时间:2023-11-20 10:01:14
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇国内信息安全事件,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
(一)信息安全组织临时化
通常,制造型企业只有在发生了信息泄露、病毒攻击、系统破坏等信息安全事件时,才会临时从信息技术部和业务部门抽调人手处理和解决信息安全事件.出现新的信息安全要求时,才会临时组建项目小组,根据新的信息安全要求制定解决方案并实施计划,项目完成后,临时小组就会解散,没有人会继续跟进和执行解决方案.由于没有定期的信息安全评估,安全计划不断地重复开始和结束,带来大量的人财物重复投入,这将导致安全计划成本不断增加,企业的工作效率不断降低,信息安全防护也未得到有效提升.
(二)员工上网无限制
虽然制造型企业为员工上网提供了用户名及密码,并且对其登录的网站进行了监测,但是员工在工作时间还是可以无设防地利用外网进行网页游览、网络社交等行为,并且使用一些网站的免费邮箱随意地接收和发送电子邮件,这些给黑客、病毒、钓鱼软件等创造了对企业内部网络攻击的机会.于是,员工在不了解原因的情况下,使得企业的信息被泄露或者内部网络瘫痪,从而影响企业的正常工作,造成企业资产的损失.
(三)个人移动设备(BYOD)使用泛滥
在制造型企业的办公场合,员工会携带个人移动设备(BYOD)如笔记本电脑、平板电脑、智能手机、移动硬盘等进行办公.企业员工可以较为随意地使用这些移动存储设备对内部文件进行拷贝,并且可以使用移动设备接入企业内网的无线WiGFi,并拥有一定程度的内网数据读取权限,这样做虽然节约了企业的办公成本,提高了办公的效率,但是也增加了企业内网病毒感染及遭受黑客恶意入侵的风险.
(四)信息安全防护水平有限
出于性能、技术等因素的考虑,加之国内自主研发的信息安全产品较少,目前进口的信息安全产品受到许多制造型企业的广泛采用.尽管这些企业的信息安全需求以此得到了满足,但近几年来,进口产品设备故障的频繁发生也对制造型企业的业务带来了不同程度的影响.同时,进口信息安全产品已经占据了这些企业信息系统的关键节点,这使得企业的商业机密时刻处于高危状态.不仅如此,部分制造型企业仍旧停留在使用免费的个人版杀毒软件阶段,而这些软件不仅无法解决病毒交叉感染的问题,也没有统一的管理平台对企业内网的安全系统进行统一的升级与维护.另外,信息安全产品在企业内的无序堆叠不仅使得各安全产品存在兼容性问题,同时也使得各产品厂商只能提供与自己产品有关的技术支持,导致企业对问题很难进行跟踪和排查.最后,企业电脑终端上的防毒程序未开启或者未升级至最新版本,以及系统漏洞修补的不及时都造成了多病毒大面积入侵企业内网.
(五)信息安全事件处理不及时
制造型企业在发生信息安全事件时,即使有相关的信息安全管理产品,但无法迅速定位安全事件,更无法快速进行安全事件响应处理,常处于混乱、无序的运维管理状态.由于企业的安全管理人员无法全面了解整个企业网络中正在发生的内部越权访问和外部攻击,出现问题时,他们多表现得无从下手或者手忙脚乱.而且,企业各部门各自为政,对发生信息安全事件无法进行统一规范的快速处理.
二、制造型企业信息安全薄弱的原因
(一)员工信息安全意识淡薄
制造型企业员工信息安全意识比较淡薄,主要表现为企业管理层没有充分认识到信息安全的重要性,没有将信息安全管理工作与企业生产安全管理工作放在同等重要的高度来对待,更没有把它作为日常管理工作的一部分.管理层之所以没有信息安全意识主要是因为信息安全不会直接为企业带来经济效益,反而需要投入大量的时间和资源,尤其是对于受部门业绩压力和资源限制的业务部门来说,他们不愿意把时间和资源放在信息安全防护工作上,并且他们还认为不采取安全防护措施不一定会造成损失.普通员工则表现在他们不了解什么信息安全,不知道遵守和执行信息安全制度对自己及企业带来的影响,缺少必要的信息安全教育与培训,有意或无意地导致信息安全事件的发生.
(二)信息安全技术体系不完善
信息安全防护水平受到限制除了受上述因素影响外,还有就是没有完善的物理安全、运行安全和数据安全相统一的信息安全技术体系,具体体现在企业使用的软件设计存在缺陷或者技术漏洞、杀毒软件不及时更新;信息系统设计没有以风险评估为基础、业务流程描述错误或漏洞、数据访问权限设置不清晰、关键数据没有备份等因素;物理安全边界不明确、设备或存储介质缺乏安全措施、电缆损坏、不可抗力的自然灾害等.
(三)信息安全事件应急响应机制缺失
信息安全事件处理不及时很大程度上是因为没有建立信息安全事件应急响应机制.制造型企业没有对信息安全事件进行分级响应与处置,也没有结合企业的实际情况通过预测、评估和分析安全事件对企业造成的后果程度进行等级划分,并针对不同的安全事件制定相应的应急预案.同时,大部分制造型企业在处理信息安全事件时更多依靠的是人的经验和责任心,缺少标准化的信息安全事件处理流程,以及必要的审核和工具支撑.
三、改进制造型企业信息安全的对策
通过上述分析可知,信息安全问题不仅出现在技术方面,还更多地出现在管理方面.因此,为了保障企业的业务持续运行,加强企业的股东、客户以及服务提供商对企业信息安全的信任,增强企业的核心竞争能力,制造型企业可以将管理、技术和运维三方面有效地结合起来,促进企业的可持续发展.
(一)建立健全的信息安全组织层级结构
企业信息安全组织架构的建立是围绕企业信息安全管理的战略目标,对企业的信息资源、人力资源、安全技术产品等进行合理安排和配置,构成相互协作的有机整体,使企业的信息安全活动协调有效地运行.制造型企业通过建立多层次、跨部门的信息安全决策委员会、信息安全工作部、信息安全执行部的层级结构,不仅能在企业中形成一张网,覆盖企业的各个部门,有利于信息安全措施的实施和针对信息安全事件的快速响应,而且还能为后续建立信息安全管理体系提供组织上的保证.信息安全决策委员会主要负责制定信息安全制度和策略、明确各部门信息安全职责、协调各部门实施信息安全控制措施以及信息安全活动的实施等.信息安全工作部由各部门负责信息安全管理的工作人员构成,实施决策委员会制定的信息安全策略、制度和方针,并负责各部门的信息安全管理工作.信息安全执行部具体有三个部门,即信息安全规划部、信息安全监督审计部、信息安全运行保障部,并且由各部门进行业务支撑。
(二)加强人员教育培训和规范管理
信息安全最大的威胁不是来自于企业外部的攻击或是企业信息安全技术的缺陷,而是企业人员缺乏信息安全意识.为了能够有效地提高企业员工的信息安全意识,企业需要对员工进行完善的信息安全教育培训,这不仅能提高员工的信息安全保护技能,还能更好地保护企业的信息安全.制造型企业在制定信息安全教育培训内容时,可以根据员工在企业中所处的职位高低和工作性质的不同有针对性地制定.对于企业管理者而言,教育培训以信息安全核心知识、风险管理、信息安全政策等为主;企业的信息技术人员,则是以信息安全技术教育培训为主;一般员工结合所在部门的业务特点以信息安全意识培训为主.除了对企业的人员进行教育培训,还需对其进行规范化管理.对掌握产品生产、原材料采购等核心信息的管理者实施更加严格的信息安全监督管理制度;对负责计算机系统及日常维护的人员界定其工作权限;规范化管理员工的上网行为,合理利用网络资源,避免人为的网络安全隐患.同时在规范管理中引入绩效考核机制,这样不仅使信息安全管理的指标量化,而且,通过信息安全监督审计工作组对员工信息安全工作进行考核,使员工更加重视企业信息安全.因此,加强企业员工的教育培训和规范化管理,不仅可以营造企业信息安全文化氛围,还可以约束员工的行为,减少人为因素导致的信息安全事件发生.
(三)完善信息安全技术体系
信息安全技术是企业信息安全的保障,完善的信息安全技术体系可以防止由于技术因素导致的信息安全漏洞,避免给外部攻击者留下可乘之机,从而减少技术因素导致的信息安全事件发生.制造型企业需从以下六个方面去建立完善的信息安全技术体系,并采用“适度防御”的原则,选择合适的安全技术与产品,形成企业适用的安全技术防线.一是保障并完善数据安全,制造型企业需通过加密的手段保护企业系统中数据的机密性和完整性,从而提高数据访问的抗抵赖性,同时加强数据的异地灾难恢复机制,实现本地数据的实时远程复制与备份,避免本地系统遭受灾难性破坏导致企业系统中数据的遗失.二是保障并完善终端安全,制造型企业除了要采用全面可靠的防病毒体系和防火墙技术外,还需制定严格的移动终端设备使用制度,一方面是为了避免内部员工利用移动终端设备随意拷贝企业内部文件,导致企业内部信息向外泄露,另一方面是为了防止移动终端设备携带的病毒漏过企业系统设置的防火墙而直接在系统内部传播.三是保障和完善应用安全,除了提供用户名和口令外其他身份验证机制,必要时还需支持双因素认证和具备登录控制模块,同时在日常工作不受影响的情况下,控制员工访问权限,减少越权操作的现象,最大限度地保障个人系统的安全.四是保障和完善网络安全,制造型企业还需通过内外部署相应的网络与信息安全设施使计算机设备的物理管理得到加强,并对入侵检测系统和漏洞扫描系统进行内外部攻击和误操作的实时保护的安全设计,使系统免于网络攻击的同时,也提升了系统管理人员的安全管理水平.五是保障主机安全,除了采用系统扫描技术对操作系统层设备和系统进行智能化检测来帮助网络管理人员高效地完成定期检测和操作系统安全漏洞修复的工作,还应采用系统实时入侵探测技术来监控主机系统事件,检测攻击的可疑特征,并给予响应和处理.六是保证物理安全,制造型企业需要保证机房与设施的安全,针对环境的物理灾害、自然灾害和人为的蓄意破坏采取安全措施,并通过防盗、防毁、防电磁干扰来保证设备的安全.
