2013年上半年中国信息安全综合报告
2013-07-11 14:17:50五、企业信息安全
2013年6月,一位名为爱德华•斯诺登的前美国中央情报局(CIA)雇员在香港露面,并向媒体披露了一些机密文件,致使包括“棱镜”项目在内的美国政府多个秘密情报监视项目遭到披露。据了解,“棱镜”项目涉及美国情报机构在互联网上对包括中国在内的多个国家10类主要信息进行监听,其包括电邮信息、即时消息、视频、照片、存储数据、语音聊天、文件传输、视频会议、登录时间、社交网络资料等细节。“棱镜”项目的曝光,无异于投入水中的一颗重磅炸弹,立刻激起全球范围内的强烈反对,同时也让日趋激烈的现代化信息战争全面爆发。
瑞星安全专家表示,各国的信息战其实早有端倪。2010年瑞星“云安全”系统首先监测到的“超级工厂”病毒和2012年的“超级火焰”病毒风暴一样席卷了全球。这两款病毒都拥有极为复杂的结构,专门针对网络环境复杂的大型局域网进行攻击。只要带毒USB存储设备接入网络内的计算机,病毒将瞬间扩散至整个网络,并能在神不知鬼不觉的情况下夺取网络中部分设备的控制权。有报道称,该类超级病毒“不可能是黑客所为,而是受国家资助的高级团队研发的结晶”,另一些报道也显示,该类病毒中一大部分被用于攻击伊朗的核设施。
瑞星安全专家指出,“棱镜门”事件揭露了美国政府长期以来对我国及他国从事网络系统监听、渗透,然而这很可能是美国对全球信息控制的冰山一角。为了不再成为高科技信息战中的牺牲品,大至国家,小至个人,都应全面提高信息安全意识,尤其是政府部门和企业,应尽快建立健全信息安全防护体系,以便在日益激烈的信息战争中获取优势。
(二)、企业网络漏洞多、隐患大
1. 重体验轻安全 互联网平台成信息泄露重灾区
今年5月份,国内知名的漏洞提交平台乌云报告了一个搜狗输入法的漏洞,该漏洞导致Google及Bing能够抓取到用户存储于搜狗服务器上的隐私信息,使得大量用户隐私外泄,从而给用户带来严重的困扰。据统计,今年上半年,仅乌云上提交的漏洞就达3,560余个,其中不乏新浪、搜狐、腾讯等大型网络平台。除此之外,一些联通的地方分站,也相继被曝出存在泄露用户信息(包括座机号码及ADSL账号等)的漏洞。
与此同时,今年上半年,全球排名分别为第一和第三的两款网站服务器Apache及Nginx也相继被曝存在重大漏洞。瑞星互联网攻防实验室出具的报告显示,这两个漏洞均可能导致大量网站遭到恶意攻击,并且泄露大量的用户账号信息。
瑞星安全专家指出,国内互联网行业竞争日趋激烈,各大网络平台在博弈的过程中,往往更加重视用户体验,而忽视信息安全。因为通常情况下,完善信息安全,就要以降低用户体验作为代价。例如在一个简单的登录流程中,多一个验证步骤,就能提高一分安全保证,但是不可避免的就会让用户感到操作上的不适,这种不适很有可能流失一部分用户,这并不是企业希望看到的结果。所以,重体验轻安全,就成为了各大互联网平台的通病。
2. 盲目选择外国品牌的电子类产品
目前,国内企事业机关单位对外国品牌的电子产品、信息技术产品过分依赖。据媒体报道,涉及“棱镜门”的思科产品,在国内163、169两大主干通讯网络中占据了70%以上份额,把持了所有超级核心节点,这无异于在国内的主要通讯网络中埋下了高危的定时炸弹,各类敏感信息随时都面临被第三方监听、备份的风险。
很多政企选择外国产品都是出于高性能的考量,然而这些外国厂商却成为企业信息安全的重大隐患。“无论是电子设备厂商还是信息技术厂商,都是有国籍的,但是互联网和电子信息产品却没有国界”,瑞星安全专家表示,“从技术角度来讲,任何电子信息类产品都有被植入后门、窃取用户情报的可能。厂商一旦受到来自国家或竞争对手的压力,就会铤而走险。”
