瑞星2012年中国信息安全综合报告
2013-01-23 10:09:49五、 企业信息安全
(一)企业信息安全环境日益严峻
1. 进口信息安全产品带来严重威胁
目前国内许多企业,尤其是在能源、电信、金融等重要行业处于领导地位的大型企业都在使用国外的信息安全产品。这些企业选择该类产品,主要是出于性能、技术等方面的综合考虑。然而,随着全球政治经济格局的不断变化,国家之间的信息对抗也日趋激烈。2012年11月,一份媒体的调查显示,2011至2012年的两年时间内,全国各地由进口产品“设备故障”所引发的通信事故,正在密集上演。
2011年初,厦门电信城域网使用的进口设备频繁出现异常问题,并且故障很难定位。而提供该设备的厂商一再辩称设备不存在问题,但在电信组织专家多次研究分析后,终于确认是该设备出错,厂商才被迫承认该设备存在“技术漏洞”,并直至2011年6月27日才提供解决方案。
一些业内专家透露,进口产品已经占据我国各大行业信息系统的关键节点,从企业角度讲,企业的商业机密时刻处于高危状态;而从宏观角度讲,整个行业甚至是国家的机密信息都在这些国外厂商的面前毫无防备。
2. 企业信息安全建设整体落后
进口安全产品并非是唯一威胁,国内企业信息安全建设的整体落后也严重影响着企业的生存与发展。进口信息安全产品虽然性能出众,然而其昂贵的价格却让更多需要安全保护的国内企业望而却步。
目前,绝大多数中小企业仍旧停留在使用免费的个人版杀毒软件阶段。然而,该类软件如前文中所述,无法解决病毒交叉感染问题,不仅没有统一的管理平台,也无法对企业内网的安全系统进行统一的升级维护。除此之外,仅凭单一的杀毒软件也远远不能满足现代企业的信息安全需求。
瑞星安全专家指出,“杀毒软件只能在电脑中毒以后,对病毒进行查杀。然而来自外部的互联网钓鱼、挂马攻击,甚至包括企业内部员工的违规操作都有可能导致企业内网遭到病毒及黑客的入侵。要想保证企业内网安全,必须对信息安全事件做到事前预防、事中控制和事后审计,这就不是仅靠一款杀毒软件能够解决的问题了。”
同时,国内一些大型企业还存在着信息安全产品无序堆叠的问题。这类大型企业一般都有足够的资金为企业内网安全做适当的建设,并且大多愿意针对不同功能购买各大安全厂商性能、口碑最好的产品接入企业内网。然而,顶级的性能并不一定能提供顶级的安全,这些不同品牌的设备之间经常存在兼容性问题。同时,大型企业的网络都是极其复杂的,一旦出现问题,各品牌的售后却只能提供与自己产品有关的技术支持,导致企业很难对问题进行追踪和排查,大大降低了解决问题的效率。
(二)企业内网信息安全威胁趋势
1. 宏病毒与感染型病毒依旧活跃
瑞星反病毒实验室提供的材料显示,目前宏病毒及感染型病毒仍然普遍存在于企业内网当中。瑞星安全专家介绍,宏是许多应用型软件都会向用户提供的一种特殊功能,主要用于一些需要自动化批处理的操作。由于大部分宏都使用BASIC编程语言,因此也成为黑客制造、传播病毒的手段。报告期内,一个名为“Dole”的宏病毒持续活跃。该病毒运行后,将自我复制到启动文件夹,实现开机启动。并隐藏Excel工作簿中的宏,同时修改注册表,将宏安全属性设置为最低,且禁止用户修改。除此之外,该病毒还会感染中毒期间打开过的所有Excel文件,并搜索Outlook程序,向通讯簿的所有成员定时发送带毒邮件。
感染型病毒虽然在病毒总量中的所占比例已下滑至第三位,却仍然处于杀之不尽的状态。通常情况下,用户中毒后系统内会出现异常进程,同时该类病毒还会感染其它exe文件,也可能会后台下载其它病毒或木马,进而危害整个企业网络。此前,该类型病毒已在企业内网持续活跃6年之久,其变种多、粘性强、危害大,自发现以来已造成很大的经济损失。
2. 企业移动办公或将造成数据泄密
