婁宇　高宇　馬志堅(jiān)

隨著通信技術(shù)的成熟發(fā)展，以大寬帶、大規(guī)模鏈接、超低時(shí)延的智能化升級(jí)，正在逐步顛覆傳統(tǒng)產(chǎn)業(yè)。與此同時(shí)安全也成為當(dāng)下所有行業(yè)關(guān)注的重點(diǎn)對(duì)象，在頻繁的網(wǎng)絡(luò)用戶實(shí)現(xiàn)信息交換與資源共享的同時(shí)，計(jì)算機(jī)通信網(wǎng)絡(luò)也必須是安全的。這意味著如果敏感信息被不法分子利用，那么事情就變得復(fù)雜了。

提到安全，很難不把注意力集中在惡意破壞、惡意更改、惡意泄露，但事實(shí)是，通過(guò)數(shù)據(jù)傳輸安全、上網(wǎng)行為安全、邊界安全、移動(dòng)接入安全的固有保護(hù)，并隨著安全意識(shí)的提高，其感染數(shù)量并不多。數(shù)以百億計(jì)的終端中，據(jù)統(tǒng)計(jì)，每10年至少有25萬(wàn)人被閃電擊，但是這些終端被感染的概率遠(yuǎn)遠(yuǎn)低于這25萬(wàn)人被閃電擊中的概率。從眾多數(shù)據(jù)泄露安全事件來(lái)看，惡意軟件似乎與安全絕緣，成為可見(jiàn)度最少的泄露手段。在排名第一的物理攻擊之后，便是從《2019年數(shù)據(jù)泄露調(diào)查報(bào)告》中出現(xiàn)的惡意軟件攻擊。以此引發(fā)的深思，惡意軟件成為安全隱患被忽視的領(lǐng)域，安全才更是迫在眉睫。

一、數(shù)據(jù)傳輸安全

大量惡意程序的出現(xiàn)，數(shù)據(jù)泄漏隨之發(fā)生，根據(jù)大數(shù)據(jù)顯示2019年企業(yè)安全最令人擔(dān)憂的威脅便是伴隨著惡意程序出現(xiàn)的數(shù)據(jù)泄露事件。據(jù)不完全估計(jì)分析，一個(gè)正常發(fā)著的公司中，它發(fā)生一次數(shù)據(jù)泄露事件至少有28%的概率，惡意程序伴隨的信息泄露占安全威脅的四分之一。因此數(shù)據(jù)傳輸安全成為人們?nèi)找骊P(guān)注的重點(diǎn)問(wèn)題。

從一定程度上來(lái)說(shuō)，數(shù)據(jù)泄露會(huì)披露大量衍生問(wèn)題，因?yàn)榇蟛糠值男孤锻殡S著用戶無(wú)意性，員工無(wú)意識(shí)的疏忽行為，至少造成64%的數(shù)據(jù)泄露事件，羅列各種攻擊手段引發(fā)的數(shù)據(jù)泄露事件僅僅只占的23%。相比之下，不得不考究?jī)?nèi)部人員的風(fēng)險(xiǎn)對(duì)數(shù)據(jù)泄露造成的巨大影響力。盡管惡意企圖更加復(fù)雜，如：勒索軟件、惡意軟件、SQL代碼注入、拒絕服務(wù)、DNS劫持、惡意跨框架、零日漏洞、暴力破解、憑證填充等，但這些玩玩需要攻擊者具備很高的水平和能力。相比之下內(nèi)部人員的風(fēng)險(xiǎn)則更為直接：非響應(yīng)者、內(nèi)部人士的于工作中的疏忽行為;部門出賣信息，通過(guò)內(nèi)外串謀，對(duì)公司及內(nèi)部信息進(jìn)行曠日持久的惡意行為，以此來(lái)彌補(bǔ)內(nèi)心的種種不滿。凡此種種成為了影響信息泄露最為深遠(yuǎn)、危害程度最大也是最常見(jiàn)的數(shù)據(jù)泄露方式之一，最常見(jiàn)的內(nèi)部威脅形式便是如此。每年信息行業(yè)因?yàn)閮?nèi)部人員的疏忽行為導(dǎo)致信息泄露，最終影響數(shù)據(jù)傳輸安全的事件數(shù)不勝數(shù)。例如將數(shù)據(jù)存儲(chǔ)在不安全的設(shè)備上，或者因網(wǎng)絡(luò)釣魚(yú)計(jì)劃而丟失，正是這些不經(jīng)意的行為、錯(cuò)誤判斷導(dǎo)致重要數(shù)據(jù)泄露。持續(xù)的惡意行為是指一些不壞好意的內(nèi)部人員，為獲取高回報(bào)、高收入不惜在犯罪邊緣徘徊而泄露數(shù)據(jù)或者實(shí)施其他惡意行為。這些人的行為具有隱蔽性，因此會(huì)表現(xiàn)的更為復(fù)雜，也不易被發(fā)現(xiàn)，通過(guò)各種途徑和方式最大限度的提高竊取數(shù)據(jù)的個(gè)人利益。所以危害程度也最為明顯，并且泄露的信息都是關(guān)鍵信息，往往會(huì)給信息行業(yè)帶來(lái)致命性的打擊。

