政企信息安全形势分析及防护策略

2024年3月20日发(作者：)

政企信息安全形势分析及防护策略

作者：朱维军 彭玉林

来源：《中国新通信》 2018年第13期

【摘要】 近年来，随着互联网的蓬勃发展，席卷全球的信息科技给人们的生产和生活方式

带来了深刻的变革，信息产业已成为政府、企业主导推进的产业之一。与此同时，各类信息安

全事件导致的业务中断、知识产权损失、数据泄露以及经济损失等，也给各级政府、企业造成

了巨大损失。对此，本文基于对全球信息安全事件的分析，披露了危害信息安全主要面临外部

的高级持续威胁和内部的员工安全威胁，并探讨了提高信息安全防护的对策建议。

【关键词】 政企信息 安全形势 防护对策

随着互联网的兴起，给人类社会带来了飞速的发展，政府和企业也在不断研发互联网信息

化技术来为老百姓提供各种便利与服务。但是，各种层出不穷的信息安全事件，已经开始影响

到我们每一个人的生活。因此政府和大型企业必须健全安全防护手段，确保信息系统（包括硬

件、软件、数据及基础设施等）受到保护，避免发生严重信息安全事故。

一、政企信息安全风险

2017 年5 月，一款名为“WannaCry”的蠕虫病毒席卷全球，恶意加密电脑信息并勒索解

密赎金。这是黑客组织通过改造之前泄露的NSA 网络武器库中“永恒之蓝”攻击程序发起的网

络攻击事件。医疗、交通、能源、教育等行业领域遭受巨大损失，大量应用系统和数据库文件

被加密后，无法正常工作，影响巨大。

2018 年3 月，持续发酵的俄罗斯干预美国大选事件中，伦敦数据挖掘和分析公司剑桥分

析被曝光， 在2016 年美国总统选期间滥用了5000 万名 Facebook 用户的数据。 剑桥分析在

非法获取用户信息后，通过数据分析，根据用户喜好投放政治广告，从而改变用户心理达到干

预选举的目的。此次事件引起了人们对个人隐私信息保护的高度关注。

二、政企信息安全面临的威胁

2.1 外部的高级持续性威胁

高级持续性威胁就是APT（Advanced Persistent Threat）攻击，是利用先进的攻击手段

对特定目标进行长期持续性网络攻击的攻击形式。APT 是黑客以窃取核心资料为目的，针对客

户所发动的网络攻击和侵袭行为。这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。

政府和企业的内部网络安全防护主要存在以下问题，容易被APT 攻击侵入。

2.1.1 安防手段防护滞后

APT 普遍采用0 day 漏洞获取权限、通过未知木马进行远程控制的方式实现攻击。政府和

企业的内部信息数据而建立与外部网络隔离的专用网络，传统的网络安全安防系统：防火墙、

入侵检测、流量控制等都是基于特征匹配的检测设备，总是要先捕获恶意代码样本，才能提取

代码特征并基于特征进行攻击识别。此外，政企内网设备不能及时、全面更新最新的系统漏洞

补丁，导致网络防护存在先天的滞后性。

2.1.2 边界防护保障乏力

随着移动互联技术的发展，越来越多的外部设备可以全天候访问政企网络，APT 攻破的目

标不再只是传统的操作系统和网络服务。黑客组织开始将目标转向各类移动设备，甚至是工业

控制设备。APT 利用社交攻击、0day 漏洞、物理摆渡等多种渠道可轻易绕过系统边界。而政企

网络传统的边界防护措施，对各类业务系统缺乏细粒度的内容检测能力，对各类外部接入设备

的系统漏洞无法提供足够有效的防护。

2.1.3 业务系统存在隐患

政企业务系统众多，对于系统的访问控制仅仅是采取简单的授权管理，较少考虑安全问题，

有些系统甚至脱离安全人员的管理视线。 各类孤立的业务系统很少会放到整体的安全防护体系

