编者按:深圳妇幼信息泄露事件并非偶然,当前的企业网络信息正面临各种各样的风险,外部攻击、内网泄露、违规上网行为、应用业务压力风险等等,我们如何才能掌控全局?
网络系统正处于内忧外患?
网络系统是被自己打倒的?
系统风险,总是被视而不见?
风险评估:能够掌控全局?
【IT168 专稿】6月底,深圳某著名妇幼保健医院发生了产妇和婴儿资料信息泄露的严重事件。据知情人透露是有人利用职务之便,在上班期间仅仅用了5分钟时间,通过U盘拷贝了相关的重要数据后,被不法分子得到随即以1.2万元的价格对外出售。
其实,妇幼信息泄露事件只是企业网络风险的一种。企业网络信息面临各种各样的风险,外部攻击、内网泄露、违规上网行为、应用业务压力风险等等,要解决这么问题,我们需要对它们进行系统的认识,进行整体的评估。只有如此,才能掌控全局。
也因此,对于不少企业来说,网络信息系统的风险评估,显得越来越重要了。但是,风险评估如何进行呢?它到底能带来什么?为此,我们组织了本次专题。
网络系统正处于内忧外患?
互联网上存在着各种各样的危险,这种危险要能是恶意的,也可能是非恶意的,如因失误而造成的事故;恶意的危险又分为理智型的 ( 如故意偷取企业机密) 和非理智型的( 如毁坏企业的数据) 。总的说来,比较典型的危险主要包括如下几个方面:
1、 软硬件设计故障导致网络瘫痪。
如防火墙意外瘫痪而导致失效,以致安全设置形同虚设;由于内外部人员同时访问导致服务器负载过大以致死机、严重者导致数据丢失等等;
2、 黑客入侵。
一些不坏好意的人强行闯入企业网实施破坏;冒充合法的用户进行企业网内部,偷盗企业机密信息和破坏企业形象等等;
3、 敏感信息泄露。
企业内部的敏感信息被入侵者偷看,导致这种状况的有几种原因,如寻径错误的电子邮件、配置错误的访问控制列表,没有严格地设置好不同用户的访问权限等等;
4、 信息删除。
有时网管员对安全权限设置不当,导致某些怀有恶意的人故意破坏企业商业机密的完整性以及向竞争对手故意泄露商业机密等等。
也就说互联网上的危险不仅来自于外面,而且有时也来自于内部。虽然在互联网上存在不同程度的危险,但为了企业的业务发展,很多企业不得不把企业的内部网联入互联网,向雇员提供互联网的访问。
美国可以说是比较注重网络安全的国家之一,但是根据 IDG 公司的调查报告表明,在所有被调查的公司中,进行常规性安全检查的公司还不到一半,只有 30% 的公司具有跟踪用户访问的能力, 1/3 的公司使用加密技术,其中有60 家左右的公司在三个月内遭受到142 次入侵。美国尚且如此,我们国家的企业网安全现状如何呢?笔者今年年初在北京参加一次安全会议时,有一安全专家对我国企业网的安全状况用“确实应该引起我们警觉”来概括。
网络系统是被自己打倒的?
让我们再来看一下妇幼信息泄露事件过程,正如ITpub信息安全与审计版斑主 马庆老师在接受IT168视频专访时所言:“如果这家医院对妇幼资料进行了适当的安全存放,还会走盗走么?如果对之进行了访问控制权限处理,还会发生此事么?如果对妇幼资料的访问进行了访问历史记录,谁还敢把数据拷走?”
