網路安全防護那些事兒

在網路安全方面，大家軍備競賽更多的是體現比別人做得好。攻擊者肯定是挑軟柿子捏，比較而言誰的安全漏洞明顯，誰最容易遭受攻擊。就如同在野外遭遇猛獸時，你不必成為跑的最快那一位，但一定不能成為落在最後的那一位。

蘇文力，陽光保險助理總裁，央行觀察專欄作家

前幾年分管互聯網中心工作的時候，每天都會登錄到公司網站上轉轉。這天我按照習慣上網瀏覽公司產品銷售頁，結果發現網站反應速度極慢。正準備打電話了解情況，互聯網中心負責人急火火的推門進到我辦公室，反映公司網站正受到黑客攻擊，對外服務基本癱瘓。看到她緊張焦急的的樣子，聯想到這段時間大家辛勤的工作，自己突然有了一種釋然放鬆的感覺，就笑著對她說「祝賀你！終於有黑客光顧了。」看她一臉不解的樣子，趕緊補充道「有黑客來攻擊，意味著公司網站有些價值了，說明前段時間咱們的工作已經取得了成效，不過IT方面可要有事情做了。」

威脅從哪來？

網路安全防控跟現實生活的財產安全防控非常相似，當一家商店裡沒有值錢的東西時，小偷是不會光顧的，你也不用考慮財產安全防控的問題。隨著商店裡財富增加達到一定程度，小偷就會被吸引過來，就必須開始考慮加強安全防控措施了。防控力度取決於需保護財產的價值，財產價值越高，對小偷越有吸引力，若得手後會有高回報，更會吸引一些大盜前來冒險。被偷可能的損失越大，投入的防控支出所發揮的作用也越大。防控投入要算經濟賬，不可能無限制增加，但一定要與所保護財產免受損失的價值相匹配。

網路上的小偷就是黑帽黑客，其通過網路，利用技術手段進入企業的電腦中，或竊取數據或破壞你的數據。就如同破解門鎖進入商場，竊取或破壞你商店裡值錢的物品一樣。竊取數據是為了獲取信息，然後在地下市場賣出獲利。比如竊取電腦中的客戶電話號碼、身份證號碼、家庭住址、工作單位等隱私信息，賣給詐騙集團。破壞數據則是指篡改企業計算機系統中的數據，使得這些數據中反映的信息對其有利，從而獲取利益。比如篡改銀行賬戶中的資金餘額，或是刪除變更企業記錄的一些合同債務等信息。

還有一種網路上的攻擊者叫白帽黑客，起正面積極的作用。其運作方式是經過你公司同意進行網路偵查攻擊，想方設法進入你的系統。有別於黑帽黑客的是其不做任何損害你利益的事情。不拿走也不變更你的數據，而只是證明是否存在漏洞機會。檢測你系統的安全性，發現你的盲區薄弱環節，讓你及早進行安全加固，不給黑帽黑客以可乘之機。就如同現實中，請其他另外的安全人員扮成旅客前往機場，嘗試各種手段攜帶危險品突破防衛進入核心區域，以檢測機場安全防衛系統的可靠性。特別要強調指出，除非是國家安全機構，任何未經你授權同意就對你系統進行的網路攻擊行為都是違法的。

若有公司或個人自稱白帽子，發現了你公司一些網路隱患，想據此提供安全防護服務，要特別當心。一些圈內人士印證，許多安全漏洞被告知前，數據盜竊和破壞行為已經完成，價值就幾乎已被榨乾。一些黑帽子先把黑錢掙了，再改頭換面以白帽子形象賺你錢。若能夠有證據證明其未經允許曾經攻擊過你的系統，就應該可以對其提起法律訴訟。一些受害者出於公司聲譽等原因息事寧人，最終不但造成自己蒙受更多損失，還讓這些歹徒有機會加害更多人。

