關于網絡詐騙的采訪問題范文
時間:2023-11-20 17:56:03
導語:如何才能寫好一篇關于網絡詐騙的采訪問題,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
網絡釣魚(Phishing)一詞,是“Fishing”和“Phone”的綜合體,由于黑客始祖起初是以電話作案,所以用“Ph”來取代“F”,創造了”Phishing”。
“網絡釣魚”攻擊利用欺騙性的電子郵件和偽造的Web站點來進行詐騙活動,受騙者往往會泄露自己的財務數據,如信用卡號、賬戶用戶名、口令和社保編號等內容。詐騙者通常會將自己偽裝成知名銀行、在線零售商和信用卡公司等可信的品牌,在所有接觸詐騙信息的用戶中,有高達5%的人都會對這些騙局做出響應。
在美國和英國已經開始出現專門反網絡釣魚的組織,越來越多在線企業、技術公司、安全機構加入到反“網絡釣魚”組織的行列,比如微軟、戴爾都宣布設立專案分析師或推出用戶教育計劃,微軟還捐出4.6萬美元的軟件,協助防治“網絡釣魚”。
用戶自衛指南
一、普通消費者:
安全專家提示:最好的自我保護方式是不需要多少技術的。
1.對要求重新輸入賬號信息,否則將停掉信用卡賬號之類的郵件不予理睬。
2.更重要的是,不要回復或者點擊郵件的鏈接——如果你想核實電子郵件的信息,使用電話,而非鼠標;若想訪問某個公司的網站,使用瀏覽器直接訪問,而非點擊郵件中的鏈接。
3.留意網址——多數合法網站的網址相對較短,通常以.com或者.gov結尾,仿冒網站的地址通常較長,只是在其中包括合法的企業名字(甚至根本不包含)。
4.避免開啟來路不明的電子郵件及文件,安裝殺毒軟件并及時升級病毒知識庫和操作系統補丁,將敏感信息輸入隱私保護,打開個人防火墻。
5.使用網絡銀行時,選擇使用網絡憑證及約定賬戶方式進行轉賬交易,不要在網吧、公用計算機上和不明的地下網站做在線交易或轉賬。
6.大部分的“網絡釣魚”信件是使用英文,除非你在國外申請該服務,不然應該都收到中文信件。
7.將可疑軟件轉發給網絡安全機構。
最后提醒一句,不幸中招者最好盡快更換密碼和取消信用卡。
二、商業機構
1.為避免被“網絡釣魚”冒名,最重要的是加大制作網站的難度。具體辦法包括:“不使用彈出式廣告”、“不隱藏地址欄”、“不使用框架”等。這種防范是必不可少的,因為一旦網站名稱被“網絡釣魚”者利用的話,企業也會被卷進去,所以應該在泛濫前做好準備。
2.加強用戶驗證手段,提高用戶安全意識。
3.及時處理用戶反饋,積極打擊假冒網站和其他相關的違法行為。客戶中心對類似“為什么每次登陸都得輸入兩次賬號和密碼?”之類的投訴,就要想到是否有“網絡釣魚”的可能,因為“網絡釣魚”者通常“劫持”第一次數據,而用戶再一次登陸才進入了真正的頁面。
4.當然,安裝殺毒軟件和防火墻、及時升級、打補丁、加強員工安全意識、與安全廠商保持密切聯系等都是必不可少的。
最后也要提醒一句,一旦出現被仿冒的情景,首先企業應該把詐騙網頁取下來。有些時候,這并不是一件簡單、快捷的工作。
步驟1:教育
在美國《網絡世界》所做的采訪中,任何一家大型在線企業都將“對用戶進行適當教育”放在應對“網絡釣魚”舉措之首。花旗銀行在主頁的底部設有一個明顯鏈接,以提醒用戶注意有關電子郵件詐騙的問題。
何公道說:“網絡釣魚”也是“愿者上鉤”,之所以不斷發生,就是人們防范觀念淡薄。如果大家的安全意識永遠只停留在現在的話,那么“網絡釣魚”事件一定會越來越多。王紅陽說:用戶安全意識的提高能降低“網絡釣魚”的風險,嚴格執行的安全策略、良好的安全習慣、安全技術的提高,可以大幅度減少“網絡釣魚”成功的幾率。
但是記者在完成這篇稿子之前,瀏覽了不少國內商業網站,并沒有發現關于“網絡釣魚”甚至是關于安全方面的顯著提示,當然也沒有看到一些驗證手段。
在美國和英國已經開始出現專門反網絡釣魚的組織,比如去年11月成立的APWG和今年6月成立的“Trusted Electronic Communications Forum(TECF)”,它們致力于教育用戶的目的是終止——至少是降低“網絡釣魚”的攻擊。
步驟2:驗證
除了教育外,在線品牌還應當通過簡單、易用的方式對合法的電子郵件進行驗證。常被人冒充的eBay發出警告稱,即使發信人寫的是“support@ebay.com”和“billing@ebay.com”等內容,也不見得就是來自eBay的郵件。
