时间:2023-09-15 17:31:16
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇企业网络安全法规,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
随着网络与信息技术在我们经济和生活各个领域的快速发展,企业也纷纷打造自身的网络信息平台。信息技术正逐渐影响着我们生活和工作的方式,在信息技术带给我们巨大便利的同时,网络与信息安全的各类问题也在不断攀升。面对众多网络攻击行为,安全风险面临重要的挑战。因此,探讨企业网络与信息安全风险,强化安全防护管理措施,保障企业业务安全稳定发展具有十分重要的意义。
关键词
企业网络;信息安全;防护
随着网络与信息技术在我们经济和生活各个领域的快速发展,企业也纷纷打造自身的网络信息平台。信息技术正逐渐影响着我们生活和工作的方式,在信息技术带给我们巨大便利的同时,网络与信息安全的各类问题也在不断攀升。面对众多网络攻击行为,安全风险面临重要的挑战。因此,探讨企业网络与信息安全风险,强化安全防护管理措施,保障企业业务安全稳定发展具有十分重要的意义。
1网络与信息安全风险分析
面对日益增加,不断涌现的网络攻击行为,企业在巩固和加强基本的网络与信息安全的基础上,仍不同程度上存在一定的安全风险,主要包括以下方面。
1.1物理安全风险
物理安全是网络与信息系统安全的基础。物理安全风险主要包括雷击、水灾、火灾等环境事故导致大部分或整个系统的瘫痪;供配电系统故障导致设备断电而造成的业务服务中断;机房环控及报警系统缺失造成设备被盗、被损;电磁辐射可能造成重要数据的信息泄露或非法截获;人为操作失误或错误造成的系统宕机或数据库信息丢失等。
1.2网络安全风险
企业在网络平台建设的初期,安全意识不高,没有从整体网络与信息安全的角度出发进行统筹规划,网络与信息安全风险主要存在网络结构风险、网络边界风险、入侵检测风险、流量管理风险、远程安全接入风险5个方面。网络结构风险方面,企业网络结构中缺少冗余设计,网络中关键设备易形成单点故障,影响了整体网络系统故障恢复的能力。网络边界风险方面,企业网络系统中不同网络区域间通信管控能力不足,数据的安全访问不能得到有效控制,存在非法访问的风险。入侵检测风险方面,在企业局域网内缺少入侵检测手段,无法对局域网内引发的网络安全攻击事件进行有效检测与报警。入侵者通过渗透以获取用户系统控制权,并传播木马病毒形成僵尸网络,甚至发起拒绝服务攻击,使企业的业务服务面临中断风险。流量管理风险方面,企业用户在网络带宽使用过程中,存在过度资源滥用情况,业务流量带宽受到挤压,带宽使用效率大幅降低。远程接入风险方面,企业网络系统没有采取可信认证与加密远程接入的访问机制,造成非可信身份访问企业内部网络,导致信息泄露风险。
1.3系统安全风险
系统安全风险一般指主机或终端自身系统防护能力不足导致容易发生病毒和恶意代码攻击、非法使用、数据截取等安全事件。系统安全风险主要包括身份认证风险、系统安全配置风险、系统漏洞风险、病毒和恶意代码风险这4个方面。身份认证风险方面,企业在网络系统中由于采用单一身份鉴别技术,导致攻击者易假冒合法用户获得资源的访问权限,对系统和数据安全造成威胁。系统漏洞与安全配置风险方面,由于系统补丁未得到及时更新,安全配置未能形成统一化、标准化安全部署,导致企业网络与信息系统存在大量的安全盲点。病毒和恶意代码风险方面,企业网络中主机及终端系统中防病毒软件升级滞后,导致防护软件存在查杀能力不足,系统易受病毒和恶意代码的攻击。
1.4应用安全风险
应用安全风险涉及很多方面,并且与具体的应用有关。应用系统的安全是动态的、不断变化的,需要我们针对不同的应用进行安全漏洞的检测,从而采取相应的安全措施,降低应用的安全风险。应用安全风险主要包括文件及数据库安全风险、病毒侵害风险、未经授权的访问、数据信息篡改,破坏了数据的完整性等。
1.5管理安全风险
安全管理是网络与信息安全得到保证的重要组成部分,从管理层面分析,管理安全风险主要包括:安全管理制度不够健全,关键活动的审批流程未建立或不够明确,导致责权不明;工作人员的操作权限缺乏合理的划分与分配,操作混乱;网络安全管理和技术人员缺乏必要的安全意识、安全知识和教育的培训;安全管理体系有待健全和完善,在主动防范网络与信息安全风险的管理手段有所不足,安全控制措施有待进一步有效发挥。从上述网络与信息安全风险分析,由此所引发的安全事件,一般情况下将会导致网络与信息系统在可用性、可靠性、可恢复性方面大幅下降。因此,针对安全风险制定切实可行的解决措施,提高网络与信息安全的整体防护能力和水平,是保障企业网络与信息系统安全稳定运行的关键所在。
2网络与信息安全防护的主要措施
参照信息系统安全等级保护基本要求,根据网络与信息安全建设存在的主要问题,切实结合企业自身实际需求,逐步建设形成多层保护、重点突出、持续运行的安全保障体系,将企业网络与信息安全防护工作落实到建设、防护、管理等的各个环节,保障企业网络与信息安全的整体性。因此,根据此主要思路提出保障企业网络与信息安全的总体原则与主要措施意见。
2.1总体原则
1)统筹规划,分步实施。建立健全完善企业网络与信息整体安全防护体系是一项长期的系统工程,其所涉及到各层面、各系统的安全问题要在国家信息安全法律法规及标准规范框架内,根据对信息安全风险分析的综合考虑进行统筹规划,制定统一、完整、动态,可控的安全防护系统设计,分步骤、分阶段的进行实施。
2)以用促建,合理投入。为保障企业网络系统长期、安全、稳定运行,依据企业网络不同时期所面临威胁的严重程度,在考虑安全防护经费投入与数据及其应用系统防护价值的性价比基础上实施安全防护体系的建设。安全设备在性能功能的选择上,要安全适度,不盲目超前,既要满足业务应用当前安全防护需求,又能适应未来安全防护的调整升级。
3)主动预防为主,应急恢复为辅。考虑到现代网络安全防护的复杂性和多变性,企业网络与信息安全防护,应以主动预防为主,尽量将安全隐患消除在安全事件发生之前。要提前制定好安全事件处理的应急预案,熟悉并掌握应对各种事件发生的安全措施及办法,最大限度地降低安全事件的损失程度。
4)动态管理,持续改进。企业网络与信息安全防护是一个动态的变化过程,要对安全风险实施动态管理,针对不断出现的新的安全威胁与漏洞持续改进完善企业网络安全措施,始终将网络与信息安全风险控制在可接受的范围。
2.2主要措施意见
1)合理划分网络安全区域。企业从整体网络与信息安全角度出发,综合分析网络系统中存在的普遍问题,采取结构化网络设计思想,结合网络安全域划分原则,对企业网络系统进行合理的安全区域划分。依据安全域划分,建议采取相应的网络边界安全防护措施,实现网络安全隔离,边界间联合防御,对病毒进行有效拦截及区域管控。在应对渗透攻击方面也能积极起到纵深防御效果,完善企业网络系统抗攻击,抗风险的能力。
2)规范网络资源的有效使用。规范企业网络资源的有效使用,增强局域网终端用户的安全审计,有效对网络中的各种行为采取更加细粒度的安全识别和控制的措施。同时,可对网络流量、终端上网行为进行实时分析和审计,做到有据可查。从而,有效优化网络资源使用效率,帮助企业管理层全面了解网络应用状况与趋势,增强网络资源对企业业务服务提供强支撑能力。
