「InfoSec」危险的网络世界-漫谈电建企业信息安全

我们已经进入信息社会，信息技术已经正在改变我们的生活。我们在享受着信息触手可及带来的便利时，也随时面临着信息安全威胁。

一、网络世界，您真的了解吗？

（一）从个人层面看：信息安全，您真的重视了吗？

1. 您重视环境安全吗？

在走路看到 “小心地滑”的标志时候，您应该会注意的吧；在开车看到“人行横道”标志的时候，您应该会减速慢行，并注意观察行人吧；在外出郊游的时候，到了江河湖泊的边上，想下水玩耍，但见到“禁止游泳”的标志后，您不会还想要继续下水吧；到了海外，见到有“鲨鱼出末”的警示标志，您还敢下海吗？

2. 您重视食品卫生安全吗？

近些年来，由于食品安全事故频发，为了吃得放心，我们被迫了解了多少种有害的食品添加剂：苏丹红、亚硝酸盐、三聚氰氨、人工甘味剂等等。

3. 您重视生产安全吗？

到工地现场，您一定会戴上安全帽，穿上有反光带的安全背心，高空作业一定会系上安全带，看到有警示标志也一定会注意小心。

4. 那么，您重视信息安全了吗？

您一定被骚扰电话打扰过吧？您一定经常惊讶电话另一头的那上陌生人是如何知道您姓什么，是男是女，甚至最近做过了什么事。如果这种情况曾经在您身上发生过，那么就意味着您的个人信息已经被泄露过一次了。

2019年315晚会上，央视就揭露了利用探针盒子搜索用户手机号，“大数据”提供用户个人信息，再用机器人客服软件自动拨打骚扰电话的地下黑色产业链。那么“大数据”提供用户个人信息的这个“大数据”是从哪里来的呢？

5. 而以上只是您所了解的网络世界黑暗面的冰山一角。

其实我们熟知的网络世界只是整个网络世界的表面部门，这部分被称为“表层网”，是网络世界想被我们看到的那部分，包括微信、微博、各种商业、非商业的网站，这些都是可以通过网络搜索引擎很容易找到。但这部分的资源只是整个网络世界资源的4%-20%。

2018年9月11日，中国消费者协会在北京发布了《APP个人信息泄露情况报告》，遇到过个人信息泄露情况的受访者占85.2%。当消费者个人信息泄露后，约86.5%的受访者曾收到推销电话或短信的骚扰，约75.0%的受访者接到诈骗电话，约63.4%的受访者收到垃圾邮件。

而个人信息的泄露的危害不止是收到电话或短信的骚扰这么简单，精准诈骗会让您无法及时判断真伪，甚至是人身安全也会受到威胁，这样的例子在实际生活中数不胜数。

据统计：全球20个国家大约有9.78亿人在2017年遭受网络攻击，经济损失高达1720亿美元，过去4年复合增长11% 。其中中国是遭受网络攻击最严重的国家，在2017 年，大约3.52亿的中国消费者曾成为网络犯罪的受害者，经济损失达到663亿美元。

（二）从工作层面看：工业系统，是网络攻击的重要领域

1、网络世界是人类建立的新天地，但并非一片净土，而是充满了“暴力”的荒蛮之地。据《apt2015中国高级持续性威胁研究报告》的统计数据来看，针对科研教育机构发起的网络攻击次数最多，占到了所有攻击总量的37 .4%;其次是政府机构，占27.8%; 能源企业排第二占9.1%。其他被攻击的重要领域还包括军事系统、工业系统、商业系统、航天系统和交通系统等。

全球范围内针对工业领域的网络攻击有增无减，信息窃取、勒索攻击、病毒感染等攻击手段花样多变，攫取经济利益、盗取知识产权、攻击关键信息基础设施等大规模的安全事件屡有发生，对政治、经济和社会安全等造成直接威胁和现实影响，工业信息安全成为各国政府高度关注的重大安全领域。

2、攻击案例：

(1) 2015年12月23日，乌克兰首都基辅部分地区和乌克兰西部的140万名居民突然发现家中停电。这次停电不是因为电力短缺，而是遭到了黑客攻击。

(2) 2018年1月，黑客通过幽灵、熔断两大CPU漏洞攻击以INTEL、AMD、ARM为处理核心的系统，思科800系列集成多业务路由器和工业以太网4000系列交换机以及西门子工业设备已确认受到影响。

(4) 2018年2月，一家接入欧洲废水设施运营技术网络的服务器遭遇数字加密货币采矿恶意软件入侵，拖垮废水处理设备人机交互系统中服务器的CPU，导致欧洲废水处理设备服务器瘫痪。

3、未来电力建设发展的行业要求和建筑企业自身发展的要求：

国家电网公司在2019年两会报告中提出要建设运营“泛在电力物联网”，即将传统电力生产、传输、消费的所有环节信息化，这也就对发电厂建设提出了“数字化移交”要求。

而且，随着 “智慧工地”的兴起，项目建设的各个环节也都需要进行信息化、网络化管理。工业生产环境将从封闭走向开放，工业控制系统将由单机走向互联，也对工业生产系统各个环节的信息安全提出了更高的需求。

（三）从国家层面看：信息安全涉及国家利益

生产电脑、手机核心处理器的是因特尔和高通；现在流行的操作系统分别是微软的视窗、苹果的IOS和谷歌的安卓系统；最大的数据库软件是甲骨文的ORACL和微软的SQL-SERVER。

