重点防护　动态监控——构建重要信息系统的立体防护网

[摘要]

企业对于重要信息系统的信息安全要求高，既要保障系统服务的不间断，还要防止信息被篡改，更要严防信息泄露。如何满足这些高要求？作者在系统思考和实践基础上提出构建重要信息系统的立体防护网，主要思路总结为十六字方针“重点防护、动态监控、有备无患、安全教育”。先做风险评估，再从环境、系统、数据、用户、团队五个方面构建立体防护网；然后动态监控，积极应对威胁，最后持续改进信息安全工作。

[正文]

一、数据丢失总是出乎你意料

腾讯网2018年12月12日发表《联想员工工资银行账号都被泄露了？一台丢失的笔记本可能酿出大祸》。据国外著名媒体CNET报道，一位联想员工丢失了公司发放的一台笔记本电脑，上面有关于员工个人信息的未加密数据。这些数据是关系到每个人工资、姓名和银行账号的重要信息，有可能已经泄露了。

我们先不管联想员工工资银行帐号是不是真的泄漏，从信息安全的角度分析，系统用户的不恰当行为可能带来泄密风险。很多用户都习惯将数据从系统中下载，在办公电脑上处理和存储，但没有给数据文件加密的习惯，通过邮件、QQ、微信等工具传递给其他同事，使得数据文件更加失控。作为信息安全主管，你可能会感到沮丧，我们即使把信息系统自身的安全措施做得再到位，架不住广大用户端的可能泄密风险。教育员工提高信息安全意识是一件很重要的事情，但往往也是一件投入产出不对称、收效甚微的工作。

作者认为，可以换个角度思考问题，跳出信息系统本身，站在更高的角度看待信息安全问题。《中华人民共和国网络安全法》

【1】要求网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。对于重要信息系统，我们需要构建一个立体防护网，涉及系统所依托环境、系统自身、系统相关方等多个方面。该立体防护网既能防木马病毒等各类攻击，保障系统服务的不间断，又能动态监控未知威胁，防止重要信息被篡改或泄漏，万一发生信息泄漏，能快速追踪泄漏源头。站在用户的角度，希望立体防护网不要给用户造成很大的不方便，不因噎废食，毕竟使用信息系统提高工作效率是初衷。

二、通过风险评估找主要威胁

对于重要信息系统，企业方方面面会提出很多要求，既要保密安全性好，保护敏感信息，又要用户使用方便，还要安全投资少。作为信息安全主管，你可能会说，太难了吧，既要马儿跑得快，又要马儿不吃草！确实很难，但这也正是体现信息安全主管的专业和价值！

信息安全是一个复杂问题，不可能用一个简单工具应对，不可能一劳永逸的彻底解决。对于复杂问题，我们需要拆解为若干个单一问题，寻找解决方案。单一问题一般都有相对成熟的解决方案，可能还不止一个。所有单一问题都有解决方案后，汇总到一起，需要用系统思维做选择，需要平衡投资和收益，需要平衡用户体验和安全性。有些问题短期之内无法解决，需要考虑持续跟踪，随着时间的推移，可能会有可行的解决方案，还有一种可能，问题本身会变化，甚至消失。

大家可能都听过“短板效应”，一只木桶能盛多少水，并不取决于最长的那块木板，而是取决于最短的那块木板。信息安全工作适用于“短板效应”，问题总是出在最短板处，或者称之为“安全漏洞”。寻找安全漏洞，称之为风险评估。风险评估可以请专业的咨询公司，对标信息安全管理规范，比如《信息安全技术：网络安全等级保护基本要求》（GB/T 22239—2018）

【2】结合调研访谈发现漏洞，提出改进项。风险评估也可以自行组织，请内部人员参与，采用头脑风暴先找出可能的漏洞，再采用专家打分方式，评出主要漏洞（威胁）。风险评估还可以采用工具，比如漏洞扫描、模拟攻击演练、模拟钓鱼邮件等工具，发现存在的漏洞。以上三种方式，还可以混合着做。

