一、前言

一直以來想寫一些文章，談一談企業信息化過程中的安全問題及對策。

隨著信息技術的不斷發展和普及，特別是今年來移動辦公、云服務等等新的工作模式和新的信息技術的應用，企業信息化已經成為提升競爭力、促進創新和發展的重要途徑。然而，隨之而來的是對信息安全的日益嚴峻挑戰。在這個數字化時代，企業面臨著越來越多的網絡攻擊、數據泄露、身份盜竊等安全威脅，一旦發生安全事件，可能給企業造成巨大的經濟損失和聲譽風險。面對這樣機遇和挑戰，企業會采取怎樣的心態和措施來應對呢？是忽視風險，盲目上馬，總覺得風險離自己很遠呢？還是做一只把頭埋在沙堆里的鴕鳥，讓自己遠離新技術呢？這兩個極端無疑會讓企業在信息化時代落后于時代。

我的建議是在信息化時代，企業要積極擁抱新技術，同時積極面對企業信息化過程中遇到的安全挑戰。為可能面臨的風險做好充分的準備。

在這系列的文章中，我將從企業信息化過程中會普遍面臨的一些實際安全問題出發，提出可供企業參考的具有實操性的內容，幫助企業建立更完善的信息化安全策略。

二、重視企業信息化安全的必要性

首先，我們要認證到信息化安全對于企業和組織具有重要的必要性，主要體現在以下幾個方面：

1. 保護數據資產： 信息化安全可以保護企業的重要數據資產不受未經授權的訪問、泄露、篡改或破壞，確保數據的機密性、完整性和可用性。

2. 防范安全威脅： 在當今數字化環境中，安全威脅層出不窮，如病毒、惡意軟件、網絡攻擊等。信息化安全措施能夠及時識別并應對這些威脅，減少因安全漏洞而造成的損失。

3. 保障業務連續性： 在信息化環境下，企業的業務高度依賴于信息系統的穩定運行。信息化安全措施能夠減少系統故障、數據丟失等問題，確保業務的連續性和可靠性。

4. 提升客戶信任： 信息化安全能夠向客戶和合作伙伴傳遞企業對數據保護的重視，提升其信任度和聲譽。這對于建立長期穩定的合作關系和提升市場競爭力至關重要。

5. 符合法律法規： 許多國家和地區都制定了相關的數據保護法律和法規，要求企業保護用戶數據的隱私和安全。信息化安全措施能夠確保企業符合相關法律法規，避免因違規而遭受法律責任和罰款。

6. 提升員工效率： 在安全保障的環境下，員工更加放心地使用企業信息系統，提升了工作效率和生產力。同時，安全意識培訓也能夠使員工更加謹慎地處理數據和信息，減少人為失誤。

我們來看幾個信息化安全事故及其這些安全事故所造成的深遠影響。

1）SW公司（隱去公司名稱）

SW是一家總部位于美國得克薩斯州奧斯汀的軟件公司，成立于1999年。該公司專注于開發和銷售企業級IT基礎設施管理軟件，幫助組織監控、管理和保護其計算機網絡和信息技術基礎設施。

SW的產品涵蓋了網絡管理、系統管理、數據庫管理、安全管理等領域，包括網絡性能監控、設備配置管理、應用程序性能管理、日志管理等解決方案。這些產品廣泛應用于企業、政府機構、教育機構等各個行業領域，幫助客戶提高IT運營效率、降低成本和風險。

2020年，SW曾遭受了一次嚴重的供應鏈攻擊事件，被稱為SW供應鏈攻擊或Sunburst攻擊。

在這次攻擊中，黑客成功侵入SW的軟件開發管道，并在其Orion平臺的更新中植入了惡意代碼。這個惡意代碼在被部署到客戶系統時，給黑客提供了對受感染網絡的廣泛訪問權限。據報道，數千家企業和政府機構受到了這次攻擊的影響，其中一些受害者包括美國政府部門、財富500強企業等。

這次SW供應鏈攻擊引起了全球范圍內對網絡安全的擔憂，并促使各個組織加強對供應鏈安全的關注和防護措施。事后，SW采取了一系列措施來修復受影響的軟件版本，并加強了其軟件開發和供應鏈安全措施，以防止類似事件再次發生。

