去年10月,北京某婚庆公司的经理王先生遇到一件烦恼事。在忽然连续收到几桩退订业务后,一位朋友提醒他上自己的婚庆网站看看。
这一看不要紧,看了让他倒吸一口凉气。原来,婚庆网站上“喜贺新人快乐”的祝词全部变成了“喜贺死人快乐”,而且被重复拷贝,覆盖了即将举行婚礼的一对对新人的名字。
王先生后来报了案,警方认为,“不排除是同行之间恶性竞争的可能”,王先生为此受到了一定的经济损失,但他也从这件事情汲取了教训,加强自己的网站防御,以后免受类似的攻击。
时至今日,一家企业的网页遭到恶意篡改已属于信息安全话题中的“小巫”,真正的“大巫”在于企业重要数据的丢失,导致如此局面的原因包括黑客攻击、内部工作人员的不安全网络行为、网络病毒、恶意程序……
“信息安全在技术本质上有两个领域,一个是防破坏,另一个是防泄密”,启明星信息技术公司的范小伟这样认为。而在信息安全界素有“三分技术、七分管理”之说,数据安全“攘外也需安内”。
博弈
网络病毒或恶意程序与企业数据的丢失有了必然联系。
2007年8月,世界上最大的职业中介网站Monste.com遭到黑客攻击,黑客通过Web服务器窃取了数据库中的数百万注册求职者个人信息,并用恶意程序攻击其中160多万求职者的电脑,向他们勒索钱财。
在病毒已然形成一条“产业链”的今天,黑客已经不再是向网络世界炫耀自己的技术狂人了,而是病毒程序的植入者,通过病毒控制他人电脑,利用窃取到的信息谋取利益。
来自国家计算机病毒应急处理中心的数据显示,2007年我国计算机病毒的感染率达到91.47%,国内一家著名的网络游戏公司向某家杀毒软件厂商每天提交的新病毒量超过3000种。病毒如洪水猛兽,威胁着企业的信息安全。
“2006年以前,病毒的数量不多,一年只有几种,但是从2006年底、2007年病毒数量呈现几何级的增长”,我国病毒专家、东方微点信息技术有限公司总经理刘旭总结道。
伴随病毒增长的是企业的杀毒软件病毒库的升级越来越频繁,“以前是半年,后来变成三个月,现在成了每天都升级”。
东软网络安全解决方案部的部长曹鹏也告诉记者,从2006年到2008年,东软“连续三年攻防实验室规模增长超过150%”。
“攻击者的技术进步都是非常快的,站在另一个角度看,用一种技术去对抗另一种技术,双方很难达到一种平衡。”
这样的对抗还表现在2007年灰鸽子病毒的泛滥时期。
2007年3月13日,金山发布了可免费下载的灰鸽子木马专杀软件。3月14日22点,金山公司就截获了来自全国众多地区对他们的攻击,攻击者都是受到黑客操纵的“肉鸡”,为了防止金山公司的网络追踪,黑客们以秒为单位不断更换IP地址。
另一家杀毒软件厂商瑞星同样也受到了攻击,数量达到“每天上万次”,而瑞星公司不得不组织一个专门的团队24小时值班,才使网站免遭攻击。
病毒的肆虐,让这些专业的杀毒厂商都着实费力,而普通的企业用户,他们在面对病毒侵略时又怎样来解决呢?
病毒阻击战
从早期的DOS病毒时代,到第二代的宏病毒,再到现在“依托互联网技术的‘蠕虫’病毒”时代,病毒制造者们有了更多的商业目的,他们以窃取商业秘密、金融财产、虚拟财产为主,造成的直接损失更大。
而传统的杀毒软件利用病毒的特征码发现病毒,“特征码是从病毒里提取出来的,如果发现一个疑似病毒,杀毒软件就会从疑似病毒中提炼一段或几段代码,然后跟病毒库里已有的病毒作对比,发现相同时就会发出警报”,微点科技的刘旭这样说道。
“这就注定了杀毒软件只能发现反病毒公司已经搜集到的病毒,对未收到的病毒没有防范能力,这是一种亡羊补牢的做法。”
如果杀毒软件只能从特征来区别病毒,那么能不能从行为中来观察它是不是病毒呢?刘旭认为,病毒分析人员可以从行为上识别病毒,也可以让识别变得智能化和自动化。他将这一种新的杀毒趋势总结为“主动防御”。
“一个程序之所以被称为病毒,是因为它的行为所决定,就像‘小偷’之所以被称为‘小偷’,不是因为他的长相,而是他有偷窃行为。”
“杀毒软件公司判断一个程序是病毒,也是在运行和分析这个程序行为后,其行为符合病毒定义。”
“既然病毒分析员通过行为可以分析判断程序的性质,那么能否将这个分析过程自动化和智能化,在病毒刚运行尚未造成破坏之前就自动识别并清除?”
