概述
目前,資訊技術飛速發展,已成為最活躍的生産力要素,促使生産模式發生重大的變革,引發網際網路經濟蓬勃發展。資訊化作為企業數字化轉型的基礎與支撐,得到了企業高層的高度重視,雲計算、大資料、物聯網、邊緣計算等越來越多的新技術、新架構被開發和廣泛應用。
資訊化在國家發展中的重要性和地位不斷上升,資訊安全逐漸得到國家重視,并于 2017 年 6 月釋出《中華人民共和國網絡安全法》,旨在保障網絡安全,維護網絡空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,促進經濟社會資訊化健康發展。
據全球知名網絡安全公司 Gemalto 釋出的《資料洩露水準指數》指出,僅 2018 年上半年,全球每天有超過 2500 萬條個人資料遭到入侵或洩露,涉及金融、醫療、制造等多個行業。直至現在,越來越多的網絡安全事件爆發,黑客攻擊手法也越來越複雜和多樣化。面對如此嚴峻的形勢,我們亟需建構一套屬于自己的資訊安全架構,禦敵于千裡之外。
什麼是資訊安全?
對于什麼是資訊安全的概念,不同的人可能解釋也不同。ISO/IEC 、美國國家安全系統委員會和國際資訊系統審計協會三家對資訊安全的定義大同小異,其目标一緻,都指出保障資訊安全的最重要目的是保護資訊的機密性、完整性和可用性。
定義概述為“為了保障機密性、完整性和可用性而保護資訊和資訊系統,以防止授權的通路、使用、洩露、中斷、修改或者破壞”。
■ 機密性:
簡而言之,資訊僅能夠被授權的個人、組織、系統或流程通路,不應該被任何其他非授權行為擷取。例如銀行賬戶的交易流水和餘額的資訊,除賬戶持有人或經賬戶持有人授權的主體可以看到以外,其他人或組織不得查詢或擷取。
■ 完整性:
簡而言之,就是確定資訊的一緻性、準确性和可信賴性,不允許資訊被篡改。例如使用者通過銀行網頁送出個人資訊為開通賬戶。資料是通過網頁形式送出的,銀行要通過某種措施,進行資料的校驗,確定使用者送出的資訊和最終存儲的資訊的準确性。
■ 可用性:
簡而言之,就是業務連續性的展現,確定使用者可以随時獲得已授權的資訊。例如銀行要随時確定使用者可以通過 ATM 、網銀、櫃台、移動終端等多種方式進行金融服務。
在考慮資訊安全的時候,一定要把保障資訊安全的三大屬性作為重要的目标,進而建立完善和有效的保護措施,確定業務的可持續性和資料的安全性。
什麼是資訊安全縱深防禦模型?
衆所周知,資訊安全的攻擊和防護是嚴重不對稱的,一般來說攻擊要比防禦容易的太多。一個組織或企業的資訊安全水準遵循木桶原理,也可稱為短闆效應。即一隻木桶能盛多少水,并不取決于最長的那塊木闆,而是取決于最短的那塊木闆。任何一個組織或者企業,可能面臨的一個共同問題,即構成資訊安全體系的各個環節往往是優劣不齊的,而劣勢部分(安全體系最薄弱環節)往往決定整體資訊安全水準的高低。
圖 1- 木桶原理示意圖
随着資訊安全技術的不斷發展進步,單一的防禦措施已經不能适應新的安全形勢,必須以體系化思想重新定義縱深防禦,形成一個縱深的、動态的安全保障架構,亦即縱深防禦體系。縱深防禦體系是一種資訊安全防護系統設計方法論,其基本思想是綜合治理,以資訊安全為中心,以多層面安全手段為基礎,以流程化管控為抓手,以貫穿資訊系統的生命周期為管理範疇。由于其體系較為複雜、龐大,本文僅分享基于技術層面的縱深防禦模型,有興趣了解縱深防禦體系的朋友可繼續關注 TWT 的官方動态。
資訊安全縱深防禦模型是基于一種假設,任何單一的安全措施都是不充分的,任何單一的安全措施都是可以繞過的。可以把縱深防禦了解成為“剝洋蔥”,是指在資訊系統周邊及自身實施多層次的安全防禦手段,在任何一種防禦措施被攻破或失效後,可以利用另外的安全防禦手段來阻止進一步的危害。對攻擊者而言,防禦措施一層比一層嚴謹,一層比一層難以攻克,進而保證核心層系統的相對安全。
資訊安全縱深防禦模型的重要性?