因此為了防止數(shù)據(jù)泄露，保障數(shù)據(jù)傳輸安全，內(nèi)部人員的風(fēng)險(xiǎn)成為眼下最需要解決的問(wèn)題。公司應(yīng)加強(qiáng)內(nèi)部工作人員的價(jià)值觀的培養(yǎng)和引導(dǎo)，開(kāi)展信息安全主題教育以及信息安全法律法規(guī)普及;提高員工薪資待遇、福利待遇、鼓勵(lì)研發(fā)創(chuàng)新;定期對(duì)數(shù)據(jù)傳輸途徑進(jìn)行加固、采取多種途徑和方法保障數(shù)據(jù)安全。

二、上網(wǎng)行為安全

網(wǎng)絡(luò)不斷普及發(fā)展的今天，互聯(lián)網(wǎng)逐漸成為重要的生產(chǎn)資料，大量組織業(yè)務(wù)的遷移，使得這把雙刃劍不可避免的帶來(lái)相應(yīng)的信息泄露?？此骑L(fēng)輕云淡的上網(wǎng)行為，其實(shí)暗地里風(fēng)起云涌，隱藏著巨大的看不住管不住的風(fēng)險(xiǎn)，這就不得不造成信息泄露的發(fā)生。譬如：在眾多上網(wǎng)行為安全中，上網(wǎng)授權(quán)缺失，用戶肆意上網(wǎng)，為網(wǎng)絡(luò)泄密提供了通道;主動(dòng)外發(fā)信息泄密，或被黑客遠(yuǎn)程控制而被動(dòng)泄密并存;泄密后無(wú)據(jù)可查，責(zé)任難追究，難以形成威懾。高層領(lǐng)導(dǎo)的郵件信息、重要文件等重要信息泄漏、經(jīng)營(yíng)決策、內(nèi)幕消息漏出;這一系列上網(wǎng)監(jiān)管缺失，用戶肆意上網(wǎng)如何能實(shí)現(xiàn)行為可視可控。做到上網(wǎng)行為安全，記錄內(nèi)網(wǎng)用戶的上網(wǎng)行為，一旦發(fā)生網(wǎng)絡(luò)違法違規(guī)事件可作為追查證據(jù)。從內(nèi)部層面杜絕信息泄露的發(fā)生。以釣魚(yú)郵件為例：在內(nèi)網(wǎng)傳播的惡意郵件，人們以為該鏈接是來(lái)自他們認(rèn)識(shí)或信任的人，防范意識(shí)便降低，這就使得偽造的虛假信息特別容易傳輸。點(diǎn)擊了虛假鏈接以及與網(wǎng)絡(luò)釣魚(yú)相關(guān)的鏈接，容易上當(dāng)受騙，也最容易成為網(wǎng)絡(luò)犯罪的對(duì)象。實(shí)際上，移動(dòng)設(shè)備上的虛假信息傳播以及網(wǎng)絡(luò)釣魚(yú)攻擊行為是最常見(jiàn)的安全隱患。不法分子通過(guò)對(duì)一系列信息收集分析，詐騙的對(duì)象往往是一些人沒(méi)有良好上網(wǎng)行為的、互聯(lián)網(wǎng)下自我防范意識(shí)薄弱、無(wú)自我隱私保護(hù)意識(shí)，在利益的驅(qū)使下，這些不法分子便故意或者肆意轉(zhuǎn)發(fā)虛假鏈接、釣魚(yú)鏈接，從而造成點(diǎn)擊者經(jīng)濟(jì)或者精神損失。

因此良好的上網(wǎng)行為成為保護(hù)個(gè)人隱私以及保障個(gè)人財(cái)產(chǎn)安全的重要手段和途徑。所以，在日常生活中我們應(yīng)該注重培養(yǎng)良好的上網(wǎng)行為，不隨意點(diǎn)擊或?yàn)g覽他人轉(zhuǎn)發(fā)的鏈接、提升甄別虛假信息的能力。對(duì)于實(shí)在需要點(diǎn)擊的鏈接應(yīng)該多方查證屬實(shí)后，在查證屬實(shí)并確定安全的情況下方可點(diǎn)開(kāi)使用。隨著網(wǎng)絡(luò)安全法的不斷完善，我們需要通過(guò)法律來(lái)提高個(gè)人防范意識(shí)，不管是在職場(chǎng)或是生活均需要自覺(jué)維護(hù)網(wǎng)絡(luò)安全，當(dāng)網(wǎng)絡(luò)詐騙發(fā)生第一時(shí)間需要報(bào)警備案，尋求法律保護(hù)。平時(shí)注意自我隱私的保護(hù)，防止信息泄露。