因為“網絡釣魚”也是一種垃圾郵件,所以人們可以運用相同的垃圾郵件處理工具對網頁和電子郵件進行過濾。趨勢科技將推出IWSS 2.0,包含名為PhishTrap的反釣魚技術,利用詐編網站特征數據庫來過濾電子郵件。
此外,銀行在發出的電子郵件里啟用了數位電子簽名,現在技術的發展,讓“驗明正身”更加簡單,一旦網絡釣魚者試圖偽造一個數字簽名,收件人就會收到一條警告信息。當然,用戶必須學會識別電子簽名。
遠期的全球驗證項目包括發送者策略框架(Sender Policy Framework)、Yahoo DomainKeys建議和微軟的Caller-ID。但是,這些方法要想完善起來尚需時日,而且需要得到在線企業的100%完全認同。
步驟3:確認
Web站點也需要利用某些確認機制來證明自己的合法性。因此,專業身份確認企業CoreStreet最近在其Web站點上貼出一種被稱為Spoofstick的免費瀏覽器助手。當用戶在合法的站點,請注意在URL框的下方會出現一個明顯的注釋,并顯示“You’re on ebay.com。”如果用戶被騙到了一個偽造的站點,該注釋便會顯示“You’re on 10.19.32.4。”
eBay已經為它的工具欄添加了一項新的服務,稱為賬戶保鏢。這項服務可以告訴用戶是否處于eBay和PayPal的合法站點上。如果當用戶將eBay的口令輸入到未經確認的網站上時,eBay還會進一步向用戶發出警告信。
步驟4:阻斷
有些ISP還可以阻止用戶被引導到名聲不好的Web站點上。例如,當AOL的客戶報告自己收到了垃圾郵件,那么包含在這封垃圾郵件中的鏈接都將被添加到一個受阻站點列表中。當用戶點擊這些鏈接,它們顯示出的都是錯誤頁面。但這一技術也有可能阻斷那些提供真正商業服務的合法鏈接。
美國EarthLink于4月19日推出了具有防止“網絡釣魚”功能的工具條,當用戶試圖訪問確認的詐騙網站,該工具條將會發出警告,并且將用戶重定向到EarthLink公司的WWW網頁。而以防堵網站存取起家的Websense,也將“網絡釣魚”或惡意網站列入防堵項目之一。
步驟5:監視
EarthLink還使用一種服務。當有人注冊與自己公司類似的品牌時,該服務便會發出警告。目的是確認該網站是否會通過‘網絡釣魚’的方式冒充EarthLink。”
美國萬事達國際信用卡公司和NameProtect公司6月21日宣布為打擊“網絡釣魚”建立合作關系,利用NameProtect實時檢測網上犯罪的技術,監視域名、Web網頁、公告板以及垃圾郵件等。監視可以使受害者的數量大幅度減少。
手段:威逼利誘
“網絡釣魚”利用欺騙性的電子郵件和偽造的Web站點來進行詐騙活動,受騙者往往會泄露自己的財務數據,如信用卡號、賬戶用戶名、口令和社保編號等內容。
“網絡釣魚”的主要伎倆在于仿冒某些公司的網站或電子郵件,然后對其中的程序代碼動手腳,如果使用者信以為真地按其鏈接和要求填入個人重要資料,資料將被傳送到詐騙者手中。
趨勢科技“PhishTrap(反網絡釣魚陷阱)”成員Richard_Cheng解釋說:“當這些網絡詐騙者將餌(電子郵件)撒到互聯網之后,就靜待受騙者上鉤。”根據Gartner的統計,由于詐騙者通常會將自己偽裝成知名銀行、在線零售商和信用卡公司等可信的品牌,所以在所有接觸詐騙信息的用戶中,有高達5%的人都會對這些騙局作出響應。
詐騙者通常采用“威逼利誘”手段制造出各種名目的“主題”。比如最早引起廣泛關注的“網絡釣魚”事件,是去年11月出現的Mimail.J病毒,偽裝成由Paypal網站寄出的信息,表示收件者的賬戶將在5個工作日后失效,要求用戶更新個人信息,才能重新啟動賬戶。再比如7月20日,一惡意網站偽裝成聯想主頁,前者將數字1取代英文字母L,利用多種IE漏洞種植木馬病毒,并散布“聯想集團和騰訊公司聯合贈送QQ幣”的虛假消息,誘使更多用戶訪問該網站時造成感染。
現狀:上鉤者眾
最近一年以來,“網絡釣魚”在美、英等國家變得非常猖獗,數量急劇攀升。據Gartner公司最近的一項調查表明,有5700萬美國消費者收到過此類仿冒的電子郵件,由此引起的ID欺詐盜竊給美國銀行與信用卡公司的用戶造成的直接損失在去年達到了12億美元。