(四)建立信息安全事件应急响应机制
(1)传统意义的安全防护措施各类产品只关注安全的某一方面,这些分散独立的安全事件信息难以形成全局的风险观点,导致了安全策略和配置难于统一协调,安全事件无法迅速响应。
(2)由于安全相关的信息量越来越大,关键的安全信息和告警事件常常被低价值或无价值的告警信息所淹没,一些全局性的、影响重大的问题很难被分析和提炼出来。
(3)网络系统和安全系统的日益复杂在不断地增加运行维护的难度、工作量和人力成本,对于位置分散的、数目众多的各类主机、网络设备、安全设备等进行逐一管理耗时耗力。整天忙于“救火”,却不知道先“救”哪一个。
(4)由于新的安全威胁总是出现在安全应对措施之前,完全依赖安全技术的安全防护系统无法真正确保网络的安全和提高企业的安全防护能力。
1 系统技术方案
1.1 研究目标
建设一个全方位、集中式的电力企业信息安全监管平台,集中采集各类分散安装的主机、网络设备、安全设备的安全信息和事件记录,进行关联性分析、优先级判断和可视化展现,对企业信息安全状况(物理安全、边界安全、应用安全等)进行全局性、局部性的风险评估,对安全策略和配置进行统一协调,对安全信息和安全事件迅速、准确地做出响应、处理和统计。
1.2 系统技术要点
(1)基于异构模式的监控信息采集平台。通过Agent、SNMP、WMI、Telnet等多种数据采集方式对各种防火墙、路由器、操作系统等日志进行收集,实现对IT基础架构日志的全面掌控,同时对收集的日志进行标准化和格式化。
(2)构建IT资源运行模型库,智能分析资源运行状态。系统可以根据采集到的数据,生成一个资源运行模型库,并将实时采集的数据与模型库对比,变化超过预订范围即产生报警。
(3)通过对通信包数据的检索、智能分析,准确定位运维问题设备。
(4)通过对运维数据包的中转,控制运维人员对服务器、网络设备等资源的访问,并在访问过程中记录相应的操作,以备日后审计,实现对运维人员操作的控制、监控、审计。
(5)使用Shark工作流引擎,串联运维工作的各项环节,实现IT运维规则联动。
2 主要功能
2.1 信息安全事件集中采集
(1)信息采集:采集来自不同设备的事件记录(如防火墙、网络设备、操作系统、数据库及其它应用程序等)后,进行日志分析、事件优先重要性分析及可视化呈现,是所有安全信息处理的中枢。
(2)报表服务:基于不同设备类型日志定制实现不同展示方式的报表。特别是合规性的报表。
(3)日志库管理:系统将采集来自不同设备(如防火墙、网络设备、操作系统、数据库及其它应用程序等)的各种格式的事件记录,通过统一的格式转换存储到日志库中。
(4)日志文件下载:FTP日志下载功能,可以方便的从FTP服务器上下载日志文件到系统所在服务器上的指定位置,方便值班人员的查询、浏览、管理重要日志文件。
2.2 信息安全事件日志分析
作为通用事件日志存储库分析中心,分析所有企业的事件数据,这些数据进而又用于检测威胁、快速排除故障和简化合规性监控。安全事件日志分析系统可以分析所有企业日志数据,同时提供压缩的、低耗高效和自管理的日志存储库。
2.2.1 全网日志的集中分析评估
通过综合日志审计系统实现了对网络中的不同类型安全设备(如防火墙,IDS等)、网络设备(如路由器、交换机)、操作系统(如Windows、 Linux)等多种产品及系统的日志数据的分析,支持对不同格式日志的统一的格式转换和分析,省去了管理人员以前的单一、逐类进行日志信息分析的模式。
2.2.2 全网业务合规管理
综合日志审计系统具有对网络内的非法攻击、病毒爆发、违规外联等事件进行综合汇总分析,从而了解全网中的安全与业务合规状况。
2.2.3 深层次的数据挖掘分析
采用了先进的数据挖掘分析技术,从收集到的大量数据当中进行深层的数据挖掘,该技术融合了数据库、人工智能、统计学等多个领域的理论和技术,从而提取出一些隐含的、潜在的有用信息来为决策系统服务。
2.2.4 报表定制和发送功能
为用户提供自定义报表功能,客户可通过简单灵活的定制方法定义日报、周报或者月报,报表内容包括状态统计报表等,展示形式包括饼图、柱状图等,不同类型的报表可以定制不同的统计方法,以邮件的形式按照设置的制表时间自动发送给定义的报表接收人。
2.2.5 存档和报告事件
日志分析系统能从分布式的Windows和UNIX主机,路由器,交换机收集事件日志或系统日志。日志将被自动存档,并立即生成报表以显示网络重要的系统信息,直观地呈现主机的重要事件和所有事件相关的进程等信息。
2.3 信息安全事件报警
本系统提供图形化报警提醒界面,如果某个特定的区域发现符合报警条件的情况,则产生告警。并且将报警信息相应的图形显示为红色扩散状的小球,以提示管理人员问题点所在,管理人员可通过网络平面图直观查看网络运行情况。当点击相应的红色小球,则显示具体的报警信息,同时可以进入详细页面查看原始日志和标准化后的报警日志。
2.4 运维流程管理
将传统工作模式中的工作流程固化到系统中,通过电子化的审批模式,将运维工作进行规范和优化、达到工作量化、电子自动化、流程可控、办事透明、降低成本的效果、帮助企业实现高效管理。
2.5 信息安全事件定位取证系统
从安全信息的来源入手,对各种安全信息进行集中分析,从而有效地发现安全问题,包括攻击、故障和安全事件,并通过事件和攻击痕迹,向管理者阐明当前IT环境的安全状况;同时安全信息监管还包括对安全信息原始数据的保存,为今后的取证准备了必要条件。
3 应用效果
系统运行以来取得了良好效果,公司信息安全管理水平稳步提升,信息安全局面保持良好,取得了明显的成效。
3.1 构建起了完备的信息安全监管防护体系
系统集运维、监测、告警、分析、联动等功能集成于一体,构建了一种全过程、全方位的信息安全监管新模式,辅以策略联动、知识库管以及相关的配套措施,建立起了“事前告警、事中响应、事后追查”的信息安全监管体系,降低了信息安全的风险,避免了由于信息安全事故给企业造成的损失。
3.2 严密的审计回放功能确保操作“可控、在控、能控”
针对系统关注的设备操作进行监控、记录回放,让所有运行的设备操作正确、规范。
3.3 严格的操作监视控制功能有效防止“误操作、非法操作”
系统通过对不同用户化分权限设置和管理,并监控用户的所有操作,防止合法用户的的误操作,非法用户的恶意操作。
3.4 解决了一直以来网管工作的被动局面
量变引起质变,要想改变信息安全工作从被动的问题处理模式到主动的预防问题的发生,就必须从问题的“量变”开始预防,该平台的实施,建立起了完善的预警策略,避免信息安全问题“质变”的发生。
3.5 优化固化管理流程,实现信息安全管理提升
通过科技流程实现了设备的全生命周期管理,将事件、问题、变更过程有序的管理起来,建立可视化的工作管理平台,实现了对管理流程的梳理与再造。岗位工作人员严格按照自己的权限和角色,通过网上审批的刚性执行,实现“行为约束”和“制度落地”。制度直接落实到流程节点,规范了各级人员行为管理,大大提高了管理的规范性和可控性,实现了优化固化流程的工作目标,进一步提升信息安全管理。
在今年的OWASP中国峰会上,Forrester Research首席分析师王晨曦了一组关于互联网安全现状的数据,其中有一个关于应用安全的惊人数字:2010年,在所有与黑客攻击有关的活动中,92%的涉及数据泄露的事件均利用了网络应用层的漏洞。它似乎在告诉我们,Web应用安全已经不再是信息安全界的“小语种”,它正成为全球信息安全行业急需探讨的课题。
Web安全事件已无处不在
当前,国内由Web应用漏洞而引发的安全事件不断出现,更重要的是,这类安全事件的影响也在加大。博威特网络有限公司中国区总经理何平告诉记者,针对Web应用漏洞的攻击技术、攻击工具,如今在互联网上几乎唾手可得。校园网上的BBS、黑客网站、博客上,都可以找到发动这类攻击的工具软件,甚至完全不懂任何网络攻击技术的人,都可以做到黑客可以做的事,再加上“黑色产业链”对各种网络攻击事件的刻意操纵。Forrester Research所的数据已经相当客观,前段时间伊朗的网站被攻击的事件,正是黑客组织利用Web应用漏洞发起的带有政治色彩的攻击。所以,保证Web应用的安全,也是保障国家信息安全的核心任务。
与这一现实相悖的是,尽管我们的互联网生活已经陷入了Web应用漏洞造成的安全阴影中,但当前大多数用户却对Web应用的安全风险完全没有概念,原因是什么呢?
