2013年上半年中國信息安全綜合報告
2013-07-11 14:17:50五、企業信息安全
2013年6月,一位名為愛德華?斯諾登的前美國中央情報局(CIA)雇員在香港露面,并向媒體披露了一些機密文件,致使包括“棱鏡”項目在內的美國政府多個秘密情報監視項目遭到披露。據了解,“棱鏡”項目涉及美國情報機構在互聯網上對包括中國在內的多個國家10類主要信息進行監聽,其包括電郵信息、即時消息、視頻、照片、存儲數據、語音聊天、文件傳輸、視頻會議、登錄時間、社交網絡資料等細節。“棱鏡”項目的曝光,無異于投入水中的一顆重磅炸彈,立刻激起全球范圍內的強烈反對,同時也讓日趨激烈的現代化信息戰爭全面爆發。
瑞星安全專家表示,各國的信息戰其實早有端倪。2010年瑞星“云安全”系統首先監測到的“超級工廠”病毒和2012年的“超級火焰”病毒風暴一樣席卷了全球。這兩款病毒都擁有極為復雜的結構,專門針對網絡環境復雜的大型局域網進行攻擊。只要帶毒USB存儲設備接入網絡內的計算機,病毒將瞬間擴散至整個網絡,并能在神不知鬼不覺的情況下奪取網絡中部分設備的控制權。有報道稱,該類超級病毒“不可能是黑客所為,而是受國家資助的高級團隊研發的結晶”,另一些報道也顯示,該類病毒中一大部分被用于攻擊伊朗的核設施。
瑞星安全專家指出,“棱鏡門”事件揭露了美國政府長期以來對我國及他國從事網絡系統監聽、滲透,然而這很可能是美國對全球信息控制的冰山一角。為了不再成為高科技信息戰中的犧牲品,大至國家,小至個人,都應全面提高信息安全意識,尤其是政府部門和企業,應盡快建立健全信息安全防護體系,以便在日益激烈的信息戰爭中獲取優勢。
(二)、企業網絡漏洞多、隱患大
1. 重體驗輕安全 互聯網平臺成信息泄露重災區
今年5月份,國內知名的漏洞提交平臺烏云報告了一個搜狗輸入法的漏洞,該漏洞導致Google及Bing能夠抓取到用戶存儲于搜狗服務器上的隱私信息,使得大量用戶隱私外泄,從而給用戶帶來嚴重的困擾。據統計,今年上半年,僅烏云上提交的漏洞就達3,560余個,其中不乏新浪、搜狐、騰訊等大型網絡平臺。除此之外,一些聯通的地方分站,也相繼被曝出存在泄露用戶信息(包括座機號碼及ADSL賬號等)的漏洞。
與此同時,今年上半年,全球排名分別為第一和第三的兩款網站服務器Apache及Nginx也相繼被曝存在重大漏洞。瑞星互聯網攻防實驗室出具的報告顯示,這兩個漏洞均可能導致大量網站遭到惡意攻擊,并且泄露大量的用戶賬號信息。
瑞星安全專家指出,國內互聯網行業競爭日趨激烈,各大網絡平臺在博弈的過程中,往往更加重視用戶體驗,而忽視信息安全。因為通常情況下,完善信息安全,就要以降低用戶體驗作為代價。例如在一個簡單的登錄流程中,多一個驗證步驟,就能提高一分安全保證,但是不可避免的就會讓用戶感到操作上的不適,這種不適很有可能流失一部分用戶,這并不是企業希望看到的結果。所以,重體驗輕安全,就成為了各大互聯網平臺的通病。
2. 盲目選擇外國品牌的電子類產品
目前,國內企事業機關單位對外國品牌的電子產品、信息技術產品過分依賴。據媒體報道,涉及“棱鏡門”的思科產品,在國內163、169兩大主干通訊網絡中占據了70%以上份額,把持了所有超級核心節點,這無異于在國內的主要通訊網絡中埋下了高危的定時炸彈,各類敏感信息隨時都面臨被第三方監聽、備份的風險。
很多政企選擇外國產品都是出于高性能的考量,然而這些外國廠商卻成為企業信息安全的重大隱患。“無論是電子設備廠商還是信息技術廠商,都是有國籍的,但是互聯網和電子信息產品卻沒有國界”,瑞星安全專家表示,“從技術角度來講,任何電子信息類產品都有被植入后門、竊取用戶情報的可能。廠商一旦受到來自國家或競爭對手的壓力,就會鋌而走險。”
