前幾年分管互聯(lián)網(wǎng)中心工作的時(shí)候����,每天都會(huì)登錄到公司網(wǎng)站上轉(zhuǎn)轉(zhuǎn)。這天我按照習(xí)慣上網(wǎng)瀏覽公司產(chǎn)品銷售頁,結(jié)果發(fā)現(xiàn)網(wǎng)站反應(yīng)速度極慢��。正準(zhǔn)備打電話了解情況����,互聯(lián)網(wǎng)中心負(fù)責(zé)人急火火的推門進(jìn)到我辦公室,反映公司網(wǎng)站正受到黑客攻擊,對外服務(wù)基本癱瘓��?�?吹剿o張焦急的的樣子����,聯(lián)想到這段時(shí)間大家辛勤的工作���,自己突然有了一種釋然放松的感覺���,就笑著對她說“祝賀你�����!終于有黑客光顧了?���!笨此荒槻唤獾臉幼樱s緊補(bǔ)充道“有黑客來攻擊����,意味著公司網(wǎng)站有些價(jià)值了,說明前段時(shí)間咱們的工作已經(jīng)取得了成效�����,不過IT方面可要有事情做了��?���!?/p>
威脅從哪來?
網(wǎng)絡(luò)安全防控跟現(xiàn)實(shí)生活的財(cái)產(chǎn)安全防控非常相似��,當(dāng)一家商店里沒有值錢的東西時(shí)����,小偷是不會(huì)光顧的���,你也不用考慮財(cái)產(chǎn)安全防控的問題。隨著商店里財(cái)富增加達(dá)到一定程度��,小偷就會(huì)被吸引過來���,就必須開始考慮加強(qiáng)安全防控措施了�。防控力度取決于需保護(hù)財(cái)產(chǎn)的價(jià)值�,財(cái)產(chǎn)價(jià)值越高,對小偷越有吸引力�����,若得手后會(huì)有高回報(bào)�����,更會(huì)吸引一些大盜前來冒險(xiǎn)���。被偷可能的損失越大����,投入的防控支出所發(fā)揮的作用也越大。防控投入要算經(jīng)濟(jì)賬��,不可能無限制增加�,但一定要與所保護(hù)財(cái)產(chǎn)免受損失的價(jià)值相匹配。
網(wǎng)絡(luò)上的小偷就是黑帽黑客�,其通過網(wǎng)絡(luò)��,利用技術(shù)手段進(jìn)入企業(yè)的電腦中��,或竊取數(shù)據(jù)或破壞你的數(shù)據(jù)�。就如同破解門鎖進(jìn)入商場,竊取或破壞你商店里值錢的物品一樣����。竊取數(shù)據(jù)是為了獲取信息,然后在地下市場賣出獲利�����。比如竊取電腦中的客戶電話號(hào)碼���、身份證號(hào)碼���、家庭住址�、工作單位等隱私信息����,賣給詐騙集團(tuán)。破壞數(shù)據(jù)則是指篡改企業(yè)計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)�,使得這些數(shù)據(jù)中反映的信息對其有利,從而獲取利益��。比如篡改銀行賬戶中的資金余額�����,或是刪除變更企業(yè)記錄的一些合同債務(wù)等信息����。
還有一種網(wǎng)絡(luò)上的攻擊者叫白帽黑客,起正面積極的作用�。其運(yùn)作方式是經(jīng)過你公司同意進(jìn)行網(wǎng)絡(luò)偵查攻擊,想方設(shè)法進(jìn)入你的系統(tǒng)�。有別于黑帽黑客的是其不做任何損害你利益的事情。不拿走也不變更你的數(shù)據(jù)��,而只是證明是否存在漏洞機(jī)會(huì)��。檢測你系統(tǒng)的安全性,發(fā)現(xiàn)你的盲區(qū)薄弱環(huán)節(jié)���,讓你及早進(jìn)行安全加固��,不給黑帽黑客以可乘之機(jī)��。就如同現(xiàn)實(shí)中��,請其他另外的安全人員扮成旅客前往機(jī)場����,嘗試各種手段攜帶危險(xiǎn)品突破防衛(wèi)進(jìn)入核心區(qū)域�����,以檢測機(jī)場安全防衛(wèi)系統(tǒng)的可靠性���。特別要強(qiáng)調(diào)指出,除非是國家安全機(jī)構(gòu)���,任何未經(jīng)你授權(quán)同意就對你系統(tǒng)進(jìn)行的網(wǎng)絡(luò)攻擊行為都是違法的��。