“移动办公”也可称为“3A办公”,即办公人员可在任何时间(Anytime)、任何地点(Anywhere)处理与业务相关的任何事情(Anything)。这种全新的办公模式可以大幅节约时间成本,提高工作效率。“然而,信息安全问题却随之而来”,瑞星安全专家指出,移动化办公使得数据从企业内部走到企业外部,机密数据变得更加难以管理和控制。同时,移动办公势必要让服务器对一些外部设备开放远程权限,这让主动性泄密变得更为容易。上文提到的上海特大个人信息泄漏事件就是运维人员远程登录系统窃取数据的。
3. BYOD为企业内网带来安全隐患
BYOD是指在企业的办公场合,员工携带笔记本电脑、手机及平板电脑等个人移动设备进行办公。通常情况下,BYOD都会选择接入企业内网的Wi-Fi,并拥有一定程度的内网数据读取权限。这为企业节约办公成本、提高办公效率提供了不少方便。但是,由于个人设备上安装的操作系统版本、应用程序以及root权限等皆不在运维人员的管控范围内,一旦个人设备感染了恶意程序或遭到黑客的恶意入侵,企业内网的信息安全就不可避免将受到威胁。
4. 群体性攻击事件严重威胁金融业
近年来,网络攻击的组织形式呈现出一种专业化和团队化的趋势。全球范围内的网络攻击事件不断发生,对网上银行等金融企业信息系统的潜在攻击风险也越来越高。从2012年的相关报道来看,与金融、网上支付有关系的大规模攻击就有好几起。PayPal、花旗银行、巴西中央银行等涉及到银钱交易的机构都受到过不同程度的攻击。随着网络支付应用越来越广泛,用户群规模越来越庞大,金融系统的网络安全防护变得越来越重要。
在以往的传统网络攻击中,黑客主要通过其控制的“傀儡机”发起分布式攻击;然而在近期的群体性攻击事件中,黑客组织发布了一些专业的攻击工具,如LOIC(LowOrbitIonCannon)、HOIC(HighOrbitIonCannon)、HttpDoSTool等,以供支持者下载,网络攻击的支持者可以在客户端对攻击工具进行配置,选择在同一时间段加入攻击团队,从而实现在一定的时间内发起有组织的大规模分布式攻击。
瑞星安全专家指出,大规模群体攻击事件目前多发于欧美国家,目前国内大部分企业都无法对此有所防范。然而在互联网中,国家与国家的地理界限早已化为不同号段的IP地址,黑客的入侵行为也早已不再受到国家和地区的限制。一旦有一天,黑客组织将矛头指向国内,国内的大多数企业将毫无招架之力。
(三)企业内网信息安全管理现状
1. 企业内网信息安全防护水平参差不齐
针对上面提到的病毒感染问题,瑞星安全专家表示,根据瑞星多年的客户服务经验来看,造成多病毒大面积入侵企业内网的原因主要有两个:
第一,电脑终端上的防毒程序未开启(或未升级至最新版本)。在帮助企业后期维护的工作中,瑞星工程师曾多次发现企业内网存在病毒,而染毒客户端的杀毒软件已很长时间未开启,只要将客户端打开并升级至最新版本,病毒立刻就可被查杀。由此可见,保持安全软件时刻运行并随时更新,对企业内网安全来说是必不可少的功课。
第二,系统漏洞修补不及时。在IT科技高速发展的当下,黑客技术也是瞬息万变。一个漏洞一个小时前被发现,一个小时之后利用该漏洞对电脑进行攻击的病毒就有可能出现在网上,几天之内,这个病毒就能传遍网络。“并不是只有安全软件的工程师在与黑客赛跑,企业的安全运维人员也同样在与黑客赛跑”,瑞星安全专家指出,“世界上没有任何一个系统是绝对安全的,只要系统存在,漏洞就一定会存在。所以一旦漏洞被发现,企业应尽早做好相应的防护措施。”
2. 企业信息安全整体防护体系建设急剧落后
在信息时代,技术文档、客户信息都成为决定企业命运的商业机密。所以,内网的存取权限也成为企业信息安全工作的重中之重。如何管理企业内网的电脑终端、如何管理移动办公设备、如何管理BYOD,都成为企业安全的必修课。目前,市场上有不少提供企业信息安全管理的产品,而企业仍然面临着无法回避的窘境:国内的内网管理产品分级不够细致,授权也只能针对简单的几种情况,稍微复杂一点的网络就无法适应,而进口产品则价格昂贵,为企业的运营成本带来巨大压力。