何平告诉记者,这主要是因为在互联网应用快速变化的过程中,信息安全问题也出现了颠覆性的变化。比如浏览器的交互性应用,让过去的浏览器和现在的浏览器在本质上出现了巨大的区别,浏览器已经变成了众多应用的承载者。另外,各种移动终端也开始成为互联网应用的“访客”,数据传输的链路变得更加复杂。大多数人关注的是互联网应用如何越来越丰富,如何越来越便捷,而这种快速的变化与以往的安全体系架构自然不匹配,而在“黑客”眼中,这种差距正是盗取有价信息的大好机会。
既然是应用系统安全漏洞引发的问题,在系统研发阶段,这些安全风险是否可以被最大化地规避呢?何平认为,应用系统的安全漏洞永远都存在。因为,在应用系统的研发过程中,如果过多地考虑未来的安危,必然会影响系统的交付,强调安全的做法没有商业驱动力,所以应用程序的漏洞必然会长期存在。
WAF标准有望尽快落地
当前,Web应用安全需求的增长,已经使Web应用防火墙(Web Application Firewall,简称WAF)成为越来越关键的安全产品。何平在参加OWASP峰会时也指出,当前企业快速发展的业务正在对应用系统提出更高的要求,Web应用安全市场虽然不会迎来爆发式增长,但是也已经进入了一个快速成长期。而且,由于近年来国际市场日趋成熟,WAF市场的国际标准也在逐步形成,并对传统的美国信息安全协会和信用卡支付标准PCI DSS所形成的一些标准作出了不少更实用的修正。
同时,他也表示,从国内市场当前的情况来看,国际标准并不是用户所看重的,大多数厂商的WAF产品多以用户需求为标准,相对国际市场来说缺乏对Web应用安全产品的价值评估体系,在某种程度上阻碍了市场认知度的提升。但从市场整体发展趋势来看,不管是OWASP这样的专业技术组织,还是行业用户都对具有实用价值的标准的落地起到了推动作用。
关于标准化,在今年的OWASP峰会上提出的WAF所要具备的功能、对某些攻击的防护能力标准,以及在易用性和安全部署方面的建议性要求等都是很有价值的。
以往,OWASP组织进行的很多项目都成为了产品市场化时的国际标准,但对致力于Web应用安全领域的企业而言,这也仅仅只是一种技术方向的指引。正如何平所说,“标准化解决不了技术的问题,技术的发展才是带动Web应用安全市场发展的动力。”
(讯)12月30日《新京报》报道,互联网用户数据泄密事件继续发酵。继CSDN、天涯、新浪等互联网公司后,京东商城、网易公司、支付宝也被卷入“泄密门”。昨日中午,有爆料称交通银行7000万客户、民生银行3500万用户以及工行用户资料外泄,泄露数据包括用户的姓名、卡号、密码等敏感信息,并信息截图。
想到了中国工程院院士沈昌祥的建议,“将网络空间安全问题提升到国家战略层面,恢复国家网络与信息安全协调小组和办公室的建制”。现在想想,这是很有远见的。
从来没有像今天一样,信息化和经济发展结成了“亲密弟兄”。可信息高速公路也有“双刃剑效应”,如果做不好安全工作,同样也会让自我财产、经济安全和国际安全,遭遇“快捷损失”。因此,信息安全工作应提升到国家战略层面。
第一,安全事件频发呼唤网络安全国家战略。据《中国互联网络发展状况统计报告》,“2008年捕获的恶意代码样本达160多万次,比2007年增加了31%,同时网络高危漏洞也频频出现。”2009年上半年,我国接收到国内外报告事件总数达9117件,其中国外投诉量猛增,而增长最多的事件类型为垃圾邮件,此外还包括网页挂马、网络仿冒及病毒、蠕虫及木马等。与此同时,感染主机3000多万台的“飞客”蠕虫;影响多个省份的“5?19”暴风影音事件。等等。网络空间安全可谓是警钟长鸣!在网络黑客、网络攻击呈现集团化、恶意化的今天,单靠软件研发企业和用户,这种各自为战的防御态势,显然和安全危机,构成了一种发展和信息不对称,无法应对大规模群体性及技术复杂的网络空间安全事件。因此借助国家战略,达成信息共享,形成技术合力,达成国家层面的网络空间安全体系,势在必行,很有必要。
第二,对心不在焉的信息安全懈怠意识是一个强制性提升和纠错。虽然网络安全意识被一再强调,可目前互联网行业的恶性竞争态势仍然不断,有的恶性竞争就是忽略用户利益,强化自我利益,甚至将最起码的安全屏蔽意识都扔掉了,比如“有些网网站为了方便操作,节省成本,一些网站竟长期使用明文密码,以至轻易遭窃。再如,用户注册时禁用简单密码的网站并不普遍,有的网站不设置密保提问,甚至连验证码也没有”。借助国家战略中的某些强制性安全标准,上述懈怠行为就能得到杜绝,提升安全系数。
第三,是信息安全发展国际化趋势的必然。网络信息安全已成为一个世界性话题,比如美国,奥巴马总统上台以后就提出了44届总统网络空间安全报告,进行了多个演习评估。他们设定一条基本的原则,网络安全是国家的一项关键资产,美国将动用国家力量的所有工具对其实施保护。这种前瞻性意识,已经是不少国家的共识。别的国家的网络安全系统和标准先进了,如果我们“不够先进”,那就是一种落伍,会受到更多“信息被动”和“安全被动”,甚至会受制于人。因此,我们也应该抓紧赶上。
正如中国信息安全的“宪法”性文件——27号文件所言,信息安全已经成为国家安全的重要组成部分,要加强以密码技术为基础的信息保护和网络信任体系建设、加强信息安全法制建设和标准化建设、加强对信息安全保障工作的领导,建立健全信息安全管理责任制,对于这些,我们应该高瞻远瞩,抓紧落实,而不能再有丝毫懈怠了。(来源:千龙网 编选:)
盗号者大规模地利用被泄密用户信息,获取并激活新用户展开网络营销,甚至网络垂钓,一时人人自危。由于许多网民的邮箱、社区、微博、支付宝、信用卡、网银等都是使用相同的用户名和密码,网络安全的风险极大,而一旦银行卡信息泄露,更会威胁到个人资金和国家金融的安全,影响将更大。这场号称中国互联网史上最大信息泄露事件引起了国家的高度重视,银行辟谣用户数据泄露,国家工信部也通知,强烈谴责窃取和泄露用户信息行为,并要求各互联网站开展全面自查,避免泄露事件进一步扩散。
网络安全不可小觑
由于近些年我国互联网发展速度非常之快,进而引发各种网络安全事件不可小觑。上海众人网络安全技术有限公司(以下简称众人科技网络)董事长谈剑峰表示,目前国内网络安全存在的问题主要为黑客攻击,其手法较多,例如钓鱼网站。
在金融行业,黑客可以通过钓鱼网站盗取电子银行信息,并通过登录获取用户交易信息进而窃取资金;在网络游戏行业也存在很大的网络安全隐患,许多游戏玩家的账户里拥有许多有价值存在的虚拟物品,黑客通过盗取用户账号及密码,可以把这些虚拟物品转到自己账户名下,或通过各种方式卖掉,这对于网络游戏玩家而言是巨大的损失;在电子商务行业,由于其发展速度飞快,随之也爆发出许多安全隐患。如目前正在迅速起步的移动支付,商家更多的重心往往落在产品的应用,而对网络的安全问题较为忽视,再加之我国的黑客数量比国外多,所以国内面临的安全问题更为普遍,也更为棘手与重要。
在信息安全里,身份验证是最前端的一道门,用户首先需要通过用户名和密码来验证身份才能登陆网站,所以第一道门非常重要。2011年国内这一重大网络安全事件反映出,国内互联网行业使用传统的静态密码登陆已非常普遍,用此种方式登陆存在很大安全隐患,网站的用户信息通常是存在网站后台,一旦网站后台服务器被盗,则网站所有用户信息都有可能被黑客所截取。而通常网民的习惯是许多网站都使用同一个用户名及密码,这就使同时盗取多个网站相关信息和密码的机率大大增加。因此,保障网络安全必须锁好身份验证这第一道门,以及时把安全隐患解决。
小领域保障大舞台
近些年,我国网民数量激增,国内信息安全领域也在不断地产生新的技术和新的产品,谈剑峰表示,众人科技网络推出动态密码的身份认证,是国外已经应用很多年的先进技术,其技术特点是与时间同步,如果在同步的时间内基础算法一致,算出来的密码和同一时间服务器算出的密码比对,通过即可认证,如果不能通过则说明密码错误或令牌有问题。与目前国内普遍使用的USB KEY相比,其技术最大的特点是完全不需要与电脑接触,且在网上银行、电话银行、ATM机、POS机、平板电脑、手机都可适用,应用较为广泛。
在银行领域,已经逐渐从过去的柜面银行发展成为现在的电子银行,电子银行对于缓解柜面压力非常重要,也是未来银行发展重中之重;在证券交易方面,从传统的电脑交易延伸至电话交易和手机交易,由于不需要和电脑接触,证券行业也是最为符合动态密码身份认证的领域;同时电信运营商为许多企业规划其内部办公及内部系统管理,其中许多财务系统和采购系统等对于企业都是非常重要的信息,因此身份认证和信息的保护必不可少。
在网络游戏领域,目前一些游戏厂商已经开始使用动态密码身份认证,以更好的保护网络游戏用户的安全。
在电子商务领域,其用户的登录和交易等都需要身份认证来确保账户安全。
近些年,国家和企业也开始重视信息安全问题,市场从不被了解到逐渐获得认可,在国家密码管理局以及行业内企业的推动下,行业内国家相关标准即将出台,这对于信息安全领域的规范化和长足发展提供了更为广阔的舞台。
“腾云驾雾”迎未来
在未来发展上,众人科技网络紧密契合国家信息化建设的方向,同时推出云计算领域的服务。云计算经过多年的发展,从最初的“云里雾里”、“不知所云”,到现在各地兴建云计算中心,企业纷纷推出云服务、商家推出云产品,云端时代对于网络信息安全企业来说是发展的契机。目前众人科技网络推出针对云的身份管理及身份服务和云相关授权管理和授权服务,以及相应的云安全检测系统。谈剑峰表示,从私有云到公有云是一个发展的过程,社会对于云的安全性接受度有一个过程,如果公有云安全性得到保障,用户便会把信息逐步放到公有云上。目前,云系统里已经在应用的有通信行业,根据其行业特征制定相应基于云安全的管理架构,以及针对性的二次开发。
云安全涉及很多方面,云安全管理系统本身可以架构在laaS上,同时又可以为SaaS的一些云服务提供相应的云安全和云身份服务。虽然云计算在发展中会遇到很多困难,但大家对于公有云的接受也只是时间问题。
