物管公司建设移动互联网系统如何保障信息安全信息安全是一个非常专业的领域,对于普通人很难全面理解,但其实信息安全在未来又与我们每个人都息息相关。此次受《现代物业》杂志之邀,来聊聊信息安全,因为杂志受众读者并不熟悉这个领域,特别技术方面的内容不便多述,语言描述方面尽可能简化,可以让大家对信息安全及其认知误区有个初步了解。
首先,目前绝大多数的物业企业系统安全等级不够,其实已经都被攻破过了,只是自己不知道而已。黑客攻破进去发现没什么太大价值也就自己走了。因为黑客组织也是需要练兵的,训练一定是由浅入深,从个人PC到普通企业服务器再到网站服务器等。这么做的目的一方面是为了证明自己的技术,另一方面是为了牟利。现在黑客有专门以此勒索赚钱的。2017年5月份的勒索病毒我相信大家还都是记忆犹新吧?
其二是依靠几个硬件防火墙来做防御在移动互联网时代已经远远不够了,因为攻击手段已经升级。
其三,不要认为企业把传统软件系统简单地放在公有云上面就万无一失了。放到公有云上面只是把部署服务器简单地换了一个地方,想在移动互联网时代做到相对安全,就还有一系列的配套安全机制需要建立,而这些机制都是需要单独付费的服务,但往往大家都没有购买这些服务。
如果这些安全机制建设不健全,企业系统可能面临下列风险:
·最常见的DDoS攻击峰值已经可以高达上百G,业务系统会面临全部中断;
·Web网站被CC攻击,正常时段的访问量瞬间暴增,导致系统瘫痪;
·系统源代码发现漏洞,就存在被黑客攻击的可能,传统软件基本上更新版本效率极低,几年内不升级都是正常的;
·数据被黑客加密,给比特币才能解开;遭遇勒索型DDoS攻击,交了“保护费”才停止;服务器的系统版本老旧,不打补丁,有被勒索软件入侵的可能性;
·跨站攻击(XSS攻击),导致信息被盗:攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式;
·网站挂马,导致用户形象被破坏:攻击者通过在正常的页面中(通常是网站的主页)插入一段代码,上网者在打开该页面的时候,这段代码被执行,然后下载并运行某木马的服务器端程序,进而控制上网者的主机。
过去的六年,网络安全的受重视程度越来越高,习主席已经给网络安全做了一个很高的评价:“没有网络安全就没有国家安全。”网络安全已经上升到了国家高度,中国去年出台了《网络安全法》,有立法,也有了网络安全战略的制定。
网络安全形势越来越严峻,针对国家安全的,带有政治色彩的,针对特定目标的网络安全问题不断出现,甚至对一些国家的安全和政治稳定提出了挑战。另一个是网络犯罪呈爆发式增长。网络诈骗、敲诈勒索、网络攻击越来越多。有一个数据:2016年全球网络犯罪的损失是30,000亿美元,预计2021年会达到60,000亿美元,实际上网络黑色产业链一直比网络安全产业链要大10倍,有很多世界顶尖的黑客高手留在了网络安全领域里,但有很多人进入了黑色产业。
物业企业如何防止自身的系统受到来自外网的威胁,通常是采取两种有效的方法:一是Web应用防火墙,二是防DDoS高仿IP。
Web应用防火墙(Web Application Firewall, 简称 WAF)——基于云安全大数据能力实现,通过防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击,过滤海量恶意访问,避免您的网站资产数据泄露,保障网站的安全与可用性。
DDoS清洗功能——清洗触发值量化条件(每秒请求量每秒报文数量),当异常流量数值超过触发清洗阈值会开启清洗服务,在不影响用户云服务器正常使用前提下,清洗掉异常流量,防御SYN Flood、HTTP Flood、DNS Flood、CC攻击等。在遭受大流量的DDoS攻击后导致服务不可用的情况下,用户可以通过配置高仿IP,将攻击流量引流到高仿IP,重认证、身份识别、验证码等多种手段精确识别恶意访问者和真实访问者。
信息安全除了来自外部的恶意攻击以外,还需要注意内部的安全管理,除了建立相应的系统安全管理制度外,还需要对IT日常运维做好监控。目前我们看到的绝大部分物业企业的信息化系统是不具备这种能力的。
IT运维为了保证业务连续性,工作中长期存在以下风险:人员管理风险、访问控制风险、运维管理风险、合规性风险,导致数据丢失、服务失控、责任异常。运维人员长期与网络设备、主机设备、数据库设备、应用系统频繁接触,涉及如下问题:
·多种接入方式、分散管理;
·多种协议运维方式;
·共享账号问题;
·数据泄露;
·权限控制、运维权限混乱;
·运维过程不透明等难题,操作行为无法审计。
为了解决以上问题,控制风险,统一运维审计解决方案,推荐使用堡垒机。堡垒机是一款针对主机、数据库、网络设备等的运维权限、运维行为进行管理和审计的工具。主要解决IT运维过程中操作系统账号复用、数据泄露、运维权限混乱、运维过程不透明等难题。堡垒机针对运维人员合法的操作行为,也能完整录像下来,方便事后审计分析。通过在云平台部署堡垒机服务,能够实现:
·部门权限隔离:基于部门隔离功能,实现各部门有效管理和审计;
·统一运维入口:为操作人员提供统一的运维入口,解决分散登录难以管理的问题;
·满足合规审核:建立健全的运维审核机制,满足行业监管要求。
未来可预见的世界里随着物联网、车联网的发展,再到未来有可能人类身体里被植入芯片,我们就进入到一切可联网、一切可编程的世界,所以网络安全会与我们未来的生活密切相关,每个人或多或少还是需要学习了解一些。(作者为深圳市四格互联信息技术有限公司北区总经理、合伙人)
原载于《现代物业·新业主》2018年5期总第423期