3)增强终端用户的网络安全防护措施。增强企业网络安全意识,提高终端用户安全防护措施,采取网络防病毒、终端安全核心配置等措施,通过安全策略的统一分发及部署,企业管理人员可全面直观掌握网络中的安全状况,如终端漏洞、终端病毒、终端升级等情况一目了然。有助于管理人员提高企业安全风险分析的能力及快速解除安全威胁的响应能力。
4)创新开展具有自身特色的网络运维管理服务新模式。面对信息化技术的飞速发展及网络应用的不断深入,在增强自身网络安全意识的同时,应不断学习新的防范技术,丰富防范手段;不断借鉴成熟的技术成果,对照自身网络特点,研究符合自身网络安全防护技术,不断深入实践,总结经验教训,把技术理论与实践经验有效结合,创新开展具有自身特色的网络运维管理服务新模式。
【关键词】网络安全;防火墙;VPN;VLAN
一、引言
随着电力施工企业信息化发展的不断深入,企业对信息系统的依赖程度越来越高,信息与网络安全直接影响到企业生产、经营及管理活动,甚至直接影响企业未来发展。企业网络规模的扩大、信息接入点增多、分布范围广,使信息接入点管控难度大。企业信息与网络安全面临各类威胁,笔者以构建某电力施工企业信息与网络安全体系为例,从信息安全管理、技术实施方面进行阐述与分析,建立一套比较完整信息化安全保障体系,保障业务应用的正常运行。
二、企业网络安全威胁问题分析
1.企业网络通信设备存的安全漏洞威胁,网络非法入侵者可以采用监听数据、嗅探数据、截取数据等方式收集信息,利用拒绝服务攻击、篡改数据信息等方式对合法用户进行攻击。
2.非法入侵用户对网络系统的知识结构非常清楚,包括企业外部人员、企业内部熟悉网络技术的工作人员,利用内部网络进行恶意操作。非法用户入侵企业内部网络主要采用非法授权访问对企业内部网络进行恶意操作,以达到窃取商业机密的目的;独占网络资源的方式,非业务数据流(如P2P文件传输与即时通讯等)消耗了大量带宽,轻则影响企业业务无法正常运作,重则致使企业IT系统瘫痪,对内部网络系统造成损坏。
3.恶意病毒程序和代码包括计算机病毒、蠕虫、间谍软件、逻辑复制炸弹和一系列未经授权的程序代码和软件系统。病毒感染可能造成网络通信阻塞、文件系统破坏,系统无法提供服务甚至重要数据丢失。病毒的传播非常迅速;蠕虫是通过计算机网络进行自我复制的恶意程序,泛滥时可以导致网络阻塞和瘫痪;间谍软件在用户不知情的情况下进行非法安装,并把截获的机密信息发送给第三者。
4.随着企业信息化平台、一体化系统投入运行,大量重要数据和机密信息都需要通过内部局域网和广域网来传输,信息被非法截取、篡改而造成数据混乱和信息错误的几率加大;当非法入侵者以不正当的手段获得系统授权后。可以对企业内部网络的信息资源执行非法操作,包括篡改数据信息、复制数据信息、植入恶意代码、删除重要信息等,甚至窃取用户的个人隐私信息,阻止合法用户的正常使用,造成破坏和损失。保护信息资源,保证信息的传递成为企业信息安全中重要的一环。
三、企业信息与网络安全策略
结合电力施工企业业务广范围大特点,提出一套侧重网络准入控制的信息安全解决方案,保障企业网络信息安全。
1.远程接入VPN安全解决方案
施工企业拥有多个项目部,地域范围广,项目部、出差人员安全访问企业信息系统是企业信息化的要求,确保网络连接间保密性是必要的。采用SSL VPN安全网关旁路部署在网络内部,通过设置用户级别、权限来屏蔽非授权用户的访问。访问内部网络资源的移动、项目用户先到SSL VPN上进行认证,根据认证结果分配相应权限,实现对内部资源的访问控制。
2.边界安全解决方案
在系统互联网出口部署防火墙(集成防病毒和网络安全监控模块)和IPS设备,同时通过防火墙和IPS将企业内部网、数据中心、互联网等安全区域分隔开,并通过制定相应的安全规则,以实现各区域不同级别、不同层次的安全防护。边界防护建立以防火墙为核心,邮件、WEB网关设备、IDS及IPS等设备为辅的边界防护体系。
(1)通过防火墙在网络边界建立网络通信监控系统,监测、限制、更改跨越防火墙的数据流以及对外屏蔽网络内部的信息、结构和运行状况,控制非法访问、增强网络信息保密性、记录和统计网络数据并对非法入侵报警提示等,达到保障计算机网络安全的目的。
(2)在防火墙上开启防病毒模块,可以在网关处阻止病毒、木马等威胁的传播,保护网络内部用户免受侵害,改变了原有被动等待病毒感染的防御模式,实现网络病毒的主动防御,切断病毒在网络边界传递的通道。
(3)以入侵防御系统IPS应用层安全设备,作为防火墙的重要补充,很好的解决了应用层防御安全威胁,通过在线部署,IPS可以检测并直接阻断恶意流量。
(4)将上网行为管理设备置于核心交换机与防火墙之间。通过对在线用户状态、Web访问内容、外发信息、网络应用、带宽占用情况等进行实时监控,在上网行为管理设备上设置不同的策略,阻挡P2P应用,释放网络带宽,有效地解决了内部网络与互联网之间的安全使用和管理问题。
3.内网安全解决方案
内网安全是网络安全建设的重点,由于内网节点数量多、分布复杂、终端用户安全应用水平参差不齐等原因,也是安全建设的难点。
(1)主要利用构建虚拟局域网VLAN技术来实现对内部子网的物理隔离。通过在交换机上划分VLAN可以将整个网络划分为几个不同的广播域,将信任网段与不信任网段划分在不同的VLAN段内,实现内部一个网段与另一个网段的物理隔离,防止影响一个网段的安全事故透过整个网络传播,限制局部网络安全问题对全局网络造成的影响。
(2)建立企业门户系统,用户的访问控制部署统一的用户认证服务,实现单点登录功能,统一存储所有应用系统的用户认证信息,而授权等操作则由各应用系统完成,即统一存储、分布授权。
(3)系统软件部署安全、漏洞更新,定期对系统进行安全更新、漏洞扫描,自动更新Windows操作系统和Office、Exchange Server以及SQL Server等安全、漏洞补丁。安装网络版的防病毒软件,定期更新最新病毒定义文件,制定统一的策略,客户端定期从病毒服务器下载安装新的病毒定义文件,有效减少了病毒的影响;配置邮件安全网关系统,为邮件用户提供屏蔽垃圾邮件、查杀电子邮件病毒和实现邮件内容过滤等功能,有效地从网络层到应用层保护邮件服务器不受各种形式的网络攻击。
4.数据中心安全解决方案
作为数据交换最频繁、资源最密集的地方,数据中心出现任何安全防护上的疏漏必将导致不可估量的损失,因此数据中心安全解决方案十分重要。
(1)构建网络链接从链路层到应用层的多层防御体系。由交换机提供数据链路层的攻击防御。数据中心网络边界安全定位在传输层与网络层的安全上,通过防火墙可以把安全信任网络和非安全网络进行隔离,并提供对DDoS和多种畸形报文攻击的防御。IPS可以针对应用流量做深度分析与检测能力,即可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为,也可以对分布在网络中的各种流量进行有效管理,从而达到对网络应用层的保护。
(2)建立数据备份和异地容灾方案,建立了完善的数据备份体系,保证数据崩溃时能够实现数据的完全恢复。同时在异地建立一个备份站点,通过网络以异步的方式,把主站点的数据备份到备份站点,利用地理上的分离来保证系统和数据对灾难性事件的抵御能力。
5.安全信息管理与培训
(1)网络管理是计算机网络安全重要组成部分,在组织架构上,应采用虚拟团队的模式,成立了相关信息安全管理小组。从决策、监督和具体执行三个层面为网络信息安全工作提供保障。建立规范严谨的管理制度,制定相应的规范、配套制度能保证规范执行到位,保障了网络信息安全工作的“有章可循,有据可查”。主要涉及:安全策略管理、业务流程管理、应用软件开发管理、操作系统管理、网络安全管理、应急备份措施、运行流程管理、场所管理、安全法律法规的执行等。