若有公司或個(gè)人自稱白帽子���,發(fā)現(xiàn)了你公司一些網(wǎng)絡(luò)隱患���,想據(jù)此提供安全防護(hù)服務(wù),要特別當(dāng)心���。一些圈內(nèi)人士印證��,許多安全漏洞被告知前����,數(shù)據(jù)盜竊和破壞行為已經(jīng)完成�,價(jià)值就幾乎已被榨干。一些黑帽子先把黑錢掙了�,再改頭換面以白帽子形象賺你錢。若能夠有證據(jù)證明其未經(jīng)允許曾經(jīng)攻擊過你的系統(tǒng)���,就應(yīng)該可以對其提起法律訴訟��。一些受害者出于公司聲譽(yù)等原因息事寧人����,最終不但造成自己蒙受更多損失���,還讓這些歹徒有機(jī)會(huì)加害更多人��。
攻擊者會(huì)積極探測發(fā)現(xiàn)當(dāng)前網(wǎng)絡(luò)中存在的技術(shù)安全漏洞����,研究新型攻擊手段。有一種陰謀論的說法�,認(rèn)為提供防攻擊服務(wù)的網(wǎng)絡(luò)安全公司也會(huì)有類似行為。從正面角度說����,其是為了搶在竊賊之前發(fā)現(xiàn)問題,提前做好準(zhǔn)備�����;從負(fù)面角度來看�����,就是為了制造市場需求�,昧著良心掙錢�。這種事情一旦被公眾發(fā)現(xiàn),會(huì)給其經(jīng)營帶來災(zāi)難性的影響��。相信業(yè)內(nèi)成熟公司為了自己的長期發(fā)展考慮,會(huì)非常珍惜自身信譽(yù)����,努力正當(dāng)?shù)淖錾狻5荒芘懦恍┏鮿?chuàng)小公司��,可能會(huì)有走旁門左道的沖動(dòng)或行為���。
常見的防護(hù)手段
本文開頭所描述的攻擊被稱作拒絕服務(wù)攻擊����,其目的就是讓你的網(wǎng)站運(yùn)行癱瘓��,無法正常對外服務(wù)�。類似過去街面上的地痞無賴堵在店門,讓你的店鋪無法營業(yè)�,然后收取保護(hù)費(fèi)。在當(dāng)今社會(huì)���,保護(hù)費(fèi)是很難收到的���。不少黑客的行為就是以顛覆秩序?yàn)闃罚試W眾取寵為榮�,期待得到精神上的滿足���。拒絕服務(wù)攻擊的技術(shù)含量比較低,市場上有大量能夠有效應(yīng)對該類攻擊的網(wǎng)絡(luò)防護(hù)工具����。一般經(jīng)過一段時(shí)間后,攻擊手段會(huì)出現(xiàn)一定程度的變異提升����,但只要通過相應(yīng)工具升級(jí)就可以有效做好應(yīng)對防御。
數(shù)據(jù)資產(chǎn)的安全是大家最為重視的��,需要采取一系列網(wǎng)絡(luò)安全防護(hù)措施����,讓攻擊者進(jìn)不來,進(jìn)來了看不懂���,看明白了也拿不走�。就如同對自己家庭重要資產(chǎn)的防護(hù)�,不讓小偷進(jìn)入到家里來����,進(jìn)來了讓其分不清那些東西值錢����,即使找到保險(xiǎn)柜�����,也打不開���、搬不走����。防止攻擊者進(jìn)入你系統(tǒng)區(qū)域最常用的方法是訪問控制���,對用戶訪問網(wǎng)絡(luò)資源的權(quán)限進(jìn)行嚴(yán)格的認(rèn)證和控制���。例如進(jìn)行用戶身份認(rèn)證,設(shè)置用戶訪問目錄和文件的權(quán)限��,控制網(wǎng)絡(luò)設(shè)備配置權(quán)限等���。類似給家里大門及柜子層層上鎖���,只給有需要的人配置鑰匙��,不讓外人隨便出入或打開����。