垃圾郵件過濾公司Brightmail的數據表明,過去9個月中,全球Phishing郵件總量增長迅猛,于今年4月達到31億封。據英國安全機構MI2G報告,去年,有250多起針對主要銀行、信用卡公司、電子商務站點以及政府機構的“網絡釣魚”攻擊。
根據反網絡釣魚組織APWG(Anti-Phishing Working Group)最新統計指出,約有70.8%的網絡欺詐是針對金融機構而來,而最常被仿冒的前三家公司為:Citibank(花旗銀行)、eBay和Paypal。
后果:誠信危機
Gartner公司高級副總裁和研究董事Litan說:“金融機構、互聯網服務提供商和其他服務商必須嚴肅地解決‘網絡釣魚’問題,如果不能極大地減少這種誘餌攻擊,那么消費者對在線交易的信任感將會逐漸被侵蝕,最終所有網絡交易的參加者都會受到傷害。”
APWG主席David Jevans表示:“這些攻擊正在破壞整個電子商務系統—我們經營方式的信用。”的確,eBay和其他幾十家已遭“網絡釣魚”多次攻擊的公司擔心:它不僅損害了業務,而且對客戶、對電子商務的信心提出了極大挑戰。
“網絡釣魚”已經開始顯現出其巨大的破壞力。根據Pew Internet Life的調查,消費者對電子郵件的信心已經降到了有史以來的最低點。Cyota最近針對在線銀行賬戶持有者的一項調查表明,74%的被調查者表示,由于此項威脅,自己不太可能對來自銀行的電子郵件做出回復,而且進行在線購物的可能性降低了。這意味著,一些合法商業機構如果無法阻止其品牌被欺騙活動繼續利用,其在線渠道將可能部分或者徹底失去。
當然受損的還有商業機構的品牌。MI2G執行總裁DK Matai指出:“雖然在很多情況下,品牌所有者并沒有錯,但這些在線品牌應當具備足夠的能力,并用更多的心思來防止消費者犯錯誤。”APWG旗下一個企業成員因“網絡釣魚”遭到客戶起訴,理由是沒有履行相應責任。
除了信任,“網絡釣魚”也會給企業和個人帶來一些更直接的損失。如果詐騙者釣到用戶的信用卡賬戶信息,無論對于持卡者還是銷售商都面臨著風險。另外,為每個用戶發行新的信用卡、賬號和密碼大約需要50多美元,如果是大量客戶被釣,成本也是非常驚人的。
警惕:真偽難辨
這些欺騙性的電子郵件和Web站點,正看起來越來越“完美”,也越來越“可信”。
信息加密公司PostX首席技術官Cayce Ullman說:“我們遇到一個利用eBay品牌進行詐騙的‘網絡釣魚’者,我用了整整25分鐘才確定他是真正的騙子。連我們也很難分清真假,那我們的消費者又如何來區分呢?”其中最令安全專家憂心的是,“網絡釣魚”者使用javascript將瀏覽器網址所顯示的地址換掉,讓呈現出來的網址與假冒公司的官方網址完全相同。
綠盟科技專業服務部總監王紅陽說:“瀏覽器自身的脆弱性也在一定程度上增加了迷惑性。”他建議,用戶可以使用其他的瀏覽器來降低風險。
篇2
信息社會 安全基石
從互聯網的前身――阿帕網(APPANet)的建立,到目前全球數以億計的上網用戶;從美國政府于上個世紀90年代提出的“國家信息基礎設施”(建設信息高速公路)計劃,到以互聯網為核心的綜合化信息服務體系和信息技術在全世界各領域的廣泛應用;從1971年第一封以@為標志的電子郵件的發出,到現在全球每天360億封的電子郵件往來。當今世界的政治、軍事、經濟、文化等各個方面都已經離不開信息技術的強力支撐,以互聯網興起為重要標志的現代信息化社會已經建立。
隨著社會的發展和穩定對信息的依賴性越來越強,始終伴隨著信息化的信息安全問題在最近幾年迅猛放大,已經成為抑制全球信息化進程發展的重大障礙。
從無傷大雅的惡作劇腳本,到造成幾十億美元的蠕蟲病毒,從以信息共享為名的盜版軟件,到如今泛濫成災的流氓軟件,信息安全已經從神秘的黑客世界走入到每一個計算機用戶的面前。如何正確、有效判別這些潛在的信息風險,關系到當今社會信息化發展的大計。
不可避免的安全危脅
寫一段沒有任何運行錯誤的程序代碼對于一個程序員來說很容易,但要寫出一段沒有任何安全問題的程序代碼似乎就有些困難了。是程序員的安全素質不夠,問題出在程序員身上么?要知道,即使是那些專職安全防護的軟件產品也經常會曝出各種各樣的漏洞,這早已不是什么新鮮的事情。
