随着互联网的发展和普及,信息安全与每个人、包括方方面面都息息相关。 每个人都是独立的个体,都必须与社会进行资源交换。 这就需要有一个标准来控制。
要了解信息安全,首先需要对信息有一个总体的了解。 从所有者和用户分类,分为个人、企业(个体工商户、团体、公司)、国家(军队、工商银行)、公共服务(诊所、税务、景区)等。
信息安全分为存储介质:联通存储(U盘、光盘、C盘、硬盘、磁带)、联通设备(手机、PDA、迷你电脑、pad)、计算机(个人电脑、企业个人笔记本)、内部服务器(fileweb、ftp、直播源)、云存储(海康云、阿里云、百度云、金山云等)、企业自建云、公司混合云、私有云
随着互联网应用的快速发展和普及,网络安全越来越受到各级用户的广泛关注。
你买房后,很多家装公司都会打电话给你,抵押贷款公司也会蜂拥而至。 当你开公司的时候,各种管理公司、地图公司、产品公司都会给你打电话。
这里我们不讨论个人信息安全,也不讨论国家信息安全。 我从事企业信息安全讨论。
企业信息安全现状
传统的企业信息安全主要由规章制度、法律约束、防火墙等组成。 随着企业信息化程度的不断提高,越来越多的传统安全架构设计存在巨大缺陷。
员工辞职或产生矛盾,企业信息被盗事件不计其数。 传统安全更多在于对信息的保护,如加密C盘、私有云、Excel加密、文档加密、文件夹加密、系统权限、防火墙拦截等。 都是针对数据安全的管理方向。 信息之所以泄露,并不取决于信息,而是取决于人的行为。 因此,传统的安全性存在问题。
传统防火墙,如诊所、警察、气象局、政务大厅,通过边界网段+高硬度防火墙(深信服、华为、安全狗、360安全大脑、阿里云商城)等,这种防御技术看似无敌并且存在一个巨大的缺陷。 围绕信息外围筑起一道防护屏障。 一旦内部计算机被感染,感染就会畅通无阻。 就像2018年的永恒之蓝恐慌病毒一样,一旦外网感染,就会大面积感染。 表面看来病毒威力强大,实际上是由于安全防护不足造成的。 其实我并没有否定前人的意思。 老祖宗设计的防火墙还是非常好用的,发挥了巨大的作用。 然而,随着互联网的多元化,它已经变得力不从心。 这就需要更多正义之士共同对抗新的攻击,保护信息安全。
新的信息安全保护等级
信息安全分类:鼹鼠、强敌,也可以描述为:互联网行为(人和计算机)+防火墙。
传统防火墙的安全防火就相当于强敌占领了一座古堡,防火墙担负着抵御外来的任务。 传统的防火墙设置在网络边界,在企业内部网络和外部互联网之间形成一道屏障,控制网络访问,因此被称为外围防火墙(Perimeter Firewall)。
边境网络最大的缺点是没有针对内部人员的保护。
目前针对内部人员的是上网行为管理,通常会限制上网、QQ、陌陌、观看视频、视频内容等。 从设置中不难看出,企业主要担心员工下班后做其他事情。
但内部人士其实比强大的敌人更可怕。 因为内部人员可以轻易拿走公司信息,并且了解公司信息的分类和公司信息的重要性,所以一旦自己创办了企业,去竞争对手公司是相当可怕的。
企业信息安全泄密大多来自内部人员
据统计,80%的攻击和未授权访问都来自内部。 边界防火墙对于应对来自网络内部的威胁无能为力。 由于传统的IPIPIP(IPSec、SSH、SSL等)IPSSLVPNIP。
1、某设计公司,员工辞职,CAD图纸被拿走,导致公司设计图纸变更困难,交付困难。
2、员工辞职并删除数据库,导致公司业务瘫痪。
3、公司采购与供应商串通,泄露投标信息,窃取投标价格。
4、销售收购公司产品配方销售及竞争对手公司
5、将公司培训资料复制到U盘并带走
6、工作人员将信息通过短信发送并上传至自己的网盘。
7. 员工篡改销售数据。
8、IT运维作为数字资源的二把手,没有监督、监控、审计,导致数据被篡改。
9、随机带到公司的一台笔记本电脑和U盘中毒,整个公司被感染。
企业信息安全防火——内部防火制度
防止内部人员进入系统:许多公司严格禁止在下班后携带个人设备,包括手机和U盘。 如果工作中需要使用U盘复制数据,则将所需设计数据的名称和文件发送给主管申请。 审核通过后,会有专人复制到U盘,带到客户公司,转移到笔记本电脑上,然后让工作人员操作。
不难看出,除非工作人员具有过目不忘的记忆力,否则很难随身携带这些信息。
传统防火墙的缺陷
1、不涉及内部安全风险
