漫谈企业信息化安全-综述

一、前言

一直以来想写一些文章，谈一谈企业信息化过程中的安全问题及对策。

随着信息技术的不断发展和普及，特别是今年来移动办公、云服务等等新的工作模式和新的信息技术的应用，企业信息化已经成为提升竞争力、促进创新和发展的重要途径。然而，随之而来的是对信息安全的日益严峻挑战。在这个数字化时代，企业面临着越来越多的网络攻击、数据泄露、身份盗窃等安全威胁，一旦发生安全事件，可能给企业造成巨大的经济损失和声誉风险。面对这样机遇和挑战，企业会采取怎样的心态和措施来应对呢？是忽视风险，盲目上马，总觉得风险离自己很远呢？还是做一只把头埋在沙堆里的鸵鸟，让自己远离新技术呢？这两个极端无疑会让企业在信息化时代落后于时代。

我的建议是在信息化时代，企业要积极拥抱新技术，同时积极面对企业信息化过程中遇到的安全挑战。为可能面临的风险做好充分的准备。

在这系列的文章中，我将从企业信息化过程中会普遍面临的一些实际安全问题出发，提出可供企业参考的具有实操性的内容，帮助企业建立更完善的信息化安全策略。

二、重视企业信息化安全的必要性

首先，我们要认证到信息化安全对于企业和组织具有重要的必要性，主要体现在以下几个方面：

1. 保护数据资产： 信息化安全可以保护企业的重要数据资产不受未经授权的访问、泄露、篡改或破坏，确保数据的机密性、完整性和可用性。

2. 防范安全威胁： 在当今数字化环境中，安全威胁层出不穷，如病毒、恶意软件、网络攻击等。信息化安全措施能够及时识别并应对这些威胁，减少因安全漏洞而造成的损失。

3. 保障业务连续性： 在信息化环境下，企业的业务高度依赖于信息系统的稳定运行。信息化安全措施能够减少系统故障、数据丢失等问题，确保业务的连续性和可靠性。

4. 提升客户信任： 信息化安全能够向客户和合作伙伴传递企业对数据保护的重视，提升其信任度和声誉。这对于建立长期稳定的合作关系和提升市场竞争力至关重要。

5. 符合法律法规： 许多国家和地区都制定了相关的数据保护法律和法规，要求企业保护用户数据的隐私和安全。信息化安全措施能够确保企业符合相关法律法规，避免因违规而遭受法律责任和罚款。

6. 提升员工效率： 在安全保障的环境下，员工更加放心地使用企业信息系统，提升了工作效率和生产力。同时，安全意识培训也能够使员工更加谨慎地处理数据和信息，减少人为失误。

我们来看几个信息化安全事故及其这些安全事故所造成的深远影响。

1）SW公司（隐去公司名称）

SW是一家总部位于美国得克萨斯州奥斯汀的软件公司，成立于1999年。该公司专注于开发和销售企业级IT基础设施管理软件，帮助组织监控、管理和保护其计算机网络和信息技术基础设施。

SW的产品涵盖了网络管理、系统管理、数据库管理、安全管理等领域，包括网络性能监控、设备配置管理、应用程序性能管理、日志管理等解决方案。这些产品广泛应用于企业、政府机构、教育机构等各个行业领域，帮助客户提高IT运营效率、降低成本和风险。

2020年，SW曾遭受了一次严重的供应链攻击事件，被称为SW供应链攻击或Sunburst攻击。

在这次攻击中，黑客成功侵入SW的软件开发管道，并在其Orion平台的更新中植入了恶意代码。这个恶意代码在被部署到客户系统时，给黑客提供了对受感染网络的广泛访问权限。据报道，数千家企业和政府机构受到了这次攻击的影响，其中一些受害者包括美国政府部门、财富500强企业等。

这次SW供应链攻击引起了全球范围内对网络安全的担忧，并促使各个组织加强对供应链安全的关注和防护措施。事后，SW采取了一系列措施来修复受影响的软件版本，并加强了其软件开发和供应链安全措施，以防止类似事件再次发生。