对于中国来说，CPU、操作系统、数据库，这些计算机的核心硬件、软件没有一个是中国自己的。一旦制造方留有后门或设置技术壁垒，中国的网络安全就会受制于人，受到巨大的的威胁，国家利益会遭受重大损失。

信息安全涉及国家利益，没有网络安全就没有国家安全，没有信息化就没有现代化，网络安全和信息化管理是国家战略的必要组成部分。

也因为网络安全的重要性和迫切性，2017 年6月1日，《中华人民共和国网络安全法》正式颁布实施。

中国还积极推进“雪人计划”，打破现有的以美国为主导的基于IPV4根服务器体系架构的困局，建立基于IPv6根服务器体系，为下一代互联网提供更公平的根服务器解决方案。

二、常见的企业信息安全威胁有哪些？

网络攻击的手段和花样层出不穷，以下只列举最常见的几种对企业信息系统的威胁：

1、非授权访问：主要包括非法用户进入网络或系统进行违法操作和合法用户以未授权的方式进行操作。

2、网络钓鱼攻击：通过发送看似合法(但一点也不合法)的电子邮件、社交网站或广告，攻击者诱骗受害者点击恶意附件或链接。

3、计算机病毒：这是一种在计算机系统运行过程中能够实现传染和侵害功能的程序，行为类似病毒，故称作计算机病毒。

4、默认密码或弱密码：通过猜测密码是进入系统最容易的方法，也一直是黑客首先尝试的办法。

5、信息泄露：信息被泄露或透露给某个非授权的实体。例如：2018年4月，美团、饿了么等外卖平台用户信息被泄露。卖家、网络运营公司以及外卖骑手参与其中，每条信息最低不到一毛钱，却精确到您吃的什么、在哪儿吃的等私密信息。

6、过时软件或未安装补丁：延迟更新和/或补丁安装，会造成系统中存在大量漏洞，给网络攻击行为有可趁之机。

三、企业内部有哪些重要信息？

信息也是企业的资产，与其它资产一样，应受到保护！！！

对企业来说，内部的重要信息主要有以下四大类：

A. 财务数据

B. 人事数据

C. 客户数据

D. 知识产权和知识库

案例：2018年7月，众多汽车厂商的共同服务器提供商被爆无密码“裸奔”，导致特斯拉、丰田、福特、通用、菲亚特克莱斯勒以及大众等100多家厂商的近4.7万件敏感文件被发布到了网上，这些文件包括详细的设计图和工厂示意图、客户资料（如发票，合同和工作计划，以及保密协议）等。对于汽车制造厂商而言，产品信息、工厂布局、自动化作业以及合同等是公司的高度机密。一旦这些机密信息泄露出去，就会被竞争对手以及恶意分子利用，进行不公平竞争甚至破坏汽车制造过程。

四、万一发生了信息安全事故，会有什么后果？

一旦企业用户信息被曝光或核心技术资料外泄或市场战略被对手公司知悉或内部资料被非法窃取并传播，将引发信息安全事故，导致企业利益受损，负责人被进行调查。

1、有形资产损：企业内部重要信息一旦泄露或数据遭到破坏，信息保护的再投入和数据的重新录入事势必要浪费时间和财/物力。

2、无形资产损失：如果不能保证企业信息安全，将会降低员工和客户对企业的信任度，企业的无形资产也会流失。

在数据信息的作用与地位日益显要的今天，数据信息的安全问题是关乎企业声誉、公众信任感、经济利益、生死存亡的问题，不可不察。企业数据信息的安全程度将会影响企业的外部竞争力。例如：2018年8月全球芯片头号代工厂台积电遭遇勒索病毒入侵，生产线全数停摆。3天损失17.6亿元人民币，股价蒸发了76亿元人民币。

五、网络世界这么危险，企业该怎么办？

1、在企业信息化建设之初，就要重视网络安全。网络安全和信息化建设必须统一规划、统一标准，统一设计（“三统一”原则）；信息网络和信息系统必须与网络安全保护措施同步规划、同步建设、同步运行（“三同步”原则）。

2、加大信息安全的投入。据报道2018年我国信息安全投入占IT整体投入的比重较低，仅为1%-2%，远低于欧美市场8%-12%的比例。很多产品上线初期虽然都号称很安全，但在数据保护上几近裸奔，没有投入。也就是企业的网站没有任何加密过程，用户信息如同裸奔在线上，任由黑客摘取，企业数据泄漏事件频发。

3、随着技术的发展，利用技术手段获得的安全是受限制的，信息安全还应该得到相应管理和程序的支持，安全控制需要事前小心周密计划和对细节的关注。信息安全管理至少需要全体员工的参与。因为最坚固的堡垒往往是从内部被攻破的，除了防范外部网络攻击外，对内部信息安全的规范管理，也是企业应该重点关注的。制定企业内部网络安全和信息化管理规定，培养企业内部信息安全管理人才队伍，加强信息安全的宣传，提高企业员工的信息安全意识是当务之急。

结束语：

由于网络世界是一个虚拟世界，所以来自网络世界的危险更具有隐蔽性，一旦我们忽视了信息安全的重要性，就很容易在不知不觉的情况下遭受网络犯罪活动的侵害。在当下，信息已经是跟水、空气一样成为人类生产生活中重要的资源，每一个人都无法抽离。即然无法逃避，何不去主动了解信息安全知识，提高安全意识呢。就象我们为了自身健康主动去了解食品安全知识，为了地球健康去学习环境保护知识一样。