这就是主动防御杀毒方式的出发点。从以病毒的特征识别,到智能化地以病毒的行为来区分。在建立病毒行为评估模型的基础上,实现对未知病毒、新病毒的防范。
刘旭说,主动防御技术使得在熊猫烧香病毒肆虐期间,微点的用户无一受损。
本刊走访另一杀毒软件厂商瑞星时,品牌推广专员王占涛告诉记者,“主动防御是资源访问规则控制(HIPS)、资源访问扫描、恶意行为分析引擎等多种技术的统称,是全球反病毒技术的主要发展方向”。
恶意行为分析引擎层是瑞星主动防御技术的重大突破,瑞星的病毒专家积累了十余年的病毒行为,总结了一套预置的规则库系统。
“从技术上来说,以行为为特征、动态的‘主动防御’,如果能和传统的静态的‘病毒特征查杀码’相结合,就能够取得非常好的查杀效果。”
须防内鬼
国外研究机构Websense的专家曾经指出,企业的机密信息防护必须从网络端和终端两方面入手。对此,天融信安全方案中心的总监杨庆华也有同感。他总结道,“企业绝大多数的安全事件来自内部,而恰恰在现在,企业内部防护非常脆弱”。
2006年4月某单位的网络突然中断,26小时后网络恢复。据了解,这家单位整体业务的恢复用了三天。其实他们的网络安全措施已经部署得非常多,但是就在那天突然间整个网络、核心交换机发生了瘫痪,整个网络带宽全部被淹没。
“最后原因查找下来,非常简单。一个业务部门的小伙子把女朋友的电脑拿到单位里拷电影,电脑接上去没多久,里面的‘SQL尾虫’开始染到单位的机器,进而到整个网络。”杨庆华说道。
杀毒软件厂商McAfee日前针对企业的信息安全发起一项调查,发现受访的数百名企业员工没有建立起数据保护意识。
调查发现,20%的人曾经把存储敏感数据的便携设备借给同事用过,很多人在涉及打印敏感数据的时候离开过现场。
在转移数据的方法中,83%的人使用电子邮件,其中23%的人使用的是较不安全的外部邮件程序来转移数据。有40%的人平均每周会将至少十份文档带出工作场所,其中笔记本占41%、U盘占22%、CD占13%。
杨庆华表示,以上现象在于企业的信息安全管理缺乏可信的监控和分析制度。他进一步建议,在企业的信息安全中,除了对行为主体身份进行认证之外,还应该对可信行为主体的行为进行识别。杨庆华提出了一些具体措施:禁止外部非法设备的接入、限制合法设备的非法接入、限制合法接入设备的非法详文和网络行为的监测和保护。
全面防御
随着企业信息化建设的推进,企业的信息安全在两方面受到威胁。
一方面各部门的信息如数据报表、财务信息、客户资料、技术图纸等等,散落在各个角落。有的企业组建内网后,各部门实现互联互通的同时,也给信息安全带来新的挑战。
另一方面,竞争对手、谋取利益的黑客等等,他们通过攻击企业信息系统,获取暴利。因此,企业的信息安全话题已经不止于病毒入侵、黑客攻击那么简单了。
“现在的企业用户对信息安全的需求有许多新的变化”,H3C安全产品线总监李颖和先生告诉本刊记者。
以前企业客户尤其是金融客户,是在政策压力下,被动地进行信息安全建设,而现在,他们主动地提出加强企业的信息安全建设。
以前企业客户认为应对信息安全就是建立一个防火墙、杀病毒,而到了现在,他们更注重终端行为的管理,以及上网行为的监控。
以前企业客户对于信息安全的管理是无序的,而现在随着国家等级保护政策的出台,企业在信息安全需求的目标变得越来越明确。
李颖和说,这些转变表明企业的信息安全建设的主动意识在不断增强。
在采访过程中,许多企业告诉本刊,对于自身信息安全的需求应该注重三层,一是数据库层,二是应用层,三是Web层。
“企业对于信息安全认识上的推进,使得他们改变了过去见招拆招的信息安全策略,转而需要一套整体的信息安全解决方案”,李颖和告诉记者。
把信息安全看成一个体系,以解决方案的方式来构件信息化安全建设。通过一系列的技术手段,如安全产品的部署,将网络、计算终端、存储、服务器整合成一个密切关联的系统,实现各部门的智能联动。
“企业的信息安全最大的威胁来自于终端”,李颖和说道。将终端看成是一个控制节点,如果有异常情况如员工电脑的非正常行为、恶意软件的侵入、不明行为的活动等,终端发出警报,通知到管理端,管理端会对终端不可信的行为进行关闭。
“通过体系的协作实现企业的信息安全”,李颖和告诉本刊记者。 |