在2020年的SW供应链攻击事件中，公司的估值和营销受到了严重影响。该事件导致SW公司的股价暴跌，市值大幅缩水。此外，由于事件波及范围广泛，影响了数千家客户和合作伙伴，SW的声誉和信任度也受到了严重损害。

在面对这一安全事故时，SW采取了一系列措施来尽量减少损失和恢复受影响的业务。公司积极与客户、合作伙伴和监管机构沟通，提供实时的安全更新和建议，帮助他们应对安全风险。同时，SW也加强了内部的安全措施和监控机制，以防止类似事件再次发生，并采取了改进措施来提升公司的安全水平。

尽管SW在应对安全事故方面采取了积极的行动，但该事件仍然对公司的声誉和业务造成了长期影响。随着时间的推移，SW需要继续努力恢复客户和市场的信任，加强安全措施，以确保公司的可持续发展和未来业务的稳健增长。

2）AnyDesk数据泄漏事件

2024 年 2 月 2 日，热门远程访问解决方案 AnyDesk 披露 其遭遇网络攻击，生产系统被入侵。AnyDesk Web 门户网站的代码签名证书和用户密码因此被吊销。

2 月 3 日，攻击者在暗网兜售超过 18,000 个 AnyDesk 凭据。这些凭据的销售与近期泄露事件之间的关联尚不明朗，但此次事件突显出 AnyDesk 凭据泄露所带来的入侵风险。

AnyDesk 密码泄露

AnyDesk 声称，攻击者未能窃取用于用户身份验证的任何密钥，但作为预防措施，他们还是选择吊销了 AnyDesk Web 门户网站的密码。

如果攻击者确实成功窃取了这些密码，AnyDesk 用户就会面临撞库攻击风险；也就是说，攻击者可能会尝试使用相同的凭据在不同的服务中进行身份验证；利用用户在不同服务中重复使用的密码。攻击者有可能因此取得其他敏感服务的访问权限。

代码签名证书被盗

攻击者成功窃取了 AnyDesk 用于为分发给客户端的可执行文件签名的证书。窃取证书后，攻击者就能以 AnyDesk 的身份为任何可执行文件签名，将其伪装成合法文件，由此避开安全产品的检测并误导分析人员。

潜在的供应链攻击

尽管还没有这方面的明确证据，但应该考虑软件供应链攻击的风险。攻击者在很大程度上控制了 AnyDesk 的生产环境，可以相对轻松地在 AnyDesk 的代码库中插入恶意负载，有可能造成客户端遭到入侵。

类似这样的信息安全事故其实不胜枚举，在这些信息安全事故中，当事的企业、这些企业服务的用户、关联方等等都成为了这些事故中的受害者，有些企业甚至因此而一蹶不振。下面的参考内容中，就罗列了一些。

三、企业信息化安全涵盖的内容

企业信息化安全涵盖的内容非常的广泛，但是总的来说，我觉得可以概括为两点：

• 人：人作为企业信息化中的行为主体，在企业信息化安全中是非常关键的一环，每个人在企业信息化安全中都会起到非常重要的作用。譬如，在我们公司，我们对入职员工，都需要进行信息化安全培训并进行测试，同时，我们会定期开展信息化安全的强化培训，再是我们会不定期地在公司内请专业公司开展渗透演习、钓鱼演习等等，并寻找公司内的弱点加以强化。

• 工具：随着各种新的信息化技术的引入，以及随之而来的新的安全威胁，公司在信息化安全方面需要不断加强投入，进一步防范安全威胁。

一般而言，信息化安全涵盖了广泛的内容，主要包括但不限于以下几个方面：

1. 网络安全： 网络安全是保护计算机网络不受未经授权的访问、破坏或更改的一系列措施。这包括防火墙、入侵检测系统、虚拟专用网络（VPN）、加密技术等。

2. 数据安全： 数据安全涉及保护数据的机密性、完整性和可用性，以防止未经授权的访问、泄露、篡改或破坏。数据安全解决方案包括备份和恢复策略、加密、访问控制、数据分类等。

