一场围绕着数据的战争伴随着企业信息化已经悄无声息在互联网上开始了,面对种种信息安全威胁,企业严阵以待。
从90年代互联网进入中国以来,企业信息网络化的努力就一直没有停止过。
从刚开始简单地在网上发布一个自己的主页,陆续出现的各种网上交易方式如B2B,B2C模式,企业信息化的ASP模式,到如今的网格化计算、SOA,互联网给企业带来的似乎一直都是一浪接一浪的新理念和希望。
想象一下某个山区角落里的不起眼小公司凭借着网络也能够和全世界的伙伴发生贸易,这种诱人前景导致的20世纪末到本世纪初几年的互联网泡沫虽然一度破灭,仍挡不住轰轰烈烈的企业信息化浪潮脚步。
围绕数据的一场战争
在互联网为企业带来巨大机遇和发展的同时,也会给人们带来了很多不曾预料到的不和谐音符。二十一世纪第一年,红色代码病毒席卷全球,估计造成了约22亿美元的损失。
然而,这一切仅仅是开始,这一事件标志着传统通过拷贝这类手段的病毒传播方式基本让位于互联网传播方式,而利用系统漏洞的远程入侵技术和传统病毒自我复制的完美结合则给后来的制造者们带来了无限灵感。既然可以控制别人的电脑,那为什么不用它来做些什么呢?于是特洛伊木马、窃听、密码破解、远程控制、服务器欺骗、网站钓鱼、间谍软件、广告软件、恶意软件这些原本仅用于入侵的新老技术在病毒中接踵而来。
如果说上世纪八九十年代里那些病毒作者们以及系统黑客纯粹是为了炫耀自己的技术能力的话,那么如今越来越多所谓“骇客”们在巨大金钱诱惑中则完全背弃了他们的技术理想,仅仅瘫痪一个服务器对他们来说获益颇小,他们研究发明这些技术手段的终极目标只有一个:真真实实的利益,而最能给他们带来好处的,就是数据。
窃取一个企业的客户资料后卖给竞争对手在那些竞争激烈的行业中是一件非常赚钱的买卖;以高价为竞争对手删除对手的关键数据资料也是一个不错的选择。
想象中的信息战尚未在国家间开始,但一场围绕着数据的企业间战争伴随着企业信息化的过程悄无声息在互联网上开始了。
互联网上的新威胁
由于到目前为止实际应用中仍缺乏安全的操作系统、计算机网络系统和数据库管理系统,导致企业信息化过程中,关键数据面临着来自一系列来自网络的威胁。由于互联网的便利性,入侵只需要一台计算机、一个物理联系就能在全球任意一个角落任何一个时间上发起远距离攻击,而现有的科技手段也难以侦察到计算机恐怖分子的行踪。
而大多数管理者对网络安全不甚了解,存在巨大管理漏洞。不重视信息系统和网络安全,只重视物理安全,而不重视逻辑安全;只重视单机安全,而不重视网络安全也加剧了威胁的严重性。这些威胁按其作用对象来看可以分为直接针对对数据库的威胁、针对主机的威胁、针对应用系统的威胁。
数据库系统是应用数据存储的核心位置,一旦控制了数据库系统即可以随意控制系统的行为,获得任何想要的数据,然而目前在市场应用中使用的数据库系统通常只达到C2级安全标准,缺少更高级别的安全系统。现有的系统一旦被攻击者获得访问数据库的账号,则几乎没有什么手段可以阻止这一行为,更没有手段进行纵深防御。而因为没有充分培训的DBA等原因,企业对数据库系统的防卫几乎是一个空白。
针对主机操作系统的威胁是针对主机使用的操作系统,目前通用的windows操作系统和Unix/Linux操作系统平台是企业常用的信息化软件运行平台。然而由于现有操作系统的复杂性,开发厂商永远无法保证系统的绝对安全。
事实上,windows从发布以来一直在发现新的安全问题,虽然厂商及时的有针对地发布安全补丁。然而一方面一些高技术水平的入侵者手中往往掌握不为人知的安全漏洞,另一方面很多时候企业无法实时的更新系统,导致针对操作系统的威胁层出不穷。一旦主机被控制,关键数据的安全就基本无法得到保障了。
针对应用系统的威胁主要是来自于企业应用系统在编制过程中的问题。由于安全性和开发效率以使用效率总是一个矛盾,安全性和易用性也总难两全。
因此,在信息化系统建设过程中,重开发进度,重应用效果,重用户满意度,轻安全防护已经基本上成为了软件领域内的一个通病,这样开发出的系统常常是系统能够正常工作,但却留下了相当多的安全漏洞和安全隐患。
例如,程序员不检查用户输入导致非常访问数据、不检查数组边界导致的远程缓冲区溢出都是典型的例子。即使在一些著名的软件中也不能完全避免这些问题。
魔高一尺,道高一丈
面对着这些方方面面的威胁,企业是否是束手无策呢?