給大家簡述一個現實的例子,說明一下資訊安全縱深防禦模型與核心資料的關系。
相信大家都非常喜歡看“尋寶”類的電影,寶藏一般存放在巨獸把守、機關重重且不容易被得到的深山老林的洞穴裡。洞穴周邊布滿天羅地網,各種陷阱。好不容易闖過,又遇到各種怪獸攔路。僥幸通過,寶藏盡在眼前之際,又被大 Boss “招待”,此時能活下來的機會已經渺茫。“豬腳”最終得到寶藏,結果還是個看不懂的地圖。
本文的例子中的天羅地網、各種陷阱、巨獸及大 Boss 都是防止機密檔案被竊取的防禦措施。看不懂的地圖可以了解為加密檔案,是最後的防線,防止機密資料萬一被竊取後導緻的寶藏被盜(資訊洩露)。
圖 2- 資訊安全縱深防禦模型
不同的企業實況,對資訊安全縱深防禦模型的層級劃分也不盡相同。
1、實體安全:實體安全又稱作實體安全,是保護計算機裝置、設施(網絡及通信線路)等免遭地震、水災,人為和其他環境事故中受破壞的措施和過程。
2、終端安全:根據知名調研機構的資料指出, 60% 的資訊洩露發生在終端側。終端安全主要是通過各種終端安全軟體的協同配合,保證終端出入口的安全及資料存儲的安全。
3、網絡安全:網絡安全指網絡上資訊的安全,也就是網絡中傳輸和儲存的資料,不受偶然或惡意的破壞、更改和洩露,網絡系統能夠正常運作,網絡服務不中斷。
4、系統安全:系統安全主要指的是計算機系統的安全,而計算機系統的安全主要來自于軟體系統,包括作業系統的安全和資料庫的安全。
5、資料安全:資料安全指的是用技術手段識别網絡上的檔案、資料庫、帳戶資訊等各類資料集的相對重要性、敏感性、合規性等,并采取适當的安全控制措施對其實施保護的過程。
6、應用安全:應用安全是指應用程式在使用過程中和結果的安全,它是定位于應用層的安全防護。
通過建立有效的縱深防禦模型,各個層次互相關聯配合,實作:
- 層級分明,多種防禦措施結合使用,增加攻擊難度,降低資訊洩露可能性;
- 設立多級風險檢查點,阻止大多數惡意病毒及威脅的入侵;
- 防禦政策分明,利于管理者針對不同類型威脅進行政策部署及有效防禦;
- 充分發揮不同安全廠商的産品特性和價值,術業專攻。
如果沒有縱深防禦體系,就難以建構真正的系統安全體系,更無法保障企業業務的連續性運轉。
企業資訊安全威脅
正所謂知己知彼,百戰百勝。要想保護企業資訊的安全,就要明确資訊安全常見的威脅,對症下藥,防患于未然。
威脅分析模型 -STRIDE 模型
STRIDE 威脅分析模型是微軟提出的一套安全設計方法論,六個字母代表六種安全威脅,分别是:
身份假冒( Spoofing ):
身份假冒,即僞裝成某對象或某人。例如,通過僞裝成别人的身份進行操作。
篡改( Tampering ):
篡改,即未經授權的情況下,修改資料或者代碼。例如,非授權人員通過網絡抓包或者某種途徑修改某個請求包,使得篡改的請求包送出成功。
抵賴( Repudiation ):
抵賴,即拒絕執行他人無法證明也無法反對的行為而産生抵賴。例如, A 攻擊了某個産品,産品方并不知道是 A 做的,沒有證據證明是 A 做的, A 就可以進行抵賴。
資訊洩露( Information Disclosure ) :
資訊洩露,即将資訊暴露給未授權使用者。例如,通過某種途徑擷取未經加密的敏感資訊。
拒絕服務( Denial of Service ):