妇幼信息泄露事件之所以发生,并非外力所为,而是这家医院自身的网络信息系统的管理体制缺陷问题。
企业网络除了受外界攻击外,自身的缺陷也是很严重的问题,甚至可以将自己打侄。
互联网在设计之初,根本就没想到会发展到今天这个地步,当时认为互联网只是在比较小的范围内使用,在设计互联网 TCP/IP 协议时,主要考虑的是数据的共享,把数据安全忽略掉了。这就如盖一座楼房地基都没有打好,自然而然危险在当初就种下了,对于危险产生的原因主要有下面几条:
1、 不同厂商不同标准的产品集成在网络中引起配置的复杂性。具体说来就是网络安全控制由于各种各样的硬件产品与软件产品的加入使安全配置变得异常复杂, 很容易出现配置错误或失误,以致会导致未经授权的访问;
2、 缺乏相应的总体考虑。有些网络在进行系统配置时,无意识地扩大了互联网的访问范围,没有意识到某些互联网服务会被滥用,许多企业网所允许的访问服务类型过多,不能对一些可能会对入侵者有所帮助的网络信息加以访问限制;
3、 企业网络系统自身缺陷,操作系统的漏洞,TCP/IP 协议本身固有的缺陷。如前所述, TCP/IP 本身具有一些缺陷,在设计之初就不是太安全,一些有经验的黑客很容易利用 TCP/IP 的缺陷攻击企业网;
4、 大部分的数据没有加密,没有设置访问控制权限。企业数据在传递的过程中很少有加密的,现在有很多现成的软件都能对此进行半路拦截。
上面的四条是主要的四个原因,当然还有其它的原因。知道了不安全的原因,那么我们在考虑企业网安全方案时就有了一个目标,有意识地针对产生危险的原因来设计企业网安全方案。
系统风险,总是被视而不见?
虽然,如前文所言的网络信息系统的一些固有缺陷和技术不足,使得攻击、泄密、破坏等等安全事件时有发生,给企业带来损失。
可惜的是,大多数企业的系统管理人员以及决策者,对于这样的安全风险甚少有意识,往往只能在事件发生后,捶胸顿足、哀声长叹。即使,有部分具有前瞻眼光的决策者,察觉到了风险的可怕,却也缺少一种科学的分析方法,对于核心业务流程的风险更缺乏严格的评估、量化和分析。
正因为如此,对于网络信息系统的风险评估是大势所趋。所谓风险评估,就是参照风险评估标准和管理规范,对资产、威胁、薄弱环节和已采取的防护措施等进行分析,判断安全事件发生的概率、可能造成的损失以及预防需要花费的成本,最终得到一个量化的数据报表,指导企业去合理地投入资源,有效地规避风险。
我们需要建立整体的风险评估体系,还能够应对各种风险,例如外部攻击、内网泄露、违规上网行为、应用业务压力风险等等。我们需要对它们进行系统的认识,进行整体的评估。只有如此,才能掌控全局。
风险评估:能够掌控全局?
想要加固企业网络的安全性,就需要对企业的实际风险做一个尽可能准确的评估,否则的话就会出现或者本来企业网需要的安全级别高,结果为了省钱,选了一个安全性能不是很高的防火墙;或者本来企业网需要的安全级别不是很高,结果花了相当多的钱买了一个安全性能极高的防火墙,浪费了投资,所以一定要尽可能正确地评估企业风险。
不言而喻,风险评估的意义重大,然而,如何进行风险评估,才能掌控网络信息系统全局呢?
在正确地评估风险时,要从如下几个方面考虑:
1、 本企业对黑客的吸引力大不大;
2、 本企业对外部开放程度如何;
3、 一旦出现网络安全事故,对本公司的影响最大程度是什么;
4、 根据公司的具体业务,哪些互联网服务是企业网络必须提供的;
5、 提供这些服务的风险是什么;
6、 若提供这种保护,可能会导致用户的抵触情绪及投资额的增加,是否值得为此付出这么多代价;
之所以从以上几个方面考虑,是因为不同性质的企业黑客对它们的兴趣大小不同。如高精尖企业以及银行、海关、证券等金融企业很容易引起黑客的兴趣,这样的企业风险性就大些;而一些生产普通物品的企业黑客却很少光顾,这样的企业风险性就小些;再比如,有些企业一旦出现网络安全事故,可能会企业产生致命的打击,有些企业可能就无所谓,当然它们的风险程度绝对不会相同。