(三)、企業信息安全體系建設基本為零
1. 信息安全認知差、意識薄弱
當前國內很多企業對信息安全問題的認知,仍舊處于空白狀態。除了少數大型互聯網企業,大部分企事業機關單位都習慣把信息安全問題等同于“電腦中毒”、“網絡擁堵”這類在辦公網絡中常見的現象,通常都簡單采用安裝殺毒軟件的方法解決。“信息安全帶來的問題遠不止如此,”瑞星安全專家指出,“中病毒、網速慢都只是表象,殺毒軟件只能解決病毒相關問題,無法在最開始就將病毒拒之門外,更無法解決由系統管理不嚴、員工操作不當和黑客入侵引發的機密信息外泄、單位賬戶被竊等問題。”
瑞星安全專家介紹,目前多數企事業機關單位的內網沒有經過嚴格過濾,外界互聯網的病毒可以隨意下載至本地電腦。雖然少部分保密級別高的單位采取了內外網物理隔離的辦法,但是仍無法阻止病毒由USB存儲設備(如U盤、移動硬盤等)入侵網絡。前面提到過的“超級工廠”和“超級火焰”病毒就是典型案例,這兩種病毒主要依靠USB存儲設備傳播。病毒一旦進入單位內網,就可以悄無聲息地獲得許多重要電子設備的控制權限,同時電腦并不會表現出明顯的中毒癥狀。因此,普及信息安全知識,提高安全意識,規范電腦操作是現下的當務之急。
2. 信息安全問題事前無防備 事后彌補不及
目前,大部分政企單位都存在對信息安全事件缺乏防范的問題。多數單位都在問題爆發后才開始想辦法補救,然而這個時候,已經不能阻止遭到泄露的機密文件繼續被“有心人士”傳播,而被洗劫的錢財也無法追回。
今年上半年,一封E-Mail在微博上瘋傳,該郵件是由鳳凰網內部流出的,郵件內曝光了鳳凰網一高管的性丑聞,一時間成為網民爭相關注的焦點。瑞星安全專家指出,這類事件其實就是典型的信息安全事件,如果鳳凰網對電子郵件的管理足夠嚴格,這類事件不應流傳到外部互聯網。而無論其后鳳凰網做何種彌補,該事件所造成的不良影響也已經無法消除。
6月,迅雷公司也發生一起因系統漏洞造成的安全事件,該漏洞導致用戶可以僅花費1分錢,就獲得原本價值180元的迅雷白金年卡。在迅雷公司發現之前,已經有5000多張年卡被一搶而光,迅雷公司因此不得不為這個漏洞買單,直接損失達百萬元。
3. 信息安全體系建設尚未開始
前面提到,現今國內大部分企業對信息安全問題的解決辦法仍停留在安裝殺毒軟件上,這也意味著,大多數企業的信息安全體系建設尚未真正開始。
瑞星安全專家表示,信息安全體系建設,應包括兩個部分:首先是信息安全系統建設,這是指在政企單位的內網中,針對網關、服務器、電腦終端、監控設備、企業生產設備等所有電子設備安裝相應的安全產品,并組成統一的、可管控的安全系統。其次,是建立完善的信息安全制度,嚴格規范員工的操作,并對各類電子設備、各級員工進行權限設置,以便最大程度保障單位內部信息無法外泄。
“信息安全體系建設,不僅是用信息安全產品搭建一個堡壘,更重要的是企業自身建立一套完善的信息安全制度”,瑞星安全專家指出,“只有有形的產品和無形的制度相互配合,才能根除信息安全事故為企業帶來的重大隱患。”
不僅如此,針對政府、軍隊、金融、能源和電信等核心政企,建立完整的企業信息安全體系不是“一次性工程”,企業應不斷學習了解最新的網絡安全技術,并組織專業安全人員定期進行模擬攻防演習,通過不斷的發現問題、解決問題,逐步提升網絡安全水平,做到“知己知彼”。
(四)、新技術帶來新風險
1. 虛擬化、云應用日趨成熟 安全風險漸露端倪
云技術自問世以來,一直以節省本地資源、運行速度高等特點,受到整個互聯網行業的追捧。隨著云計算的進一步發展,虛擬化、云技術等應用在今年終于由“過熱”進入理性發展階段,人們在評估云計算時越來越注重安全問題。
