信息安全誤區(qū)：“重網(wǎng)絡(luò)輕系統(tǒng)”不可取

    QQ號(hào)碼被盜、淘寶賬號(hào)支付異常、電腦運(yùn)行速度變慢……當(dāng)個(gè)人計(jì)算機(jī)出現(xiàn)問題時(shí)，很多人普遍通過升級(jí)防火墻、啟動(dòng)殺毒軟件等手段加強(qiáng)防御。同樣地，企業(yè)級(jí)用戶面對(duì)網(wǎng)站被黑、重要數(shù)據(jù)泄露等信息安全事件，通常也會(huì)將防火墻等網(wǎng)絡(luò)層安全產(chǎn)品列為首先要考慮的問題，基于網(wǎng)絡(luò)層加強(qiáng)防御的傳統(tǒng)思想在大部分用戶群體中已然根深蒂固。

    上月中旬，以色列相關(guān)官員透露，自以色列對(duì)加沙地區(qū)采取軍事行動(dòng)以來，互聯(lián)網(wǎng)已成為“第二前線”。在短短四天的時(shí)間里，以色列政府機(jī)構(gòu)網(wǎng)站遭受的網(wǎng)絡(luò)攻擊數(shù)量約為4400萬次，引起了媒體的廣泛關(guān)注和報(bào)道，信息安全問題再次被推到了風(fēng)口浪尖�；仡櫞饲鞍l(fā)生的沙特石油公司遭到網(wǎng)絡(luò)攻擊、“火焰”病毒、Putty中文版“后門”、CSDN數(shù)據(jù)泄露等等，近年來頻繁爆發(fā)的國內(nèi)外安全事件，使從事信息安全事業(yè)的人們不得不思考：我們的信息安全防線究竟出了什么問題?

    信息安全廠商椒圖科技常務(wù)副總經(jīng)理李科在接受媒體采訪時(shí)曾指出，信息安全建設(shè)是一項(xiàng)多層次、體系化的系統(tǒng)工程，傳統(tǒng)“重網(wǎng)絡(luò)輕系統(tǒng)”的安全理念，無形中降低了整體的信息安全水平。造成這種危險(xiǎn)局面的原因，一方面，是因?yàn)楹芏嗥髽I(yè)在信息安全建設(shè)中沒有政策合規(guī)性要求，難以主動(dòng)地從物理層、網(wǎng)絡(luò)層、操作系統(tǒng)層等多個(gè)方面提升信息安全等級(jí);另一方面，目前企業(yè)信息系統(tǒng)大多采用通用操作系統(tǒng)，安全級(jí)別較低，無法抵抗黑客與信息炸彈的攻擊，加之用戶對(duì)操作系統(tǒng)防護(hù)的認(rèn)知不足，很多安全問題雖然是由現(xiàn)有操作系統(tǒng)自身安全設(shè)計(jì)不健全和漏洞引起的，但用戶往往會(huì)認(rèn)為是網(wǎng)絡(luò)層的原因，導(dǎo)致之后實(shí)施的信息安全措施缺乏針對(duì)性。

    事實(shí)上也是如此，在過去的十幾年里，防火墻、入侵檢測(cè)、防病毒等傳統(tǒng)“老三樣”產(chǎn)品不斷推陳出新，在政府、金融、電信、企業(yè)等各行業(yè)獲得了廣泛的應(yīng)用，有效增強(qiáng)了用戶信息系統(tǒng)的安全防護(hù)能力。與此形成鮮明反差的是，操作系統(tǒng)層的防護(hù)措施仍然是以打補(bǔ)丁、配置策略等手工方式為主，成為整體信息安全體系中的薄弱環(huán)節(jié)。一項(xiàng)全國測(cè)試數(shù)據(jù)顯示，參與測(cè)試的IT系統(tǒng)在網(wǎng)絡(luò)層、應(yīng)用層等方面都有成熟的產(chǎn)品進(jìn)行防御，主機(jī)層防護(hù)措施的狀況卻令人擔(dān)擾，是在達(dá)標(biāo)性方面表現(xiàn)最差的環(huán)節(jié)。

    “多層次防護(hù)最終的目的是保證業(yè)務(wù)系統(tǒng)連續(xù)性和數(shù)據(jù)安全性，而業(yè)務(wù)系統(tǒng)和數(shù)據(jù)的構(gòu)架都基于操作系統(tǒng)�！苯穲D科技常務(wù)副總經(jīng)理李科表示，從保護(hù)數(shù)據(jù)和進(jìn)程的角度上看，基于網(wǎng)絡(luò)層構(gòu)建的安全防護(hù)措施發(fā)揮的作用是有限的。

    信息安全專家陸寶華也曾撰文指出，“保護(hù)網(wǎng)絡(luò)并不是信息保障的最終目的，最終的目的還是要通過保護(hù)網(wǎng)絡(luò)來保護(hù)信息系統(tǒng)中的數(shù)據(jù)和信息系統(tǒng)的服務(wù)功能。所以保護(hù)網(wǎng)絡(luò)對(duì)信息系統(tǒng)安全目標(biāo)來說還是間接的，同時(shí)在網(wǎng)絡(luò)保護(hù)中仍然存在著無法避免的脆弱性�！彼�同時(shí)表示，操作系統(tǒng)安全在信息系統(tǒng)多個(gè)層面中更為重要，是信息安全等級(jí)保護(hù)的關(guān)鍵技術(shù)所在。

    根據(jù)國家標(biāo)準(zhǔn)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T22239-2008)的規(guī)定，信息安全等級(jí)保護(hù)工作在技術(shù)要求上涉及物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)等多個(gè)層面，其中，主機(jī)安全包括操作系統(tǒng)安全和數(shù)據(jù)庫安全。在操作系統(tǒng)安全防護(hù)上，相關(guān)國家標(biāo)準(zhǔn)從身份鑒別、訪問控制、安全審計(jì)、剩余信息保護(hù)、入侵防范、惡意代碼防范等多個(gè)方面作出了詳細(xì)的規(guī)定，為用戶加強(qiáng)操作系統(tǒng)層防護(hù)能力提供了良好的指導(dǎo)和借鑒價(jià)值。

    可以相信，隨著我國信息安全等級(jí)保護(hù)工作的深入推進(jìn)與用戶安全意識(shí)的不斷增強(qiáng)，“重網(wǎng)絡(luò)輕系統(tǒng)”的信息安全理念將會(huì)得以扭轉(zhuǎn)，而信息安全廠商、科研院所等機(jī)構(gòu)在操作系統(tǒng)安全領(lǐng)域的積極探索和研發(fā)工作，也將為用戶提供更多更成熟的操作系統(tǒng)安全產(chǎn)品與技術(shù)，構(gòu)建出多層次的信息安全防護(hù)體系，確保國內(nèi)信息系統(tǒng)在安全風(fēng)險(xiǎn)持續(xù)增加的網(wǎng)絡(luò)環(huán)境中安全運(yùn)行。