中，成为无人知道、无人防护的影子系统，对于外部攻击者非法获取合法身份后，进行数据破

话、盗窃等行为，更是很难进行阻断。这给政企信息安全带来巨大的安全隐患。

2.2 内部的员工安全威胁

内部员工是政企网络的使用者和建造者，造成的危害可以比外部黑客更严重，是影响政企

信息安全最为重要的因素。

2.2.1 无意疏忽的内部人员

政企对信息系统制定了各种安全防护措施和安全操作文档，但也会存在管理上的疏忽与漏

洞。比如对员工进行的安全培训、内部法规和法律安全教育不全面，员工会因安全意识松懈造

成安全事故，如文档管理不善、密码凭证的遗失和泄露、办公电脑的遗失、打开钓鱼邮件、无

意间的谈论导致的信息泄露、误删除操作等，都有可能给企业带来严重的安全威胁，成为恶意

攻击者的“帮手”。

2.2.1 心存恶意的内部人员

某些内部员工因为贪婪或经济利益的需要，因工作原因对公司心怀不满，在政企内部窃取

信息资产。他们可通过自身的合法身份，轻松绕过监管，通过企业的数据库服务器、文件服务

器、 OA 应用/ 业务应用、终端、网络以及云环境等获取重要信息，然后通常通过移动介质、

邮件、及时通信、彩/ 短信等方式将信息泄露出去。这类安全事故将会政企的业务和声誉带来

严重损失。

三、政企信息安全防护策略

3.1 引进协同联动的防御体系

面对针对性强、隐蔽性高、代码复杂度高的 APT 攻击，传统的安全手段往往应对乏力，我

们需要革新传统的安全理念和防护手段，联系安全厂商协同建立全新的防御体系。从技术角度

看，针对高级威胁的发现，需要建立一个轻量级的大数据安全平台，将传统安全检测技术、网

络行为数据分析技术和威胁情报技术结合起来汇聚到大数据中心，进行综合关联分析。结合多

源头的可机读威胁情报应用，沙箱动态行为发现，以及关联引擎分析等多维度方法，进行高级

威胁的判定与处置。

3.2 构建一体化的管理体系

面对“烟囱林立”的各类信息系统，政企机构要构建整体的安全策略和部署一体化的管理

工具，定期开展基于内部的信息安全评估，包括社会工程学评估检测。比如，政企的各类系统

众多，很难让管理人员逐一进行管理，最好是利用工具进行一体化的管理与防护。

对于业务系统的数据要进行分级管理，建立可靠和可信的认证授权机制，严格访问权限控

制，建立严格的终端安全管控机制，包括网络转入和移动介质使用等，这可以减少威胁的作用

范围。

对生产调度和办公等信息系统进行了详细的安全等级划分，不同密级的系统位于不同的区

域，数据在不同区域间传输时要符合信息安全的策略。建立信息数据离境审核检测技术手段，

避免敏感信息流出，同时还要有事中操作审计和事后跟踪溯源审计机制。

3.3 树立正确的安全意识

应对内部人员产生的安全风险，政企机构要构建风险管理体系、规章制度和标准化的操作

流程，在这个基础上，确保规章制度在日常运营中得到很好的贯彻执行。此外，要定期和有针

对性的对员工开展信息安全培训，让员工广泛了解当前的安全威胁和内部的安全管理要求，特

别是了解安全违规后个人所需要承担的内部责罚和可能的法律责任。过去机构只在系统层面跟

踪内部人员的活动，无法了解内部人员是否滥用了访问权限。几乎不可能知道他们是否访问了

敏感的数据， 或者他们对这些数据进行的非法操作，因为系统级日志和报告提供不了发觉任何

不法行为所需要的细粒度，从而在安全监控方面留下巨大的盲点。为了解决这个风险，政企需

要将定期开展信息安全检查和信息安全审计，以便深入了解用户行为。

总之，加强政企信息安全防护体系建设是一个十分巨大的工程、任重而道远，需要不断的

进行更新与创新，不断的去完善和改革，只有这样才能够防止机密泄露，才能够保证不出严重

信息安全事故。