1、1基层信息系统安全现状及思考在我国大力推进信息化建设的背景下,各级政府部门、事业单位的日常工作,无论是政务系统还是业务系统基本上全实现了信息化,在给各单位自身及人民群众带来便利的同时,信息系统安全问题也日益凸显。一、基层信息系统安全问题之现状 1.官方网站频频被黑,社会影响恶劣 案例一:计生局官网链接“一夜情” 2013 年 10 月 8 日,根据网友截图,在湖北省公安县计生局网站的右侧有 9 排醒目的蓝色字体和 4 排黑色加粗字体。最醒目的一行蓝色大字赫然写着“合肥 90 后一夜情” ,下方依次是号称为成都、天津、北京等地“一夜情”网站的链接。点击进入后,网站中充斥着大量涉黄图片。 案例二:
2、教育网站被篡改 黑客竟是初中生 2013 年 9 月 2 日江苏省太仓市某教育博客网站被黑客攻击,主页被篡改为一只狼的图片,且网站内所有的管理员均被删除。接到报警后,太仓公安网监部门会同城西派出所展开调查,然而调查结果让民警大跌眼镜:制造这起网络黑客攻击的竟是年仅 15 岁的初中生杨某某。 2.机密信息大量泄露,犯罪风险骤增 案例一:黑客入侵医院电脑窃取“用药信息”倒卖给医代 2011 年 9 月,福建省福州市几名黑客利用医院的公用电脑,借助黑2客程序侵入医院的计算机信息系统,从而窃取医院各个科室的医药信息,得手后高价卖给医药代表,十余家知名医院均被盗。 案例二:个人信息泛滥 源头皆为“内鬼”
3、 2012 年 4 月 20 日湖南长沙警方打掉一个名为“中国资源部”的信息倒卖团伙,该团伙搜集的信息量至少在 1.5 亿条以上。掌握的大量证据显示,泄露个人信息的源头一部分来自有关部门或企事业单位掌握的个人信息,被“内鬼”盗窃后出卖。 3.系统研发组织倒闭或失控,业务面临威胁 案例一:全国最大财务软件公司小蜜蜂折翅 2004 年,深软公司曾经以“小蜜蜂”财务软件步入中国最大的软件开发商行列,在陷入了一系列的官司后,终于宣告破产。作为知名管理软件品牌,小蜜蜂拥有大量政府和企业客户,这些单位因此再得不到有关技术支持服务,业务连续性堪忧。 案例二:工程师侵入移动数据库 盗窃 380 万元充值卡密码
4、 2005 年,负责西藏移动等公司设备安装及维护的资深软件工程师程某某,侵入北京移动公司的充值中心数据库,修改充值卡原始数据并窃取充值卡密码。之后,程某某将这些密码拿到网上销售,一共获得 380万元的利润。 二、基层信息系统安全问题之原因分析 1.信息系统安全管理制度不健全 现阶段信息技术虽已渗透到业务的各个层面,但是信息安全管理制度却没有跟上。我们接触的很多信息系统用户部门根本就没有建立安全3管理制度,或有但不标准,缺少规范、流程、检查,信息安全到底谁来管、管什么、怎么管、管的目的、是否符合要求等都没有明确的说明,造成了安全最后“管不住”的被动局面。 在保护信息系统安全方面最重要的就是要通过
5、建立有效的信息安全管理体系,来为信息安全奠定基础。 2.信息系统软、硬件安全建设落后 大部分的信息系统软、硬件由专业厂商提供,由于投入偏低、安全意识不强的原因,不论是设计阶段还是维护阶段都天生存在安全问题的硬伤,必须及时弥补。例如: 程序开发不按照“知所必需”的原则设置层级访问规则,随意采用未经测试的技术,允许传输未加密的隐私信息等; 不购置防火墙、入侵检测软件、杀毒软件等相应的安全设施。 维护时,系统管理员可以访问生产数据 无软件源代码保护,软件开发企业如果消失,业务的持续都成问题。3.信息系统用户安全意识缺乏 大部分基层单位存在着“重使用,轻安全”的现象,由于用户安全意识的缺乏,存在很多不
6、安全因素,如: 用户之间共享账号、密码,出问题后无法追责。 密码不定期修改或采用安全级别低的密码,密码太简单则黑客用工具能轻易破解。 没有养成清除桌面和屏幕锁定的习惯,给外来者或内部预谋者机会4侵入系统。 安装不明来历的软件和工具,给攻击者留下后门。 随意使用、存放移动设备,容易中病毒或失窃。 三、基层信息系统安全问题之防范措施 1.构建完整的信息安全管理体系 完整的信息安全管理体系是一个包含政策目标、规范的操作流程、职责分配及监督控制的框架。他的关键要素如下: 管理者的重视与支持 信息安全目标与程序 组织实施(职责的分配) 监督、审核与反馈 应急处理与响应 2.全面升级信息系统软、硬件,堵住
7、安全漏洞 预防性控制永远是最好的控制,在安全问题发生之前,全面升级信息系统软、硬件就是预防性控制。 针对性测试信息系统,记录信息系统中存在的安全漏洞或错误,要求软件开发企业及时修改。 尽早安装专业的安全防护软件,例如最新的杀毒软件及防火墙,才能最大限度地保护网站免遭黑客攻击。 3.开展信息安全教育、培训 人的因素是最关键的因素,应当对所有用户经常性地进行安全教育与培训,内容包括信息安全风险与控制、法律责任、业务相关控制、信5息处理设施的使用等等,以提高安全意识与安全防范技能。 采用的教育与培训方式有: 书面的安全遵守标准 利用各种媒体在内部宣传安全问题 安全规定的强制执行 鼓励报告可疑事件 四、结语 安全不是可选项,而是必选项,起初安全问题只是信息系统中的一个配角,今天,随着日渐壮大的互联网的广泛使用,随着对信息系统的依赖性越来越强,它已成为包括政府、企业、学术界甚至计算机用户挂在嘴边的热门话题,成为 “不可或缺”的社会有机组成部分,但是它从来不是一个马上就能解决或很快就会消失的问题,我们要走的路还很长。(作者单位:湖南省长沙市岳麓区审计局;湖南 长沙 410013)