計算機世界的霸主微軟公司的程序員可都是一流的精英,先不說過去Windows、Office系統中至今還補不過來的千瘡百孔,往前看其新一代的號稱最安全的操作系統Vista,公開的Bug已達2萬個,問題代碼更是多達幾十萬行,發行日期一拖再拖。也許這主要是因為過于龐大的系統結構和功能造成的,可在一個0和1的數字世界里,復雜才意味著技術的前進、使用的便利、功能的強大,如今許多人早已明白:沒有任何問題的代碼只能是沒有任何功能的代碼。
除了程序代碼設計本身的問題,安全漏洞還存在于通訊協議、網絡架構、交互中國家信息中心信息安全研究與服務中心李少鵬模式、電子輻射、信號外泄,甚至是用戶安全操作和安全意識等其他與信息交流有關的任何問題中。可以說安全威脅來自于四面八方,漏洞也不可避免,而只要漏洞存在,那么威脅永遠存在。
觸目驚心的安全事件
2004年10月至2005年1月,某企業職工利用后門程序操縱了互聯網上超過6萬臺的電腦主機連續攻擊北京某音樂網站,致使該公司蒙受重大經濟損失,這是我國首例如此大規模的“僵尸網絡”攻擊案;
2005年4月11日,全國超過二十個城市的互聯網出現群發性故障;同年7月12日,北京20萬ADSL用戶斷網;
2005年10月,網易計算機系統公司發現與北京市網通合作項目中,價值10元一張的網易一卡通虛擬游戲點卡被盜15.5萬張,總價值155萬余元;
2006年2月“全國最大網上盜竊通訊資費案”在北京開庭審理。某資深軟件研發工程師被控利用工作之便侵入北京移動公司充值中心數據庫,盜竊了價值38071元的充值卡密碼……
公安部公共信息網絡安全監察局主持的2006年全國信息網絡安全狀況與計算機病毒疫情調查報告中顯示,在被調查的一萬三千多家單位中,54%的被調查單位發生過信息網絡安全事件。
同時,最近兩年幾乎染及所有計算機和計算機用戶的網絡釣魚、流氓軟件、垃圾郵件狂潮一輪又一輪的充斥著互聯網。據國外的一份調查統計顯示,89%的個人電腦平均感染過30種間諜軟件。公安部在2005年聲稱中國的網絡釣魚網站占全球釣魚網站的13%,名列全球第二位,而僅在2004年,公安部偵破的網絡詐騙案件就達1350起。對此,國家反計算入侵和防病毒研究中心在公安部網監局的支持和指導下,發起成立公益性的“中反網絡釣魚聯盟”。今年8月,廣東首次公開處罰垃圾郵件發送者,這也是國內依據《互聯網電子郵件服務管理辦法》第一次公開處罰垃圾電子郵件的發送者。
安全法規需進一步完善
從1989年《中華人民共和國保守國家秘密法》伊始,到2005年《電子簽名法》的實施,我國目前現行的與信息安全直接相關的法律、規章和制度有65部,“涉及網絡與信息系統安全、信息內容安全、信息安全系統與產品、保密及密碼管理、計算機病毒與危害性程序防治、金融等特定領域的信息安全、信息安全犯罪制裁等多個領域”,可以說已經初步形成了一定的法規體系。尤其是在2003年《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號)通過后,電子認證、電子政務、等級保護、商用密碼以及銀行、證券等金融行業等法規和管理辦法相繼出臺,不僅規范了信息安全市場,還對電子商務的發展、網絡經濟的正常運轉到了意義深遠的保障作用,同時也是對“信息安全上升為國家安全”的這一宏觀政策指引的響應。
盡管如此,現行的信息安全方面的法規、標準體系仍然需要進一步完善與成熟。截至目前,我國還沒有一部嚴格意義上基于信息安全的基本法,同時這為信息安全標準與政策的制定與落實帶來了一定的難度。
層出不窮的攻擊手段
目前流行的攻擊手段有很多,除了病毒、蠕蟲、口令破解等傳統方法,木馬、網絡釣魚、SQL注入等較為新型的攻擊方法,其攻擊范圍也在不斷擴大。但相應的防范技術和知識已經比較普及,應對起來容易些。值得特別注意的是以下三種攻擊形式,分布式拒絕服務攻擊、零日攻擊和社會工程學攻擊。
分布式拒絕服務攻擊至今還沒有特別有效的防范方法,其具備攻擊方法簡單和攻擊源無法確定的特點,上文中音樂網站被攻擊的案件就是一個典型的例子。這種攻擊的難點在于組建大量的傀儡主機――“僵尸網絡”,通常借助即使通訊工具或電子郵件來植入木馬,并通過新的系統漏洞的出現而達到頂峰。
零日攻擊則是利用尚未公開或未發行補丁的漏洞實施攻擊,這種攻擊最為致命和可怕,因為任何人都很難對未知的情況做出正確的反應,此種攻擊成功率高、隱蔽性強,往往針對某個既定目標,是今后安全防范工作的最大隱患之一。
