十五个急需解决的典型信息安全问题(下)

10、内外网络隔离安全和数据交换方便性

由于网络攻击技术不断增强，恶意入侵内部网络的风险性也相应急剧提高。网络入侵者可以涉透到内部网络系统，窃取数据或恶意破坏数据。同时，内部网的用户因为安全意识薄弱，可能有意或无意地将敏感数据泄漏出去。为了实现更高级别的网络安全，有的安全专家建议，“内外网及上网计算机实现物理隔离，以求减少来自外网的威胁。”但是，从目前网络应用来说，许多企业或机构都需要从外网采集数据，同时内网的数据也需要发布到外网上。因此，要想完全隔离开内外网并不太现实，网络安全必须既要解决内外网数据交换需求，又要能防止安全事件出现。

11、业务快速发展与安全建设滞后

在信息化建设过程中，由于业务急需要开通，做法常常是“业务优先，安全靠边”，使得安全建设缺乏规划和整体设计，留下安全隐患。安全建设只能是“亡羊补牢”,出了安全事件后才去做。这种情况，在企业中表现得更为突出，市场环境的动态变化，使得业务需要不断地更新，业务变化超过了现有安全保障能力。

12、网络资源健康应用与管理手段提升

复杂的网络世界，充斥着各种不良信息内容，常见的就是垃圾邮件。在一些企业单位中，网络的带宽资源被员工用来在线聊天，浏览新闻娱乐、股票行情、色情网站，这些网络活动严重消耗了带宽资源，导致正常业务得不到应有的资源保障。但是，传统管理手段难以适应虚拟世界，网络资源管理手段必须改进，要求能做到 “可信、可靠、可视、可控”。

13、信息系统用户安全意识差和安全整体提高困难

目前，普遍存在“重产品、轻服务，重技术、轻管理，重业务、轻安全”的思想，“安全就是安装防火墙，安全就是安装杀毒软件”，人员整体信息安全意识不平衡，导致一些安全制度或安全流程流于形式。典型的事例如下:

■ 用户选取弱口令，使得攻击者可以从远程直接控制主机;

■ 用户开放过多网络服务，例如,网络边界没有过滤掉恶意数据包或切断网络连接,允许外部网络的主机直接“ping”内部网主机，允许建立空连接;

■ 用户随意安装有漏洞的软件包;

■ 用户直接利用厂家缺省配置;

■ 用户泄漏网络安全敏感信息，如DNS服务配置信息。

14、安全岗位设置和安全管理策略实施难题

根据安全原则，一个系统应该设置多个人员来共同负责管理，但是受成本、技术等限制，一个管理员既要负责系统的配置，又要负责安全管理，安全设置和安全审计都是“一肩挑”。这种情况使得安全权限过于集中，一旦管理员的权限被人控制，极易导致安全失控。

15、信息安全成本投入和经济效益回报可见性

由于网络攻击手段不断变化，原有的防范机制需要随着网络系统环境和攻击适时而变，因而需要不断地进行信息安全建设资金投入。但是，一些信息安全事件又不同于物理安全事件，信息安全事件所产生的经济效益往往是间接的，不容易让人清楚明白，从而造成企业领导人的误判，进而造成信息安全建设资金投入困难。这样一来，信息安全建设投入往往是“事后”进行，即当安全事件产生影响后，企业领导人才会意识安全的重要性。这种做法造成信息安全建设缺乏总体规划，基本上是“头痛医头，脚痛医脚”，信息网络工作人员整天疲于奔命工作，成了“救火队员”。

主要作者简介

蒋建春

博士，中国科学院软件研究所副研究员、全国信息技术水平考试教材编委会委员、信息产业部电子教育与考试中心“网络信息安全工程师高级职业教育(Network Security Advanced Career Education)”项目组长。

主要研究方向: 信息安全对抗、信息系统安全风险评估与可信管理、基础软件安全体系与可信平台。作为项目负责人和主要研制者，参加十多项科研项目，包括中科院应用研究与发展重大项目、中科院知识创新工程重大项目、973、863、中科院软件所青年创新项目、重点行业横向项目等。

链接:信息安全建设8步骤

信息安全建设是一个循序渐进、逐步完善提升的过程，信息安全建设大致来说要经历三个阶段：基本阶段、规范阶段、改进完善阶段。每个阶段在信息安全组织、信息安全管理、信息安全措施上都有所侧重，主要在安全组织健全程度、安全管理规范性、安全技术措施严密性等方面表现出来。

信息安全建设是一个复杂的系统工程 ，一般来说，信息安全工程包含八个基本环节和步骤。

第一步，分析信息网络系统所承载的业务和基本安全目标。

第二步，在所管辖的信息网络范围内，进行信息网络安全风险评估，建立信息网络资产清单，识别信息网络资产的威胁和脆弱性，确定信息网络资产的风险类型和保护等级。

第三步，根据信息网络资产的风险类型和保护等级，制定合适的安全策略和安全防护体系。

第四步，根据信息网络的安全策略，设计安全防范机制，选择风险控制的目标，实现风险控制管理。

第五步，将信息安全建设工作分解为若干个信息安全工程项目。典型项目有漏洞扫描和安全风险评估项目、用户统一认证和授权管理项目、网络防病毒项目、桌面机集中安全管理项目、服务器安全增强项目、网络安全监控项目、网络边界防护项目、远程安全通信项目、网络内容管理项目、补丁管理项目、系统和数据容灾备份项目。

第六步，根据信息安全工程项目要求，制定实施计划，调整信息网络结构和重新安全配置，部署选购合适的安全产品；制定相应信息网络安全管理制度、操作规程以及法律声明。

第七步，对信息安全工程项目进行验收，检查信息网络的安全风险是否已经得到有效控制; 检查信息网络的安全保障能力是否达到业务安全要求。

第八步，验收后，工程项目建设成果正式交付运行; 并根据安全控制系统的实际运行情况，及时调整安全策略，改进安全控制措施。