当然不是,正所谓魔高一尺,道高一丈。在保卫自己的数据的战争中,企业有相当多的武器。伴随着2000年后安全问题的突出,数据安全领域内的技术一直在不断进步。防火墙、病毒防火墙、入侵检测系统、数据加密、VPN、证书系统、生物认证等各种新技术都能够为企业提供高安全的数据保障方案;数据库厂商纷纷在产品中添加各项安全特性;操作系统厂商如微软也推出了系统和软件的自动更新安全补丁的功能;在数据传输上,SSL被普遍引入以保证数据不被非法窃听。
然而这并非意味着企业信息化一旦使用了这些方案就可以高枕无忧。许多企业尽管拥有了先进而昂贵的信息安全设备,但“政策”或“人”往往无法配合,产生了很大问题。正如在战争中人的因素是主因一样,技术的提升如果不配以相关使用人员的意识提升,再好的盾牌也不会有太大的功效。
另一方面,由于互联网的开放性,安全威胁会发生任何一个时间内,让人防不胜防,没有人能够24 小时全年无休止地工作,除了别有用心的入侵者。仅仅将问题归咎于信息部门人员,既不公平也无助于解决问题。赛门铁克最新的互联网安全威胁报告指出,威胁利用漏洞的速度越来越快,其扩散的速度也越来越快,往往超过了我们的响应速度。
2007年初,一个技术上并不十分先进仅靠着病毒作者“勤奋”的不断推出新变种让防毒软件公司无法做到实时跟进的“熊猫烧香”病毒竟然让一些大型网站的网页都一度感染上病毒,这证明了在国内的企业信息化领域内,安全远不仅仅是一个技术问题。因此,要真正地防御这些问题,保障关键数据的安全性,必须要做到信息保障制度、技术、人员意识三者的有机结合。
在安全制度建设方面,我国已于2006年制定并颁布了最新国家标准GBT 20269-2006标准,规定了信息系统的安全的管理要求,而GBT 20272-2006 和GBT 20273-2006分别提出了数据库管理系统和操作系统的安全要求。
遵循这些新标准从管理、技术、法律上建立一组完善的信息安全等级保护制度和信息安全测评、信息安全报告制度,从制度对数据安全进行保障是必不可少的一步,也是基础性的一步。
在信息安全的所有相关因素中,人是最活跃的因素。技术和制度都必须有人才能进行落实,人特别是内部员工既可以是对信息系统的最大潜在威胁,也可以是最可靠的安全防线。
对人的管理包括信息安全法律法规与安全政策的约束,培养人员的安全意识,通过各种技术培训人的安全技能。只有完成了这步工作,各项安全工作的开展才有了基本的动力。从技术上来看,建立纵深防御是近年来发展起来的一个崭新的安全思想,它的精髓在于不把安全简单依赖于某种单一技术如防火墙。
而是从各个层面中根据信息资产保护的不同等级来保障信息与信息系统的安全,实现预警、保护、检测、反应和恢复这五个安全内容。建立一个有效、可行的企业数据安全体系必须在企业信息化建设的初期就充分考虑网络上存在的安全威胁,然后充分利用各种现有的技术,在网络关口、关键主机、内部网络、审计等各个层次上建立起一系列纵深的安全保证系统,确保在某一种技术失效的情况仍能发现潜在的入侵,保护数据的安全。
通过建立起数据备份、自动恢复等措施保证系统的正常运行。
通过数据加密等手段保证数据不被非法读取。通过这些技术的结合,为企业信息化的数据安全提供坚实的保证。
虽然有人悲观地预言由于安全性问题将导致互联网的最终消失,然而互联网给企业信息化所带来的巨大收益仍能使人乐观地相信,通过各方面的努力,我们仍有能力将数据安全威胁控制在可接受的范围内,从而打赢这场战争。
作者: 来源:软件世界 2007年3期