Key words: Internet information security;TF-IDF model;KNN algorithm;industry distribution
中图分类号:TP399 文献标识码:A 文章编号:1006-4311(2015)20-0050-04
0 引言
随着互联网的迅速发展和普及,企业的信息化建设的步伐也在不断地加快。从外部环境来看,由于市场范围不断扩大,科技竞争、营销竞争、市场和人才的争夺日益激烈,对企业形成了强大的压力。依托互联网及信息资源,采用信息技术来实现信息化,是企业保持竞争优势的有力措施。从企业内部来看,为适应外部竞争环境,企业内部结构、业务流程、管理方式以及商业模式都需不断调整、重组、变革。企业与互联网结合进行信息化建设,在引入新技术的同时,能够提高企业的应变能力、创新能力和竞争能力[1]。
同时,企业通过互联网可以快速了解市场信息,掌握市场动态,传递和交换商业信息,进而提高工作效率,节省成本,企业的信息化建设在市场竞争中具有重要的战略地位[2]。
关于企业网络信息安全的研究多集中于网络威胁的检测和具体的方法技术,或者从安全管理制度入手,协调企业内部管理机制,建立信息安全管理模型[4]。也有学者从技术、管理和资源角度出发,考虑信息安全体系的构建原则,或者针对具体的安全问题,提出具有创见性的解决或操作方案[5]。这些都是从企业建设的角度,来分析企业信息安全问题,企业个体层面的研究较多。
而从宏观上来看,不同行业面临的信息安全问题也会有所区别,如何明确不同行业的信息安全威胁程度,并出台相应政策改善信息安全状况,是相关政策制定者亟需考虑的问题。
从行业分布来看企业的信息安全状况,能够给企业带来战略性的指导,通过明确信息安全威胁程度,可以有针对性地制定信息安全投入策略,优化企业管理资源配置[6]。
此外,信息安全的行业分布特征可以从整体上反映我国的信息安全体系建设的状况,进而通过加强对不同行业的引导,探索保护企业信息安全的有效途径,来完善相应的法律法规制度。
网络信息安全事件中,绝大多数是由黑客行为造成的,在易受黑客攻击的行业中,依然有部分企业完全忽视了信息安全的重要性。
本文从探究不同行业的网络信息安全威胁的角度出发,以某知名黑客论坛搜集到的300多万条黑客攻击数据为基础,旨在通过实证研究得出不同行业的网络信息安全威胁程度,为相关部门制定信息安全政策提供支持,同时为不同的行业区分不同的信息安全等级,有针对性地实施信息安全保护措施。
1 入侵行为样本数据采集及预处理
本文所采用的数据来自于某知名黑客论坛,该论坛收录了大量的网站入侵数据,每条数据由黑客攻击者本身上传,并提供相应的证据证实该行为的真实性,该论坛的工作人员会对提交的信息进行审核,确认其真实性后才会在网站社区进行。数据的采集以网络爬虫(Web Crawler)抓取的方式进行,主要抓取被攻击网站的中文标题和中文关键字,便于后续的数据处理和分析。
从该网站采集的数据文字信息杂乱无规律,且数据量大,其中大部分为无效数据。由于无效数据扩大了样本容量,不具有分析价值,在对数据的冗余统计上,会使结果造成很大的偏差。为了使分析结果更加准确,我们通过编写相应的程序代码,对初始数据进行预处理,包括外文字符的处理、半角及全角转换、汉字编码转换以及无效数据的清除等工作。清除无效数据主要包括去除无明显含义的字词、空白字符和特殊符号。我们收集到的数据总量为3445153条,经过筛选和预处理,有效数据为725550条。
《财富中国》曾经根据发达国家的行业界定与行业演变规则,对中国的行业进行了新的分类,本文参考它的分类标准,将细分的行业归结到新的行业大类中。由于分析的数据量比较大,我们采用文本分类算法对数据进行分类,先由算法学习训练数据集的分类标准,再批量完成对其他数据的分类。从有效数据中随机选取10000条不同的数据进行人工分类作为训练数据集,通过每条数据的关键字和句子描述的意义判断它属于哪个具体的行业。
2 网络信息安全数据分析
由于每一条有效数据代表着一次黑客攻击或者信息安全事件,得出每条数据的行业分类,就能看出整体的网络信息安全事件的行业分布情况。本文根据现有数据选择能够代表每个行业的关键字集合,即行业特征值,再结合训练数据集(人工分类数据集),以及KNN分类算法,对数据进行自动分类。
在数据分类过程中,对于行业特征值的选择遵循两个原则,一是关键字要具有代表性,不仅在语义上能表明这个行业,还要在分析的样本数据中,与其他行业具有一定的区分度;二是与其他行业关键字之间互斥,尽量避免与其他行业的分类词相关联,并且在其他行业数据中出现的次数比较少。为了更有效地选取行业特征值,我们采用TF-IDF模型来确定。
获得数据中每个行业的特征值之后,我们采用KNN算法对数据进行分类。由于KNN算法是非参数算法,只需要提供已经按照规则分类好的训练数据集,和分类属性的特征值,KNN算法便可以通过学习来进行新的分类。此外,KNN算法分类效果较为准确,虽然需要比对训练数据集,但由于本训练集的内容是单条数据,可以克服KNN运算时空开销大的弊端[7]。
2.1 TF-IDF模型选取行业特征值
在本研究中,TF-IDF模型的主要作用是用来寻找能够有效代表某一行业的名词,即行业特征值。一个名词在某一行业的文本中出现的频率越高,而在所有的文本中出现的越少,则区分其他行业的效用越大,相应的TF-IDF值就越大[8]。TF-IDF值的计算是基于10000条样本数据进行的。其公式为:
TF-IDF=TF×IDF=■×log■
其中:TF:该名词在某一行业文本中的词频;n:该名词在某一行业文本中出现的次数;N:行业文本中名词的总数;IDF:逆向文本频率,即所有文本数与包含该关键字文本数的商的对数;W:所有文本数,在样本数据中,值为10000;d:包含该关键字的文本数。
TF-IDF模型能够减少模糊匹配和互斥性差对分类造成的影响,较好地体现了行业特征值对行业的代表性,以及行业特征值对于分类结果的互斥性[9]。
①获取关键字的TF值。
TF-IDF模型使用人工分类的数据(训练数据集)来获取行业特征值,在得到某一行业的行业特征值之前,我们将候选的名词称为关键字。由于篇幅有限,这里只以信息相关行业为例介绍如何通过TF-IDF模型选择关键字,并优化形成行业特征值的过程。首先通过编写程序对“信息相关行业”样本数据进行分词并标注词性,随后选取名词作为关键字,统计词频获得TF值。
②计算IDF值,并获得TF-IDF值。
经过分词后会产生很多与信息相关行业无关的名词,这些名词并不都能代表信息相关行业。我们从上述列表中依次挑选出可以代表信息相关行业的关键字,并在10000条样本数据中搜索包含该关键字的数据条数,即模型中的d。依据TF-IDF模型公式计算出IDF值,然后将TF值与IDF值相乘获得TF-IDF值。
③基于TF-IDF模型获取行业特征值集合。
TF-IDF值计算出来后,根据大小排列,我们可以很好地了解哪些关键字最能代表信息相关行业,并能进一步明确行业特征值集合。设信息相关行业的行业特征值集合为M{n1,n2,n3…},ni表示集合中的关键字,依据TF-IDF值列表,由高到低依次向该集合中添加一个关键字,并以M集合中的关键字作为查询条件,获得数据条数。该过程是一个动态的优化过程,每添加一个关键字,搜索的数据条数都会改变,与人工分类的结果越接近我们认为分类效果越好。
我们设置参数偏离度De来衡量优化性能,De的计算公式为:
De=■=■
其中:De:用来衡量与人工分类偏离程度,值越小,表明分类效果越好;R:经过TF-IDF模型优化后的分类方案所得出的行业百分比;s:用行业特征值集合查询的数据条数;S:样本数据总条数,为10000;P:人工分类的行业百分比,信息相关行业P值为19.01%。
2.2 应用KNN算法进行数据分类
由于KNN算法能够学习训练数据集的分类标准,且具有分类精度高、稳定性强的特点[10],本文采用KNN算法实现文本的自动分类。KNN算法分类过程涉及到特征值的选取和相似度的计算,特征值即在TF-IDF模型优化的过程中选出的行业特征值集合。语义相似度采用夹角余弦函数进行计算,两个文本向量在空间中的夹角越小,余弦值越大,表示其语义相似度越大,反之亦然。KNN的决策过程如下:
C=argmax■(score( ■,c■))
=argmax■■Sim( ■,■)δ(■,c■)
其中KNN(■)表示文档的k个邻域,δ(■,c■)含义如下:
δ(■,c■)=1 ■∈c■0 ■?埸c■)
c■表示不同的行业分类;■表示待分类的文本向量;■表示K个邻域中的第j个已确定行业分类的行业特征向量;Sim(■,■)表示待分类文本向量与已确定分类文本向量的相似度。
2.3 数据分类结果
依据KNN算法分类思想,结合自然语言处理开源工具包(FudanNLP),编写相应的程序代码,实现KNN分类器的算法分类。FudanNLP运行环境为联想Z460笔记本电脑,6G内存,酷睿i3处理器,2.53GHz。全部的有效数据经过KNN分类器运算的分类结果如表1所示,信息相关行业、专业服务、教育、旅游休闲均超过了5%,其中信息相关行业逼近20%,是网络信息安全问题出现最多的行业。其次,建筑建材、医药卫生、文化超过了3%,企业的网络信息安全问题仍然严峻。其他行业占比比较低,交通运输和制造业相对较高。
3 行业分类结果分析与建议
根据分类结果,我们对不同行业所面临的网络信息安全威胁进行了等级划分,如图1所示。在本研究数据中,网络信息安全问题占比5%以下的行业,网络信息安全威胁程度较低;占比5%-15%的行业,网络信息安全威胁程度适中;占比5%-15%的行业,网络信息安全威胁程度较高。
3.1 建立信息安全管理体系框架