(三)、企业信息安全体系建设基本为零
1. 信息安全认知差、意识薄弱
当前国内很多企业对信息安全问题的认知,仍旧处于空白状态。除了少数大型互联网企业,大部分企事业机关单位都习惯把信息安全问题等同于“电脑中毒”、“网络拥堵”这类在办公网络中常见的现象,通常都简单采用安装杀毒软件的方法解决。“信息安全带来的问题远不止如此,”瑞星安全专家指出,“中病毒、网速慢都只是表象,杀毒软件只能解决病毒相关问题,无法在最开始就将病毒拒之门外,更无法解决由系统管理不严、员工操作不当和黑客入侵引发的机密信息外泄、单位账户被窃等问题。”
瑞星安全专家介绍,目前多数企事业机关单位的内网没有经过严格过滤,外界互联网的病毒可以随意下载至本地电脑。虽然少部分保密级别高的单位采取了内外网物理隔离的办法,但是仍无法阻止病毒由USB存储设备(如U盘、移动硬盘等)入侵网络。前面提到过的“超级工厂”和“超级火焰”病毒就是典型案例,这两种病毒主要依靠USB存储设备传播。病毒一旦进入单位内网,就可以悄无声息地获得许多重要电子设备的控制权限,同时电脑并不会表现出明显的中毒症状。因此,普及信息安全知识,提高安全意识,规范电脑操作是现下的当务之急。
2. 信息安全问题事前无防备 事后弥补不及
目前,大部分政企单位都存在对信息安全事件缺乏防范的问题。多数单位都在问题爆发后才开始想办法补救,然而这个时候,已经不能阻止遭到泄露的机密文件继续被“有心人士”传播,而被洗劫的钱财也无法追回。
今年上半年,一封E-Mail在微博上疯传,该邮件是由凤凰网内部流出的,邮件内曝光了凤凰网一高管的性丑闻,一时间成为网民争相关注的焦点。瑞星安全专家指出,这类事件其实就是典型的信息安全事件,如果凤凰网对电子邮件的管理足够严格,这类事件不应流传到外部互联网。而无论其后凤凰网做何种弥补,该事件所造成的不良影响也已经无法消除。
6月,迅雷公司也发生一起因系统漏洞造成的安全事件,该漏洞导致用户可以仅花费1分钱,就获得原本价值180元的迅雷白金年卡。在迅雷公司发现之前,已经有5000多张年卡被一抢而光,迅雷公司因此不得不为这个漏洞买单,直接损失达百万元。
3. 信息安全体系建设尚未开始
前面提到,现今国内大部分企业对信息安全问题的解决办法仍停留在安装杀毒软件上,这也意味着,大多数企业的信息安全体系建设尚未真正开始。
瑞星安全专家表示,信息安全体系建设,应包括两个部分:首先是信息安全系统建设,这是指在政企单位的内网中,针对网关、服务器、电脑终端、监控设备、企业生产设备等所有电子设备安装相应的安全产品,并组成统一的、可管控的安全系统。其次,是建立完善的信息安全制度,严格规范员工的操作,并对各类电子设备、各级员工进行权限设置,以便最大程度保障单位内部信息无法外泄。
“信息安全体系建设,不仅是用信息安全产品搭建一个堡垒,更重要的是企业自身建立一套完善的信息安全制度”,瑞星安全专家指出,“只有有形的产品和无形的制度相互配合,才能根除信息安全事故为企业带来的重大隐患。”
不仅如此,针对政府、军队、金融、能源和电信等核心政企,建立完整的企业信息安全体系不是“一次性工程”,企业应不断学习了解最新的网络安全技术,并组织专业安全人员定期进行模拟攻防演习,通过不断的发现问题、解决问题,逐步提升网络安全水平,做到“知己知彼”。
(四)、新技术带来新风险
1. 虚拟化、云应用日趋成熟 安全风险渐露端倪
云技术自问世以来,一直以节省本地资源、运行速度高等特点,受到整个互联网行业的追捧。随着云计算的进一步发展,虚拟化、云技术等应用在今年终于由“过热”进入理性发展阶段,人们在评估云计算时越来越注重安全问题。
