QQ号码被盗、淘宝账号支付异常、电脑运行速度变慢……当个人计算机出现问题时,很多人普遍通过升级防火墙、启动杀毒软件等手段加强防御。同样地,企业级用户面对网站被黑、重要数据泄露等信息安全事件,通常也会将防火墙等网络层安全产品列为首先要考虑的问题,基于网络层加强防御的传统思想在大部分用户群体中已然根深蒂固。
上月中旬,以色列相关官员透露,自以色列对加沙地区采取军事行动以来,互联网已成为“第二前线”。在短短四天的时间里,以色列政府机构网站遭受的网络攻击数量约为4400万次,引起了媒体的广泛关注和报道,信息安全问题再次被推到了风口浪尖。回顾此前发生的沙特石油公司遭到网络攻击、“火焰”病毒、Putty中文版“后门”、CSDN数据泄露等等,近年来频繁爆发的国内外安全事件,使从事信息安全事业的人们不得不思考:我们的信息安全防线究竟出了什么问题?
信息安全厂商椒图科技常务副总经理李科在接受媒体采访时曾指出,信息安全建设是一项多层次、体系化的系统工程,传统“重网络轻系统”的安全理念,无形中降低了整体的信息安全水平。造成这种危险局面的原因,一方面,是因为很多企业在信息安全建设中没有政策合规性要求,难以主动地从物理层、网络层、操作系统层等多个方面提升信息安全等级;另一方面,目前企业信息系统大多采用通用操作系统,安全级别较低,无法抵抗黑客与信息炸弹的攻击,加之用户对操作系统防护的认知不足,很多安全问题虽然是由现有操作系统自身安全设计不健全和漏洞引起的,但用户往往会认为是网络层的原因,导致之后实施的信息安全措施缺乏针对性。
事实上也是如此,在过去的十几年里,防火墙、入侵检测、防病毒等传统“老三样”产品不断推陈出新,在政府、金融、电信、企业等各行业获得了广泛的应用,有效增强了用户信息系统的安全防护能力。与此形成鲜明反差的是,操作系统层的防护措施仍然是以打补丁、配置策略等手工方式为主,成为整体信息安全体系中的薄弱环节。一项全国测试数据显示,参与测试的IT系统在网络层、应用层等方面都有成熟的产品进行防御,主机层防护措施的状况却令人担扰,是在达标性方面表现最差的环节。
“多层次防护最终的目的是保证业务系统连续性和数据安全性,而业务系统和数据的构架都基于操作系统。”椒图科技常务副总经理李科表示,从保护数据和进程的角度上看,基于网络层构建的安全防护措施发挥的作用是有限的。
信息安全专家陆宝华也曾撰文指出,“保护网络并不是信息保障的最终目的,最终的目的还是要通过保护网络来保护信息系统中的数据和信息系统的服务功能。所以保护网络对信息系统安全目标来说还是间接的,同时在网络保护中仍然存在着无法避免的脆弱性。”他同时表示,操作系统安全在信息系统多个层面中更为重要,是信息安全等级保护的关键技术所在。
根据国家标准《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)的规定,信息安全等级保护工作在技术要求上涉及物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等多个层面,其中,主机安全包括操作系统安全和数据库安全。在操作系统安全防护上,相关国家标准从身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范等多个方面作出了详细的规定,为用户加强操作系统层防护能力提供了良好的指导和借鉴价值。
可以相信,随着我国信息安全等级保护工作的深入推进与用户安全意识的不断增强,“重网络轻系统”的信息安全理念将会得以扭转,而信息安全厂商、科研院所等机构在操作系统安全领域的积极探索和研发工作,也将为用户提供更多更成熟的操作系统安全产品与技术,构建出多层次的信息安全防护体系,确保国内信息系统在安全风险持续增加的网络环境中安全运行。