[摘要]

企業對于重要信息系統的信息安全要求高，既要保障系統服務的不間斷，還要防止信息被篡改，更要嚴防信息泄露。如何滿足這些高要求？作者在系統思考和實踐基礎上提出構建重要信息系統的立體防護網，主要思路總結為十六字方針“重點防護、動態監控、有備無患、安全教育”。先做風險評估，再從環境、系統、數據、用戶、團隊五個方面構建立體防護網；然后動態監控，積極應對威脅，最后持續改進信息安全工作。

[正文]

一、數據丟失總是出乎你意料

騰訊網2018年12月12日發表《聯想員工工資銀行賬號都被泄露了？一臺丟失的筆記本可能釀出大禍》。據國外著名媒體CNET報道，一位聯想員工丟失了公司發放的一臺筆記本電腦，上面有關于員工個人信息的未加密數據。這些數據是關系到每個人工資、姓名和銀行賬號的重要信息，有可能已經泄露了。

我們先不管聯想員工工資銀行帳號是不是真的泄漏，從信息安全的角度分析，系統用戶的不恰當行為可能帶來泄密風險。很多用戶都習慣將數據從系統中下載，在辦公電腦上處理和存儲，但沒有給數據文件加密的習慣，通過郵件、QQ、微信等工具傳遞給其他同事，使得數據文件更加失控。作為信息安全主管，你可能會感到沮喪，我們即使把信息系統自身的安全措施做得再到位，架不住廣大用戶端的可能泄密風險。教育員工提高信息安全意識是一件很重要的事情，但往往也是一件投入產出不對稱、收效甚微的工作。

作者認為，可以換個角度思考問題，跳出信息系統本身，站在更高的角度看待信息安全問題。《中華人民共和國網絡安全法》

【1】要求網絡運營者應當對其收集的用戶信息嚴格保密，并建立健全用戶信息保護制度。對于重要信息系統，我們需要構建一個立體防護網，涉及系統所依托環境、系統自身、系統相關方等多個方面。該立體防護網既能防木馬病毒等各類攻擊，保障系統服務的不間斷，又能動態監控未知威脅，防止重要信息被篡改或泄漏，萬一發生信息泄漏，能快速追蹤泄漏源頭。站在用戶的角度，希望立體防護網不要給用戶造成很大的不方便，不因噎廢食，畢竟使用信息系統提高工作效率是初衷。

二、通過風險評估找主要威脅

對于重要信息系統，企業方方面面會提出很多要求，既要保密安全性好，保護敏感信息，又要用戶使用方便，還要安全投資少。作為信息安全主管，你可能會說，太難了吧，既要馬兒跑得快，又要馬兒不吃草！確實很難，但這也正是體現信息安全主管的專業和價值！

信息安全是一個復雜問題，不可能用一個簡單工具應對，不可能一勞永逸的徹底解決。對于復雜問題，我們需要拆解為若干個單一問題，尋找解決方案。單一問題一般都有相對成熟的解決方案，可能還不止一個。所有單一問題都有解決方案后，匯總到一起，需要用系統思維做選擇，需要平衡投資和收益，需要平衡用戶體驗和安全性。有些問題短期之內無法解決，需要考慮持續跟蹤，隨著時間的推移，可能會有可行的解決方案，還有一種可能，問題本身會變化，甚至消失。

大家可能都聽過“短板效應”，一只木桶能盛多少水，并不取決于最長的那塊木板，而是取決于最短的那塊木板。信息安全工作適用于“短板效應”，問題總是出在最短板處，或者稱之為“安全漏洞”。尋找安全漏洞，稱之為風險評估。風險評估可以請專業的咨詢公司，對標信息安全管理規范，比如《信息安全技術：網絡安全等級保護基本要求》（GB/T 22239—2018）

【2】結合調研訪談發現漏洞，提出改進項。風險評估也可以自行組織，請內部人員參與，采用頭腦風暴先找出可能的漏洞，再采用專家打分方式，評出主要漏洞（威脅）。風險評估還可以采用工具，比如漏洞掃描、模擬攻擊演練、模擬釣魚郵件等工具，發現存在的漏洞。以上三種方式，還可以混合著做。