图16:虚拟化、云应用安全风险渐露端倪
a. 云服务持续性成为安全隐患
由于云技术带来的巨大便利,许多企业选择将相应的系统交给云服务供应商托管,然而这些供应商却受资金、社会环境、当地法律等因素制约,不可避免的发生服务中断事故。据报道,今年3月,网站安全云服务提供商CloudFlare因为其边缘路由器发生故障,导致使用CloudFlare的CDN和安全服务的785,000多个网站受到影响,整个事故持续影响了一个多小时,给企业和用户造成巨大的损失。
b. 虚拟化和云服务严重威胁数据安全
在斯诺登披露的“棱镜”项目中,美国有九家互联网巨头向政府情报机构开放了服务器,以便监视个人、企业及他国的互联网行为。“这里就涉及到虚拟化及云技术应用带来的巨大安全风险”,瑞星安全专家表示,选择虚拟化和云服务,企业就需要将用户信息、办公系统、乃至商业机密上传到云端数据库,以便在需要时随时随地调用。然而一旦云端服务器遭到黑客入侵,或服务器供应商、云端系统供应商在系统中留有后门,企业信息安全将成为一纸空谈。瑞星安全专家指出,“数据安全是云应用解决的重要问题之一,要么不出问题,要出就出大问题。”
为保障云计算环境中的数据安全,企业用户在决定选择服务时应当评估以下问题:
-是否针对虚拟化和云应用架构有完善的安全防护体系;
-是否有相应的措施来保证数据生命周期的安全与可控;
-关键数据是否进行了加密与完整性检查;
-如何授权对数据的访问,如何防止云计算提供商访问或者滥用数据;
-如何备份和恢复数据。
2. BYOD安全管理严重缺失 盲目应用导致企业“零隐私”
BYOD是指企业允许员工将自有的个人电脑、手机、平板等终端设备接入企业内网。在国内很多企业鼓励这种行为,多数是出于方便办公、节约办公成本的目的,然而这样做,却使得办公数据与私人设备的物理边界消失,尤其是无线Wi-Fi的应用,扩大了网络接入的范围,使接入位置不再固定于某个物理网络端口,外来人员可能通过破解无线信号潜入企事业单位的内网之中。在这种情况下,无论是单位内部员工,还是外来人员都可以随意接入企业网络、拷贝机密文件。
图17:BYOD安全管理严重缺失
BYOD在企业办公领域具有“Anytime、Anywhere、Anything”的优势特性,在国内很多政府、金融、医疗、电信和教育等领域已大范围普及。瑞星安全专家介绍,目前,国内政企只在应用层实现部分BYOD,但在安全层面却完全忽视。BYOD不仅要考虑应用性和易用性,还应从信息安全角度出发,针对人员、设备、网络、应用和数据这五个维度进行全方位安全建设。
3. 智能手机及可穿戴设备将使信息谍战变为现实
近年来,新科技、新应用发展迅速,这也为企业信息安全带来很多未知的风险。瑞星安全专家解释,“举个最贴近生活的例子就是智能手机,黑客或企业内鬼可利用智能手机的摄像头和麦克,全程监听企业内部的信息。同时作为移动终端设备,手机又能使用自己的网络,随时将监听到的信息上传至互联网。所以,即使不接入企业内网,黑客、企业内鬼及竞争对手(或国家)的情报部门,都可能利用新型智能终端设备来获取企业机密情报。”
图18:智能手机及可穿戴设备为企业信息安全带来巨大风险
除此之外,一些类似Google Glass、智能手表、智能腕带等可穿戴电子设备也已逐渐走入人们的视野,并且预期在短时间内将进入人们生活。这类设备将比智能手机更加隐蔽,同时,像摄像头、麦克、GPS和独立网络已成为标配,这就使该类设备可轻易突破企业现有安全体系,能够做到随时随地传送信息。因此,毫不夸张的讲,类似电影《007》、《碟中谍》的窃密桥段已经成为现实。