(2)人员素质的高低对信息安全方面至关重要;提高人员素质的前提就是加强培训,特别加强是对专业信息人员的培训工作。
四、结束语
该企业信息与网络安全体系建设以技术、管理的安全理念为核心,从组织架构的建设、安全制度的制定、先进安全技术的应用三个层面,构建一个多层次、全方位网络防护体系。在统一的安全策略基础上,利用安全产品间的分工协作,并针对局部关键问题点进行安全部署,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中管理,达到提升网络对安全威胁的整体防御能力。
参考文献
随着企业的生产指挥,经营管理等经营活动越来越依赖于计算机信息系统,如果这些系统遭到破坏,造成数据损坏,信息泄漏,不能提供服务等问题,则将对电网的安全运行,电力企业的生产管理以及经济效益等造成不可估量的损失,高技术在带来便利与效率的同时,也带来了新的安全风险和问题。
1、电力公司信息安全的主要风险分析
信息安全风险和信息化应用情况密切相关,和采用的信息技术也密切相关,电力公司信息系统面临的主要风险存在于如下几个方面:
(1)计算机病毒的威胁最为广泛:计算机病毒自产生以来,一直就是计算机系统的头号敌人,在电力企业信息安全问题中,计算机病毒发生的频度大,影响的面宽,并且造成的破坏和损失也列在所有安全威胁之首。病毒感染造成网络通信阻塞,系统数据和文件系统破坏,系统无法提供服务甚至破坏后无法恢复,特别是系统中多年积累的重要数据的丢失,损失是灾难性的。
在目前的局域网建成,广域网联通的条件下,计算机病毒的传播更加迅速,一台计算机感染病毒,在两三天内可以感染到区域内所有单位的计算机系统。病毒传播速度,感染和破坏规模与网络尚未联通之时相比,高出几个数量级。
(2)网络安全问题日益突出:企业网络的联通为信息传递提供了方便的途径。企业有许多应用系统如:办公自动化系统,用电营销系统,远程教育培训系统等,通过广域网传递数据。企业开通了互联网专线宽带上网,企业内部职工可以通过互联网方便地收集获取信息,发送电子邮件等。
网络联通也带来了网络安全问题。企业内部广域网上的用户数量多且难于进行管理,互联网更是连接到国际上的各个地方,什么样的用户都有。内部网,互联网上的一些用户出于好奇的心理,或者蓄意破坏的动机,对电力公司网络上的连接的计算机系统和设备进行入侵,攻击等,影响网络上信息的传输,破坏软件系统和数据,盗取企业商业秘密和机密信息,非法使用网络资源等,给企业造成巨大的损失。更有极少数人利用网络进行非法的,影响国家安定团结的活动,造成很坏的影响。
如何加强网络的安全防护,保护企业内部网上的信息系统和信息资源的安全,保证对信息网络的合法使用,是目前一个热门的安全课题,也是电力企业面临的一个非常突出的安全问题。
(3)信息传递的安全不容忽视:随着办公自动化,财务管理系统,用电营销系统等生产,经营方面的重要系统投入在线运行,越来越多的重要数据和机密信息都通过企业的内部广域网来传输。同时电力公司和外部的政府,研究院所,以及国外有关公司都有着许多的工作联系,日常许多信息,数据都需要通过互联网来传输。
网络中传输的这些信息面临着各种安全风险,例如被非法用户截取从而泄露企业机密;被非法篡改,造成数据混乱,信息错误从而造成工作失误。非法用户还有可能假冒合法身份,发送虚假信息,给正常的生产经营秩序带来混乱,造成破坏和损失。因此,信息传递的安全性日益成为企业信息安全中重要的一环。
(4)用户身份认证和信息系统的访问控制急需加强:企业中的信息系统一般为特定范围的用户使用,信息系统中包含的信息和数据,也只对一定范围的用户开放,没有得到授权的用户不能访问。为此各个信息系统中都设计了用户管理功能,在系统中建立用户,设置权限,管理和控制用户对信息系统的访问。这些措施在一定能够程度上加强系统的安全性。但在实际应用中仍然存在一些问题。
一是部分应用系统的用户权限管理功能过于简单,不能灵活实现更细的权限控制,甚至简单到要么都能看,要么都不能看。二是各应用系统没有一个统一的用户管理,企业的一个员工要使用到好几个系统时,在每个应用系统中都要建立用户账号,口令和设置权限,用户自己都记不住众多的账号和口令,使用起来非常不方便,更不用说账号的有效管理和安全了。
如何为各应用系统提供统一的用户管理和身份认证服务,是我们开发建设应用系统时必须考虑的一个共性的安全问题。
(5)实时控制系统和数据网络的安全至关重要:电网的调度指挥,自动控制,微机保护等领域的计算机应用在电力企业中起步早,应用水平高,不但实现了对电网运行状况的实时监视,还实现了对电网一次设备的遥控,遥调以及保护设备的远方管理。随着数据网的建设和应用,这些电网监视和控制方面的系统逐步从采用专线通道传输数据转移到通过数据网络来传送数据和下发控制指控令。由于这些计算机系统可以直接管理和操作控制电网一次设备,系统的安全可靠,数据网的安全可靠,信息指令传输的实时性等直接关系着电网的安全,其安全等级要求高于一般的广域网系统。
同时,这些电网控制和监视系统中的许多信息又是生产指挥,管理决策必不可少的,需要通过和生产管理局域网互联,将数据传送生产管理信息系统中,供各级领导和各专业管理人员察看,使用。数据网和生产管理局域网的互联带来了不同安全等级的网络互连的安全问题。
(6)电子商务的安全逐步提上议事日程:随着计算机信息系统在电力市场,用电营销,财务管理等业务中的深入应用,电子商务在电力企业的应用开始起步。例如:电力市场系统中发电厂和电网公司之间的报价,电力交易,电费结算等都将通过计算机信息系统来实现和完成,这可以视为电子商务中常提到的B2B模式。用电营销系统中的电费计费结算,用户买电交费,银电联网代收电费等,是典型的电力公司和用户之间的电子交易,可以视为电子商务中的B2C模式;以后还有物资采购等方面的电子商务系统。
随着电子商务在电力企业中的应用逐步推广和深入,如何保障电子交易的安全,可靠,即电子商务安全问题也会越来越突出。
二、解决信息安全问题的基本原则
统筹规划,分步实施。要建立完整的信息安全防护体系,绝不能一哄而上,必须分清需求的轻重缓急,根据信息化建设的发展,结合信息系统建设和应用的步伐,统一规划,分步建设,逐步投资。
1、做好安全风险的评估。进行安全系统的建设,首先必须做好安全状况评估分析,评估应聘请专业信息安全咨询公司,并组织企业内部信息人员和专业人员深度参与,全面进行信息安全风险评估,找出问题,确定需求,制定策略,再来实施,实施完成后还要定期评估和改进。
信息安全系统建设着重点在安全和稳定,应尽量采用成熟的技术和产品,不能过分求全求新。
培养信息安全专门人才和加强信息安全管理工作必须与信息安全防护系统建设同步进行,才能真正发挥信息安全防护系统和设备的作用。
2、采用信息安全新技术,建立信息安全防护体系
企业信息安全面临的问题很多,我们可以根据安全需求的轻重缓急,解决相关安全问题的信息安全技术的成熟度综合考虑,分步实施。技术成熟的,能快速见效的安全系统先实施
3、计算机防病毒系统
计算机防病毒系统是发展时间最长的信息安全技术,从硬件防病毒卡,单机版防病毒软件到网络版防病毒软件,到企业版防病毒软件,技术成熟且应用效果非常明显。防病毒软件系统的应用基本上可以防治绝大多数计算机病毒,保障信息系统的安全。
