面，主要包括：

第一，加強内部安全管理。盡可能把系統管理工作職責時進行分離，合理配置設定每個系統管理者所擁有的權力，避免權限過分集中。為防止外部人員混入内部，員工應佩戴胸卡标示，設定門禁和視訊監控系統；嚴格辦公垃圾和裝置維修報廢處理程式；杜絕為貪圖友善，将密碼粘貼或通過QQ等方式進行系統維護工作的日常聯系。

第二，開展安全防範訓練。安全意識比安全措施重要的多。防範社會工程學攻擊，指導和教育是關鍵。直接明确地給予容易受到攻擊的員工一些案例教育和警示，讓他們知道這些方法是如何運用和得逞的，學會辨認社會工程攻擊。在這方面，要注意培養和訓練企業和員工的幾種能力，包括：辨識判斷能力、防欺詐能力、資訊隐藏能力、自我保護能力、應急處理能力等。

第三，對企業有涉外業務的人員進行強化管理。"社會工程"攻擊很多都是針對企業中負責對外業務的人員，如接待、咨詢人員等，由于他們需要頻繁地與外員打交道，是以久而久之更加容易掉以輕心，誤入"社會工程"的圈套和陷阱，是以企業要着重對他們進行教育訓練和教育，以提高他們的防範能力。

本文轉自samsunglinuxl51CTO部落格，原文連結： http://blog.51cto.com/patterson/608539，如需轉載請自行聯系原作者