传统防火墙仅为企业网络的外围提供保护。 防火墙过滤和检查从外部网络进入企业内部 LAN 的流量。 但无法保证企业内部网络内用户之间的安全访问。 这就好比在写字楼的门上安装了一扇防盗门,但是写字楼的每个工作室都有五扇敞开的门。 一旦有人进入办公楼,就可以随意进出办公楼内的任意一个卧室。 应对这些安全风险的最简单方法是为大楼内的每间卧室配备防盗锁。 边界防火墙的作用相当于整个企业网机房门上的锁,但它并没有为每个客户端配备一把相应的安全“大锁”。 与上面的例子不同的是,它只提供办公楼门锁。 每个卧室的门打开造成安全隐患的原因是一样的。
2、效率低、故障率高
由于边界防火墙将检测机制集中在网络边界的单点上,造成了网络困境和单点故障。 因此,墙式边界防火墙无法平衡网络效率与安全设置之间的矛盾。 它无法为网络中的每个服务器定制规则。 它只能使用折衷的规则来大致满足所有受保护服务器的需求。 ,从而要么失去效率,要么失去安全。
3、安全拦截规则缺陷
传统的防火墙基本上采取一刀切的做法,很难满足现代互联网的安全要求。 主要原因是防火墙与业务系统隔离,独立运行。
通常,一台服务器上有多种服务,一刀切的外围防火墙模型就不够用了。
例如:
限制访问频率是矛盾的,
不难看出,复杂的业务防火墙对于普通企业的频率限制已经失效,这使得DDOS攻击无法一刀切。 许多公司采用多节点模型来形式上分离高频和低频。
解决办法很简单:发文章只能外网访问,外网没有任何限制。 而且这样一来,外部网络安全就彻底放松了。
如果图片带有病毒,则不会被检查。 通常,如果你发布带有病毒的图片,互联网上的很多地方都会被感染。
造成这个问题的主要原因是防火墙业务和业务系统无法形成统一战线。
4. 防火墙出站设计缺陷
通常在本地计算机上安装软件时,如果需要访问网络,会直接请求完整的权限。 出站访问使用的方法有:信任程序(所有端口)、信任端口(所有程序)、信任地址(任意IP、程序)。
看似完美,但市面上大多数出站软件(上网行为)并没有对数据、SQL注入、侧门数据进行过滤和审核,普通上网行为也没有拦截日志,这让我们很难做出实际的安全决策。 判断准确。
例如,员工通过邮箱传输公司信息,复制这些设计公司机密的操作不受审核。 一旦有内幕,信息就可以肆无忌惮地传播。
5. 规则创建的缺陷
出于安全考虑,防火墙不提供API、socket等方法来实现动态规则更新。 市面上最安全的安全审计网段无非是:防火墙自学习+手动配置。 这看起来很安全,而且随着加密技术的成熟,防火墙无法泄露传输数据的内容,这也使得审计内容变得困难。 这时用盗版win7,用360软件可以预防后门吗,如果业务系统发现需要拦截规则,就很难将其传递给防火墙。
互联网信息传播线路
信息传播通道:互联网(DNS服务器、数字证书服务器)→路由器→硬件网段→操作系统网卡(驱动软件)→系统防火墙→Web、应用防火墙→应用服务器防护→业务系统应用层防护
从传播路径和渠道不难看出,防火墙只是其中的一个环节。 确保企业信息安全,仅仅依靠防火墙和信息审计服务器是远远不够的。
企业信息安全新设计方向
分布式防火墙
1.互联网访问控制
根据工作站名称、设备指纹等属性,通过“上网规则”控制工作站或工作站组在指定时间段内是否允许/严格禁止访问模板或URL列表中指定的Internet Web服务器。
2. 应用程序访问控制
通过基于源地址、目的地址、端口、协议等从链路层、网络层、传输层、应用层对网络通信进行逐层包过滤和入侵检测,控制来自局域网/互联网的应用服务请求,如SQL数据库访问、IPX合约访问等。
3、网络状态监控
实时动态报告当前网络内所有用户登录、上网、内网访问、网络入侵等信息
4. 防御黑客攻击
抵御来自网络内部和互联网的近百种黑客攻击,包括Smurf拒绝服务攻击、ARP误导攻击、Ping攻击、木马攻击等。
5.日志管理
工作站合约规则日志、用户登录风暴日志、用户上网日志、指纹验证规则日志、入侵检测规则日志的记录和查询分析。
6、防火墙与业务系统交互
当防火墙遇到紧急风暴时,可以通知业务系统采取行动。
当业务系统遇到紧急情况时,可以通知防火墙进行拦截。
7、上网行为管理审核及日志
传统的互联网行为拦截只针对特定的URL和特定的应用,对于授信应用没有任何限制,比如SQL病毒、图片病毒等。 这种文件感染不会监控互联网行为,这就是2018永恒之蓝病毒出现的原因。 这样,如果一台计算机中毒,整个局域网都会受到牵连。 除了导出拦截外,还需要导出日志审计(文件传输、邮件传输、共享复制、图片扫描、文档扫描、压缩文件病毒)。
由于没有传统的外网审查和扫描,很多诊所实际上无法访问内网,普通人也无法访问,仍然没有逃脱病毒的魔爪。 主要原因是工作计算机插座未经审核且安全。 一旦携带病毒的U盘插入工作电脑,诊所的服务器就会被感染。