加密是防護(hù)數(shù)據(jù)安全的重要手段���,讓攻擊者看不懂系統(tǒng)中所存放數(shù)據(jù)的具體含義�����,以達(dá)到保護(hù)數(shù)據(jù)的目的�。要將關(guān)鍵敏感數(shù)據(jù)和非關(guān)鍵敏感數(shù)據(jù)區(qū)分開來���,對關(guān)鍵敏感數(shù)據(jù)一定要進(jìn)行加密處理����。這樣即便有人能夠接觸到這些數(shù)據(jù)�,也不能輕易讀懂其具體信息內(nèi)容,不會(huì)造成關(guān)鍵信息泄露�����。例如客戶的密碼就是關(guān)鍵敏感數(shù)據(jù),必須進(jìn)行加密存放����,一定不能明碼存儲(chǔ)����。生活中有些家庭將貴重物品包裝在食品袋中存放到冰箱里,讓小偷一時(shí)分辨不清�,就是類似的做法。
另一項(xiàng)安全防護(hù)措施是網(wǎng)絡(luò)隔離�����。就如同商店�,分公眾活動(dòng)區(qū)域、柜臺(tái)收款區(qū)域和收銀機(jī)��。通過限定每個(gè)區(qū)域可以進(jìn)入的對象����,達(dá)到層層防護(hù)的作用。網(wǎng)絡(luò)服務(wù)也要依據(jù)不同使用者的使用頻度和使用程度����,通過防火墻部署和網(wǎng)段路由設(shè)置等舉措進(jìn)行數(shù)據(jù)訪問隔離。將常用且不關(guān)鍵的數(shù)據(jù)放在比較方便存取的區(qū)域,將關(guān)鍵數(shù)據(jù)部署在相對難以進(jìn)入的區(qū)域�����,以提升整體安全性���。
所謂數(shù)據(jù)不被拿走是擔(dān)心攻擊者把系統(tǒng)中的數(shù)據(jù)傳向網(wǎng)絡(luò)�����,因此要控制使用大規(guī)模數(shù)據(jù)下載功能���,只對特定對外服務(wù)要求開放該使用權(quán)限。配套監(jiān)控和審計(jì)也是重要的防護(hù)手段���。監(jiān)控就如同在超市里的監(jiān)控?cái)z像��,有專門人員通過監(jiān)控?cái)z像觀察顧客在超市里的行為�。對于監(jiān)控中發(fā)現(xiàn)的網(wǎng)絡(luò)訪問異常舉止�����,就要采取有針對性的行動(dòng)����。一段時(shí)間后還要安排整體事后檢查��,就是審計(jì)�����,可以對某個(gè)訪問者或區(qū)域進(jìn)行有針對性的仔細(xì)核查,發(fā)現(xiàn)可能存在的攻擊和隱患�����。
企業(yè)網(wǎng)絡(luò)安全適用于木桶理論��,安全程度取決于你的防護(hù)短板有多高���。攻擊者不會(huì)去碰防線中最堅(jiān)固的部分�����,而是會(huì)尋找并攻擊最薄弱的環(huán)節(jié)���。要經(jīng)常進(jìn)行安全漏洞掃描,檢查整個(gè)防護(hù)體系哪里存在漏洞�����,及時(shí)進(jìn)行修補(bǔ)。就如同一個(gè)堡壘�,很可能隨著時(shí)間的侵蝕和各種攻擊的破壞,逐漸產(chǎn)生出新的薄弱環(huán)節(jié)�,及時(shí)修復(fù)就會(huì)確保整個(gè)堡壘抗攻擊能力的提升。
IT系統(tǒng)安全性并不天然可靠�����,操作系統(tǒng)����、中間件、應(yīng)用程序和網(wǎng)絡(luò)設(shè)施等經(jīng)常會(huì)被發(fā)現(xiàn)存在新漏洞����,因此需要不斷打補(bǔ)丁,全方位修補(bǔ)漏洞��,以確保系統(tǒng)的安全��。漏洞隨著攻擊者和防護(hù)者的不斷試探交鋒被逐步確認(rèn)發(fā)現(xiàn)����,所打的補(bǔ)丁也只是當(dāng)時(shí)能夠發(fā)揮作用����,不要幻想一次性發(fā)現(xiàn)所有問題并能夠一勞永逸的解決��,該項(xiàng)工作需要長期持續(xù)進(jìn)行�。