最后一種是社會工程學,實際上它是一種非技術手段的攻擊,它的直接攻擊對象不是數據庫也不是防火墻,而是能夠出入這些敏感地帶的人。技術再高也是由人來操作的,安全防范做得再好,得到授權的人也是可以出入的。世界著名黑客凱文?米特尼克在《欺騙的藝術》一書中寫到:“安全不是技術問題,它是人和管理的問題……”,“由于開發商不斷的創造出更好的安全科技產品,攻擊者利用技術上的漏洞變得越來越困難……”,“精干的技術專家辛辛苦苦地 設計出安全解決方案來最小化使用計算機的風險,然而卻沒有解決最大的漏洞――人為因素。”因此,在如今信息安全技術已經趨于成熟的環境下,正確的安全防范意識無比重要。
目前,仍然還有許多人普遍缺乏安全意識。政府網站頻頻被黑、網上銀行客戶資金被盜、網上交易遭遇詐騙……,這樣的安全事件幾乎天天都在發生,其關健原因在于安全管理和意識的匱乏。對于被動的防范來說,意識要重于技術,甚至會超越技術。
安全技術任重道遠
廣義上的信息安全包括了眾多內容,信息安全國家重點實驗室馮登國教授曾在今年的“十一五”信息安全發展趨勢論壇上講到抽象化、可信化、網絡化、標準化和集成化,是信息安全技術發展的重要趨勢。目前主流安全技術不外幾種。
主動防御
雖然瑞星、金山、江民三大反病毒廠商在今年先后發出推出主動防御產品的聲音。但實質上,目前的主流產品還是在遵循“病毒產生――研究特征碼――升級病毒庫”的老路子。主動防御技術如何避免大量的提示和誤報是主動防御產品是否能真正走向市場的關鍵性問題。
生物識別
從用戶名加口令到加密鎖,再從USB令牌到指紋、聲紋、虹膜等生物識別。即使身份認證已經有了高級的尖端技術,可目前最為廣泛應用的還是最初的用戶名加口令身份認證技術,簡單易用,且能夠保障基本的安全需求。但不可否認,生物識別技術以其無可替代的識別優勢必然隨著成本的降低、需求的加大走向普及。
可信計算
嚴格的說,可信計算并不能算一項新興技術,早在2002年沈昌祥院士開始在國內提倡可信計算。雖然經過了2004年的熱點后,國家將其列入“十一五”規劃重點支持項目,相關企業也成功的生產出TPM的安全芯片,但中國的可信計算是否能與國際標準接軌、龐大的可信計算體系涵蓋內容之間是否能有序協調仍是一個未知的難題。
災難恢復
實際上,災難恢復主要不是技術問題,而是管理和實施問題。它的重要性隨著對國民經濟具有重要支撐作用的大型企事業單位以及政府部門對信息化日益增長的依賴性而凸現出來。近年來,銀行、電信,海關、稅務、民航等部門已經建立起自己的災備中心。國務院信息化工作辦公室2005年出臺的《重要信息系統災難恢復指南》為我國整個信息安全保障綜合體系的最后一環――災難恢復的管理和實施帶來了強有力的促進和重大指導作用。
理論篇>>>
思索信息安全:內涵與外延
江常青
要談論信息技術發展的趨勢和信息安全面臨內外部環境的變化,就像一個一直在匆匆行路的人,突然要停一下,觀看周圍環境,預估和展望前面的道路。但是要想象前方,恐怕先要回頭看看走過的路,因為有兩種可能:一種是走出來的路,過去和現在影響著未來;二種的情況是,也許路一直在前方,變化的則是我們的認識和行為。無論怎樣,“時而思”比不思則罔更有益。
信息安全的歷史有多久?五年,五十年,還是五千年?都可以。
目前,國家、企業和個人開始認識并重視信息化所帶來的安全風險問題,以及國內出現專門的信息安全從業人員,僅有5―10年;而以現代計算機的發展與應用算起,信息技術滲入現在社會生活帶來的信息安全問題,這段歷史達到了50年;其實,自從人類文明伊始,文化和信息的使用開始就存在信息安全問題,這是5000年的歷史。但是,歷史從來沒有象今天這樣迫使我們必須去思考和面對信息安全的問題,因為當今是高度信息化的社會。我們生活在一個信息世界中,信息安全問題關系到每個人、家庭和社會各個組織機構。
從辨證學角度來說,變是絕對的,也是相對的。在5~5000年這個“漫長”的尺度上,信息安全領域有的在變,而且變化很大;有些東西也許并沒有多大的進展和變化。處理信息的設施在技術發展中變化著,解決信息安全的具體技術措施和手段也隨著發展,信息安全的內涵也不斷延伸,但有關信息安全的一些關鍵和核心的問題并沒有得到探討與思考。
“誰的”信息安全?