在目前的网络环境下,能够提供集中管理,服务器自动升级,客户端病毒定义码自动更新,支持多种操作系统平台,多种应用平台杀毒的企业版杀毒软件,是电网公司这样的大型企业的首选。个人版本的杀毒软件适合家庭,小规模用户。
4、网络安全防护系统
信息资源访问的安全是信息安全的一个重要内容,在信息系统建设的设计阶段,就必须仔细分析,设计出合理的,灵活的用户管理和权限控制机制,明确信息资源的访问范围,制定信息资源访问策略。
对于已经投入使用的信息系统,可以通过采用增加安全访问网关的方法,来增强原有系统的用户管理和对信息资源访问的控制,以及实现单点登陆访问任意系统等功能。这种方式基本上不需要改动原来的系统,实施的技术难度相对小一些。对于新建系统,则最好采用统一身份认证平台技术,来实现不同系统通过同一个用户管理平台实现用户管理和访问控制。
5、开展信息安全专题研究,为将来的应用做好准备
电网实时监视与控制系统的安全问题要求更高,技术难度更大,应开展专题研究。
国家有关部门和电力企业对电网实时监视与控制系统的安全问题高度重视,专门发文要求确保电网二次系统的计算机和网络系统的安全,要实现调度控制系统,数据网与其他生产管理系统和网络的有效隔离,甚至是物理隔离。
6、电子商务安全需要深入研究和逐步应用
电子商务的安全牵涉很多方面,包括严格,安全的身份的认证技术,对涉及商业机密的信息实现加密传输,采取数字签名技术保证合同和交易的完整性及不可否认性等。这些方面又与信息安全基础技术平台密切相关,因此安全基础平台的建设对于电子商务的安全应用是至关重要的。目前已经有电子商务的应用系统投入在线使用,我们必须加快对电子商务的安全的研究和应用,否则将来会出现因电子在线交易不安全,不可靠的而导致电子商务系统无人敢用的局面。
7、依据法规,遵循标准,提高安全管理水平
信息安全的管理包括了法律法规的规定,责任的分化,策略的规划,政策的制订,流程的制作,操作的审议等等。虽然信息安全"七分管理,三分技术"的说法不是很精确,但管理的作用可见一斑。
三、解决信息安全问题的思路与对策
电力企业的信息安全管理相对来说还是一个较新的话题,国内其他电力企业也在积极研究和探讨,以下是一些粗浅的看法。
1、依据国家法律,法规,建立企业信息安全管理制度
国家在信息安全方面了一系列的法律法规和技术标准,对信息网络安全进行了明确的规定,并有专门的部门负责信息安全的管理和执法。企业首先必须遵守国家的这些法律法规和技术标准,企业也必须依据这些法律法规,来建立自己的管理标准,技术体系,指导信息安全工作。学习信息安全管理国际标准,提升企业信息安全管理水平
国际上的信息技术发展和应用比我们先进,在信息安全领域的研究起步比我们更早,取得了很多的成果和经验,我们可以充分利用国际标准来指导我们的工作,提高水平,少走弯路。
信息安全是企业信息化工作中一项重要而且长期的工作,为此必须各单位建立一个信息安全工作的组织体系和常设机构,明确领导,设立专责人长期负责信息安全的管理工作和技术工作,长能保证信息安全工作长期的,有效的开展,才能取得好的成绩。
2、开展全员信息安全教育和培训活动
安全意识和相关技能的教育是企业安全管理中重要的内容,信息安全不仅仅是信息部门的事,它牵涉到企业所有的员工,为了保证安全的成功和有效,应当对企业各级管理人员,用户,技术人员进行安全培训,减少人为差错,失误造成的安全风险。
开展安全教育和培训还应该注意安全知识的层次性,主管信息安全工作的负责人或各级管理人员,重点是了解,掌握企业信息安全的整体策略及目标,信息安全体系的构成,安全管理部门的建立和管理制度的制定等;负责信息安全运行管理及维护的技术人员,重点是充分理解信息安全管理策略,掌握安全评估的基本方法,对安全操作和维护技术的合理运用等;用户,重点是学习各种安全操作流程,了解和掌握与其相关的安全策略,包括自身应该承担的安全职责等。
3、充分利用企业网络条件,提供全面,及时和快捷的信息安全服务
山东省电力公司广域网联通了系统内的各个二级单位,各单位的局域网全部建成,在这种良好的网络条件下,作为省公司一级的信息安全技术管理部门应建立计算机网络应急处理的信息与技术支持平台,安全公告,安全法规和技术标准,提供安全软件下载,搜集安全问题,解答用户疑问,提供在线的信息安全教育培训,并为用户提供一个相互交流经验的场所。网络方式的信息服务突破了时间,空间和地域的限制,是信息安全管理和服务的重要方式。
4、在发展中求安全
没有百分之百安全的技术和防护系统黑客技术,计算机病毒等信息安全攻击技术在不断发展的,人们对它们的认识,掌握也不是完全的,安全防护软件系统由于技术复杂,在研制开发过程中不可避免的会出现这样或者那样的问题,这势必决定了安全防护系统和设备不可能百分百的防御各种已知的,未知的信息安全威胁。
不是所有的信息安全问题可以一次解决
人们对信息安全问题的认识是随着技术和应用的发展而逐步提高的,不可能一次就发现所有的安全问题。信息安全生产厂家所生产的系统和设备,也仅仅是满足某一些方面的安全需求,不是企业有某一方面的信息安全需求,市场上就有对应的成熟产品,因此不是所有的安全问题都可以找到有效的解决方案。
5、解决信息安全问题不可能一劳永逸
企业的信息化应用是随着企业的发展而不断发展的,信息技术更是日新月异的发展的,安全的需求也是逐步变化的,新的安全问题也不断产生,原来建设的防护系统可能不满足新形势下的安全需求,这些都决定了信息安全是一个动态过程,需要定期对信息网络安全状况进行评估,改进安全方案,调整安全策略。信息安全是一个伴随着企业信息化应用发展而发展的永恒课题。
关键词:网络安全;802.1X协议;企业内网;安全接入控制
中图分类号:TP393 文献标识码:A 文章编号:1009-2374(2013)23-0157-03
目前,国内的大中型企业均已完成了企业内部网络和信息系统的建设,但各类来访人员终端接入公司内部网络时,普遍处于不可控状态;另外,企业在金融资本市场上需要遵守某些国际的规则和法案(如SOX法案404条款)。企业成立内控部门,力求企业生产运营过程各环节的可追溯、可审计。因此,需要通过对于终端接入的认证管理,实现终端接入的可控和可审计,满足安全和内控要求。现有企业网络还不能满足上述需求。本文针对这些需求进行研究,提出解决方案。
1 802.1X协议及解决方案
1.1 什么是802.1X
IEEE 802.1X是IEEE制定关于用户接入网络的认证标准。它的全称是“基于端口的网络接入控制”。802.1X协议起源于802.11协议,802.1X协议的主要目的是为了解决无线局域网用户的接入认证问题。
在802.1X出现之前,企业网上有线LAN应用都没有直接控制到端口的方法,也不需要控制到端口,但是随着无线LAN的应用以及LAN接入在电信网上大规模开展,有必要对端口加以控制,以实现用户级的接入控制。802.1X就是IEEE为了解决基于端口的接入控制(Port-Based Access Control)而定义的一个标准。
1.2 802.1X认证体系结构
802.1X的认证体系分为三部分结构:Supplicant System客户端(PC/网络设备)、Authenticator System认证系统、Authentication Server System认证服务器。
