朱宇衡 長江南京航道局

1 傳統(tǒng)IATF模型下單位信息安全隱患

隨著信息化的發(fā)展，大數(shù)據(jù)已經(jīng)成為了單位業(yè)務(wù)必不可少的基礎(chǔ)架構(gòu)之一，大數(shù)據(jù)核心數(shù)據(jù)的安全問題想對于傳統(tǒng)架構(gòu)下的安全也發(fā)生了很大的變化，云計算和大數(shù)據(jù)的結(jié)合打破了傳統(tǒng)的網(wǎng)絡(luò)安全邊界；移動網(wǎng)絡(luò)的進(jìn)入使得單位資產(chǎn)無處不在；大數(shù)據(jù)和業(yè)務(wù)的結(jié)合使得業(yè)務(wù)硬件中的核心資產(chǎn)湮沒在汪洋之中難以識別；內(nèi)部安全管理因此也變得更為復(fù)雜。從威脅來源來看有軟硬件缺陷對系統(tǒng)穩(wěn)定性造成的影響、有組織有目的的網(wǎng)絡(luò)犯罪、互聯(lián)網(wǎng)系統(tǒng)安全漏洞、移動信息風(fēng)險、DDOS攻擊、僵尸、木馬、病毒、蠕蟲、APT攻擊、信息漏洞、內(nèi)控風(fēng)險等，這些威脅基本也包含在了單位網(wǎng)的硬件隱患、軟件隱患、攻擊防御隱患、安全管理運營隱患等這幾大類信息安全隱患之中。

2 大數(shù)據(jù)時代下單位信息系統(tǒng)的新挑戰(zhàn)

2.1 應(yīng)用架構(gòu)挑戰(zhàn)

虛擬化、云計算、移動應(yīng)用等技術(shù)引入，改變了傳統(tǒng)的IT架構(gòu)，帶來管理便捷的同時，也引入了新的安全威脅，從基礎(chǔ)設(shè)施的保護(hù)到應(yīng)用系統(tǒng)的安全，需要多層次，分重點的防護(hù)體系。

2.2 管理制度挑戰(zhàn)，

管理制度也需要對應(yīng)變化，已有的組織機(jī)構(gòu)設(shè)置和人員隊伍逐漸難以滿足業(yè)務(wù)需求，信息安全標(biāo)準(zhǔn)規(guī)范建設(shè)急需加強(qiáng)，信息安全文化建設(shè)和意識強(qiáng)化培訓(xùn)需要持續(xù)擴(kuò)展。

2.3 威脅變化挑戰(zhàn)

隨著新技術(shù)的不斷發(fā)展，攻擊者的手段和攻擊者也在不斷發(fā)展變化，傳統(tǒng)的監(jiān)測技術(shù)相對固化，越來越難以有效的識別攻擊，也就難以防御和應(yīng)對，近期發(fā)生的一系列事件也表明了這一挑戰(zhàn)的嚴(yán)重性。

3 新形勢下攻防網(wǎng)絡(luò)信息安全的對策

3.1 基于全新信息安全體系模型的安全應(yīng)對策略

（1）信息化基礎(chǔ)安全架構(gòu)

很多單位信息中心的網(wǎng)絡(luò)架構(gòu)源自于五六年前的應(yīng)用架構(gòu)，只是簡單的實現(xiàn)數(shù)據(jù)流通，業(yè)務(wù)通暢，而沒有過多的考慮安全因素在內(nèi)，隨著業(yè)務(wù)應(yīng)用數(shù)量增多，信息化設(shè)備增多，數(shù)據(jù)流向更趨向于復(fù)雜，管理人員無法對單位全網(wǎng)進(jìn)行控制，安全設(shè)備無法精準(zhǔn)防護(hù)、在所有安全事件中顧此失彼，束手無策。 實現(xiàn)對現(xiàn)有一張大網(wǎng)的區(qū)域分割，建立安全區(qū)域，進(jìn)行物理結(jié)構(gòu)分割以及邏輯結(jié)構(gòu)劃分是信息安全架構(gòu)基礎(chǔ)工作之一。

（2）縱深防御體系

在安全架構(gòu)建立的基礎(chǔ)上，利用安全設(shè)備實現(xiàn)對網(wǎng)絡(luò)流量的監(jiān)管、應(yīng)用的加固、操作行為的審計、邊界防御、數(shù)據(jù)庫監(jiān)測等。采購常用的安全產(chǎn)品例如防火墻、IDS（入侵檢測系統(tǒng)）、IPS（入侵防御系統(tǒng)）、WAF（WEB應(yīng)用防護(hù)系統(tǒng)）、數(shù)據(jù)庫審計、堡壘機(jī)等等保類傳統(tǒng)安全產(chǎn)品，此類安全產(chǎn)品能夠提供持續(xù)的威脅防護(hù)及威脅洞察力，合理的安全架構(gòu)采用少量的安全設(shè)備就能夠?qū)崿F(xiàn)全網(wǎng)的安全覆蓋。