信息安全自身沒有價值和意義,它對于信息和信息系統所有者、管理者、使用者、監管者才有意義。因此,同樣一個信息及其系統對于不同的人、組織甚至國家的意義是不同的,因為其安全的目標和需求是不同的。比如說,某商業銀行的信息系統,對于銀行自身、銀行監管部門,以及政府來說,安全價值與意義有著根本的區別。作為企業的銀行,其安全核心是保障組織機構的正常運行和獲得商業利益的能力;作為行業管理部門是金融安全風險的一個組成部分;從國家和政府部門來說它是事關國計民生的重要信息系統,它的安全影響社會。
“什么的”安全?
從歷史發展看,信息安全逐步從信息傳輸的安全,發展到信息產生,傳輸、處理、存儲等整個生命周期的安全。同時,信息安全也從單純的指信息數據的保密安全,擴展到支撐信息流動的軟硬件、載體的IT安全。在新一代信息技術大規模普及的今天,信息安全還包括信息的使用安全,信息內容的安全與信息及信息系統互動的人的安全等方面。
因此,信息安全不是孤立的。當我們談論安全時,一定是指特定對象的安全,同時要強調這個特定的對象是對于誰而言,言論中的安全必須在明確的上下文環境之中,否則就失去意義和準確性。
安全是什么?
安全是一種或多種性質或屬性嗎?它和色彩,質量是對象的屬性類似嗎?這個問題很難回答。假設安全是“屬性”,安全信息安全經典定義中的保密性、完整性、可用性。這三性都是以否定語句來定義的。要證明一個肯定的性質存在比較容易,找到它即可。要證明“不被修改”等類似否定語句的性質比較困難。此外,要證明信息或系統同時滿足三個性質更為困難,因為這些安全性質是動態變化,它會隨著外部對手和系統內部自身變化而變化,也就是常說的今天的安全難以保證明天的安全。因此,很有必要反思安全作為性質是否妥當。近年來,從風險角度來重新定義安全的趨勢十分明顯,將安全定義為風險可控可管理的過程。這樣一來,安全就不是系統自身的性質了,轉化為對抗風險的保障能力。安全保障能力由技術、管理、人等措施來構建起來,安全亦被風險和保障兩個概念所取代,隱身在后面。安全與否不再是去尋找這些性質存在與否,而是去計算保障是否大于對應風險。如果是,就是安全。這種重新定義的安全將不再是性質,而是個過程和目標,通過過程去達到目標,而目標反映了信息安全在上下文環境定要求。
這些探討和思考能否達到我們理解信息安全的本質,筆者不得而知,但是這是一個探索的過程。在信息技術層面上,在我們實際可以設計實現的信息處理技術的進展中,可以看到未來信息安全技術的發 展趨勢:
軟件安全
軟件是構建信息世界和社會的核心部件,安全問題的產生很大程度上來源它的不安全、不可靠,如何提高軟件的安全性將會是個重點,有理由相信,隨著軟件形式化、自動化的提高,其安全性會快速的提高。
安全度量
有人說,不可度量的不是科學,信息安全正處于這樣的境地。確實,目前我們還無法在信息安全領域找到類似物理世界的度量,如時間量、空間量、質量等,也沒有類似比特的信息量,因此信息安全要成為科學還有很長的路要走。但盡管如此,我們已逐漸找到一些度量,它對提高安全是有好處的,比如安全功能強度,人力的部署和能力提升,過程控制的環節等等。
信息流控制
除了人、管理、網絡系統外,信息安全的核心問題還是保證數據和信息的安全。信息流如何開放的網絡系統環境中,如何在不可信、不安全的環境中構建可信的信息流動和控制機制是必須要解決的問題。因為數據和信息不可能像物理世界中永遠被隔離和鎖在保密柜中,它必須給該看到的人看到,就和貨幣要流通一樣,安全必須找到自身的動態價值。
抗攻擊技術
由于對手一直存在,破壞安全的外部因素不會消失。安全事故和事件時時都會產生,如何提高信息和系統抗攻擊以及受攻擊后降低損失的技術十分重要,以防范為主的安全技術將被抗攻擊技術將逐步取代。
內部安全
安全技術也將從防范外部威脅為主,轉換到關注內部威脅為,構建內控技術和管理體系將會成為最熱的市場機遇。在這里,與業務邏輯和網絡行為相關安全分析成為技術難點。發展篇>>>
發展篇>>>
內外之道把脈“新安全”
吳錫源