在2020年的SW供應鏈攻擊事件中，公司的估值和營銷受到了嚴重影響。該事件導致SW公司的股價暴跌，市值大幅縮水。此外，由于事件波及范圍廣泛，影響了數千家客戶和合作伙伴，SW的聲譽和信任度也受到了嚴重損害。

在面對這一安全事故時，SW采取了一系列措施來盡量減少損失和恢復受影響的業務。公司積極與客戶、合作伙伴和監管機構溝通，提供實時的安全更新和建議，幫助他們應對安全風險。同時，SW也加強了內部的安全措施和監控機制，以防止類似事件再次發生，并采取了改進措施來提升公司的安全水平。

盡管SW在應對安全事故方面采取了積極的行動，但該事件仍然對公司的聲譽和業務造成了長期影響。隨著時間的推移，SW需要繼續努力恢復客戶和市場的信任，加強安全措施，以確保公司的可持續發展和未來業務的穩健增長。

2）AnyDesk數據泄漏事件

2024 年 2 月 2 日，熱門遠程訪問解決方案 AnyDesk 披露 其遭遇網絡攻擊，生產系統被入侵。AnyDesk Web 門戶網站的代碼簽名證書和用戶密碼因此被吊銷。

2 月 3 日，攻擊者在暗網兜售超過 18,000 個 AnyDesk 憑據。這些憑據的銷售與近期泄露事件之間的關聯尚不明朗，但此次事件突顯出 AnyDesk 憑據泄露所帶來的入侵風險。

AnyDesk 密碼泄露

AnyDesk 聲稱，攻擊者未能竊取用于用戶身份驗證的任何密鑰，但作為預防措施，他們還是選擇吊銷了 AnyDesk Web 門戶網站的密碼。

如果攻擊者確實成功竊取了這些密碼，AnyDesk 用戶就會面臨撞庫攻擊風險；也就是說，攻擊者可能會嘗試使用相同的憑據在不同的服務中進行身份驗證；利用用戶在不同服務中重復使用的密碼。攻擊者有可能因此取得其他敏感服務的訪問權限。

代碼簽名證書被盜

攻擊者成功竊取了 AnyDesk 用于為分發給客戶端的可執行文件簽名的證書。竊取證書后，攻擊者就能以 AnyDesk 的身份為任何可執行文件簽名，將其偽裝成合法文件，由此避開安全產品的檢測并誤導分析人員。

潛在的供應鏈攻擊

盡管還沒有這方面的明確證據，但應該考慮軟件供應鏈攻擊的風險。攻擊者在很大程度上控制了 AnyDesk 的生產環境，可以相對輕松地在 AnyDesk 的代碼庫中插入惡意負載，有可能造成客戶端遭到入侵。

類似這樣的信息安全事故其實不勝枚舉，在這些信息安全事故中，當事的企業、這些企業服務的用戶、關聯方等等都成為了這些事故中的受害者，有些企業甚至因此而一蹶不振。下面的參考內容中，就羅列了一些。

三、企業信息化安全涵蓋的內容

企業信息化安全涵蓋的內容非常的廣泛，但是總的來說，我覺得可以概括為兩點：

• 人：人作為企業信息化中的行為主體，在企業信息化安全中是非常關鍵的一環，每個人在企業信息化安全中都會起到非常重要的作用。譬如，在我們公司，我們對入職員工，都需要進行信息化安全培訓并進行測試，同時，我們會定期開展信息化安全的強化培訓，再是我們會不定期地在公司內請專業公司開展滲透演習、釣魚演習等等，并尋找公司內的弱點加以強化。

• 工具：隨著各種新的信息化技術的引入，以及隨之而來的新的安全威脅，公司在信息化安全方面需要不斷加強投入，進一步防范安全威脅。

一般而言，信息化安全涵蓋了廣泛的內容，主要包括但不限于以下幾個方面：

1. 網絡安全： 網絡安全是保護計算機網絡不受未經授權的訪問、破壞或更改的一系列措施。這包括防火墻、入侵檢測系統、虛擬專用網絡（VPN）、加密技術等。

2. 數據安全： 數據安全涉及保護數據的機密性、完整性和可用性，以防止未經授權的訪問、泄露、篡改或破壞。數據安全解決方案包括備份和恢復策略、加密、訪問控制、數據分類等。