安全防護(hù)管理策略
網(wǎng)絡(luò)安全需要建立立體防護(hù)體系,就如同建立起立體的軍事防護(hù)工事����,火力交叉����、相互協(xié)同保護(hù)。整體的防護(hù)體系可以避免讓攻擊者一點(diǎn)突破就一覽無余���,要迫使攻擊者層層推進(jìn)都遇到強(qiáng)大的阻力��。整體防護(hù)所帶來的防護(hù)效果會(huì)比強(qiáng)調(diào)某單項(xiàng)防護(hù)做到極致效果好的多�����。這需要在各層面采用的防護(hù)技術(shù)要有所變化�,不能單打一��。要結(jié)合企業(yè)自身特點(diǎn),配合應(yīng)用架構(gòu)進(jìn)行有針對性的整體安全設(shè)計(jì)����,以形成企業(yè)網(wǎng)絡(luò)安全防護(hù)的獨(dú)特屏障。要經(jīng)常檢視整體防護(hù)架構(gòu)的安全狀況���,當(dāng)發(fā)現(xiàn)安全級(jí)別無法達(dá)到企業(yè)要求時(shí)��,及時(shí)進(jìn)行架構(gòu)上的調(diào)整加固�。
公司一定要有一支自己的安全防護(hù)隊(duì)伍����,負(fù)責(zé)制定公司安全策略并組織實(shí)施?����?梢钥紤]購買安全防護(hù)服務(wù)�����,在技術(shù)上獲取最大限度的幫助��。網(wǎng)絡(luò)安全防護(hù)公司可以提供非常專業(yè)的服務(wù)���,但其人員變化比較大��,所能夠承擔(dān)的責(zé)任十分有限�����,更無法對甲方企業(yè)內(nèi)部安全防護(hù)進(jìn)行協(xié)調(diào)組織�。如同你可以請保安公司保護(hù)你的商場,但你一定要有自己的保衛(wèi)部全面統(tǒng)籌安全保衛(wèi)工作�。你的安全防護(hù)程度要求越高,自己的安全防護(hù)隊(duì)伍規(guī)模就越要大�,能力就越要高。
安全防護(hù)非常繁瑣��,需要長期持續(xù)細(xì)致的工作��,任何疏忽大意都可能給企業(yè)帶來巨大的損失���。要在企業(yè)中加強(qiáng)安全防護(hù)的教育和培訓(xùn),讓人人都建立起數(shù)據(jù)安全意識(shí)��。更重要的是必須落實(shí)數(shù)據(jù)安全責(zé)任�����,做到誰守護(hù)的防線誰負(fù)責(zé),誰的數(shù)據(jù)誰負(fù)責(zé)���。落實(shí)責(zé)任的同時(shí)還要賦予相應(yīng)的權(quán)利�,并配套相應(yīng)的資源�����。這樣的安排可能會(huì)帶來使用數(shù)據(jù)的不方便�����,但這就是安全所需要付出的代價(jià)����。
網(wǎng)絡(luò)安全是相對的,現(xiàn)在沒有發(fā)生問題并不是你的防護(hù)工作已經(jīng)做到萬無一失�����,而可能是真正的攻擊高手還沒有對你采取行動(dòng)��。記得過去在銀行工作的時(shí)候��,我們剛剛完成了一次全方位的網(wǎng)絡(luò)安全加固,從各個(gè)方面對系統(tǒng)安全進(jìn)行了升級(jí)����,設(shè)想了許多可能的攻擊手段,有針對性的采取了一系列防護(hù)措施��。正好人行開展商業(yè)銀行網(wǎng)絡(luò)安全狀況檢測���,請來自國家專業(yè)網(wǎng)絡(luò)安全機(jī)構(gòu)的專家對部分銀行網(wǎng)絡(luò)安全狀況進(jìn)行評測�。我們一方面很有信心�,另一方面也很想看看自己的防線堅(jiān)固程度究竟如何,就主動(dòng)申請接受檢查����。