當前,大多數企業的信息安全機制不堪一擊。具體來說,這些企業的安全措施所提供的防護級別難以應對它們所承受的實際風險。事實勝于雄辯:雖然各個企業已竭盡所能采取相應防護措施,但是它們仍然頻繁受到攻擊。據可靠數據統計:僅2005年,大約三分之二的企業至少發生一次安全事故,而半數以上的企業則至少發生三次安全事故。
面臨挑戰的安全管理
目前的主要問題在于,大多數企業只是采用側重邊界的高度反應性防御措施,因此無法與當前日新月異的威脅趨勢保持同步。新威脅層出不窮,并以前所未有的速度和效率進行傳播,在許多情況下必然會導致混亂局面比比皆是。不僅如此,可用于(或至少所分配用于)改善這種局面的資金也相對較少。實際上,Ernst&Young的《2005年全球信息安全調查》顯示,各個企業將其安全預算的50%用于“日常操作和事故響應”,僅將17%的預算用于完成“更關鍵的戰略項目”。
顯而易見,企業需要采用更為完善的解決方案才能針對當前的攻擊進行自我防護。因此,企業所需要的威脅管理解決方案具有以下特點:主動――能夠防御未知威脅;全面――能夠將所有企業內外的攻擊源頭阻擋在外;高效――非常經濟實惠的選擇。
在企業努力部署有效威脅管理解決方案的過程中,威脅趨勢的日新月異、符合法規要求的需要以及對反應性對策的過度依賴對于它們面臨的重重挑戰來說只是鳳毛麟角。
把脈新“安全”
傳播速度相對較慢的基于文件的病毒和群發郵件蠕蟲仍然屢見不鮮。實際上,在2005年上半年,這類威脅在向賽門鐵克報告的前10位惡意代碼示例中占三類。不過,黑客的動機已明顯從追求名聲轉向牟取暴利,而漏洞開發框架的日漸普及是威脅趨勢發生許多顯著變化的主要原因之一。
?威脅數量與日俱增
這不足為奇。由于黑客的動機越來越強烈,并且開發新型惡意軟件的難度越來越低,所以威脅的數量無疑會猛增。不僅如此,威脅制作軟件及其模塊化構造技術導致開發威脅變種的行為司空見慣。例如,2005年上半年,僅針對Win32平臺的新病毒和蠕蟲變種數量就已達到10800種。與前六個月相比,次數量就增加了48%。
?威脅生成時間日益縮短
日益成熟的黑客工具包不斷增多的另一惡果是開發新威脅所需的時間明顯縮短。因此,從發現新漏洞到發起針對該漏洞的特定攻擊之間的時間也無可避免地大大縮短。實際上,在2005年上半年,此時間段的平均持續時間僅為六天。
?威脅傳播速度正在加快
雖然近年來這方面威脅的趨勢沒有顯著變化,但是由于威脅的傳播速度已經非常驚人,所以這種形勢不容樂觀。例如,2001年紅色代碼在37分鐘內即可使感染速率增加一倍。而在2003年,Sapphire蠕蟲每8.5秒傳播速度就會加倍,最終不到10分鐘就會感染90%易受攻擊的目標主機。而且,認為最終不會出現傳播速度更快的威脅完全不切實際。
?威脅日益變化莫測
導致變種數量不斷增多的因素也同時導致混合型威脅層出不窮。通過使用多種利用機制、有效負載和/或傳播方法,這類威脅更有可能避開企業防線,然后成功施加負面影響。另外,導致局面日益惡化的另一個原因是黑客目前主要攻擊系統和應用程序層的弱點,而不是網絡層的漏洞。這樣,他們的攻擊往往成為側重網絡層活動對策的漏網之魚;不幸的是,大多數企業目前只憑借這樣的對策來保護自己。
首先,威脅數量大增意味著不僅安全員工將承受更大的壓力,而且他們所實施的對策在一定程度上也會受到影響。還需要進行更多研究以確定最具破壞力的威脅、需要采取更多防御措施,最終還需要解決更多事故和故障。要使這樣的等式重新達到平衡,很可能需要任命更多安全管理員或實施可提高操作效率的工具,特別是在研究和防范活動方面。第二個影響是使利用管理補丁程序進行防御的效果微乎其微。過去,從發現漏洞到漏洞被利用之間的時間長達數月,所以制造商可以從容開發和補丁程序,然后由企業對這些補丁程序進行測試和實施。但是,目前在發現漏洞后平均需要54天才能相關補丁程序,所以根本無法及時提供補丁程序。而且即便能夠及時提供,還需要考慮測試和實施相應補丁程序所需時間的問題。在最緊迫的情況下,最高效的企業可能需要幾天才能完成該過程。但這根本不具有代表性,企業補丁程序管理流程的常規執行時間至少需要30天。