3. 身份和訪問管理： 這涉及確保只有授權用戶可以訪問系統和數據。身份和訪問管理解決方案包括多因素身份驗證、單一登錄（SSO）、權限管理等。

4. 終端安全： 終端安全涉及保護終端設備（如計算機、智能手機、平板電腦）免受惡意軟件、網絡攻擊和數據泄露的影響。這包括反病毒軟件、防火墻、設備管理和遠程擦除等。

5. 應用程序安全： 應用程序安全是確保軟件應用程序不受安全漏洞、代碼注入、跨站點腳本攻擊等攻擊的影響。應用程序安全解決方案包括漏洞管理、代碼審查、安全開發生命周期（SDLC）等。

6. 物理安全： 物理安全涉及保護計算設備、網絡設備和數據中心不受未經授權的訪問、破壞或竊取的影響。這包括訪問控制、監控攝像頭、生物識別技術、安全區域等。

7. 安全意識培訓： 安全意識培訓是教育員工識別和應對安全威脅的過程，以減少內部威脅和人為錯誤。這包括網絡釣魚模擬、安全政策培訓、應急演練等。

在本系列的文章中，我將從人和工具兩個方面分成多篇文章具體展開，為企業信息化安全建言獻策。

四、誰是企業信息化安全中主體

縱觀中國企業在信息化過程中，企業的IT部門以前是一直不受重視的，特別是在小微企業中，IT部門往往只是公司里的支撐部門，甚至根本沒有IT部門，他們的日常工作就是幫員工維修電腦、安裝軟件。IT預算在企業里都是比較難以獲得管理層的批準。CIO更可能只是在一些大型公司里才會存在的角色。當然，隨著企業信息化的推進，越來越多的企業認識到信息化在企業中應該扮演的重要角色。

說到企業信息化安全，很多人會認為這是CIO及IT部門需要做的事情，他們要負責殺毒軟件，他們要負責網絡規劃及公司防火墻的配置，除此之外，其他人無需參與。實際上，這個觀點是非常片面的，最主要的原因就是現在的企業，信息化不是存在企業內部的一個孤島，移動辦公、云服務、外部協作等等讓更多的數據在企業內外部流通過程，網絡邊界已經變得更難以界定。在這樣的情況下，企業信息化安全就需要全員參與。

1. 企業管理層： 企業管理層對信息化安全負有最終責任。他們需要制定和執行信息安全策略，確保整個組織對安全問題的重視，并為信息化安全提供必要的資源和支持。

2. 信息技術（IT）部門： IT部門是企業信息化安全的執行者和實施者。他們負責管理和維護企業的信息系統、網絡和設備，并采取措施保護系統安全，應對安全威脅和漏洞。

3. 員工： 員工是企業信息化安全的重要參與者和風險來源。他們需要遵守安全政策和流程，注意保護敏感信息，參與安全培訓和意識提升，以減少內部威脅和人為失誤。

4. 供應商和合作伙伴： 企業的供應商和合作伙伴可能訪問企業的系統和數據，因此也是信息化安全的重要主體。企業需要與他們合作，確保他們符合信息安全要求，避免安全風險的產生。

5. 外部專家和顧問： 企業可能需要借助外部專家和顧問的力量來評估和改進信息化安全措施。他們可以提供專業的安全建議、審計和培訓服務，幫助企業提升安全水平。

6. 監管機構和法律法規： 監管機構和法律法規是企業信息化安全的監管者和規范者。企業需要遵守相關法律法規，配合監管機構的監督檢查，并及時報告安全事件和數據泄露。

保障企業信息化安全已經成為企業管理者必須高度重視的問題。企業信息化安全不僅僅是IT部門的責任，更是全體員工共同參與的事業。只有建立起全員參與、全方位保障的信息安全體系，才能有效地防范各種安全威脅，保護企業的核心數據資產和業務運行。