英国标准协会(SBI)于1959年制定了信息安全管理体系标准,并于1999年进行了修订改版,2000年12月经包括中国在内的国际标准组织成员国投票表决,正式转化成国际标准。信息安全管理体系框架(ISMS)的建立,对保护企业信息资产安全,建立良好的市场秩序,提升企业的综合竞争力,有着重要意义。这是一个庞大的系统工程,必须依赖政府自上而下的顶层设计,来构建新的治理体系[11]。该框架应对信息安全的管理目标、管理主体与客体及管理工具,进行详细的阐述与界定,对不同的行业应有不同的要求,根据行业信息安全威胁程度,来实施信息安全保护及等级评估的具体措施。
目前,我国政府以及各行各业已经认识到了信息安全的重要性,国务院办公厅先后颁布了一系列相关政策,直接引导推进信息安全系统的应用和发展。
此外,政府相关部门应对信息基础设施加以整合,集中网络信息安全的领导权和统一诸如加密标准、认证标准、数字签名标准等信息安全产业标准,通过加强跨区域、跨部门的系统互联来实现网络信息安全。
同时,各行业信息安全管理框架应由各机构根据自身的实际状况搭建,制定适合企业自身业务发展的信息安全管理框架。
3.2 信息相关行业
由统计结果可以看出,信息相关行业中的企业更容易出现网络信息安全问题,占比接近20%,这和信息相关行业本身的性质有关。
首先,信息相关行业以互联网企业居多,与网络有更强的粘滞性,大部分的业务都需要通过网络来完成,网络中存在大量的信息安全威胁,对直接暴露在复杂网络环境中的服务器、主机终端等硬件设施,和处理企业事务的软件,具有较强的破坏性。
比如2014年9月,美国家得宝公司确认其支付系统遭到网络攻击,将近有5600万张银行卡的信息被盗。其次,部分企业自身的防范意识不足,防范措施不完善,无法适应较高的信息安全要求,尤其缺乏专业的信息安全管理人员,导致信息安全事件频发。
此外,国内信息相关行业的安全体系并没有完全建立起来,无法对企业形成有力的督促效应和政策约束,大部分企业忽视了在信息安全方面的投入,没有上升到企业战略的高度。
信息相关行业中的企业应明确自身承受着较高的网络信息安全威胁,首先应加大在信息安全方面的资源投入,一是增加物理防护,增加服务器,运行防火墙等软件,或者开辟网络专线;二是增加软件防护,安装企业级的杀毒软件,对网络安全状况进行及时的监控,并排除威胁。其次,设立严格的信息安全保障制度,保证业务的正常开展,从而减少信息泄露或企业业务中断的风险,获得商业竞争优势。
同时,国家信息安全相关部门可以对信息相关行业中的企业设置信息安全建设绿色通道,鼓励他们积极完善自身的信息安全防护机制,必要时设立审查制度,定期对企业的信息安全建设情况进行审查并进行评级,确保相关政策有效落实。
3.3 专业服务、教育和旅游休闲行业
专业服务、教育和旅游休闲的信息安全事件均超过了5%,表明在这三个领域仍然存在着较高的网络信息安全威胁。服务行业包括广告、维修、设计、通信等,从行业特征来看,他们在互联网安全的投入中并不会占整体投入的太多比例,网络安全受到威胁,不会对他们的业务带来显著的影响。
相对于信息相关行业,专业服务、教育和旅游休闲的企业信息安全问题,更多的是来源于网络安全基础设备的不足,由于网络连接不涉及核心业务,大部分企业忽视了硬件设备的采购以及防护体系的建立,企业信息遭到窃取和泄露在所难免。
这一问题在教育行业尤为突出,一些高校为了减少网络建设投入,同时也为了给学生提供技术锻炼平台,直接将门户网站和非关键系统的建设与维护交给了学生团体,由于缺乏经验的积累和相关核心安全技术,部分高校网站的脆弱性可见一斑。
旅游休闲类服务型企业,通常会通过在线交易开展业务,比如预定付款、网络游戏充值等等,更容易成为不法分子的攻击目标,信息安全事件也时有发生。2014年10月,摩根大通银行网络数据库遭窃,其承认7600万家庭和700万小企业的相关信息被泄露。
该行业中的企业由于自身业务的限制,往往缺乏相应的信息安全应急机制和处理方案,更没有针对自身信息系统的安全管理措施。这种情况下,企业应加强寻求对外合作,让更专业的第三方机构负责信息系统的实施与维护,签订服务水平协议,并提供信息安全保障。
此外,尽量减少经济利益的网上流通,加大审查力度,网上支付、在线交易等要进行严格的审批,没有足够安全保障的企业,不能提供此项服务;同时也要对现有的线上支付方式进行检查,具有潜在安全隐患的要及时进行警告和撤销,并转换为线下支付。
3.4 其他行业
建筑建材、文化、医药卫生、机构组织、交通运输、制造业等行业中的信息安全事件均超过了1%,其余行业的信息安全威胁较低。这类行业较少利用网络来开展业务,因此企业信息泄露的风险普遍较低,发生信息安全事件的可能性不高。
尽管如此,每年仍然会有相当规模的网络恶意攻击,导致部分企业服务器瘫痪,无法进行工作。这类安全事件主要由黑客造成,多半是为了展示能力、炫耀技术或者娱乐,并非仅仅是为了获得企业的商业机密信息。
此外,企业内部人员疏于管理,信息安全意识不强,通过文件传递、口头传播或者交流聊天都有可能泄露企业私密信息。值得关注的是,金融和军事类企业网络信息安全威胁较低,主要是因为它们具有严格的内部管理制度,员工的信息安全意识,纪律性较强。
其次,它们在物理防护和软件防护上都做的比较完善,军事类企业和组织甚至开辟专用网络链路来保证信息安全。这些行业中的企业在日常运作的过程中,所受信息安全威胁较低,应主要完善内部的制度建设,加强员工的信息安全意识的培养,做到人员管理安全。同时,建立完备的危机应急机制十分必要,当网络信息安全事件发生时,企业能够从容应对。
4 结束语
网络信息安全威胁是现代企业都有可能面对的问题,通过互联网等现代信息技术开展业务是企业发展过程中的必然趋势。
防火墙、防病毒、入侵检测类产品俗称为安全产品“老三样”。用户往往是从这三样产品开始逐个购买,搭建起企业的信息安全网络基础架构的。
信息安全产业发展若干年以来,大多数的企业用户已经基本完成了对“老三样”产品的采购和部署。下一步,企业用户还应该买什么?这个问题不但用户在想,每个信息安全厂商也在想。用户思考的原因是为了将信息安全网做得更密实、安全;厂商思考的原因无非是为了多卖产品,获取利润。
但是,由于传统“老三样”的购买群正在逐渐缩小,利润率正在降低,什么样的新产品才能勾起用户的购买欲呢?我们看到,各个防病毒厂商正在努力组建并推销其专业的防病毒服务,那么防火墙、入侵检测类产品厂商们正在做什么?
安全信息管理(SIM)就是他们正在倡导的一类产品。为了应对企业内、外部的安全挑战,企业先后部署了大量的安全系统,但却往往形成各个防御孤岛―系统间缺乏协同,由此,各种安全系统产生了大量告警,出现信息过载,造成很多误报和漏报。此外,企业还面临着不断增长的内控和信息系统审计的压力,要求增强业务持续性的呼声不断提高。所有这些都在呼唤面向全网的安全信息集中管理平台的出现,这就是SIM。
安全信息管理也叫安全信息和事件管理(SIEM),是安全管理领域发展的新方向。SIM是一个面向企业IT计算环境的安全集中管理平台,该平台能够收集来自企业计算环境中的各种设备、应用的安全日志和事件,并进行集中存储、监控、分析、报警、响应和报告,变过去被动的单点防御为全网的综合防御。目前,SIM正被广泛应用于企业内部的威胁管理、合规审计、日志管理、安全审计及应急响应等方面。
某大型金融机构的CIO在使用了来自美国的SIM产品ArcSight ESM后,是这样评价的:“我们每天用ArcSight ESM处理数以百万计的安全事件,ArcSight能自动显示需要特别关注的重要事件。我们在对这些事件做出反应时,无需将精力浪费在电话、Excel和电子邮件上,只需要使用ArcSight ESM跟踪所有进展情况就行了。”
看来,SIM产品已经在帮助用户解决信息安全中的实际困难了。除了国外厂商,现在国内的知名厂商,包括启明星辰、安氏等也推出了各自的SIM产品。所有这些SIM产品目标客户的特点都一样―对企业信息的安全要求比较高。由于企业核心信息对于这些用户太重要了,所以,只要有好产品,他们往往会不遗余力地采买。
很多信息安全厂商经常抱怨:信息安全产品不好卖,利润太低。其实,通过SIM产品就不难看出,好产品只要能履行其诺言―切实做到对用户核心资产的保护,需要它的用户就不会太在意价格。换句俗一点的话说就是:“不怕价格贵,只怕你做不到。”
一、我国互联网网络安全形势
(一)基础网络防护能力明显提升,但安全隐患不容忽视
根据工信部组织开展的2011年通信网络安全防护检查情况,基础电信运营企业的网络安全防护意识和水平较2010年均有所提高,对网络安全防护工作的重视程度进一步加大,网络安全防护管理水平明显提升,对非传统安全的防护能力显著增强,网络安全防护达标率稳步提高,各企业网络安全防护措施总体达标率为98.78%,较2010年的92.25%、2009年的78.61%呈逐年稳步上升趋势。
但是,基础电信运营企业的部分网络单元仍存在比较高的风险。据抽查结果显示,域名解析系统(DNS)、移动通信网和IP承载网的网络单元存在风险的百分比分别为6.8%、17.3%和0.6%。涉及基础电信运营企业的信息安全漏洞数量较多。据国家信息安全漏洞共享平台(CNVD)收录的漏洞统计,2011年发现涉及电信运营企业网络设备(如路由器、交换机等)的漏洞203个,其中高危漏洞73个;发现直接面向公众服务的零日DNS漏洞23个,应用广泛的域名解析服务器软件Bind9漏洞7个。涉及基础电信运营企业的攻击形势严峻。据国家计算机网络应急技术处理协调中心(CNCERT)监测,2011年每天发生的分布式拒绝服务攻击(DDoS)事件中平均约有7%的事件涉及到基础电信运营企业的域名系统或服务。2011年7月15日域名注册服务机构三五互联DNS服务器遭受DDoS攻击,导致其负责解析的大运会官网域名在部分地区无法解析。8月18日晚和19日晚,新疆某运营商DNS服务器也连续两次遭到拒绝服务攻击,造成局部用户无法正常使用互联网。
