“互联网+”时代企业信息安全形势及对策.docVIP

“互联网+”时代企业信息安全形势及对策 　　“互联网+”就是将互联网与传统产业企业相结合，促进企业发展。它代表一种新的经济形态，即充分发挥互联网在生产要素配置中的优化和集成作用，将互联网的创新成果深度融合于企业之中，提升企业的创新力和生产力。2015年3月，“互联网+”写进政府工作报告，被提升到前所未有的高度，政府推动传统产业企业与互联网结合，为企业带来了广阔的市场。但在看到这广阔市场的同时，我们必须清醒的认识到，伴随着企业与互联网结合成为大势所趋，企业面临的信息安全形势也愈发严峻。 　　“互联网+”时代企业面临的信息安全威胁 　　阿里巴巴公司曾统计了国内企业开发的上万个手机应用，“结果表明，86%的应用都存在着安全漏洞，40%的应用可以被植入病毒或者广告。而根据2014年6月美国战略与国际研究中心发布的报告显示，全球范围内90%的企业曾经在过去一年中遭遇过网络安全问题，而每一年由网络犯罪所带来的经济损失已经超过4450亿美元。“互联网+”要求企业业务高度互联互通，云服务、移动互联网、大数据、物联网等等这些新的网络现象使得“互联网+”时代的信息安全形势更加严峻。 　　1. 大数据呈井喷发展为企业信息安全带来隐患。 　　在“互联网+”时代，大数据在存储、处理、传输等过程中面临诸多安全风险，增加了隐私泄露的风险，实现大数据安全与隐私保护较以往其他安全问题更为棘手。非结构化数据已成为大数据的主流形式，而目前已经成熟的关系型数据库无法支持非结构化的大数据信息存储，关系型数据库中的隐私保护和用户访问控制等技术也无法在大数据管理中应用。同时，大数据来源的多样化也给企业信息安全带来了隐患，这些数据具有很强的开放性，海量数据随时通过网络汇聚，使用传统的存储和管理方式将会无法适应需求，容易导致数据管理混乱。存储设备的更新、管理、防电磁干扰、规划布局等都需要新的设计，企业网络管理员很难对所有数据信息一一进行跟踪保护。如果这些海量信息因为监管不力，就有可能造成企业运营数据、客户身份信息等企业机密信息的泄露。 　　2. DDoS攻击和APT攻击等威胁企业机密信息 　　当前，分布式拒绝服务攻击（DDos攻击）和高级持续性威胁攻击（APT攻击）成为入侵企业的主流。DDoS攻击方借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃账号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。APT攻击的原理相对于其他攻击形式更为高级和先进，其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中，此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞，利用这些漏洞组建攻击者所需的网络，并利用0day漏洞进行攻击。在“互联网+”时代，企业的数据隐私更是成为黑客们攻击的焦点，黑客通过恶意电子邮件、SQL注入、僵尸主机、0day漏洞等方式窃取企业机密信息。使得企业信息泄露事件接连不断：2014年3月，携程网出现导致信息泄露的漏洞；5月，小米论坛800万用户资料遭泄露；9月，国外黑客利用苹果公司的iCloud云盘系统的漏洞，非法盗取众多全球当红女星的裸照，继而在网络论坛发布。 　　3. 移动安全威胁成为新的挑战 　　在“互联网+”时代，“携带个人设备办公”（BYOD）为攻击者提供了更多入口，企业需要更加关注移动安全策略。随着智能手机、平板等智能终端的普及，大量的员工的手机、平板电脑开始接入了公司网络，同时员工也习惯于通过移动终端进行工作，他们可能会直接使用手机收发邮件，或者通过微信讨论工作、传递文件。伴随而来的是恶意移动应用程序的增长，黑客可能通过员工移动设备窃取企业隐私。2014年5月，全球最大拍卖网站eBay官网发布通告，称因数据泄露呼吁其用户更新密码，媒体和用户普遍质疑eBay的安全应急计划是否完备以及是否有效付诸实施，后来调查显示，此次泄密是由于员工登录账号在终端被窃取引起的。因此企业在部署移动应用的时候需制定完善的移动安全保护策略，如智能手机、平板、笔记本等设备中数据信息的加密保护和访问权限。 　　然而面对在“互联网+”时代如此严峻的信息安全形势，目前我国企业对信息安全投入仍有不足，用户安全意识和安全防护技术水平的提升还有很大空间。部分企业对信息安全的重视不够，尚未建立起明确的企业信息安全目标和策略，缺乏切实可行的信息安全管理体制，从资金、技术和人员投入严重不足，迫切需要得到加强。企业的信息安全是一个系统工程，在这个系统工程中，