風險評估的結果可以根據威脅發生的概率和影響嚴重程度列示。作者用親自組織的一次風險評估結果舉個例子：

落在A、B、C區域的風險需要重點關注。經過評估，作者帶領團隊找出某一個重要信息系統面臨的五個主要威脅：

1.木馬病毒入侵并破壞

互聯網存在大量的木馬病毒，木馬病毒的入侵可能造成服務中斷、信息泄露等危害。公司已經架設了防火墻，從該設備攔截的惡意軟件和攻擊數量看，每天達到50萬次以上。下圖為2019年6月19日的防火墻攔截威脅統計結果：

2.系統登錄口令被破解

系統登錄存在密碼簡單、長期不換、驗證方式單一（只有密碼驗證一種）等問題，容易被破解，從而造成信息泄露。

3.機房嚴重故障造成服務中斷

公司機房的空調、UPS等基礎設施老化（5年以上），單線路供電存在斷電風險，重要信息系統依托的基礎環境相對薄弱，存在系統服務中斷風險。目前，該信息系統的架構具有高可用性，能抵御單臺服務器損壞、單個應用系統或者數據庫宕機的風險；建立了本地數據備份機制，一旦數據損壞，可以采用本地備份數據恢復，當然恢復數據會造成服務中斷；但無法應對環境出現重大故障風險，比如長時間斷電、火災、水災等。

4.黑客入侵并勒索

由于比特幣存在無法跟蹤特點，隨著比特幣的興起，網絡黑客攻擊公司系統、勒索錢財（比特幣）的概率上升。黑客可能通過安全漏洞、系統開放的端口、釣魚郵件等多種方式潛入公司內網服務器，或者通過員工電腦做跳板訪問公司服務器，問題的關鍵有兩個，一是如何及時發現威脅；二是發現威脅后及時有效處理。

5.員工泄密風險

系統管理員、運營/內控崗位、重要財務崗位等部分崗位員工的數據查詢/修改權限很大，存在內部人員無意識或有意識地篡改數據和泄密風險。重要崗位員工能訪問到大量、重要的企業數據，有時候他們會將數據下載到自己的辦公電腦，如果辦公電腦安全措施不到位，電腦遺失或者被黑客植入木馬或者被郵件釣魚等都會造成公司重要信息的泄漏。文章開篇舉的聯想員工丟失辦公電腦可能造成信息泄密，屬于該類風險。

三、重要系統的信息安全目標

在分析主要威脅的基礎上，綜合公司各方要求，我們確定了重要信息安全目標是保障系統服務的不間斷，防止信息被篡改，防止信息泄露。目標具有普遍性，但具體目標值是個性的。作者團隊確定的某個重要信息系統安全目標值（僅供參考）如下：

（一）? 保障系統服務的不間斷

除計劃停機外，要求重要信息系統服務不間斷。當發生極端事故（比如機房火災等），IT部門在30分鐘以內切換到災備系統，數據丟失控制在15分鐘以內。

（二）? 防止信息被篡改

用戶登錄系統有多重方式驗證身份，用戶在系統中的操作要有日志記錄，尤其是系統管理員的操作要長期保存，供審計。用戶權限賦予要經過審批，賦權操作要留有日志記錄，長期保存，供審計。

（三）? 防止信息泄露

重要信息展示需要帶水印，如果被拍照、截屏后泄漏，能追溯到泄密源頭。有權限查看重要信息的重要崗位員工電腦安裝殺毒軟件，下載保存重要數據文件要加密。

四、 構建立體防護網動態監控

作者提煉構建重要信息系統立體防護網的主體思路為十六字“重點防護、動態監控、有備無患、安全教育”，從環境、系統、數據、用戶、團隊五個方面著手。

1.環境保障?

1.1基礎設施保障 機房是重要信息系統依托的環境，需要提供物理空間、電力、溫度、防塵、防靜電等基礎保障。需要注意機房的安全防護，尤其是進出機房的人員，避免人為破壞。如果機房的基礎條件有限，無法做到很好的保障，可以考慮在公有云上搭建云災備系統，一旦機房出現極端事故（比如火災、水災等），將系統服務轉移到云災備系統。?

1.2網絡分區管理 從信息安全角度出發，網絡和服務器需要分區，不同安全等級的信息系統不在同一個分區，分區之間架設防火墻，進行隔離。網絡區可以分為接入區、核心網絡區、樓層交換區和無線網絡區等；服務器區可以分為生產系統區（核心生產區、一般生產區）、數據區、測試區和托管區等；辦公電腦區可以按照子公司劃分。重要信息系統所在核心生產區一定要和辦公電腦區隔離，避免員工辦公電腦上的病毒和木馬感染服務器。核心網絡交換機只能連接樓層網絡交換機、防火墻等網絡設備，不能直接連接服務器和辦公電腦。?