圖16:虛擬化、云應用安全風險漸露端倪
a. 云服務持續性成為安全隱患
由于云技術帶來的巨大便利,許多企業選擇將相應的系統交給云服務供應商托管,然而這些供應商卻受資金、社會環境、當地法律等因素制約,不可避免的發生服務中斷事故。據報道,今年3月,網站安全云服務提供商CloudFlare因為其邊緣路由器發生故障,導致使用CloudFlare的CDN和安全服務的785,000多個網站受到影響,整個事故持續影響了一個多小時,給企業和用戶造成巨大的損失。
b. 虛擬化和云服務嚴重威脅數據安全
在斯諾登披露的“棱鏡”項目中,美國有九家互聯網巨頭向政府情報機構開放了服務器,以便監視個人、企業及他國的互聯網行為。“這里就涉及到虛擬化及云技術應用帶來的巨大安全風險”,瑞星安全專家表示,選擇虛擬化和云服務,企業就需要將用戶信息、辦公系統、乃至商業機密上傳到云端數據庫,以便在需要時隨時隨地調用。然而一旦云端服務器遭到黑客入侵,或服務器供應商、云端系統供應商在系統中留有后門,企業信息安全將成為一紙空談。瑞星安全專家指出,“數據安全是云應用解決的重要問題之一,要么不出問題,要出就出大問題。”
為保障云計算環境中的數據安全,企業用戶在決定選擇服務時應當評估以下問題:
-是否針對虛擬化和云應用架構有完善的安全防護體系;
-是否有相應的措施來保證數據生命周期的安全與可控;
-關鍵數據是否進行了加密與完整性檢查;
-如何授權對數據的訪問,如何防止云計算提供商訪問或者濫用數據;
-如何備份和恢復數據。
2. BYOD安全管理嚴重缺失 盲目應用導致企業“零隱私”
BYOD是指企業允許員工將自有的個人電腦、手機、平板等終端設備接入企業內網。在國內很多企業鼓勵這種行為,多數是出于方便辦公、節約辦公成本的目的,然而這樣做,卻使得辦公數據與私人設備的物理邊界消失,尤其是無線Wi-Fi的應用,擴大了網絡接入的范圍,使接入位置不再固定于某個物理網絡端口,外來人員可能通過破解無線信號潛入企事業單位的內網之中。在這種情況下,無論是單位內部員工,還是外來人員都可以隨意接入企業網絡、拷貝機密文件。
圖17:BYOD安全管理嚴重缺失
BYOD在企業辦公領域具有“Anytime、Anywhere、Anything”的優勢特性,在國內很多政府、金融、醫療、電信和教育等領域已大范圍普及。瑞星安全專家介紹,目前,國內政企只在應用層實現部分BYOD,但在安全層面卻完全忽視。BYOD不僅要考慮應用性和易用性,還應從信息安全角度出發,針對人員、設備、網絡、應用和數據這五個維度進行全方位安全建設。
3. 智能手機及可穿戴設備將使信息諜戰變為現實
近年來,新科技、新應用發展迅速,這也為企業信息安全帶來很多未知的風險。瑞星安全專家解釋,“舉個最貼近生活的例子就是智能手機,黑客或企業內鬼可利用智能手機的攝像頭和麥克,全程監聽企業內部的信息。同時作為移動終端設備,手機又能使用自己的網絡,隨時將監聽到的信息上傳至互聯網。所以,即使不接入企業內網,黑客、企業內鬼及競爭對手(或國家)的情報部門,都可能利用新型智能終端設備來獲取企業機密情報。”
圖18:智能手機及可穿戴設備為企業信息安全帶來巨大風險
除此之外,一些類似Google Glass、智能手表、智能腕帶等可穿戴電子設備也已逐漸走入人們的視野,并且預期在短時間內將進入人們生活。這類設備將比智能手機更加隱蔽,同時,像攝像頭、麥克、GPS和獨立網絡已成為標配,這就使該類設備可輕易突破企業現有安全體系,能夠做到隨時隨地傳送信息。因此,毫不夸張的講,類似電影《007》、《碟中諜》的竊密橋段已經成為現實。