攻擊者會積極探測發現當前網路中存在的技術安全漏洞，研究新型攻擊手段。有一種陰謀論的說法，認為提供防攻擊服務的網路安全公司也會有類似行為。從正面角度說，其是為了搶在竊賊之前發現問題，提前做好準備；從負面角度來看，就是為了製造市場需求，昧著良心掙錢。這種事情一旦被公眾發現，會給其經營帶來災難性的影響。相信業內成熟公司為了自己的長期發展考慮，會非常珍惜自身信譽，努力正當的做生意。但不能排除一些初創小公司，可能會有走旁門左道的衝動或行為。

常見的防護手段

本文開頭所描述的攻擊被稱作拒絕服務攻擊，其目的就是讓你的網站運行癱瘓，無法正常對外服務。類似過去街面上的地痞無賴堵在店門，讓你的店鋪無法營業，然後收取保護費。在當今社會，保護費是很難收到的。不少黑客的行為就是以顛覆秩序為樂，以嘩眾取寵為榮，期待得到精神上的滿足。拒絕服務攻擊的技術含量比較低，市場上有大量能夠有效應對該類攻擊的網路防護工具。一般經過一段時間後，攻擊手段會出現一定程度的變異提升，但只要通過相應工具升級就可以有效做好應對防禦。

數據資產的安全是大家最為重視的，需要採取一系列網路安全防護措施，讓攻擊者進不來，進來了看不懂，看明白了也拿不走。就如同對自己家庭重要資產的防護，不讓小偷進入到家裡來，進來了讓其分不清那些東西值錢，即使找到保險柜，也打不開、搬不走。防止攻擊者進入你系統區域最常用的方法是訪問控制，對用戶訪問網路資源的許可權進行嚴格的認證和控制。例如進行用戶身份認證，設置用戶訪問目錄和文件的許可權，控制網路設備配置許可權等。類似給家裡大門及柜子層層上鎖，只給有需要的人配置鑰匙，不讓外人隨便出入或打開。

加密是防護數據安全的重要手段，讓攻擊者看不懂系統中所存放數據的具體含義，以達到保護數據的目的。要將關鍵敏感數據和非關鍵敏感數據區分開來，對關鍵敏感數據一定要進行加密處理。這樣即便有人能夠接觸到這些數據，也不能輕易讀懂其具體信息內容，不會造成關鍵信息泄露。例如客戶的密碼就是關鍵敏感數據，必須進行加密存放，一定不能明碼存儲。生活中有些家庭將貴重物品包裝在食品袋中存放到冰箱里，讓小偷一時分辨不清，就是類似的做法。

另一項安全防護措施是網路隔離。就如同商店，分公眾活動區域、櫃檯收款區域和收銀機。通過限定每個區域可以進入的對象，達到層層防護的作用。網路服務也要依據不同使用者的使用頻度和使用程度，通過防火牆部署和網段路由設置等舉措進行數據訪問隔離。將常用且不關鍵的數據放在比較方便存取的區域，將關鍵數據部署在相對難以進入的區域，以提升整體安全性。

所謂數據不被拿走是擔心攻擊者把系統中的數據傳向網路，因此要控制使用大規模數據下載功能，只對特定對外服務要求開放該使用許可權。配套監控和審計也是重要的防護手段。監控就如同在超市裡的監控攝像，有專門人員通過監控攝像觀察顧客在超市裡的行為。對於監控中發現的網路訪問異常舉止，就要採取有針對性的行動。一段時間後還要安排整體事後檢查，就是審計，可以對某個訪問者或區域進行有針對性的仔細核查，發現可能存在的攻擊和隱患。

企業網路安全適用於木桶理論，安全程度取決於你的防護短板有多高。攻擊者不會去碰防線中最堅固的部分，而是會尋找並攻擊最薄弱的環節。要經常進行安全漏洞掃描，檢查整個防護體系哪裡存在漏洞，及時進行修補。就如同一個堡壘，很可能隨著時間的侵蝕和各種攻擊的破壞，逐漸產生出新的薄弱環節，及時修復就會確保整個堡壘抗攻擊能力的提升。