1.3虛擬化技術防單點故障 采用服務器虛擬化技術，能避免單臺服務器故障引起的系統服務中斷。采用快照技術，能快速恢復應用系統，解決因單臺虛擬機故障引起的系統服務中斷。?

1.4架設專業的安全設備 采購并部署專業的安全設備，包括網絡防火墻、應用防火墻、防病毒軟件、威脅發現設備、堡壘機、VPN設備等，是常見手段。現在的問題是，很多安全設備的策略設置存在缺陷，安全設備的管理員密碼還有保留默認密碼或者簡單密碼，病毒庫沒有及時更新，這些漏洞的存在使得安全設備形同虛設。?

2.系統防護

2.1系統高可用性架構 系統高可用性是保障系統服務不中斷的有效措施，包括應用負載均衡、數據庫主從庫設置、數據庫讀寫分離、分布式數據庫等。?

2.2系統訪問控制 從信息安全角度出發，系統訪問只開放必要的訪問權限，比如只設置內網IP地址（僅限于內網訪問，外網訪問需要通過VPN設備）、關閉不必要的端口，外網訪問設置不常見的端口。WEB應用訪問設置加密訪問，通過HTTPS安全協議，增加可信證書等。 系統用戶身份驗證通過設置密碼管理策略和多因子認證提高安全性。增加帳號密碼強度要求（8位及以上，數字字母混排，如達不到，要求用戶設置新密碼）、更換周期（每三個月強制更換一次）、設定試錯次數（3次，第4次鎖定，用戶忘記密碼時可以通過郵箱取回）。多因子認證包括密碼、驗證碼、短信動態密碼、密鑰、令牌等。為了平衡安全性和使用方斌性，作者所在團隊采用了短信動態密碼驗證，用戶每天第一次登錄系統時發送短信驗證碼，驗證通過后，當天該用戶IP地址不變的情況下再次登錄時就不需要短信驗證了，當然每次登錄都是需要密碼驗證的。

2.3系統備份 備份方式分為冷備份和熱備份兩大類。冷備份包括離線備份和快照備份，離線備份可以存儲在磁帶、光盤、磁盤等存儲介質上；快照備份在虛擬化技術基礎上，備份整個虛擬機。熱備份包括主備模式和雙活模式。根據備份系統與生產系統的距離，系統備份可分為本地備份、同城異地備份、遠程備份。系統備份有關內容，推薦閱讀作者的另一篇文章《居安思危，有備無患—利用公有云建設災備系統的四步法》。?

3.數據保護?

3.1系統權限和日志管理 每個系統用戶原則上只授予必要的權限，并做好操作日志記錄，以備審計。需要關注重要崗位員工的權限授予和操作。系統開發和運維人員的操作通過堡壘機留存操作日志，以備審計。?

3.2數據庫訪問管理 所有數據庫（包括生產系統、測試系統），只有內網IP地址，不能映射公網IP地址。不允許直接訪問數據庫，必須通過應用系統或者堡壘機訪問數據庫。系統開發和運維人員先登陸堡壘機，跳轉虛擬桌面，然后訪問數據庫。 作者曾經經歷過一個事故，在某一個系統上線前一晚，數據庫管理員誤刪了即將作為生產系統的數據庫。他操作數據庫時將生產系統的數據庫當作了測試系統的數據庫。為避免數據庫管理員的誤操作，作者帶領團隊對數據庫的命名作了規范，并要求員工使用數據庫操作工具時將正式環境設置為綠色，其他環境不設置顏色。操作流程也做了優化，數據庫管理員在刪除、覆蓋原有數據庫前要求先做備份。 作者所在團隊制定的各個系統tnsnames 命名規則如下（供參考）： 1）正式環境TNS命名：系統+用途+數字（1代表主庫、2代表備庫） 2）測試環境TNS命名：系統+用途+日期（指克隆環境日期） 舉例：

(1)??? EBS系統生產環境：EBSPROD1 ???? EBSPROD2

(2)??? EBS 系統UAT模擬環境：EBSUAT20190106

(3)??? EBS 系統TEST測試環境：EBSTEST20190307

(4)??? EBS系統開發環境：EBSDEV20190205

3.3重要數據管理

系統設計階段如果考慮信息安全因素，可以對重要數據進行加密保存。重要數據展示界面可以增加水印，比如登錄用戶ID+姓名+日期。這樣如果這些數據被拍照或者截屏，從而造成數據泄密，就可以追蹤到具體泄密人員。

最難解決的問題是用戶將重要數據下載到辦公電腦上。數據離開信息系統之后，可能面臨失控風險。在下載環節加水印算是一種解決方案。更重要的是對具有下載重要數據權限的用戶加強安全教育，簽署保密協議也是常規解決方案。

4.用戶教育?