一段時(shí)間后結(jié)果出來了,首先我們得到了非??隙ǖ慕Y(jié)論,認(rèn)為我們是國內(nèi)銀行及金融界����,乃至所有商業(yè)網(wǎng)站中安全工作最出色的����。其次就指出了我們還是存在漏洞,并現(xiàn)場演示如何通過侵入客戶電腦���,假借客戶欺騙銀行系統(tǒng)���,變更交易信息內(nèi)容的過程����。這讓我們認(rèn)識(shí)到山外有山�����,道高一尺魔高一丈�����。趕緊回去組織力量調(diào)整相應(yīng)的客戶終端安全策略�,安排防護(hù)加固。他們留下了一句讓我印象深刻的話“任何商業(yè)級(jí)別的網(wǎng)絡(luò)防護(hù)措施�,在國家級(jí)別的網(wǎng)絡(luò)安全攻擊面前都沒有太多抵抗力?!?/p>
企業(yè)建設(shè)國家安全級(jí)別的網(wǎng)絡(luò)防護(hù)體系實(shí)在不太現(xiàn)實(shí),且除非處在國家戰(zhàn)爭敵對狀態(tài)���,才會(huì)發(fā)生有國家級(jí)別對手的攻擊�����。真到了那個(gè)時(shí)候���,也會(huì)有所征兆����,咱們國家也會(huì)提供相應(yīng)的支持幫助��。在網(wǎng)絡(luò)安全方面�,大家軍備競賽更多的是體現(xiàn)比別人做得好。攻擊者肯定是挑軟柿子捏�,比較而言誰的安全漏洞明顯����,誰最容易遭受攻擊。就如同在野外遭遇猛獸時(shí)���,你不必成為跑的最快那一位�,但一定不能成為落在最后的那一位�。
蘇文力在“央行觀察”上發(fā)表的文章
創(chuàng)新與轉(zhuǎn)型
1��、用“第一性原理”思考金融創(chuàng)新
2�����、金融企業(yè)互聯(lián)網(wǎng)轉(zhuǎn)型工作中的3個(gè)忠告
3���、大數(shù)據(jù)工作的正確打開姿勢
4����、金融機(jī)構(gòu)開展人工智能應(yīng)用����,你應(yīng)該了解這3點(diǎn)
數(shù)據(jù)隱私
5、重新認(rèn)識(shí)隱私
區(qū)塊鏈
6�、關(guān)于區(qū)塊鏈����,您應(yīng)該了解這三點(diǎn)
7、區(qū)塊鏈給金融科技創(chuàng)新帶來新機(jī)遇
8�、讓數(shù)據(jù)資產(chǎn)變現(xiàn)—利用區(qū)塊鏈實(shí)現(xiàn)數(shù)據(jù)使用權(quán)流通的構(gòu)想
IT與業(yè)務(wù)
9、做好需求分析是提升金融企業(yè)IT應(yīng)用水平的關(guān)鍵
10����、金融企業(yè)競爭需要IT隊(duì)伍前置
11、金融企業(yè)IT和業(yè)務(wù)水乳交融七條建議
12��、自主研發(fā)與引進(jìn)國外系統(tǒng)間的選擇
13��、“老司機(jī)”告訴你核心系統(tǒng)建設(shè)中的5個(gè)常見錯(cuò)誤
領(lǐng)導(dǎo)力與制度建設(shè)
14���、碼農(nóng)也能搞承包?����!
15、遇到了貴人領(lǐng)導(dǎo)
16�����、科技引領(lǐng)戰(zhàn)略不能只是一句口號(hào)��!
17�、布置工作給個(gè)眼色已經(jīng)遠(yuǎn)遠(yuǎn)不夠用了���!
營銷
18�、保險(xiǎn)代理人��,未來你要成為網(wǎng)紅才行��!
19��、將金融網(wǎng)點(diǎn)變成社交場所���,一家保險(xiǎn)公司的實(shí)踐
其他
20�、金融從業(yè)者應(yīng)該掌握的IT知識(shí)
21、銀行為何在個(gè)人支付領(lǐng)域節(jié)節(jié)敗退���?