拒絕服務,即拒絕或降低有效使用者的服務級别。例如,通過拒絕服務攻擊,使得其他正常使用者無法使用産品的相關服務功能。
特權提升( Elevation of Privilege ):
特權提升,即通過非授權方式獲得更高權限。例如,試圖用管理者的權限進行業務操作。
圖 3-STRIDE 威脅分析模型(摘自網際網路)
微軟的全系産品都是基于它進行安全考慮與設計。STRIDE 模型幾乎是可以涵蓋現在世界上絕大部分的安全問題。
常見資訊安全威脅來源
網際網路最大的好處就是拉近我們彼此之間的距離,資訊可以以秒級為機關傳遍全球各個角落。當然,有好的一面必然就有不好的一面。
随着資訊技術的迅猛發展,全球性、互聯性、資訊資源和資料共享性等特點日益凸顯。使其本身極易受到攻擊,攻擊的不可預測性、危害的連鎖擴散性大大增強了資訊安全問題造成的危害,資訊安全已呈現出全球性、突發性、擴散性等特點。資訊安全面對複雜、嚴峻的管理形勢,已經被企業和國家所重視。
但這些威脅根據其性質,基本上可以歸結為以下幾個方面:
- 資訊洩露:被保護的資訊被無意或有意的洩露;
- 破壞資訊的完整性:被保護的資料被非法篡改或破壞;
- 拒絕服務:非法阻止合法資訊使用者對資訊服務的通路;
- 非授權通路:受保護資源被非授權個人或組織進行使用;
- 竊聽:利用用各種可能的非法的手段竊取系統中受保護的資訊資源和敏感資訊;
- 假冒:通過欺騙通信系統或使用者,達到非法使用者冒充成為合法使用者,或者特權小的使用者冒充成為特權大的使用者的目的。黑客攻擊往往采用此方式,僞裝欺騙使用者,達到目的;
- 漏洞攻擊:攻擊者利用系統的安全缺陷或漏洞獲得非法的權限;
- 内部攻擊:被授權以某一目的使用某一系統或資源的某個人,卻将此權限用于其他非授權的目的;
- 抵賴:通常為内部攻擊的分支,攻擊者否認自己曾經釋出過的某條消息;
- 計算機病毒:一種在計算機系統運作過程中能夠實作傳染和侵害功能的程式;
- 法律法規不完善:由于資訊安全法規法律方面的不完善,給資訊竊取、資訊破壞者以可趁之機。
資訊安全防禦措施
通過上文了解了什麼是資訊安全以及資訊安全的威脅源,本章主要是介紹如何通過縱深防禦模型,分層次的精準部署安全政策,做到有的放矢,對資訊進行保護,提升企業資訊安全威脅防禦能力。
安全的原則
通過資訊安全業界專家和學者的多年研究,總結出 10 個最關鍵且有效的安全原則,分别是:
- 縱深防禦;
- 運用戴明環模型;
- 最小權限;
- 白名單機制;
- 失敗安全;
- 避免通過隐藏功能實作安全;
- 入侵檢測;
- 不信任第三方系統;
- 預設安全配置;
- 業務隔離
這 10 個基本原則,基本保證了業務的基本資訊安全要求:
■ 縱深防禦
本章主要介紹的就是縱深防禦,它也是業界認可度最高,普及率最廣的防禦體系。
通過專項技術的分層部署,在多個層面進行控制和防禦,如本篇所說的從實體層到應用層。
永遠不要把所有的精力隻用在某個點的防禦上,某個點防禦的再強,也可能會出現零 Day 漏洞,無法保證資料的安全。縱深防禦理念就是層層設防,多樣化,多層次、縱深的防禦措施。攻破一層防護後,也無法徹底破壞整個資訊基礎設施或應用系統,就像剝洋蔥一樣,一層比一層辣眼睛。
■ 運用戴明環模型( PDCA)