基于以太网端口认证的802.1X协议有如下特点:IEEE802.1X协议为二层协议,不需要到达三层,对设备的整体性能要求不高,可以有效降低建网成本;借用了在RAS系统中常用的EAP(扩展认证协议),可以提供良好的扩展性和适应性,实现对传统PPP认证架构的兼容;802.1X的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能,从而可以实现业务与认证的分离,由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与控制,业务报文直接承载在正常的二层报文上通过可控端口进行交换,通过认证之后的数据包是无需封装的纯数据包;可以使用现有的后台认证系统降低部署的成本,并有丰富的业务支持;可以映射不同的用户认证等级到不同的VLAN;可以使交换端口和无线LAN具有安全的认证接入功能。
1.3 802.1X解决方案
1.3.1 Cisco NAC。思科与防病毒厂商(包括趋势、McAfee等)合作的安全网络接入控制(下称NAC)方案,可实现基于用户身份的认证,也可对客户端防病毒安全状态进行评估,对不满足条件(预先制定的策略)的用户,对其接入网络的能力和范围实现控制,从而提高全网整体的安全防护能力;采用思科网络安全接入控制方案(NAC),可以有效地解决SOX法案要求局域网接入认证的内控要求。
NAC是由思科公司倡导的跨业界合作的整套安全解决方案,自2003年11月提出后获得防病毒厂商的广泛支持。目前,包括国外软件厂商:趋势科技、McAfee、赛门铁克、CA、IBM,国内软件厂商:瑞星和金山等15家安全领域主要厂商,都已成为思科NAC合作伙伴。
1.3.2 华为 I3SAFE Numen。I3SAFE Numen终端安全系统(以下简称终端安全系统)是在I3SAFE Numen系统框架基础上开发的针对企业、运营商的内部网络终端安全防护产品。终端安全系统通过在每一台终端上安装安全,对终端的安全状况进行检测,并实时监控和采集用户涉及主机安全的行为记录。同时通过与接入设备的联动,限制不符合安全要求的终端的上网。
1.3.3 局域网准入方案比较。
实施方法比较:
(1)协议方面。两种方案都采用EAP协议、RADIUS协议和802.1X协议实现接入控制。但思科的方案还可以支持不采用客户端的方式实现接入认证,即无客户端方式,为用户提供另外一种选择。
身份认证管理方面。两种方案在后台都选择了使用RADIUS服务器作为认证管理平台;华为只能以用户名/密码方式进行身份认证,思科除了采用用户名/密码方式外,还可以采用证书方式管理用户身份。
管理方式方面。都采取集中式控制和管理方式。策略控制和应用由策略服务器(通常是RADIUS服务器)和第三方的软件产品(病毒库管理,系统补丁等)协作进行;用户资料和准入策略由统一的管理平台负责。
(2)协作厂商比较。NAC是由思科公司倡导的跨业界合作的整套安全解决方案,于2003年11月提出。其主旨是向已获授权的合作伙伴提供协议和技术信息,以便合作伙伴开发和销售支持NAC网络、策略服务器及客户端应用。NAC方案支持的厂商包括国外软件厂商:趋势科技、McAfee、赛门铁克、CA、IBM,国内软件厂商:瑞星和金山等15家安全领域主要厂商。
EAD方案,于2005年底在媒体上逐步推出。EAD方案目前支持的厂商主要有瑞星、江民、金山三家厂商。
(3)对现网设备利旧的支持。思科NAC方案和华为EAD方案虽然在业务控制流程和功能组件上类似,都是基于对802.1X和EAP协议的开发,但目前并不兼容。
NAC方案:由于目前大型企业数据网络设备中主要采用的是思科的接入设备和策略控制服务器,采用思科NAC方案可以充分利用现有的网络设备和策略控制设备。
EAD方案:如果采用华为EAD方案,现在思科的接入设备将全部更换,并且需要配置新的策略控制设备。
(4)与现网设备的兼容性。
NAC方案:思科方案与现网设备不存在兼容性问题。
EAD方案:由于华为EAD方案必须采用华为的二层交换机,与现网思科的交换机互联,很容易出现由于生成树协议配置不当而引起广播风暴。
2 接入控制技术的实际应用
2.1 企业内部网络现状
浙江某运营商DCN网络是企业的运行支撑网络,为各个专业网管系统和企业应用系统提供了统一的数据通信平台,目前网络已经覆盖到各交换母局和大的营业网点。
当前存在的问题如下:(1)移动办公和远程维护的需求强烈,但缺乏安全的接入手段,因此只能小范围试用。(2)内网多出口现象严重,绕开统一出口直接访问公网,造成病毒严重,严重威胁内网安全。(3)缺乏安全的内网无线接入手段。(4)内网缺乏统一的安全策略规范和控制机制。(5)没有接入控制机制,内网接入随意,基本没有保护,对第三方人员和企业内部员工不健康的终端均无限制手段,严重威胁企业信息安全。
2.2 工程实施内容及建设方案
2.2.1 工程建设需求:(1)满足远程接入需求,实现用户在外网时能够安全接入DCN网络;(2)满足用户通过统一入口VPN方式接入DCN网络后,能够访问各类内网应用系统;(3)用户在外网接入内网时,应首先通过入口的Radius认证和动态口令认证;(4)终端在局域网通过有线或无线方式接入时,对终端安全性进行检测,认证后准许进入网络。
2.2.2 工程建设方案。
工程组网:Internet统一出入口通过一台Juniper ISG2000防火墙DCN的出口网关设备,完成省公司员工访问Internet的访问控制和安全防护;两台SA4000设备部署在防火墙的DMZ区,连接在DMZ交换机上,采用A/P的高可用方式部署,防火墙映射一个公网地址到SA集群的浮动地址上。防火墙实现基本DOS保护、策略过滤,SA设备则实现SSL VPN,进行应用层保护过滤和接入。部署一套Juniper SBR radius软件,作为DCN网络AAA认证服务器,用于实现对内部各系统的集中身份认证和授权。该系统能够与原有的目录服务器结合,降低部署的复杂度。
终端安全检查策略:Juniper SA 4000设备在用户接入前通过预先设定的策略检查用户终端的安全状况,包括补丁、杀毒软件安装或更新情况。根据DCN的终端安全要求设定终端安全检查策略,一般建议检查是否安装有杀毒软件,不符合条件的拒绝登录或提示后登录。
接入方式:由于SA 4000设备具有Core、SAM和NC三种接入方式,三种方式获得的权限各不相同,对于每个用户组(Role),需要选择其能够使用的接入方式。
资源策略设置:在每种接入方式下,可以设定Role能够访问的资源,类似于防火墙的ACL(访问控制列表)。根据不同Role的实际需要,设定不同的访问权限,保证每个用户能够访问到其必须访问的资源,同时不获得超出其工作需要的权限。
局域网内,通过部署Cisco的NAC方案实现无线和有线接入时基于802.1X的终端认证和健康性检查。企业可以根据不同的安全策略对终端安全状况进行检测,内容包括终端补丁安装情况、终端防病毒软件安装以及版本更新情况、病毒代码库的更新情况、个人防火墙的配置情况、屏幕保护的配置情况等,并保护企业重要信息资源不被外来终端访问,阻止外来终端或者未纳入终端管理系统的终端接入到企业网络。通过企业目录服务集成,提供统一身份认证,统一授权的基础,确保用户信息在各系统中的
同步。
2.3 工程实施效果
工程实施效果见表1。
3 结语
企业信息化建设过程中,较多关注于信息系统建设,对于信息化基础的网络安全,关注不够全面,本文重点关注于之前企业安全管理薄弱的网络接入控制技术,并结合业界解决方案,应用于实际工程。
参考文献
[1] 宁宇鹏,薛静锋.信息安全-理论、实践与应用[M].
