前言:
此号开通半年有余,未有一篇出稿,一直在构思写什么,其实之前开公众号的缘由是想把这么多年的自己的所见、所闻、所想沉淀下来,逐渐写出来,梳理下自己的知识体系架构,也能更好的深入的弥补自己的不足。
此篇作为开张,一直想写什么,过年的时候在想了个初稿,大概框架,是想写点企业信息安全建设的一点小思考,文章无太大深度,不能登大雅之堂,受限于自己的眼界和视野,看到的是不一样,如果有不足之处,欢迎交流。
国内的信息安全发展历程
中国的互联网进程,自90年代开始,逐渐就开始了网络安全的萌芽。
中国的企业信息安全建设历程大概分为3个阶段:
第一阶段,2001年前,在90年代中国互联网真正开始之际,当时具备了国际视野的创业人士,看到了国内互联网兴起的机遇,在信息安全这片蓝海市场的商机,于是出现了如启明星辰、天融信、北信源等信息安全厂商,以IDS、防火墙等产品进入国内信息安全领域,开始了信息安全建设的第一波浪潮,经过在2000年的互联网泡沫后,国内各个行业开始了有意识的学习和积淀信息安全相关知识体系,并不断学习国外的新的安全技术理念、技术、产品、服务及建设体系架构。从传统的CIA三原则衍生到可控性、抗抵赖性、真实性等其他原则,国内的安全企业不断研发新的安全产品与服务。
第二阶段,2001年到2014年,在2005年后,从传统的面向业务的被动安全防护转变成了主动安全防护,安全保障理念从安全风险事后应急处置模式转向了IT系统安全生命周期的变革,经过不断的学习和积累,企业开始加强企业内部信息安全建设的展开规划和部署,企业IT信息化的过程中不断的加大了对信息安全建设的投入,于是出现了防火墙、、IDS、IPS、硬件认证、令牌、智能卡等硬件安全产品,以及咨询、实施、运维、培训等安全服务,并出现了身份管理和认证、漏洞扫描、安全基线、终端安全、邮件安全等软件安全产品。借鉴了国外ISO27001、国内等级保护等安全规范,企业逐渐有了自己较完善的信息安全技术和管理体系,于是由此进入国内信息安全建设的发展期。
第三阶段,2014年以后,随着云计算和大数据等新型的IT信息化的技术高速发展及应用,随之改变的是IT基础架构的演变,企业进入了新一轮的IT浪潮变革中,由此进衍生了新的安全概念,如大数据安全分析、网络安全态势感知、云安全、高可持续性威胁等新的安全解决方案和措施,以及人工智能、机器学习、深度学习等新技术的应用,随着2017年网络安全法正式颁布,让信息安全进入了爆发期。
信息安全以人为核心
趋势:随着IT架构的巨大变化引起的日以剧增的网络风险,使得传统的安全产品和服务构建的安全防御体系对网络攻击的防御能力逐渐弱化,从近几年网络攻击、数据泄露、0DAY漏洞、电子邮件等各个层面呈现爆发趋势,无论数量还是规模都远超以往。
现状:传统的IT信息化建设模式:优先考虑网络设备、服务器存储等硬件设备及基础软件,构成了企业IT三大基础设施,大多企业的IT预算都会优先考虑此三大基础设施后在规划安全预算,由于安全作为企业的隐性因素,只有出现问题才呈现了重要性,对于企业而言,安全预算是一个纯支出部门,能少则少,,将导致安全产品和服务的支出持续不断增加,安全已经成为企业生存重要的关键要素。
企业信息安全建设和实施的主题关键要素是人,无论是企业的IT信息系统建设、实施和运维,还是业务的正常开展,每个环节均需要人参与,而信息安全防护的对象也是人,信息安全的对抗其实就是人与人之间的对抗,信息安全的本质也是人。
随着现代企业的信息化的不断建设,当企业的业务由传统的纸质化转而通过IT信息化系统来实现的时候,所有与企业相关的信息都通过IT基础设施承载,其从纸质化到信息化的演进过程中,其安全防护措施不断改进。
在企业信息安全建设过程中,建议以下要点:
1、信息安全所有岗位的人员均需要全面做好背景调查;
2、寻找专业的安全厂商,针对企业现状进行安全风险评估及信息安全规划蓝图,并逐步建设企业自身的信息安全体系;
3、针对自身企业实际情况,培养企业自身的信息安全专家人员或团队;
4、企业所日常经营的业务活动,要考虑安全的要素,有安全人员的审核。
信息安全以意识为基础
随着企业的IT信息化建设,企业所有人员都与企业信息安全的息息相关,不论是高层还是普通员工,以国外的数据统计,世界上每分钟就有2个企业因为信息安全问题倒闭,而在所有的信息安全事故中,只有20%—30%是因为黑客入侵或其他外部原因造成的,70%—80%是由于内部员工的疏忽或有意泄露造成的;同时78%的企业数据泄露是来自内部员工的不规范操作。
在大多数的企业眼里,很多的普通员工认为安全只是安全管理人员的事情,或者是IT管理人员的事情,和自己的关系不大,公司的邮箱、办公系统有IT部负责,自己只关注自身的职能工作即可,很难认识到自己的职能工作可能关系到公司的敏感信息泄露或是信息欺诈的可能性,所以才导致很多攻击都是由于安全意识缺乏导致的。
一般对于企业建议:
1、新员工入职,在新员工培训的时候都要做安全意识培训,员工所负责的工作职责会引起何种风险,让员工意识到信息安全不仅是公司的事情,也是关系到公司内部的所有个人。并且建立奖惩制度;
2、个人隐私保护:由于现在所说的社工中的信息收集都是通过搜索引擎及各种社交平台、微信、微博、电商平台等收集更多的个人信息,有时候还会收集家人、朋友、同事等信息,构成你的个人画像【也就是现在很多的诈骗团伙都已经是使用了大数据的分析能力】。完成信息收集后,需要编写一个场景,,能够很深层次的分析到普通人的心里思路,并且形成一套不同场景的话术,然后会发给其他团队的人按照话术进行社工。
3、密码信息:建议不要设置同一个简单的密码,也不要包含身份证、手机号、姓名、出生年月等信息。攻击者很多时候都是利用社工库,查询到员工的个人邮箱,有的从社工库拿到密码,直接登录,密码过期了就爆破,就会用到你的个人信息制作字典。而如果能够进入员工的邮箱,然后又可以用编写的场景,进行下一步操作。
4、WIFI安全:对于XX公司而言,公司常用的ssid可能是XX的简写之类,攻击者可以模仿一个XX123的wifi热点,如果有公司的员工接入了,那么上网的所有数据包都会被截留,如果攻击者拿到了密码等信息,那很快就是公司的噩梦。
5、心理学知识普及:可以防范一些社工等攻击,比如获奖信息、低息贷款、提供考题、信用卡退款、快递,以及点赞、转发、爱心救助,构建虚假的悲情故事,求助信息,骗取同情心,微信现在太多了。
安全在国内一直比较弱势,不过最近几年才有了各种安全论坛,安全普及,,在看各个甲方大佬和乙方厂商每年的安全投入,不同行业的安全预算的差异化,以及行业默认下的恶意竞争,引起了安全行业的非良性发展,在对比下黑产每年越发凶猛,层出不穷的安全事件,永远都是道高一尺魔高一丈的境地。
虽然都在说没有绝对的安全,安全是相对的,但是需要有绝对的重视,才能有真正的安全。