(二)政府网站安全事件显著减少,网站用户信息泄漏引发社会高度关注
据CNCERT监测,2011年中国大陆被篡改的政府网站为2807个,比2010年大幅下降39.4%;从CNCERT专门面向国务院部门门户网站的安全监测结果来看,国务院部门门户网站存在低级别安全风险的比例从2010年的60%进一步降低为50%。但从整体来看,2011年网站安全情况有一定恶化趋势。在CNCERT接收的网络安全事件(不含漏洞)中,网站安全类事件占到61.7%;境内被篡改网站数量为36612个,较2010年增加5.1%;4月-12月被植入网站后门的境内网站为12513个。CNVD接收的漏洞中,涉及网站相关的漏洞占22.7%,较2010年大幅上升,排名由第三位上升至第二位。网站安全问题进一步引发网站用户信息和数据的安全问题。2011年底,CSDN、天涯等网站发生用户信息泄露事件引起社会广泛关注,被公开的疑似泄露数据库26个,涉及帐号、密码信息2.78亿条,严重威胁了互联网用户的合法权益和互联网安全。根据调查和研判发现,我国部分网站的用户信息仍采用明文的方式存储,相关漏洞修补不及时,安全防护水平较低。
(三)我国遭受境外的网络攻击持续增多
2011年,CNCERT抽样监测发现,境外有近4.7万个IP地址作为木马或僵尸网络控制服务器参与控制我国境内主机,虽然其数量较2010年的22.1万大幅降低,但其控制的境内主机数量却由2010年的近500万增加至近890万,呈现大规模化趋势。其中位于日本(22.8%)、美国(20.4%)和韩国(7.1%)的控制服务器IP数量居前三位,美国继2009年和2010年两度位居榜首后,2011年其控制服务器IP数量下降至第二,以9528个IP控制着我国境内近885万台主机,控制我国境内主机数仍然高居榜首。在网站安全方面,境外黑客对境内1116个网站实施了网页篡改;境外11851个IP通过植入后门对境内10593个网站实施远程控制,其中美国有3328个IP(占28.1%)控制着境内3437个网站,位居第一,源于韩国(占8.0%)和尼日利亚(占5.8%)的IP位居第二、三位;仿冒境内银行网站的服务器IP有95.8%位于境外,其中美国仍然排名首位——共有481个IP(占72.1%)仿冒了境内2943个银行网站的站点,中国香港(占17.8%)和韩国(占2.7%)分列二、三位。总体来看,2011年位于美国、日本和韩国的恶意IP地址对我国的威胁最为严重。另据工业和信息化部互联网网络安全信息通报成员单位报送的数据,2011年在我国实施网页挂马、网络钓鱼等不法行为所利用的恶意域名约有65%在境外注册。此外,CNCERT在2011年还监测并处理多起境外IP对我国网站和系统的拒绝服务攻击事件。这些情况表明我国面临的境外网络攻击和安全威胁越来越严重。
(四)网上银行面临的钓鱼威胁愈演愈烈
随着我国网上银行的蓬勃发展,广大网银用户成为黑客实施网络攻击的主要目标。2011年初,全国范围大面积爆发了假冒中国银行网银口令卡升级的骗局,据报道此次事件中有客户损失超过百万元。据CNCERT监测,2011年针对网银用户名和密码、网银口令卡的网银大盗、Zeus等恶意程序较往年更加活跃,3月-12月发现针对我国网银的钓鱼网站域名3841个。CNCERT全年共接收网络钓鱼事件举报5459件,较2010年增长近2.5倍,占总接收事件的35.5%;重点处理网页钓鱼事件1833件,较2010年增长近两倍。
(五)工业控制系统安全事件呈现增长态势
继2010年伊朗布舍尔核电站遭到Stuxnet病毒攻击后,2011年美国伊利诺伊州一家水厂的工业控制系统遭受黑客入侵导致其水泵被烧毁并停止运作,11月Stuxnet病毒转变为专门窃取工业控制系统信息的Duqu木马。2011年CNVD收录了100余个对我国影响广泛的工业控制系统软件安全漏洞,较2010年大幅增长近10倍,涉及西门子、北京亚控和北京三维力控等国内外知名工业控制系统制造商的产品。相关企业虽然能够积极配合CNCERT处置安全漏洞,但在处置过程中部分企业也表现出产品安全开发能力不足的问题。
(六)手机恶意程序现多发态势。
随着移动互联网生机勃勃的发展,黑客也将其视为攫取经济利益的重要目标。2011年CNCERT捕获移动互联网恶意程序6249个,较2010年增加超过两倍。其中,恶意扣费类恶意程序数量最多,为1317个,占21.08%,其次是恶意传播类、信息窃取类、流氓行为类和远程控制类。从手机平台来看,约有60.7%的恶意程序针对Symbian平台,该比例较2010年有所下降,针对Android平台的恶意程序较2010年大幅增加,有望迅速超过Symbian平台。2011年境内约712万个上网的智能手机曾感染手机恶意程序,严重威胁和损害手机用户的权益。
(七)木马和僵尸网络活动越发猖獗
2011年,CNCERT全年共发现近890万余个境内主机IP地址感染了木马或僵尸程序,较2010年大幅增加78.5%。其中,感染窃密类木马的境内主机IP地址为5.6万余个,国家、企业以及网民的信息安全面临严重威胁。根据工业和信息化部互联网网络安全信息通报成员单位报告,2011年截获的恶意程序样本数量较2010年增加26.1%,位于较高水平。黑客在疯狂制造新的恶意程序的同时,也在想方设法逃避监测和打击,例如,越来越多的黑客采用在境外注册域名、频繁更换域名指向IP等手段规避安全机构的监测和处置。
(八)应用软件漏洞呈现迅猛增长趋势
2011年,CNVD共收集整理并公开信息安全漏洞5547个,较2010年大幅增加60.9%。其中,高危漏洞有2164个,较2010年增加约2.3倍。在所有漏洞中,涉及各种应用程序的最多,占62.6%,涉及各类网站系统的漏洞位居第二,占22.7%,而涉及各种操作系统的漏洞则排到第三位,占8.8%。除预警外,CNVD还重点协调处置了大量威胁严重的漏洞,涵盖网站内容管理系统、电子邮件系统、工业控制系统、网络设备、网页浏览器、手机应用软件等类型以及政务、电信、银行、民航等重要部门。上述事件暴露了厂商在产品研发阶段对安全问题重视不够,质量控制不严格,发生安全事件后应急处置能力薄弱等问题。由于相关产品用户群体较大,因此一旦某个产品被黑客发现存在漏洞,将导致大量用户和单位的信息系统面临威胁。这种规模效应也吸引黑客加强了对软件和网站漏洞的挖掘和攻击活动。
(九)DDoS攻击仍然呈现频率高、规模大和转嫁攻击的特点
2011年,DDoS仍然是影响互联网安全的主要因素之一,表现出三个特点。一是DDoS攻击事件发生频率高,且多采用虚假源IP地址。据CNCERT抽样监测发现,我国境内日均发生攻击总流量超过1G的较大规模的DDoS攻击事件365起。其中,TCP SYN FLOOD和UDP FLOOD等常见虚假源IP地址攻击事件约占70%,对其溯源和处置难度较大。二是在经济利益驱使下的有组织的DDoS攻击规模十分巨大,难以防范。例如2011年针对浙江某游戏网站的攻击持续了数月,综合采用了DNS请求攻击、UDP FLOOD、TCP SYN FLOOD、HTTP请求攻击等多种方式,攻击峰值流量达数十个Gbps。三是受攻击方恶意将流量转嫁给无辜者的情况屡见不鲜。2011年多家省部级政府网站都遭受过流量转嫁攻击,且这些流量转嫁事件多数是由游戏私服网站争斗引起。
二、国内网络安全应对措施
(一)相关互联网主管部门加大网络安全行政监管力度
坚决打击境内网络攻击行为。针对工业控制系统安全事件愈发频繁的情况,工信部在2011年9月专门印发了《关于加强工业控制系统信息安全管理的通知》,对重点领域工业控制系统信息安全管理提出了明确要求。2011年底,工信部印发了《移动互联网恶意程序监测与处置机制》,开展治理试点,加强能力建设。6月起,工信部组织开展2011年网络安全防护检查工作,积极将防护工作向域名服务和增值电信领域延伸。另外还组织通信行业开展网络安全实战演练,指导相关单位妥善处置网络安全应急事件等。公安部门积极开展网络犯罪打击行动,破获了2011年12月底CSDN、天涯社区等数据泄漏案等大量网络攻击案件;国家网络与信息安全信息通报中心积极发挥网络安全信息共享平台作用,有力支撑各部门做好网络安全工作。
(二)通信行业积极行动,采取技术措施净化公共网络环境
面对木马和僵尸程序在网上的横行和肆虐,在工信部的指导下,2011年CNCERT会同基础电信运营企业、域名从业机构开展14次木马和僵尸网络专项打击行动,次数比去年增加近一倍。成功处置境内外5078个规模较大的木马和僵尸网络控制端和恶意程序传播源。此外,CNCERT全国各分中心在当地通信管理局的指导下,协调当地基础电信运营企业分公司合计处置木马和僵尸网络控制端6.5万个、受控端93.9万个。根据监测,在中国网民数和主机数量大幅增加的背景下,控制端数量相对2010年下降4.6%,专项治理工作取得初步成效。
(三)互联网企业和安全厂商联合行动,有效开展网络安全行业自律
2011年CNVD收集整理并漏洞信息,重点协调国内外知名软件商处置了53起影响我国政府和重要信息系统部门的高危漏洞。中国反网络病毒联盟(ANVA)启动联盟内恶意代码共享和分析平台试点工作,联合20余家网络安全企业、互联网企业签订遵守《移动互联网恶意程序描述规范》,规范了移动互联网恶意代码样本的认定命名,促进了对其的分析和处置工作。中国互联网协会于2011年8月组织包括奇虎360和腾讯公司在内的38个单位签署了《互联网终端软件服务行业自律公约》,该公约提倡公平竞争和禁止软件排斥,一定程度上规范了终端软件市场的秩序;在部分网站发生用户信息泄露事件后,中国互联网协会立即召开了“网站用户信息保护研讨会”,提出安全防范措施建议。
(四)深化网络安全国际合作,切实推动跨境网络安全事件有效处理