[2] 马燕,曹周湛,等.信息安全法规与标准[M].北京:机械工业出版社.
[3] 高海英.VPN技术[M].北京:机械工业出版社.
关键词:会计会计电算化网络会计
一、网络会计发展的制约因素分析
(一)安全保密措施不完善 一是计算机硬件的安全性。网络会计主要应用数据自动处理功能,自然或人为的差错和干扰都会造成严重后果。自然因素如火灾、水灾、灰尘等都会对计算机硬件造成损坏,严重的造成系统故障乃至崩溃。管理因素如安全管理不力,使得计算机被盗,或光盘、磁盘等介质载体档案的保管不善都会造成信息的丢失或泄露等。二是网络系统的安全性。网络系统安全威胁首先来自网络犯罪,主要是社会上的不法分子对企业网络会计系统的非法入侵和恶意破坏,包括对会计信息的截收、仿冒、窃听、病毒破坏等。从发生黑客袭击网站事件及病毒感染的情况看,主要存在以下问题:一是管理问题,管理员、使用人员安全意识淡薄,下载文件不作安全技术检测;二是对安全性要求不高的网站,使用防火墙软件成本比较昂贵,加上自身软件存在漏洞,为黑客攻击网站提供了可能;三是由于程序设计缺陷及使用者自身的素质问题,容易产生系统性问题。另外,企业网络会计系统会受到来自商业竞争对手以及其他人员的非法入侵,剽窃财务数据,甚至使会计信息受到篡改、泄密等。
(二)网络系统内部控制不健全传统会计系统强调对业务活动的使用授权批准和职责性、正确性、合法性,但在网络会计中,会计信息的处理和存储集中于网络系统,大量不同的会计业务交叉在一起,加上信息资源的共享,财务信息复杂交叉速度加快,使传统会计系统中某些职权分工、相互牵制的控制失效。从数据和交易层次看,网络会计采用高度电子化的交易方式,原始凭证在网络业务交易时自动产生并存入计算机,交易的全过程均在电子媒介上建立、运算与维护,而且大量数据录入和交易驱动发生在企业外部;存贮形式主要以网络页面数据存贮,原来使用的靠账簿之间相互核对实现的差错纠正控制已经不复存在,光、电、磁介质也不同于纸张介质,所截取信息不留痕迹地被修改和删除。
(三)法律及会计制度的滞后 网络会计的迅猛发展超出了现有法律体系的规范,包括我国在内的很多国家,目前还缺少有关网络交易责任与可靠性方面的法律规定,因此,在法律上能否接受计算机记录的电子会计数据(无纸化数据)作为有效的证据是国际性的问题。就目前的会计电子化实务看,有关法规要求企业将计算机记录的原始数据打印到纸张上,并由责任人签字作为审计和其他法定需要的证据。但随着网络的不断普及,电子数据作为有效的会计证据和法律证据是必然的。面对“无纸”的会计数据,会计人员确保这些数据是以原始形式保存下来是无纸信息系统有效性的关键。司法部门对如何决定电子文档的合法性,以及怎样才能构成有效的电子签名等问题存在争议。
(四)复合型人才缺乏由于网络会计作为网络与会计相结合的高科技产物,对相应的会计人员、管理人员的素质要求较高,既要求其精通计算机网络知识、基本的故障排除方法以及计算机的基本维护技能,又要求其具有很深的会计理论功底和娴熟的会计业务技能,但我国目前情况离此尚有很大差距。
二、网络会计发展的策略
(一)完善安全保密系统 网络的特点之一是资源与信息的共享,企业的商业机密的安全及系统安全的可控性是网络化建设的重点。在黑客狷獗的情况下,仅通过文件加密是不能有效避免信息的泄露,企业应根据自身特点,建立全方位的安全保护措施:一是硬件设备安全控制。硬件设备安全主要涉及计算机机房环境和设备的技术安全要求。应制定网络计算机机房和设备的管理制度、岗位职责和操作规程,禁止无关人员接触系统,专机专用;计算机机房应充分满足防火、防潮、防尘、防磁和防辐射及恒温等技术要求,关键性的硬件设备可采用双系统备份。二是系统软件安全控制。严格控制系统软件的安装与修改,对系统软件进行定期的预防性检查,系统被破坏时,要求系统软件具备紧急响应、强制备份、快速重构和快速恢复的功能。三是会计信息安全控制。会计信息安全的基础是密码学。按加密和解密算法所用的密码是否相同,将密码分为对称密码体制和非对称密码体制。后者在信息安全管理方面得到了广泛的应用。四是系统入侵防范控制。为了防止非法用户对网络会计系统的入侵,应采取设置防火墙,身份认证和授权管理等安全技术,用以限制外界对主机操作系统的访问;用以隔离应用系统与外界访问区域之间的联系,限制外界穿过访问区域对网络应用系统服务器,尤其是对会计数据库系统的非法访问;加强原有的基本账户和口令的控制,提供授权访问控制和用户身份识别。五是网络系统安全防范控制。病毒的预防可采取防火墙(fire-wall)技术,将病毒及非法访问者挡在内部网之外,从而起到对内部信息的保护作用。对于信息系统则普遍采用数据加密技术,以防止信息在传输过程中泄密。此外还有口令控制、访问用户的身份认证、回叫等(郭梅等,2004)。六是交易安全控制。为了保证交易者的交易信息不被他人窃取或破译,主要应采取数字加密、数字认证等核心技术。
(二)强化系统内部控制 一是组织与管理控制。首先,适当的职责分离。既设置网络管理中心,由网管中心全盘规划,合理布局,采取措施确保各工作站、终端和人员之间适当的职责分离;其次,优化配置人力资源。良好的人力资源管理政策对于企业内部控制的顺利实施起着关键性的作用。因此要制定措施,确保人力资源的合理利用。最后,发挥内部审计的作用。内部审计的本质是一种特殊的组织控制,包括对会计资料定期进行审计,会计电算化系统账务处理是否正确,是否遵照《会计法》及有关法律、法规的规定(李汉兴等,2001);监督数据保存方式的安全、合法性,防止发生非法修改历史数据的现象;对系统运行各环节进行审查,防止存在漏洞。通过内部审计部门对网络会计系统信息的质量和完整性进行独立和公正地监督与评价,有利于系统内部自我约束、自我激励机制的建立与健全。二是系统开发控制。系统开发控制是为保证网络会计系统开发过程中,各项活动的合法性和有效性而设计的控制措施,贯穿于系统规划、系统分析、系统设计、系统实施和系统运行测试与维护的各阶段。主要包括:明确开发目标,制定项目管理计划,进行项目的可行性研究与分析;控制开发进度,监督开发质量,检查各功能模块设置的合理性及程序设计的可靠性。利用网络在线测试功能,检验整个系统的完整性,并对非法数据的容错能力、系统抗干扰能力和发生突发事件的应变能力,以及系统遭遇破坏后的恢复能力进行重点测试;做好人员和设备等资源的整合配置以及初始数据的安全导入,保证新旧系统的转换有序进行。一旦发现网络系统各类软件可能存在安全漏洞,应立即进行在线修补与升级,并将所有与软件修改有关的记录报告及时存储归档。三是日常操