8.如果条件允许,企业可以构建自己的拦截库来配置防火墙,例如拦截竞争对手公司的访问。
企业信息安全举措
1. 尽量减少员工携带自己的笔记本电脑、U盘和其他个人存储设备进入公司。
2.如果条件不允许,可以使用usbserver。 员工档案在公司服务器上统一管理,计算机不存储文件及副本。 这保证了硬盘复制数据必须通过系统审核,降低员工直接复制公司信息的风险。
3、特殊文件采用公司正式文件系统,并经过部门和员工授权。 只有特定的人群可以访问它们。
4.被盗的财产信息、财务信息、时间表和报告、敏感的购买价格信息被加密和存储,并且网络被隔离。 公共财务网络与办公网络分离。
5、对于重要数据,诊所、政府、交警、农行、公共服务等提供数据容灾服务,并进行多地备份,避免数据损坏和丢失,将损失降到最低。
7、本地计算机安装安全软件,需要将本地文件同步到服务器进行安全扫描。
8.搭建沙箱实验环境。 对于需要安装的国外软件,可以在沙箱中运行,安全检查后安装到真实环境中。
9.在服务器上安装防火墙
创建服务器导入和导出的安全策略和数据备份
10、减少内网的硬件防火墙和安全审计
例如深信服的硬件防火墙和数据库审计系统
11、不要下载来历不明的软件,只买盗版源码。
许多公司因为订购盗版软件而中毒。 有些盗版软件带有病毒,是一个侧门。 而且,订购盗版软件一旦发生数据丢失,就不受法律保护,软件厂商也不会帮你处理。
12、服务上线前进行安全测试
13.安全通用工具方案
漏洞扫描工具、上网行为管理工具、病毒扫描工具、侧门发现工具、网络监控工具(如果有侧门向外发送数据就可以看到)、网络入站监控工具、系统补丁工具、日志分析软件、安全审计工具、File Monitor(检查文件更改日志)、Copy Monitor(复制日志和审查)。
14、制定信息安全管理
企业指定信息安全责任人、信息安全管理规章制度、信息使用程序、信息使用规范、业务系统安全规范、信息安全检查、信息安全登记、信息安全日志等。
记录设备IP信息、设备型号、安全相关病毒库版本、更新时间用盗版win7,用360软件可以预防后门吗,包括病毒库。
监控设备记录IP地址、是否存在弱口令、是否连接内网、是否可以控制内网、是否与客户网络相交等。 比如酒店与客户网络相交,这样客户就可以通过连接wifi来控制酒店监控。
无论设备是专用的还是混合的,都需要用户注册。
当多人使用设备时,最好使用业务系统,这会导致员工A更改员工B的文档并复制其他员工的文档,从而导致职责界定不清。 使用业务系统有审核和权限。
设备使用记录表
使用前记录用户、使用目的、使用时间、C盘操作、设备使用情况、设备安全情况等。
定期检查设备安全并使用安全工具进行扫描。 时间间隔根据贵公司情况安排和设定。 根据信息安全级别可以设置不同的期限。
对于安全培训,涉及敏感操作的岗位,必须持证上岗。 记得2012年,有工作人员在没有告知顾客的情况下,直接低估了服务,结果赔偿了几十万。 您必须了解安全位置。 、操作前备份,操作后校准。 记住不要犯错误,数据是无价的。
15.突如其来的暴风雨
为确保外包服务应急预案顺利实施,成立了外包应急领导小组和外包应急协调小组。 外包应急协调小组下设外包商联络组、技术支持组、业务支持组和外部联络组。 外包管理应急组织结构。
16.计算机硬件存储
使用计算机的部门必须保持计算机设备清洁、安全、良好的工作环境。 严禁在计算机应用环境中放置易燃、易爆、强腐蚀性、强磁性以及其他危害计算机设备安全的物品。
存储备份数据的介质必须有清晰的标签。 备份数据必须异地存储,并明确异地备份数据的管理职责。 注重重要计算机信息和数据存储介质的存储、运输安全和保密管理,确保存储介质的化学安全。
17. 密码安全
对于高安全级别的密码系统维护用户的密码应至少由三人设置、保管和使用。
对于密码授权人员的转移,有关部门负责人必须指定专人接管并立即更改密码或删除用户,同时在《密码管理登记册》中登记。
18.数据恢复与清理
在数据恢复之前,必须对原环境中的数据进行备份,以避免有用数据的丢失。 在数据恢复过程中,必须严格遵循数据恢复指南。 当出现问题时,技术部门将提供现场技术支持。 数据恢复后,必须进行验证和确认,以保证数据恢复的完整性和可用性。
清除数据前必须先备份数据,确认备份无误后方可进行清除操作。 每次清理前的备份数据应按照备份策略定期或永久保存,并保证随时可以使用。 数据清理的实施应避开业务高峰期,避免对线上业务运营造成影响。