风险评估的结果可以根据威胁发生的概率和影响严重程度列示。作者用亲自组织的一次风险评估结果举个例子：

落在A、B、C区域的风险需要重点关注。经过评估，作者带领团队找出某一个重要信息系统面临的五个主要威胁：

1.木马病毒入侵并破坏

互联网存在大量的木马病毒，木马病毒的入侵可能造成服务中断、信息泄露等危害。公司已经架设了防火墙，从该设备拦截的恶意软件和攻击数量看，每天达到50万次以上。下图为2019年6月19日的防火墙拦截威胁统计结果：

2.系统登录口令被破解

系统登录存在密码简单、长期不换、验证方式单一（只有密码验证一种）等问题，容易被破解，从而造成信息泄露。

3.机房严重故障造成服务中断

公司机房的空调、UPS等基础设施老化（5年以上），单线路供电存在断电风险，重要信息系统依托的基础环境相对薄弱，存在系统服务中断风险。目前，该信息系统的架构具有高可用性，能抵御单台服务器损坏、单个应用系统或者数据库宕机的风险；建立了本地数据备份机制，一旦数据损坏，可以采用本地备份数据恢复，当然恢复数据会造成服务中断；但无法应对环境出现重大故障风险，比如长时间断电、火灾、水灾等。

4.黑客入侵并勒索

由于比特币存在无法跟踪特点，随着比特币的兴起，网络黑客攻击公司系统、勒索钱财（比特币）的概率上升。黑客可能通过安全漏洞、系统开放的端口、钓鱼邮件等多种方式潜入公司内网服务器，或者通过员工电脑做跳板访问公司服务器，问题的关键有两个，一是如何及时发现威胁；二是发现威胁后及时有效处理。

5.员工泄密风险

系统管理员、运营/内控岗位、重要财务岗位等部分岗位员工的数据查询/修改权限很大，存在内部人员无意识或有意识地篡改数据和泄密风险。重要岗位员工能访问到大量、重要的企业数据，有时候他们会将数据下载到自己的办公电脑，如果办公电脑安全措施不到位，电脑遗失或者被黑客植入木马或者被邮件钓鱼等都会造成公司重要信息的泄漏。文章开篇举的联想员工丢失办公电脑可能造成信息泄密，属于该类风险。

三、重要系统的信息安全目标

在分析主要威胁的基础上，综合公司各方要求，我们确定了重要信息安全目标是保障系统服务的不间断，防止信息被篡改，防止信息泄露。目标具有普遍性，但具体目标值是个性的。作者团队确定的某个重要信息系统安全目标值（仅供参考）如下：

（一）  保障系统服务的不间断

除计划停机外，要求重要信息系统服务不间断。当发生极端事故（比如机房火灾等），IT部门在30分钟以内切换到灾备系统，数据丢失控制在15分钟以内。

（二）  防止信息被篡改

用户登录系统有多重方式验证身份，用户在系统中的操作要有日志记录，尤其是系统管理员的操作要长期保存，供审计。用户权限赋予要经过审批，赋权操作要留有日志记录，长期保存，供审计。

（三）  防止信息泄露

重要信息展示需要带水印，如果被拍照、截屏后泄漏，能追溯到泄密源头。有权限查看重要信息的重要岗位员工电脑安装杀毒软件，下载保存重要数据文件要加密。

四、 构建立体防护网动态监控

作者提炼构建重要信息系统立体防护网的主体思路为十六字“重点防护、动态监控、有备无患、安全教育”，从环境、系统、数据、用户、团队五个方面着手。

1.环境保障 

1.1基础设施保障 机房是重要信息系统依托的环境，需要提供物理空间、电力、温度、防尘、防静电等基础保障。需要注意机房的安全防护，尤其是进出机房的人员，避免人为破坏。如果机房的基础条件有限，无法做到很好的保障，可以考虑在公有云上搭建云灾备系统，一旦机房出现极端事故（比如火灾、水灾等），将系统服务转移到云灾备系统。 

1.2网络分区管理 从信息安全角度出发，网络和服务器需要分区，不同安全等级的信息系统不在同一个分区，分区之间架设防火墙，进行隔离。网络区可以分为接入区、核心网络区、楼层交换区和无线网络区等；服务器区可以分为生产系统区（核心生产区、一般生产区）、数据区、测试区和托管区等；办公电脑区可以按照子公司划分。重要信息系统所在核心生产区一定要和办公电脑区隔离，避免员工办公电脑上的病毒和木马感染服务器。核心网络交换机只能连接楼层网络交换机、防火墙等网络设备，不能直接连接服务器和办公电脑。 