安全營運工作是一條需要持續貫徹的原則,安全工作永遠不是一勞永逸的,它不是一次性的靜态過程,而是不斷演進、循環發展的動态過程,需要堅持不懈的持續經營。PDCA(Plan-Do-Check-Action) 是在管理科學中常用的疊代控制和持續改進的方法論可以有效的輔助安全營運工作的開展與改進。
■ 最小化權限
最小化權限顧名思義,就是賦予合法使用者、組織或程式最小化的、能完成其功能的權限。比如:
1、關閉不必要的對外開放的端口;
2、取消應用的管理者權限;
3、删除或者禁用系統内無關的賬戶;
4、解除安裝伺服器上無關的軟體或應用。
■ 使用白名單
通過白名單機制,可以明确定義什麼是被允許的,其他的均被拒絕。黑名單與白名單相對,單純的使用黑名單機制,最顯而易見的缺陷就是,在很多情況下,我們無法窮盡所有可能的威脅,進而造成“誤放”。一旦“誤放”,我們的系統就有極大可能被黑客攻破。白名單最多會造成“誤殺”,正所謂“甯可錯殺三千,也不放過一個”。此問題可以通過手動添加的方式解決,確定每條白名單均經過稽核。
■ 失敗安全
是指在程式開發過程中要安全的處理錯誤。在程式設計的時候,要確定安全控制子產品在發生異常時遵循禁止操作的處理邏輯。當異常發生時,避免因為異常處理代碼處理不當,導緻的意想不到的問題,比如權限提升、資訊洩露等。這也是不懂安全的開發人員經常忽視的。
■ 避免通過隐藏功能實作安全
是一種自欺欺人的方法,是試圖通過對外部隐藏一些資訊來實作安全。例如錢包等貴重商品放在汽車的駕駛座等透明位置,隻用一張報紙掩蓋,就認為它安全了。再例如我們把 Redis 的監聽端口從 TCP6379 改成 TCP6380 ,但依然放在公網提供服務等等方式。
要知道,網際網路上遍布無數高速和強大的掃描工具,簡單的隐藏根本無法保證資訊系統的安全。
■ 入侵檢測
是指在入侵發生後,若沒有有效的入侵檢測系統的支援,我們的系統可能會長時間被黑客利用而無法察覺,進而導緻業務長期受到威脅。至于是網絡層面入侵檢測還是主機層面的入侵檢測都是資訊安全所必須的。
■ 不信任第三方系統
現在的系統越來越複雜,很多服務和接口都是子產品化、元件化的,需要引入第三方的子產品或者和第三方的業務系統對接使用其提供的資料,我們無法掌控第三方系統的安全性。如果其存在漏洞被攻擊,需要保證我們的系統不會是以而受到影響。
■ 預設安全配置
不要認為系統預設的安全設定一定是安全的。比如一些路由器出廠預設的帳号是 admin 密碼也是 admin ;很多系統預設不啟用密碼複雜性要求;第一次登陸系統也不會要求使用者修改密碼。當網絡上的掃描器進行掃描時,很容易破解以上系統的賬戶和密碼資訊。
■ 業務隔離
安全不是過家家,永遠不要把所有雞蛋都放在一個籃子裡,就像炒股一樣,越是集中,風險越大。業務隔離後,不至于一個系統被攻破就讓黑客拿到了一把“萬能鑰匙”,可以操作所有的業務功能,導緻業務系統癱瘓。
常用防禦措施技術分享
通過在各層級部署防禦措施,實作系統多層次、多元度的資訊安全防禦,構築相對安全的資訊安全縱深防禦模型,提升系統整體的威脅防禦能力和風險抵禦能力。
圖 4- 縱深防禦部分技術圖譜
以下是各個層級常用的一些資訊安全防禦技術分享,更多的安全防禦技術,可以關注 TWT (talkwithtrend.com)後續發表的相關文章。
實體層:
1、租賃或自建符合國家資料中心機房建設 B 級标準或以上的機房,確定風、火、水、電等基礎設施高可用;
2、門禁系統,授權通路;