作系统管理控制。制定上机操作规程。主要包括软硬件操作规程、作业运行规程和用机时间记录规程等。加强系统人员的操作管理。人员操作管理的重点是权限控制,系统管理员被赋予超级用户管理权限,主要负责系统硬、软件的管理维护和网络资源分配,操作人员应按照被授于的权限严格作业,不得越权接触系统,系统程序员不得对越权现象进行业务操作,以避免人为因素或操作不当给操作系统带来不必要的损失和风险。建立计算机资源访问授权和身份认证制度,即明确每个用户的安全级别和身份标识,并分别定义具体的访问对象;建立安全稽核机制。对系统操作的事件类型、用户身份、操作时间、系统参数和状态以及系统敏感资源进行实时监控和记录,进行必要的权限设置,以便能够对各种不同的权限进行用户识别和远程请求识别。设置安全检测预警系统。即实时寻找,具有网络攻击特征和违反网络安全策略的数据流,实时响应和报警,阻断非法的网络连接,对事件涉及的主机实施进一步跟踪,创造一种漏洞检测与实时监控相结合的可持续改进的安全模式。四是系统维护控制。系统维护包括软件修改、代码结构修改和计算机硬件与通讯设备的维修等,涉及到系统功能的调整、扩充和完善。对网络会计系统进行维护必须经过周密计划和严格记录,维护过程的每一环节都必须设置必要的控制,维护的原因和性质要有书面形式的报告,经批准后才能实施修改。软件修改尤为重要,网络会计系统操作员不能参与软件的修改,所有与系统维护有关的记录都应该打印后存档。五是应用控制。应用控制是指在网络会计系统的数据输入、通讯、处理和输出环节所采用的控制程序和措施:输入控制。保证数据录入的真实性、合法性、完整性。在输入系统前,数据要经过检验,输入工作应由多人多组分担,对输入的数据、代码等进行必要的校验,以保证合法性、真实性。具体可采用集中管理模式,企业总部应随时查询每个成员单位的财务账,直至每张单据、所有的原始凭证,记账凭证、账簿账表的生成都集中处理,信息需求者不仅可以了解企业某些方面的经济事项,还可以了解企业会计总体的经营状况。在处理控制中,对数据进行有效性控制和文件控制,有效性控制包括数字的核对、字段和记录长度检查、代码和数值有效范围的检查、记录总数的检查等,文件控制包括检查文件长度、标识和是否感染病毒等。在数据输出控制中,一要验证输出结果是否正确和是否处于最新状态,以便用户随时得到最新准确的会计信息,二要确保输出结果能够送发到合法的输出对象,文件传输安全正确。
(三)制定网络会计安全相关法律 Internet网络除了安全问题以外,还涉及经济纠纷与国际仲裁,而安全问题、经济纠纷与国际仲裁又具有其独特性,是各国政府不得不面对而又不能套用传统法律来解决的问题,这就需要制定一套完整的包括各国相关法律在内的国际法律体系。我国在计算机信息安全管理方面立法较早,从1986年开始,我国相继制定并颁布了《中华人民共和国信息安全保护条例》、《计算机系统安全规范》、《计算机病毒控制规定》等系列法律,并在《刑法》、《刑事诉讼法》、《民法通则》、《民事诉讼法》、《合同法》等相关法律中制定了有关计算机信息安全方面的条文。但我国目前还没有专门的网络会计安全法律,因此,我国网络会计安全立法应在立足我国国情的前提下参照国际有关示范法的原则,以规范网上交易的购销、支付及核算行为,具体规定企业网上披露的义务与责任、网络会计信息质量标准要求、监管机构及其权责等,从宏观上加强对信息系统的控制,对危害计算机安全的行为进行制裁,为计算机信息提供良好的法制环境。
[关键词] 网络 黑色产业链 病毒 木马
一、网络黑色产业链的现状
1.黑客群体,呈低龄化
目前的病毒犯罪早已摆脱了散兵游勇状的个人行为,而转变为虽不严密但却绝对保密的小集团性质的集体行为,犯罪团伙从十到上百人不等。成员分工十分明确,各司其职,人员数量庞大,甚至当病毒编写者被警方发现想要罢手时,仍会迫于上家的压力或诱惑而继续做下去。这个产业链条中的从业者有大学生、高级知识分子、电脑爱好者等。据病毒专家介绍,随着计算机技术的普及与制作工具的增多,入行者的年龄已呈现低龄化趋势,年龄在10到30岁的病毒产业从业者占了非常高的比例。由于国内对于黑客和病毒有着不同的理解,使得许多青少年对计算机产生兴趣后发现写病毒和做黑客容易得到他人的崇拜,进而向这一方面发展。新成为黑客的青少年又经常会出于炫耀的目的“黑”掉一些网站。青少年又往往是网游的玩家主力,在游戏中会经常涉及到偷号、窃取网游装备的事情。因此,想方设法去获取号码和装备就显得十分自然。这种动机有点类似现实社会中小偷形成的雏形。目前黑客的数量,也已远远超出早期单纯出于兴趣而研究技术的“黑客”数量。
2.形成组织,分工明确
瑞星公司的中国大陆地区电脑病毒疫情和互联网安全报告显示,2007年上半年全国共有3500多万台电脑曾经被病毒感染,占到上网电脑数量的一半以上,中国大陆已经成为全球电脑病毒危害最严重的地区。这家公司上半年共截获13.37万个新病毒,其中木马病毒有8万多个,后门病毒3万多个,这两类病毒都以获取经济利益为最终目的,侵入用户电脑,窃取账号、密码、电脑控制权等信息。在病毒经济中已形成了一条完整的黑色病毒产业链:从制作木马病毒到传播木马、从盗窃用户网游或网上银行账号、密码、账户信息再到转手卖钱、洗钱等环节都是由不同的人负责,都有不同的牟利方式。据不完全统计,仅仅“灰鸽子”一种后门所带来的直接售卖价值就达2000万元以上。木马的制造者本身并不参与“赚钱”,或只收取少量的费用,但是他会在木马中留有后门。病毒程序编完后,大量的网上“大虾”开始招募“徒弟”,教授木马病毒控制技术和盗号技术,收取“培训费”,之后往往将“徒弟”发展为下线(也就是其商或分销商),以辅助完成其他牟利活动。
以“灰鸽子”为例,木马的制造者作为第一层次,他在编写完木马等病毒程序后,通过QQ等信息并出售病毒程序,收取一定的费用,例如“熊猫烧香”病毒制造者李俊以每个病毒500元至1000元的价格出售,在两个月内积累了10多万元的财富。从制造者手中购买病毒程序的批发商,提高价格卖给大量的病毒零售商(网站站长或QQ群主),后者作为“大虾”开始招募“徒弟”,教授木马病毒控制技术和盗号技术,收取“培训费”,将“徒弟”发展为下线,专职盗号或窃取他人信息。
3.由暗到明,有恃无恐
电脑病毒的出现已有20多年的时间,已从最初炫耀技术的游戏演变成了犯罪工具,被用来偷盗网络账户、商业信息,甚至成为勒索的工具,并从“暗偷”转变为“明抢”,木马网站已经公开交易。在网上,“木马”已成为公司化运作的产业,很多产品都在网上以文字,贴图等形式打起了广告,宣传自己诚信为本、服务周到;一些木马进行打折促销;还有一些木马工作室推出定做服务,依据买木马的人的需求,为其定做特定的木马。就连某知名网站上也公然进行病毒买卖,这种嚣张态势让人瞠目、震惊。
2007年以来,一些开通网上银行业务的用户遭遇密码被盗,有的财产失窃达上万元。湖南警方曾逮捕了一个专门窃取网银资金的黑客团伙,这个团伙控制的银行账户超过1000个,窃得资金40余万元。据上海艾瑞公司调查,窃取网民银行卡密码的“网银木马”2006年给中国网银用户带来了近亿元的经济损失。