4.1用戶安全教育 用戶信息安全教育是必須開展的工作。但信息安全意識的培養是個長期的工作，不可能一蹴而就。信息安全主管需要盡可能的將教育內容濃縮，簡化為操作注意事項，潛移默化地影響人。比如，教育員工對重要數據文件設置密碼；對電腦文件進行定期備份，同時保管好備份；不要點開陌生人郵件中的鏈接，避免被釣魚；不要使用來路不明的WIFI，避免被竊取信息。?

4.2辦公電腦安全 辦公電腦安全常見措施是安裝防病毒軟件，并及時更新病毒庫。如果公司政策允許，可監控用戶上網行為，及時發現異常并處理；可以在辦公電腦上安裝終端管理軟件，管控用戶安裝、卸載軟件。?

4.3移動終端安全 隨著移動應用的增多，移動終端的便攜性和易丟性，迫切需要加強移動終端安全。常見的安全措施包括移動終端認證和管理、移動網絡安全邊界、移動應用上增加水印等。?

5.團隊保障?

5.1信息安全團隊 要想實現動態監控和及時處理，信息安全團隊建設和能力培養是必不可少。很多公司部署了很多信息安全設備，但不重視信息安全人員投入，致使安全設備報警和報告并沒有得到及時有效處理。更談不上根據安全形勢，及時調整安全設備的設置。?

5.2外部信息安全專家或信息安全專業服務商 在企業信息安全團隊自身力量不足時，聘請外部信息安全專家或者信息安全專業服務商是有必要的，也是節省成本的方法。 綜上，構建重要信息系統的立體防護網，可以從環境、系統、數據、用戶、團隊五個方面著手。如果資源有限，建議從效果出發，注意不同措施之間的替代性，比如在公有云上建設災備系統后，對機房的基礎設施投資可以延緩。要想實現立體防護網動態監控，離不開自身信息安全隊伍建設和能力提升，根據安全設備提醒情況及時應對，必要時請外部專家協助。

?五、 攻防演練找漏洞持續改進 待重要信息系統的立體防護網建成之后，如何確保其真正發揮效用？我們可以通過攻防演練，尋找漏洞，并持續改進。企業請專業信息安全公司充當“攻擊方”，從互聯網側通過多種手段攻擊企業關鍵信息資產，嘗試獲取重要信息系統的權限。通過網絡攻防演練，CIO可以發現立體防護網存在的漏洞，演練結束后修復漏洞；能夠檢驗自身信息安全團隊的能力，提高實際應對網絡威脅的反應水平；最后，強化信息安全風險意識，當重要信息系統“被攻破”的時候，各級技術和管理人員都能體會到切膚之痛，從而提高安全意識。?

六、 信息安全防護永遠在路上 重要信息系統安全防護的普遍目標是保障系統服務的不間斷，防止信息被篡改，防止信息泄露。為此，我們需要構建重要信息系統的立體防護網，涉及系統所依托環境、系統自身、系統相關方等多個方面，綜合使用風險評估、網絡隔離、防木馬病毒、威脅發現、密碼管理策略、多因子校驗、系統權限管理、日志管理、水印、終端安全管理、信息安全教育等多種手段。同時，使用戶使用方便性和信息安全之間達到平衡，使信息安全投入產生盡可能大的收益。 信息安全防護關鍵在于人！公司需要對用戶開展信息安全教育，培養信息安全意識。公司需要組建一支信息安全團隊，加強能力建設，可能需要外部專家隊伍的協助。通過網絡攻防演練，可以找出立體防護網存在漏洞，鍛煉信息安全隊伍，強化信息安全風險意識。隨著信息威脅手段的日新月異，信息安全防護永遠在路上，需要持續投入和改進。 受于文章篇幅限制，構建重要信息系統立體防護網的很多技術細節沒法披露，而且每家企業開展信息安全工作都有自身的個性化需求。歡迎留言討論。 【參考文獻】

【1】《中華人民共和國網絡安全法》，http://www.npc.gov.cn/npc/,2016-11-7.

【2】《信息安全技術：網絡安全等級保護基本要求》（GB/T 22239—2018），北京：中國標準出版社，2019