• 網(wǎng)絡(luò)邊界安全

古往今來(lái)，墻，始于防，忠于守。墻總能予人以安全之意。除訪問(wèn)控制、入侵檢測(cè)與攻擊防御外、部分出口安全設(shè)備還帶有用戶認(rèn)證、地址轉(zhuǎn)換及高可用性。隨著攻擊手段的不斷精進(jìn)，傳統(tǒng)出口設(shè)備也不斷升級(jí)更新?lián)Q代，從包過(guò)濾到應(yīng)用代理、狀態(tài)監(jiān)測(cè)、UTM。功能也從多功能的疊加到基于用戶加安全與內(nèi)容進(jìn)行安全管控。盡管防護(hù)如此突出，以勒索軟件、惡意軟件、SQL代碼注入、拒絕服務(wù)、DNS劫持、惡意跨框架、零日漏洞、暴力破解、憑證填充等攻擊手段造成的信息泄露依然屢見(jiàn)不鮮。復(fù)雜多變的攻擊加之隱蔽的手段，靜態(tài)的防御失效，安全威脅面臨新一輪挑戰(zhàn)。如何能突破現(xiàn)狀，解決信息泄露危機(jī)？打破傳統(tǒng)枷鎖，從安全運(yùn)營(yíng)上解決安全可視的問(wèn)題;還是從安全防護(hù)出發(fā)，變被動(dòng)為主動(dòng)進(jìn)行持續(xù)檢測(cè)?？梢曌鳛榘踩幕A(chǔ)，如果僅僅能看到內(nèi)網(wǎng)的五元組、特征已經(jīng)無(wú)法區(qū)分內(nèi)網(wǎng)是否安全。從邊界處斷絕信息泄露，首先需要解決的便是風(fēng)險(xiǎn)定位，能動(dòng)的判斷出終端類型、接入方式、情景位置等有效信息，此為用戶可視;其次還需要準(zhǔn)確判斷行為，做到行為可視，從基于特征的匹配到基于數(shù)據(jù)包、流量日志、應(yīng)用、內(nèi)容等全方位、多層次判定，使得不管是從內(nèi)部發(fā)起的信息外泄已經(jīng)外部的滲透共計(jì)從源頭上的杜絕;對(duì)于SQL代碼注入、DNS劫持等漏洞更需要的便是業(yè)務(wù)的可視性，及時(shí)顯示的漏洞信息，軟件系統(tǒng)信息等對(duì)準(zhǔn)確的判定故障無(wú)疑是錦上添花。

從近幾年的網(wǎng)絡(luò)邊界上的安全問(wèn)題來(lái)看，信息泄密、大量信息被篡改、內(nèi)網(wǎng)滲透破壞行為、不間斷業(yè)務(wù)系統(tǒng)的癱瘓、網(wǎng)絡(luò)惡意病毒程序、未知木馬軟件入侵等。 都是網(wǎng)絡(luò)邊界需要解決的問(wèn)題。如何構(gòu)建可靠的安全防御措施，不可避免的需要杜絕內(nèi)網(wǎng)終端的威脅、受控終端的及時(shí)處置、異常行為的分析。初次之前檢測(cè)能力也是重中之重，一個(gè)完備的出口邊界檢測(cè)能力，是能夠發(fā)現(xiàn)那些逃過(guò)防御網(wǎng)絡(luò)的攻擊，而我們此時(shí)需要解決的關(guān)鍵目標(biāo)則是：降低威脅造成的停擺時(shí)間以及其他潛在的損失。檢測(cè)能力非常關(guān)鍵，因?yàn)槠髽I(yè)應(yīng)該假設(shè)自己已處在被攻擊狀態(tài)中。該種檢測(cè)能力便包含異常行為檢測(cè)、信息泄露行為檢測(cè)、異常流量檢測(cè)、業(yè)務(wù)漏洞檢測(cè)，并以此構(gòu)建一套完整的防御體系，減少被攻擊面來(lái)提升攻擊門檻，并在受影響前攔截攻擊動(dòng)作。為什么針對(duì)信息泄露的威脅需要加強(qiáng)持續(xù)檢測(cè)呢？從一般攻擊手段來(lái)看，首先針對(duì)目標(biāo)的探測(cè)，該探測(cè)形式多樣（探測(cè)、端口掃描、漏洞掃描、社會(huì)工程學(xué)等），掌握一定信息基礎(chǔ)上進(jìn)行邊界突破，最為典型的表現(xiàn)為WEB攻擊、應(yīng)用漏洞攻擊利用。進(jìn)而便是持續(xù)的滲透，提權(quán)、獲取權(quán)限、掛馬、僵尸木馬、后門、Web shell等撲面而來(lái)，直至你防不勝防。這樣一個(gè)完整的流程下來(lái)，很難不造成信息的大面積泄露。所以在構(gòu)建邊界的安全信息泄露防御機(jī)制上，全業(yè)務(wù)生命周期的持續(xù)檢測(cè)便尤為重要。事前預(yù)制、事中主動(dòng)防御、事后及時(shí)檢測(cè)響應(yīng)。