IT系統安全性並不天然可靠，操作系統、中間件、應用程序和網路設施等經常會被發現存在新漏洞，因此需要不斷打補丁，全方位修補漏洞，以確保系統的安全。漏洞隨著攻擊者和防護者的不斷試探交鋒被逐步確認發現，所打的補丁也只是當時能夠發揮作用，不要幻想一次性發現所有問題並能夠一勞永逸的解決，該項工作需要長期持續進行。

安全防護管理策略

網路安全需要建立立體防護體系，就如同建立起立體的軍事防護工事，火力交叉、相互協同保護。整體的防護體系可以避免讓攻擊者一點突破就一覽無餘，要迫使攻擊者層層推進都遇到強大的阻力。整體防護所帶來的防護效果會比強調某單項防護做到極致效果好的多。這需要在各層面採用的防護技術要有所變化，不能單打一。要結合企業自身特點，配合應用架構進行有針對性的整體安全設計，以形成企業網路安全防護的獨特屏障。要經常檢視整體防護架構的安全狀況，當發現安全級別無法達到企業要求時，及時進行架構上的調整加固。

公司一定要有一支自己的安全防護隊伍，負責制定公司安全策略並組織實施。可以考慮購買安全防護服務，在技術上獲取最大限度的幫助。網路安全防護公司可以提供非常專業的服務，但其人員變化比較大，所能夠承擔的責任十分有限，更無法對甲方企業內部安全防護進行協調組織。如同你可以請保安公司保護你的商場，但你一定要有自己的保衛部全面統籌安全保衛工作。你的安全防護程度要求越高，自己的安全防護隊伍規模就越要大，能力就越要高。

安全防護非常繁瑣，需要長期持續細緻的工作，任何疏忽大意都可能給企業帶來巨大的損失。要在企業中加強安全防護的教育和培訓，讓人人都建立起數據安全意識。更重要的是必須落實數據安全責任，做到誰守護的防線誰負責，誰的數據誰負責。落實責任的同時還要賦予相應的權利，並配套相應的資源。這樣的安排可能會帶來使用數據的不方便，但這就是安全所需要付出的代價。

網路安全是相對的，現在沒有發生問題並不是你的防護工作已經做到萬無一失，而可能是真正的攻擊高手還沒有對你採取行動。記得過去在銀行工作的時候，我們剛剛完成了一次全方位的網路安全加固，從各個方面對系統安全進行了升級，設想了許多可能的攻擊手段，有針對性的採取了一系列防護措施。正好人行開展商業銀行網路安全狀況檢測，請來自國家專業網路安全機構的專家對部分銀行網路安全狀況進行評測。我們一方面很有信心，另一方面也很想看看自己的防線堅固程度究竟如何，就主動申請接受檢查。

一段時間後結果出來了，首先我們得到了非常肯定的結論，認為我們是國內銀行及金融界，乃至所有商業網站中安全工作最出色的。其次就指出了我們還是存在漏洞，並現場演示如何通過侵入客戶電腦，假借客戶欺騙銀行系統，變更交易信息內容的過程。這讓我們認識到山外有山，道高一尺魔高一丈。趕緊回去組織力量調整相應的客戶終端安全策略，安排防護加固。他們留下了一句讓我印象深刻的話「任何商業級別的網路防護措施，在國家級別的網路安全攻擊面前都沒有太多抵抗力。」

企業建設國家安全級別的網路防護體系實在不太現實，且除非處在國家戰爭敵對狀態，才會發生有國家級別對手的攻擊。真到了那個時候，也會有所徵兆，咱們國家也會提供相應的支持幫助。在網路安全方面，大家軍備競賽更多的是體現比別人做得好。攻擊者肯定是挑軟柿子捏，比較而言誰的安全漏洞明顯，誰最容易遭受攻擊。就如同在野外遭遇猛獸時，你不必成為跑的最快那一位，但一定不能成為落在最後的那一位。

蘇文力在「央行觀察」上發表的文章

創新與轉型

數據隱私

區塊鏈

IT與業務

領導力與制度建設

營銷

其他

點這裡，購買120年惠百施牙刷牙膏

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！