作为我国互联网网络安全应急体系对外合作窗口,2011年CNCERT极推动“国际合作伙伴计划”,已与40个国家、79个组织建立了联系机制,全年共协调国外安全组织处理境内网络安全事件1033起,协助境外机构处理跨境事件568起。其中包括针对境内的DDoS攻击、网络钓鱼等网络安全事件,也包括针对境外苏格兰皇家银行网站、德国邮政银行网站、美国金融机构Wells Fargo网站、希腊国家银行网站和韩国农协银行网站等金融机构,加拿大税务总局网站、韩国政府网站等政府机构的事件。另外CNCERT再次与微软公司联手,继2010年打击Waledac僵尸网络后,2011年又成功清除了Rustock僵尸网络,积极推动跨境网络安全事件的处理。2011年,CNCERT圆满完成了与美国东西方研究所(EWI)开展的为期两年的中美网络安全对话机制反垃圾邮件专题研讨,并在英国伦敦和我国大连举办的国际会议上正式了中文版和英文版的成果报告“抵御垃圾邮件建立互信机制”,增进了中美双方在网络安全问题上的相互了解,为进一步合作打下基础。
三、2012年值得关注的网络安全热点问题
随着我国互联网新技术、新应用的快速发展,2012年的网络安全形势将更加复杂,尤其需要重点关注如下几方面问题:
(一)网站安全面临的形势可能更加严峻,网站中集中存储的用户信息将成为黑客窃取的重点。由于很多社交网站、论坛等网站的安全性差,其中存储的用户信息极易被窃取,黑客在得手之后会进一步研究利用所窃取的个人信息,结合社会工程学攻击网上交易等重要系统,可能导致更严重的财产损失。
(二)随着移动互联网应用的丰富和3G、wifi网络的快速发展,针对移动互联网智能终端的恶意程序也将继续增加,智能终端将成为黑客攻击的重点目标。由于Android手机用户群的快速增长和Android应用平台允许第三方应用的特点,运行Android操作系统的智能移动终端将成为黑客关注的重点。
(三)随着我国电子商务的普及,网民的理财习惯正逐步向网上交易转移,针对网上银行、证券机构和第三方支付的攻击将急剧增加。针对金融机构的恶意程序将更加专业化、复杂化,可能集网络钓鱼、网银恶意程序和信息窃取等多种攻击方式为一体,实施更具威胁的攻击。
(四)APT攻击将更加盛行,网络窃密风险加大。APT攻击具有极强的隐蔽能力和针对性,传统的安全防护系统很难防御。美国等西方发达国家已将APT攻击列入国家网络安全防御战略的重要环节,2012年APT攻击将更加系统化和成熟化,针对重要和敏感信息的窃取,有可能成为我国政府、企业等重要部门的严重威胁。
(五)随着2012年ICANN正式启动新通用顶级域名(gTLD)业务,新增的大量gTLD及其多语言域名资源,将给域名滥用者或欺诈者带来更大的操作空间。
(六)随着宽带中国战略开始实施,国家下一代互联网启动商用试点,以及无线城市的大规模推进和云计算大范围投入应用,IPv6网络安全、无线网安全和云计算系统及数据安全等方面的问题将会越来越多地呈现出来。
[关键词] 桌面安全;大型企业;中国石油
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 14. 034
[中图分类号] F272.7 [文献标识码] A [文章编号] 1673 - 0194(2012)14- 0058- 02
1 引 言
经过数十年的信息安全建设,国内大型企业的网络及应用系统的安全防护能力已经达到一定水平。但是信息安全故障并没有随着信息安全投入的增加而下降。经过统计发现,内部网络和应用系统发生故障的原因少部分是由于网络设备和应用系统自身的问题所引起,更多的是因为内网的其他安全因素导致,如病毒爆发、资源滥用、恶意接入、用户误操作等。而这些安全因素,大多来源于用户桌面计算机,桌面安全管理已经是各个企业迫在眉睫的安全建设内容。
2 影响桌面安全的因素
2.1 企业安全组织体系不健全,专职人员缺失
大型企业的业务跨度大,地域分布广。各个二级单位的信息安全水平发展不一。有的二级单位信息部门职工上千名,有的单位却没有独立的信息部门。但所有的二级单位都统一在企业内网中运行,各类统建系统在所有二级单位中运行。对于没有没有独立的信息部门的二级单位 ,更没有负责安全体系建设、运行和管理的专职机构及人员,兼职安全管理员有责无权的现象普遍存在,依据“短板”理论,极易从信息安全力量较弱的单位为突破口,进而影响到整个企业信息安全。特别是信息安全技术的快速发展,信息安全人员需不断提升自身素质,加强业务水平,才能保证桌面安全运行。
2.2 企业职工计算机缺乏安全加固手段
尽管多数大型企业对桌面计算机的安全加固已经采取了部分安全措施,如安装防病毒软件和个人防火墙软件,甚至部署了漏洞扫描系统定期对桌面计算机进行漏洞扫描,督促用户及时更新操作系统补丁。但是,首先由于企业规模较大,管理者无法保证所有的终端用户都安装了防病毒软件和防火墙软件。其次,即便安装了这些防护软件,用户也常常因为各种原因无法及时更新病毒库。另外,系统漏洞扫描虽然可以获得桌面计算机的补丁缺失情况,但是却缺乏有效的补丁安装手段。所有这些因素,均导致桌面计算机的安全无法得到有效的保障。
2.3 企业职工计算机缺少有效的接入控制手段
对于大型企业,内网计算机数量众多且分布地域广阔。网络管理人员很难统计内网计算机的确切数量,也无法区分哪些是内网授权使用的计算机,哪些是外来的非授权使用的计算机。这种状况下,很难控制外来人员随意的计算机接入。很容易导致企业内网机密信息的泄漏,往往等泄密事件发生了,却还无法判断到底是哪一个环节出了差错。另外,对于内网授权使用的计算机,任何一台感染了病毒和木马,网络管理人员也无法及时定位和自动阻断该计算机的破坏行为。往往需要花费很长的时间才能判断和定位该计算机,然后再通过手动的方式断网。对安全强度差的桌面计算机缺乏有效的安全状态检测和内网接入控制,是导致内网安全事件不断发生的重要原因之一。
3 大型企业桌面安全管理建设
中国石油信息化建设处于我国大型企业领先地位,在国资委历年信息化评比中都名列前茅,“十一五”期间,将企业信息安全保障体系建设列入信息化整体规划中,并逐步实施,其中桌面安全管理建设是信息安全保障体系建设的重点工作,从组织、管理及技术3个方面进行全面建设。
3.1 完善安全组织体系建设
中国石油建立三级的终端安全组织架构,分别为石油总部、地区公司、地区二级单位。终端安全组织在每一级设立专门的组织,明确主管领导,确定组织责任,设置相应岗位,配备必要人员。其中集团信息化领导小组是信息系统安全工作的最高决策机构,信息管理部是集团公司信息系统安全的归口管理部门,负责落实信息化工作领导小组的各项决策。企事业单位信息部门负责本单位信息系统安全的管理,并设立信息系统安全管理、审计、技术岗位,包括信息系统安全、应用系统、数据库、操作系统、网络等负责人和管理员,重要岗位设置两名员工互为备份。
3.2 强化安全管理体系建设
安全管理体系从管理制度、培训教育、运行管理及检查考核4方面进行强化。①管理制度。根据中国石油信息安全的需求,分阶段逐步制定并完善信息系统安全管理的规章制度,加大整个信息安全制度体系的贯彻执行力度,才能使安全防护能力得到不断的提高,整体信息安全才能落到实处。②培训教育。信息安全培训涉及信息安全法律法规、信息安全事件案例等多方面,通过培训一方面提高企业员工的安全意识,使员工自觉约束自我行为,遵守各项信息安全规章制度、标准规范;另一方面及时掌握必要的信息安全技术知识和技能,在实际工作中充分利用技术手段保障信息安全。③运行管理。 通过统一设计、统一平台,统一硬件体系架构,建立中石油桌面运行管理系统。采用三级架构,分别在总部、区域数据中心部署服务器和管理软件,各企事业单位的桌面计算机安装客户端软件,整个运行管理由防病毒子系统、补丁分发子系统、端点准入子系统、电子文档保护子系统、后台管理子系统组成。其中通过端点准入防御系统,只有符合安全要求且通过用户认证的计算机才能接入内部网络使用,防止“危险”、“易感”终端接入网络,控制病毒、蠕虫的蔓延。补丁管理系统与防病毒系统相结合,实时监测和杀除病毒,实现对漏洞、病毒及恶意代码的管理和控制,电子文档保护子系统、后台管理子系统增强系统及电脑文档的安全性。④检查考核。信息管理部门定期进行信息系统安全检查与考核,包括信息系统安全政策与标准的培训与执行情况、重大信息系统安全事件及整改措施落实情况、现有信息系统安全措施的有效性、信息系统安全技术指标的完成情况。各企事业单位信息部门按照本办法和《集团公司信息系统运行维护管理办法》进行信息系统安全自我考核,信息管理部进行综合评价,形成年度考核报告,报信息主管领导。
3.3 增强桌面安全技术建设
桌面安全技术指物理安全、逻辑安全及运行安全三大模块,通过与企业内控管理进行有机结合,依据《中国石油天然气集团公司信息系统总体控制实施要求》,严格执行相关操作规范,其中物理安全指进入机房的物理安全访问控制机制、设备的物理安全管理、敏感的纸质系统文件管理。逻辑安全包括系统登录身份验证、用户账号及特权用户账户管理、密码管理、用户权限管理、终端合规性管理等。运行安全包括病毒防护及病毒事件的处理、安全系统的备份与恢复、应急事件的处理。
4 结束语
随着信息技术应用的不断深入,国内大型企业信息系统集中程度不断提高,业务对信息系统依赖程度的不断加大,迫切需要建立与业务发展和信息化水平相适应的信息安全体系。与此同时,国家了一系列相关文件,提出对涉及国家安全、经济命脉、社会稳定的重点行业、企业的关键信息系统实施信息安全等级保护等要求。桌面安全责任也日益增大。只有通过从组织、管理、技术全面建设,才能有效提升桌面计算机抵御安全威胁的能力,提高桌面安全管理水平,达到桌面计算机有防护、有检测、可控制、可审计,建设统一桌面安全管理系统,中石油通过两年的桌面安全建设,取得了良好效果。
主要参考文献
[1]孙海.医院桌面终端信息安全管理思考 [J].现代医院,2011(5).