（3）積極防御體系

對于傳統(tǒng)的縱深防御體系來說，其作用和價值是能縮小攻擊面；降低攻擊的自由度；消耗攻擊者的資源；遲滯攻擊行為；但是傳統(tǒng)的縱深防御體系也有極大的局限性，最終將被意志堅定，資源充足的攻擊者攻陷；縱深體系一旦搭建成功，基本五年內(nèi)不會變化，安全策略月度無變化。這就意味著單位的安全體系針對于網(wǎng)絡(luò)的個體行為威脅是具有一定的防御能力，但是對于有組織、有計劃、有針對性的攻擊威脅實際上沒有防御能力，積極防御建立在持續(xù)的監(jiān)測響應(yīng)，對威脅的深度分析以及追蹤溯源，最后實現(xiàn)響應(yīng)處置的一個體系。

（4）建立防病毒安全體系

計算機(jī)網(wǎng)絡(luò)病毒，是能夠?qū)τ嬎銠C(jī)網(wǎng)絡(luò)信息安全產(chǎn)生直接威脅的事物，因此，需要對計算機(jī)的防病毒能力進(jìn)行提升，并且以此為基礎(chǔ)，建立防病毒安全體系，降低計算機(jī)網(wǎng)絡(luò)病毒對計算機(jī)本身以及計算機(jī)網(wǎng)絡(luò)信息安全的威脅。

防病毒安全體系至少應(yīng)該具備病毒監(jiān)測預(yù)警、病毒查殺、病毒管控等三個層面

病毒查殺：需要在計算機(jī)上設(shè)置軟防火墻，安裝殺毒軟件，定期檢查計算機(jī)的運行情況，及時發(fā)現(xiàn)計算機(jī)中包含的漏洞，并且進(jìn)行修補(bǔ)；建議用戶在計算機(jī)中安裝正版軟件，對每個軟件、每個鏈接進(jìn)行檢測，確保其安全后在進(jìn)行打開，定期清理計算機(jī)中包含的垃圾，降低病毒存在其中的可能性；對數(shù)據(jù)儲存平臺進(jìn)行建設(shè)，降低數(shù)據(jù)流失帶來的損失。建設(shè)病毒攻擊的預(yù)警機(jī)制，一旦出現(xiàn)病毒攻擊可以及時作出反應(yīng)，保證計算機(jī)網(wǎng)絡(luò)信息安全。

病毒監(jiān)測預(yù)警：可以使用專門的病毒監(jiān)測設(shè)備對全網(wǎng)終端進(jìn)行病毒監(jiān)測、對全網(wǎng)的病毒情況進(jìn)行統(tǒng)計，對可疑病毒上傳數(shù)據(jù)至外網(wǎng)安全專家處進(jìn)行可疑病毒診斷，形成已識別病毒和可疑病毒周報和月報，安全運維人員進(jìn)行安全處置。

病毒管控：使用統(tǒng)一殺毒管控平臺對服務(wù)器以及客戶端進(jìn)行全網(wǎng)布控及管理，設(shè)置重要設(shè)備殺毒策略，對所有客戶端設(shè)置安全級別，低于安全級別安全維護(hù)人員主動進(jìn)行檢查等。

3.2 基于數(shù)據(jù)分析的安全運營

（1）安全運營新模型

數(shù)據(jù)是核心，分析是靈魂，利用大數(shù)據(jù)分析實現(xiàn)全新的安全運營新理念勢在必行，新的安全運營模式完全可以實現(xiàn)基于全網(wǎng)流量和威脅情報的分析、對數(shù)據(jù)驗證的攻擊檢測、WEB失陷檢測、互聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)、評估檢查、事件調(diào)查溯源、安全業(yè)務(wù)及辦公的移動應(yīng)用安全提升、安全開發(fā)體系下的業(yè)務(wù)應(yīng)用安全、全生命周期的數(shù)據(jù)保護(hù)管理、安全預(yù)警通告、行業(yè)態(tài)勢推送等安全運營工作。

4.結(jié)束語

信息時代是信息爆炸、數(shù)據(jù)海量的時代、對海量數(shù)據(jù)的存儲、分析是單位信息建設(shè)的命脈、數(shù)據(jù)安全、業(yè)務(wù)安全是單位信息安全的基礎(chǔ)保障，從技術(shù)層面來說沒有攻不破的網(wǎng)絡(luò)、沒有無漏洞的系統(tǒng)，但利用健全的可行的安全模型構(gòu)建安全肌體至少在發(fā)生安全事故的時候不在手足無措、迷茫彷徨。