3、視訊監控,無死角;
4、專屬機櫃,實體上鎖;
終端層:
1、所有終端安裝防病毒用戶端,防止病毒入侵;
2、所有終端部署 DLP 用戶端,防止資料洩漏;
3、所有終端部署桌管軟體,防止未授權外設接入;
4、部署網絡準入系統,防止未授權用戶端接入内網;
網絡層:
1、網際網路層面部署 ADS\WAF\IPS\IDS ;
2、部署下一代防火牆,阻止南北流向的非法通路及病毒流量;
3、部署上網行為系統,授權使用者上網,防止非法網站通路;
4、部署反垃圾郵件網關,阻止帶有惡意 URL 及病毒的郵件;
系統層:
1、統一身份認證,授權通路;
2、部署堡壘機,實作精準授權運維;
3、開啟系統防火牆,授權流量通路;
4、部署更新檔管理系統,針對安全和關鍵更新檔進行下發;
資料層:
1、部署資料庫審計工具;
2、部署加密系統,對核心資料進行加密;
3、部署備份系統,對核心資料進行異地備份;
應用層:
1、部署 SSL 數字證書,實作通信加密;
2、部署應用防火牆,阻止 SQL 注入等惡意行為;
3、部署監控系統,對應用行為進行監控分析;
資訊安全組織與管理
一個完整的縱深防禦體系離不開技術與管理,正所謂“三分技術,七分管理”。要保障資訊安全和系統安全,除了有必要的技術手段支援以外,還要考慮組織和管理的因素,也就是人、流程與制度的因素。
本文重點聚焦在技術上的縱深防禦,對管理介紹較少。下文簡單介紹一下在資訊安全管理方面的一些淺薄見解。
組建合理的安全組織架構
資訊安全工作向來是一把手工程,在大中型企業往往會設立由一把手上司的資訊安全小組,對集團的重大資訊安全工作進行指導和推動。比如在國家層面,就是由國家主席習近平擔任中央網絡安全和資訊化上司小組的組長,強調網絡安全和資訊化是事關國家安全和國家發展、事關廣大人民群衆工作生活的重大戰略問題,要從國際國内大勢出發,總體布局,統籌各方,創新發展,努力把我國建設成為網絡強國。
同時在實體職位中,會設立首席安全官( CSO ),對集團資訊安全工作進行具體的規劃與執行,確定資訊安全戰略時刻為企業商業戰略而服務。
流程化管控
企業的資訊安全體系按照規劃建設完成,這隻是安全保障的第一步,或者說是前提 。之後大部分的工作都是在資訊安全營運中。結合本文提及的 PDCA ,通過疊代更新的方法論,對資訊安全政策和營運進行持續化改進,增強企業資訊安全的整體防禦能力。
正所謂“制度管人,流程管事”。基于流程化管理,資訊安全營運團隊可以根據不同的安全事件、安全請求、安全變更進行快速響應和精确處理。量化資訊安全事件和資訊安全處理情況,為精細化營運提供佐證。
強化意識教育訓練
其實,在十大資訊安全威脅中,最難以攻克的資訊安全難題就是内部人員洩密。在 IBM 公司 2018 年的資訊安全調查中顯示, 60% 的資訊安全事件發生在終端側。同時,終端側也是資訊安全洩露事件的重災區。商業間諜、進階持續性威脅及各類木馬等都可以導緻資訊洩露。
培養内部員工的資訊安全意識至關重要,企業應該通過各種教育訓練和活動使員工明白資訊安全的重要性,持續教育和告誡員工把資訊安全作為自身安全一樣去對待。比如不随便浏覽與工作無關的網站,禁止對非工作郵件内的附件進行下載下傳;禁止點選郵件内無關的 URL ;禁止運作與工作軟體的軟體等;資訊安全無小事,對于企業而言,無論基層員工還是上司層都應時刻謹記。
結束語