1.3虚拟化技术防单点故障 采用服务器虚拟化技术，能避免单台服务器故障引起的系统服务中断。采用快照技术，能快速恢复应用系统，解决因单台虚拟机故障引起的系统服务中断。 

1.4架设专业的安全设备 采购并部署专业的安全设备，包括网络防火墙、应用防火墙、防病毒软件、威胁发现设备、堡垒机、VPN设备等，是常见手段。现在的问题是，很多安全设备的策略设置存在缺陷，安全设备的管理员密码还有保留默认密码或者简单密码，病毒库没有及时更新，这些漏洞的存在使得安全设备形同虚设。 

2.系统防护

2.1系统高可用性架构 系统高可用性是保障系统服务不中断的有效措施，包括应用负载均衡、数据库主从库设置、数据库读写分离、分布式数据库等。 

2.2系统访问控制 从信息安全角度出发，系统访问只开放必要的访问权限，比如只设置内网IP地址（仅限于内网访问，外网访问需要通过VPN设备）、关闭不必要的端口，外网访问设置不常见的端口。WEB应用访问设置加密访问，通过HTTPS安全协议，增加可信证书等。 系统用户身份验证通过设置密码管理策略和多因子认证提高安全性。增加帐号密码强度要求（8位及以上，数字字母混排，如达不到，要求用户设置新密码）、更换周期（每三个月强制更换一次）、设定试错次数（3次，第4次锁定，用户忘记密码时可以通过邮箱取回）。多因子认证包括密码、验证码、短信动态密码、密钥、令牌等。为了平衡安全性和使用方斌性，作者所在团队采用了短信动态密码验证，用户每天第一次登录系统时发送短信验证码，验证通过后，当天该用户IP地址不变的情况下再次登录时就不需要短信验证了，当然每次登录都是需要密码验证的。

2.3系统备份 备份方式分为冷备份和热备份两大类。冷备份包括离线备份和快照备份，离线备份可以存储在磁带、光盘、磁盘等存储介质上；快照备份在虚拟化技术基础上，备份整个虚拟机。热备份包括主备模式和双活模式。根据备份系统与生产系统的距离，系统备份可分为本地备份、同城异地备份、远程备份。系统备份有关内容，推荐阅读作者的另一篇文章《居安思危，有备无患—利用公有云建设灾备系统的四步法》。 

3.数据保护 

3.1系统权限和日志管理 每个系统用户原则上只授予必要的权限，并做好操作日志记录，以备审计。需要关注重要岗位员工的权限授予和操作。系统开发和运维人员的操作通过堡垒机留存操作日志，以备审计。 

3.2数据库访问管理 所有数据库（包括生产系统、测试系统），只有内网IP地址，不能映射公网IP地址。不允许直接访问数据库，必须通过应用系统或者堡垒机访问数据库。系统开发和运维人员先登陆堡垒机，跳转虚拟桌面，然后访问数据库。 作者曾经经历过一个事故，在某一个系统上线前一晚，数据库管理员误删了即将作为生产系统的数据库。他操作数据库时将生产系统的数据库当作了测试系统的数据库。为避免数据库管理员的误操作，作者带领团队对数据库的命名作了规范，并要求员工使用数据库操作工具时将正式环境设置为绿色，其他环境不设置颜色。操作流程也做了优化，数据库管理员在删除、覆盖原有数据库前要求先做备份。 作者所在团队制定的各个系统tnsnames 命名规则如下（供参考）： 1）正式环境TNS命名：系统+用途+数字（1代表主库、2代表备库） 2）测试环境TNS命名：系统+用途+日期（指克隆环境日期） 举例：

(1)    EBS系统生产环境：EBSPROD1      EBSPROD2

(2)    EBS 系统UAT模拟环境：EBSUAT20190106

(3)    EBS 系统TEST测试环境：EBSTEST20190307

(4)    EBS系统开发环境：EBSDEV20190205

3.3重要数据管理

系统设计阶段如果考虑信息安全因素，可以对重要数据进行加密保存。重要数据展示界面可以增加水印，比如登录用户ID+姓名+日期。这样如果这些数据被拍照或者截屏，从而造成数据泄密，就可以追踪到具体泄密人员。