近年来,黑客针对医药行业和游戏行业,尤其是走上信息化道路但自身防范力量比较弱的中小企业网站,实施病毒攻击,一些地方甚至形成了只有交“保护费”才能免遭病毒攻击尴尬的局面。2007年5月,国内一著名的网络游戏公司遭到长达10天的网络攻击,服务器全面瘫痪,其经营的网络游戏被迫停止,损失高达3460万元人民币。依照我国刑法,编写病毒是一种犯罪行为,网络病毒交易也是一种违法行为,应当受到法律的惩处。
4.利益趋动,规则改变
产业化的一个明显标志是病毒制造者从单纯的炫耀技术,转变成以获利为目的;前者希望病毒尽量被更多的人知道,但后者希望最大程度地隐蔽病毒,以更多地获利。病毒制售产业链上的每一环都有不同的牟利方式。从炫耀技术的“行为艺术”到庞大产业链中的一环,病毒编写者具有明显的“趋利动机”。不断进化的病毒正在像癌症一样,威胁着日渐勃兴的互联世界。这个黑色产业链正在以越来越快的速度发展、膨胀,形成了数亿元的产业链条。
木马是一种由攻击者秘密安装在计算机上的窃听及控制程序,计算机一旦被植入木马,其重要文件和信息不仅会被窃取,用户的一切操作行为也都会被密切监视,而且还会被攻击者远程操控实施对周围其他计算机的攻击。一般有针对性的木马,用途较为单一,如窃取游戏账号的木马就只能获得用户的游戏账号。但如果是提供了远程控制的木马,则可以操作受害用户的系统,这样只要有价值的信息――个人隐私、敏感资料如教师的考题、某程序源代码、某种技术文档、QQ号、邮箱账号、论坛账号、注册码等都不会放过,而资料也会根据内容的不同定出不同的价位。木马已成为职业病毒生产者的生财工具,不管是网上银行中真实的钱,还是网络游戏、聊天软件中虚拟财产,都成为木马潜入侵害对象。最典型的是2007年初肆虐网络的“熊猫烧香”木马病毒,在短短的两个月内使上百万个人用户、网吧及企业局域网用户遭受感染和破坏。用户电脑中毒后会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象,更重要的是它可以盗取网民银行和游戏账号、密码,从而窃取用户的财产或虚拟财产。
随着计算机技术的普及,以及木马制作工具的泛滥,电脑病毒呈爆炸式增长,病毒变种增多病毒的制作也逐渐呈现商业化的运作。某些制作者小组甚至可以根据使用者的要求为其提供针对特定目标的专门版本。病毒程序的模块化使得病毒制作的门槛降低,病毒泛滥,很多具备一定计算机知识的用户可以根据自己的需要对其自行组合。因此,2006年病毒的变种迅速增加,以典型的“灰鸽子”木马为例,高峰时期几乎每天增加10余个不同变种。迄今为止共出现了6万余种变种,并连续三年荣登国内十大病毒排行榜。
5.牟利方式,买卖“肉鸡”
在业界,一个可以被控制的电脑被叫做“肉鸡”。在网上,“百度”一下“灰鸽子”病毒可找到相关网页约243万篇,其中关于如何用灰鸽子抓“肉鸡”的教程随处可见。并且叫卖灰鸽子教程的人宣称“包教包会”。在他们教唆下,没有任何基础的人都可以从庞大的网络用户群中,轻松捕获那些疏于防范的用户,并将其变为自己的“肉鸡”。每个“肉鸡”按信息量的大小价格从5角至5元不等。
他们通过交易网站、网络支付等正当的交易手段销售从“肉鸡”上盗窃来的QQ号码、QQ币、游戏币、名人隐私资料、私人照片、私人视频等,在网上倒卖并从中获利。除了倒卖“肉鸡”、销售盗窃脏物外,黑客们还操纵“肉鸡”,让“肉鸡”成为他们牟利的工具。
目前病毒传播以“网站挂马”最为常见。在某个网站的页面中安放木马病毒程序,只要网民浏览了这个页面或者下载并安装了这个网站所提供的控件程序就会感染病毒。熊猫烧香传播如此之快,就是因为国内几家知名网站的网页中了这种病毒,于是凡看过此网页的人的电脑便中了此病毒。有时制造几万只“肉鸡”仅需半小时。
据国家计算机网络应急技术处理中心介绍,按一个普通的“灰鸽子”操控者一个月抓取10万台“肉鸡”计算,一个月能轻松赚取至少1万元,而这还不包括窃取“肉鸡”电脑上的QQ号、游戏账号、游戏币、银行账号等进行交易所获得的收入。目前这条“黑色产业链”的年产值已超过2.38亿元人民币,造成的损失则超过76亿元。
由于网游的普及性和装备的稀缺性,导致其市场需求十分旺盛,而病毒产业链则完全以市场为导向。因此交易内容也多以网游的账号、密码、装备为主。搜索一下网上游戏装备的报价,百元以下的装备属于极少数,而几百元、上千元甚至几千元的装备则占了绝大多数。而正是在这种市场上,经过一番公开叫卖、讨价还价后,虚拟世界的网络货币得以兑换、交易,并顺利摇身转变为现实货币,而虚拟物品也就此具备了现实价值。
二、问题成因探析
1.立法滞后,亟待完善
中国互联网络信息中心公布的最新数据显示,截至2007年9月,我国的互联网用户已经达到1.72亿,保持了两成以上的增速,这无疑为网络传播病毒的滋生和迅速蔓延提供了难得的温床。目前我国的法律规定尚未涉及到这一领域,网络安全的立法明显滞后,由于缺乏信息安全法、个人数据保护法以及关于虚拟财产认定和保护的一些基本规定,都直接导致了这一领域法律保护的薄弱。因此,加强网络方面的立法,让一切网络行为都有相关的法律来约束就显得尤为迫切。
2.取证困难,发现滞后
我国目前很多网络行为还是以匿名方式为主,安全技术防范措施还不够健全,因此在打击此类违法犯罪活动时,存在一定的技术困难。网络是虚拟的,如制作、传播病毒的后果和损失的证据难保全、易灭失、损失情况难于评估,而且取证相对困难。根据法律,制造传播病毒者,要以后果严重程度来量刑,也就是刑罚处理是按级别判处的。然而病毒所致后果的严重程度却很难衡量,使得病毒犯罪难以定罪。因此,此类案件虽然传播面广泛,但获得有效的法律证据较为困难,罚款少而办案成本却较高。
3.定罪困难,缺乏震慑
目前实施网络安全攻击的成本非常低,攻击工具可以在网上以非常低的价格购买,但处理攻击、防御攻击的代价却很高。而现有法律法规对网络安全犯罪缺少具体司法解释,缺少具体定罪量刑标准。据知情人士介绍,“一般只有在造成一定影响后,公安机关才会介入。”而造成影响的,痕迹比较明显,危害也往往比较严重了。因此,历次病毒的泛滥,最终却由于各种原因,大事化小、小事化了,这种情况使得病毒编制者有恃无恐,无疑助长了黑色产业链的发展并很大程度地威胁着网络安全。安全专家不无担心地指出,目前急需一次标志性的事件来给网络病毒编制者一次震慑。
4.界定困难,急需加强
据了解,目前的《计算机信息网络国际联网安全保护管理办法》中规定制造和传播病毒是违法的,但是对于木马、黑客程序等并没有清晰的界定,这也是灰鸽等木马程序制造者敢于利用网络公开叫卖的根本原因。此外,目前在打击新形式犯罪中还存在着立案难、取证难、定罪难等难题。比如,虚拟资产在现实中难以认定价值,定盗窃罪没有依据。受害者有权利提起民事诉讼请求,但操作上还是有些困难,包括搜集证据、赔偿的标准和计算方法,目前我国立法上缺少统一的规定。
参考文献:
[1]王占阳:关于黑色产业链的深层思考[N].南方周末,2007年6月28日
[2]刘菁:揭密网络黑色产业链,病毒催生全民黑客时代[J].嘹望・新闻周刊,2007年12月17日