3. 身份和访问管理： 这涉及确保只有授权用户可以访问系统和数据。身份和访问管理解决方案包括多因素身份验证、单一登录（SSO）、权限管理等。

4. 终端安全： 终端安全涉及保护终端设备（如计算机、智能手机、平板电脑）免受恶意软件、网络攻击和数据泄露的影响。这包括反病毒软件、防火墙、设备管理和远程擦除等。

5. 应用程序安全： 应用程序安全是确保软件应用程序不受安全漏洞、代码注入、跨站点脚本攻击等攻击的影响。应用程序安全解决方案包括漏洞管理、代码审查、安全开发生命周期（SDLC）等。

6. 物理安全： 物理安全涉及保护计算设备、网络设备和数据中心不受未经授权的访问、破坏或窃取的影响。这包括访问控制、监控摄像头、生物识别技术、安全区域等。

7. 安全意识培训： 安全意识培训是教育员工识别和应对安全威胁的过程，以减少内部威胁和人为错误。这包括网络钓鱼模拟、安全政策培训、应急演练等。

在本系列的文章中，我将从人和工具两个方面分成多篇文章具体展开，为企业信息化安全建言献策。

四、谁是企业信息化安全中主体

纵观中国企业在信息化过程中，企业的IT部门以前是一直不受重视的，特别是在小微企业中，IT部门往往只是公司里的支撑部门，甚至根本没有IT部门，他们的日常工作就是帮员工维修电脑、安装软件。IT预算在企业里都是比较难以获得管理层的批准。CIO更可能只是在一些大型公司里才会存在的角色。当然，随着企业信息化的推进，越来越多的企业认识到信息化在企业中应该扮演的重要角色。

说到企业信息化安全，很多人会认为这是CIO及IT部门需要做的事情，他们要负责杀毒软件，他们要负责网络规划及公司防火墙的配置，除此之外，其他人无需参与。实际上，这个观点是非常片面的，最主要的原因就是现在的企业，信息化不是存在企业内部的一个孤岛，移动办公、云服务、外部协作等等让更多的数据在企业内外部流通过程，网络边界已经变得更难以界定。在这样的情况下，企业信息化安全就需要全员参与。

1. 企业管理层： 企业管理层对信息化安全负有最终责任。他们需要制定和执行信息安全策略，确保整个组织对安全问题的重视，并为信息化安全提供必要的资源和支持。

2. 信息技术（IT）部门： IT部门是企业信息化安全的执行者和实施者。他们负责管理和维护企业的信息系统、网络和设备，并采取措施保护系统安全，应对安全威胁和漏洞。

3. 员工： 员工是企业信息化安全的重要参与者和风险来源。他们需要遵守安全政策和流程，注意保护敏感信息，参与安全培训和意识提升，以减少内部威胁和人为失误。

4. 供应商和合作伙伴： 企业的供应商和合作伙伴可能访问企业的系统和数据，因此也是信息化安全的重要主体。企业需要与他们合作，确保他们符合信息安全要求，避免安全风险的产生。

5. 外部专家和顾问： 企业可能需要借助外部专家和顾问的力量来评估和改进信息化安全措施。他们可以提供专业的安全建议、审计和培训服务，帮助企业提升安全水平。

6. 监管机构和法律法规： 监管机构和法律法规是企业信息化安全的监管者和规范者。企业需要遵守相关法律法规，配合监管机构的监督检查，并及时报告安全事件和数据泄露。

保障企业信息化安全已经成为企业管理者必须高度重视的问题。企业信息化安全不仅仅是IT部门的责任，更是全体员工共同参与的事业。只有建立起全员参与、全方位保障的信息安全体系，才能有效地防范各种安全威胁，保护企业的核心数据资产和业务运行。