四、移動(dòng)接入安全

信息技術(shù)革命時(shí)代，高價(jià)值數(shù)據(jù)資產(chǎn)=公司命脈，塔吉特百貨信息泄露事件：黑客盜取4000萬(wàn)張信用卡、借記卡資料;7000萬(wàn)用戶數(shù)據(jù)泄露 1.1億用戶受到影響。以此信息安全事件導(dǎo)致巨額賠償：賠償visa、MasterCard共計(jì)1億零600萬(wàn)美元;賠償1.1億用戶約2億美元;集團(tuán)盈利暴跌，醫(yī)藥業(yè)務(wù)被迫低價(jià)轉(zhuǎn)讓給競(jìng)爭(zhēng)對(duì)手;高管離職：集團(tuán)前CIO和前CEO被迫離職。同樣的事件在國(guó)內(nèi)也有發(fā)生：大量團(tuán)購(gòu)網(wǎng)站因信息泄露給對(duì)手虧損，導(dǎo)致行業(yè)洗牌;大量P2P金融公司因數(shù)據(jù)被黑客篡改和破壞而倒閉。內(nèi)網(wǎng)信息一旦泄露，造成的慘重?fù)p失將不可估量因此移動(dòng)接入安全日益成為IT管理者需要急需解決的問(wèn)題。

如重要的一些業(yè)務(wù)系統(tǒng)（自動(dòng)化辦公系統(tǒng)、訂單管理系統(tǒng)、人事管理/財(cái)務(wù)管理系統(tǒng)、產(chǎn)品研發(fā)、市場(chǎng)策略管理系統(tǒng)）時(shí)常成為黑客的焦點(diǎn)，也是其攻擊的首要目標(biāo)。通過(guò)對(duì)信息的長(zhǎng)期竊取，進(jìn)行惡意牟利、通過(guò)市場(chǎng)轉(zhuǎn)換交易換取收益。越是重要的系統(tǒng)及平臺(tái)一定條件下更是需要安全的接入：如何保證移動(dòng)接入的終端用戶合法可控？合法用戶終端如何設(shè)置訪問(wèn)權(quán)限和行為審計(jì)？數(shù)據(jù)全程是否做到加密傳輸，保證其完整、可靠、安全？當(dāng)接入設(shè)備異常造成信息泄露，全程是否存在記錄回溯？如果僅僅關(guān)注的只是鏈路是不足以滿足新形勢(shì)下的移動(dòng)接入安全需求，因?yàn)橛脩羯矸荼幻坝?、終端被控制作為跳板機(jī)、傳輸數(shù)據(jù)的截取篡改、業(yè)務(wù)系統(tǒng)被越權(quán)窺探和攻擊都無(wú)法通過(guò)鏈路加密保護(hù)高價(jià)值數(shù)據(jù)資產(chǎn)。因此需要健全移動(dòng)接入平臺(tái)的安全機(jī)制，做到端到端的安全防護(hù)、多重身份認(rèn)證、按需定制、細(xì)粒度權(quán)限管控機(jī)制、基于業(yè)務(wù)帳號(hào)控制權(quán)限、基于URL賦予權(quán)限、記錄接入用戶的訪問(wèn)行為確保用戶的訪問(wèn)過(guò)程可視、可追溯才能使個(gè)人或企業(yè)的數(shù)據(jù)安全得到保證。從兩個(gè)維度確實(shí)落實(shí)移動(dòng)接入安全，終端設(shè)備要求：設(shè)備綁定、身份認(rèn)定、信息傳輸加密等技術(shù)手段來(lái)實(shí)現(xiàn)。應(yīng)用安全則是通過(guò)應(yīng)用數(shù)據(jù)加密、權(quán)限控制、企業(yè)應(yīng)用商店等方法來(lái)保障移動(dòng)接入安全。