最难解决的问题是用户将重要数据下载到办公电脑上。数据离开信息系统之后，可能面临失控风险。在下载环节加水印算是一种解决方案。更重要的是对具有下载重要数据权限的用户加强安全教育，签署保密协议也是常规解决方案。

4.用户教育 

4.1用户安全教育 用户信息安全教育是必须开展的工作。但信息安全意识的培养是个长期的工作，不可能一蹴而就。信息安全主管需要尽可能的将教育内容浓缩，简化为操作注意事项，潜移默化地影响人。比如，教育员工对重要数据文件设置密码；对电脑文件进行定期备份，同时保管好备份；不要点开陌生人邮件中的链接，避免被钓鱼；不要使用来路不明的WIFI，避免被窃取信息。 

4.2办公电脑安全 办公电脑安全常见措施是安装防病毒软件，并及时更新病毒库。如果公司政策允许，可监控用户上网行为，及时发现异常并处理；可以在办公电脑上安装终端管理软件，管控用户安装、卸载软件。 

4.3移动终端安全 随着移动应用的增多，移动终端的便携性和易丢性，迫切需要加强移动终端安全。常见的安全措施包括移动终端认证和管理、移动网络安全边界、移动应用上增加水印等。 

5.团队保障 

5.1信息安全团队 要想实现动态监控和及时处理，信息安全团队建设和能力培养是必不可少。很多公司部署了很多信息安全设备，但不重视信息安全人员投入，致使安全设备报警和报告并没有得到及时有效处理。更谈不上根据安全形势，及时调整安全设备的设置。 

5.2外部信息安全专家或信息安全专业服务商 在企业信息安全团队自身力量不足时，聘请外部信息安全专家或者信息安全专业服务商是有必要的，也是节省成本的方法。 综上，构建重要信息系统的立体防护网，可以从环境、系统、数据、用户、团队五个方面着手。如果资源有限，建议从效果出发，注意不同措施之间的替代性，比如在公有云上建设灾备系统后，对机房的基础设施投资可以延缓。要想实现立体防护网动态监控，离不开自身信息安全队伍建设和能力提升，根据安全设备提醒情况及时应对，必要时请外部专家协助。

 五、 攻防演练找漏洞持续改进 待重要信息系统的立体防护网建成之后，如何确保其真正发挥效用？我们可以通过攻防演练，寻找漏洞，并持续改进。企业请专业信息安全公司充当“攻击方”，从互联网侧通过多种手段攻击企业关键信息资产，尝试获取重要信息系统的权限。通过网络攻防演练，CIO可以发现立体防护网存在的漏洞，演练结束后修复漏洞；能够检验自身信息安全团队的能力，提高实际应对网络威胁的反应水平；最后，强化信息安全风险意识，当重要信息系统“被攻破”的时候，各级技术和管理人员都能体会到切肤之痛，从而提高安全意识。 

六、 信息安全防护永远在路上 重要信息系统安全防护的普遍目标是保障系统服务的不间断，防止信息被篡改，防止信息泄露。为此，我们需要构建重要信息系统的立体防护网，涉及系统所依托环境、系统自身、系统相关方等多个方面，综合使用风险评估、网络隔离、防木马病毒、威胁发现、密码管理策略、多因子校验、系统权限管理、日志管理、水印、终端安全管理、信息安全教育等多种手段。同时，使用户使用方便性和信息安全之间达到平衡，使信息安全投入产生尽可能大的收益。 信息安全防护关键在于人！公司需要对用户开展信息安全教育，培养信息安全意识。公司需要组建一支信息安全团队，加强能力建设，可能需要外部专家队伍的协助。通过网络攻防演练，可以找出立体防护网存在漏洞，锻炼信息安全队伍，强化信息安全风险意识。随着信息威胁手段的日新月异，信息安全防护永远在路上，需要持续投入和改进。 受于文章篇幅限制，构建重要信息系统立体防护网的很多技术细节没法披露，而且每家企业开展信息安全工作都有自身的个性化需求。欢迎留言讨论。 【参考文献】

【1】《中华人民共和国网络安全法》，http://www.npc.gov.cn/npc/,2016-11-7.

【2】《信息安全技术：网络安全等级保护基本要求》（GB/T 22239—2018），北京：中国标准出版社，2019