一、电子政务安全业务发展面临的问题
一方面,由于信息安全技术是从信息技术不断发展中衍生出来的一门学科或技术,自身的发展有一定的滞后性,受到社会广泛关注需要时间积累。国内虽已有一批专门从事信息安全基础研究、技术开发与技术服务工作的研究机构与高科技企业,但至今还没有象网络通信行业那样出现华为、华三等这样知名并在国际上有影响力的企业,以支撑我省电子政务安全保障业务的发展。另一方面,由于信息安全技术专业性太强,所需知识面非常广,技术门槛高,导致我国专门从事信息安全工作技术人员严重短缺。安全产品的作用基本上是堵防已有的安全威胁而不能预防未知危险,部署安全产品带来的成效得不到明显的体现,甚至短时间内无法显现价值,导致厂商、用户不愿意对信息安全过多投入,更多的是扛扛红旗、讲讲理念、喊喊口号,点到为止。这两方面原因是客观的,短时间内无法改变的。电子政务发展要在网络与信息安全方面取得一定成效,需要在多方面开展工作,特别是在软硬件整体部署及专业人才吸纳方面多投入。
二、全面强化电子政务安全发展
人才上,要积极引进安全专业人才。国内目前这方面的人才比较难求,可用一定的待遇引进人才,并可尝试与国内知名安全实验室或厂商合作共建,开展安全产品的研发应用和安全人才的培养等,为安全发展储备能量。思想上,加强网络与信息安全重要性的学习,努力提高全省信息系统的安全意识,并切实落实到行动上,养成安全使用办公电脑的习惯。PC机上,要加强个人办公电脑的安全软件安装配置,统一单位个人办公电脑的安全软件配置。安全部门要反复试验,推荐出一套或两套性能完善的安全套餐模板,并提供上门服务帮助,加固个人办公电脑的安全。软硬件上,加强安全产品的整体和系统部署,完善网络与应用的分级分域保护。与国内知名安全厂商建立紧密的联系、开展深入细致的交流,要系统深入的发掘实际网络、应用及系统安全上的软硬件需求,避免安全产品盲目堆砌。部署互联网出口流量控制及数据包监控分析设备,普及政府部门使用身份认证系统,完善安全基础设施建设。整体构建省域电子政务的网络和信息安全屏障。机制上,要建立健全网络和信息安全规章制度,建立网络与信息安全应急处理机制、制订全省电子政务网络与信息安全事件应急处置预案,加强与政府安全及保密部门的联系,如有可能与之建立会商制度,建立全省电子政务安全监督检查制度,对全省信息系统的安全工作进行定期检查、指导、培训,与国内知名安全厂商建立广泛的联系、开展深入细致的交流、寻求技术上的支持和帮助。管理上,要规范网络与信息安全的管理,落实每个岗位的具体安全维护管理权限和职责,合理划分网络安全域、严防网络和移动介质泄密,对数据和信息按性质划分安全等级、并实行等级保护,做到“涉密信息不上网,上网信息不涉密”,严格执行国家的安全规定,加强网络与信息安全建设的规范管理,新建的信息化项目务必要考虑网络与信息安全防护措施。总之,安全部应与网络部和应用部加强沟通、互相信任,网络离不开安全、安全离不开网络,应用需要安全、安全需要应用。安全部、网络部、应用部相辅相成,共同打造高效、安全、稳定的电子政务。
综观2012年十大安全事件,不难发现,其中5个与用户隐私泄露有关,3个涉及安全厂商之间的竞争与合作,可以说,“个人隐私安全”毫无争议的成为2012年安全领域最受关注的话题,而以360为首的中国互联网安全厂商“口水战”似乎是这个行业永不落幕的旋律。
个人隐私安全被呼唤
从2012国内网络安全十大事件来看,隐私安全问题最为严峻。随着“电商用户信息遭集体泄漏”、“360涉嫌窃取用户隐私”、“快递单信息被泄露”等一系列安全事件的爆发,引发了网民对“个人隐私安全”的异常关注。
2012年2月9日,有商户向亿邦动力网爆料称,收到了某公司发来的电子邮件,其中包括当当、淘宝、1号店、麦考林在内的多家主流B2C网站用户个人信息。7月,京东商城、当当网、1号店等多家电商网站再“集体”被曝账户信息泄露,致使用户财产损失、隐私泄露,电商信息安全问题再次引发“围观”。
2012年11月,包括EMS在内的10余家主流快递企业的快递单号信息被大面积泄露,并衍生出多个专门从事快递单号信息交易的网站。在“淘单114”和“单号吧”两家网站上,展示快递单号的信息均被明码标价,售价从0.4-2元不等,并附带“生成底单(发件联)”等配套服务。由此引发的快递信息安全问题,成为社会关注的焦点。
比之电商和快递行业信息泄露更为严重的是网络安全行业的监守自盗。2012年10月9日,方舟子在微博上发文称360安全浏览器根本不安全,建议司马南这样的特殊人士慎用,从此拉开了“方周大战”的序幕。随后,有关360软件涉嫌窃取用户隐私的各种质疑及举证相继浮现,工信部等主管部门介入调查。号称中国最大的安全软件竟是用户隐私安全的最大威胁,此事因此在社会上引起了广泛热议与关注,隐私安全问题成为社会关注焦点。
移动隐私安全同样不容乐观。2012年8月,复旦大学计算机科学技术学院抽查安卓系统7个应用商城300余款应用,58%存在泄露用户隐私的行为,其中25%的程序还将泄露的信息进行了加密发送,使得在进行安全性审查时,确认其内容和传送目的地变得非常困难,移动安全已面临巨大威胁。
道德自律与监管震慑成共识
2012年11月12日,首次由中国互联网企业承办的AVAR2012大会在杭州召开,“中国当前网络安全形势及应对策略”成为大会关注的核心议题之一;保护隐私安全、加强行业自律、行业联合打击网络钓鱼,成为此次大会中达成共识,将对中国互联网安全发展产生深远影响。
2012年11月28日,由易观国际举办的主题为“网络安全路在何方”第二期易士堂论坛再次就网络安全话题进行了更深入的交流和探讨,“道德自律与监管震慑”成为与会专家达成的最强呼声。
论坛上,来自企业界、学术界、法律界、新闻媒体及国家信息安全委员会的专家系数出席并阐述了自己对网络信息安全、隐私保护方面的现状认识及思考,督促安全企业应秉承开放、透明、自律的态度,并呼吁行业制定规范标准,同时国家监管部门应该加大处罚监管力度,尽快出台更严格的安全立法。
腾讯电脑管家安全专家马劲松则呼吁“安全要回归到本人,安全就是解决用户安全问题,而不是借着安全名义去恐吓用户达到自己的商业目的”,网络首先要有相关行业标准,同时加大处罚力度,使得法律可以起到必要的威慑作用。
安全厂商竞合风云
有人笑称,中国互联网有360,就不会缺乏战争,因此,在360所在的安全行业,各种混乱的“口水战”自然不可避免。其中最抢眼的,非“3B大战”莫属。有消息称,虽然“3B”大战难分胜负,但借此公关战争,再加上360安全卫士和360浏览器捆绑推广,360公司号称已经占据了中国搜索引擎10%的市场份额。于此同时,360产品安全隐私问题也相继被曝光。
360一向善于“公关”,去年 12月360公司主动发起了一场名为“360重金悬赏黑公关”的公关炒作事件,谓为“3B大战”的延伸。360认为,“黑公关”打击的目标主要是360浏览器,目的则是抹黑360品牌与声誉。但在360大声喊捉拿黑公关的同时,也遭到了很多业内的质疑:贼喊捉贼。
有竞争就有合作,在互联网企业之间大打出手的同时,也浮现出了安全厂商联盟合作的身影。2012年9月10日,百度宣布发起成立首个互联网“安全联盟”,腾讯电脑管家、金山、瑞星、小红伞、知道创宇等5家知名安全厂商成为首批百度安全联盟成员。
2012年是不平凡的一年,个人信息大量暴露在互联网上是这个时代的巨大的隐患,网络安全与个人信息保护被全社会提升到一个前所未有的高度和关注度,如何有力的解决这个问题,不但要依靠强有力的网络安全技术产品,还要我们的用户有足够的安全意识和知识,在一定程度上更要依靠强力的法律作为保障,比如2012年底人大审议通过的《加强网络信息保护决定草案》。
一、如何看待安全预算
安全预算是各类企事业单位为保护信息资产,保证自身可持续发展而投入的资金,是一种预防行为。安全预算多少合适,是不是投入得太多了?虽然安全问题越来越受到重视,但是网络安全事件仍然是呈现递增趋势。从安全预算角度分析原因:一是预算不足;二是预算不到位。
在国外,安全投入占企业基础建设投入的5%~20%,这人比例在中国的企事业中却很少超过2%。从风险的角度看,就是要平衡成本与风险之间的关系,用一百万美金保护三十万的资产,显然是不可接受的,但是如果资产的价值超过了一千万美金,产生的效益就显而易见,目前用一个量化的方法来计算信息化建设对于战略发展的贡献确实比较难。一年下来,并没有发生重大的信息安全事件,年初的安全预算可能就会被质疑投入太多了;如果发生了不可接受的安全事件,那就成了预算部门的责任。安全预算到底够不够?我们可以通过宏观的情况来分析一下风险与成本的关系,每年全球因安全问题导致的网络损失已经可以用万亿美元的数量级来计算,我国也有数百亿美元的经济损失,然而安全方面的投入却不超过几十亿美元。由此可以看出,我国整体信息化建设,安全预算不足。
一个单位在安全方面投入了很多,但是仍然发生“不可接受的”信息安全事故。信息安全理论中有名的木桶理论,很好的解释了这种现象。如很多企业每年在安全产品上投入大量资金,但是却不关注内部人员的考察、安全产品有效性的审核等安全要素,缺乏系统的、科学的管理体系支持,都是导致这种结果产生的原因。
二、 科学制定安全预算
信息安全的预算如何制定?其实要解决的就是预算多少和怎么用的问题。说安全预算难做,一是因为信息安全涉及到很多方面的问题,例如:人员安全、物力安全、访问控制、符合法律法规等等。二是很难依据某种科学的量化的输入得出具体的预算费用。安全预算是否合理,应该关注以下几个方面:(1)是否“平衡”了成本与风险的关系;(2)是否真正用于降低或者消除信息安全风险,而不是引入了新的不可接受风险;(3)被关注的风险是否具有较高的优先等级。
信息安全风险评估恰恰解决了以上问题,通过制定科学的风险评估方法、程序,对那些起到关键作用的信息和信息资产进行评估,得出面临的风险,然后针对不同风险制定相应的处理计划,提出所需要的资源,从而利用风险评估辅助安全预算的制定。
三、 风险评估过程
目前国际和国内都有一些比较成熟的风险评估标准及指南,通常包括下述几个过程:(1) 确定评估的范围、目的、评估组、评估方法等;(2)识别评估范围内的信息资产;(3)识别对于这些资产的威胁;(4)识别可能利用这些威胁的薄弱点;(5)识别信息资产的损失给单位带来的影响;(6)识别威胁时间发生的可能性;(7)根据“影响”及“可能性”计算风险;(8)确定风险等级及可接受风险的等级。