安全之路延伸何方
面對不斷變化的新威脅,信息安全的環境也在發生著深刻的變革。
首先,由于需要保持競爭優勢,所以各個企業必須更迅速地應用新興技術(例如,WLAN、VolP和Web服務)以及所有現有技術和平臺的新版本。一般,各個企業不但必須管理和保護更多計算基礎架構和應用程序,而且其中大部分均為新出現的復雜架構和程序,極為分散。結果是由于配置錯誤和疏忽導 致的代碼漏洞與日俱增,而且弱點也越來越多。
其次,隨著內部威脅日益嚴重,企業的安全觀念正發生著深刻的變化。從歷史角度來看,企業一般將注意力集中在保護他們與互聯網的連接上面,很少保護他們的內部網絡和系統。不過,由于第三方連接日益增多,現場辦公的合同工需要連接到公司網絡,而且公司自身員工的移動性越來越強,從而導致威脅可以繞過互聯網邊界控制,然后從內部以相對迅猛的速度傳播。因此,除了原來必須要保護的日益增多的基礎架構外,企業現在還必須保護內部網絡和系統。
此外,確保內部網絡安全的另外一個要素是必須遵從各種“暗示”的法規和法律(如果沒有明示)。不過,從所占用的資源數量及有時會提供虛假的安全感角度來看,遵從這些要求反而會產生更多問題。事實上,一份最新調查表明遵從是信息安全活動的最重要的推動因素,該調查還表明由此而引發的主要活動是制定和更新各種策略和程序,而不是切實加強公司的安全架構或整體戰略。
更現實的還有預算問題,企業面臨的這方面挑戰在一定程度上變得欲蓋彌彰。只需看看現狀就足以:目前所制定的安全預算不僅不合理,而且這部分預算的使用方式往往對防御攻擊沒有幫助,此外這部分預算永遠處于與“企業”的其他需要進行競爭的狀態。
以上復雜因素清楚地表明理想的威脅管理解決方案必須兼顧高效性和靈活性。相對于安全部門可支配的資源而言,他們需要完成的工作過于繁重。與此同時,基礎業務需求(不考慮基礎架構)可謂常變常新。
策略篇>>>
“濕件”:另一種思維看安全
劉 恒
魯迪盧克在系列科幻小說《濕件》中講述了一個人類制造的肉身機器人如何控制和改變人類的故事。該書對人類腦力智慧(濕件)與帶有編碼化知識(軟件)的機器人(硬件)的結合并最終擺脫人類控制的前景作了最大膽的想象。
無獨有偶,“濕件”先后出現在黑客界和醫藥界,并且成為新經濟增長理論的一個術語。如今,啟明星辰率先在安全業界引入“濕件”理論,并開始成功應用到安全服務領域。
看到“濕件”二字,絕大部分人認為是“事件”的筆誤,其實不然,兩者毫無瓜葛,截然不同。“濕件”是指與計算機軟件、硬件系統緊密相連的人(程序員、操作員、管理員),及與系統相連的人類神經系統。由此可見,“濕件”,是儲存于人腦之中,無法與擁有它的人分離的能力、才干、知識等。
從某種意義而言,“濕件”是與軟件、硬件并列的IT第三大件,人們應該對“濕件”給予充分重視。“濕件”第一次將人的作用突出出來,而且這種作用遠遠高于軟件和硬件。沒有軟件,硬件是無用的;沒有人的操作或指示,軟件、硬件一起也做不了什么;由此可見,“濕件”是IT系統最為基礎的部分。
網絡安全的脆弱一環
盡管“濕件”的作用如此基礎和重要,但是長期以來卻未被提到應有的重視高度。尤其是在中國的網絡安全領域,對于“濕件”的研究基本是個“空白”,目前,啟明星辰公司敏銳地發現這一“空白”,第一次將安全“濕件”與安全服務緊密地聯系在一起,第一次將人在信息安全中的決定性作用突出了出來。
三個典型的案例很容易說明問題。
案例一:某小區的保安系統很健全,24小時有保安守衛,但最近卻發現有小偷入戶行竊。盡管沒有搞清入侵者是從哪兒進來的,有關部門還是貼了一個告示,提醒大家夏天別開窗戶以防小偷。由于沒有找出問題的癥結所在,同樣的事情在該小區再次發生。后來有人發現,小區里欄桿的設計不合理,讓小偷鉆了進去,如果拉兩個欄桿,就可以防止這種情況。
這個案例說明,我們必須充分了解攻擊者和攻擊行為發生的原因,才有可能有效防御攻擊。
案例二:某部門存放重要文檔的電腦出了故障,保管文檔的人在部門內對電腦進行了修理。一段時間后,該重要文檔泄漏了,并被公開到互聯網上。經過一番追查,最后發現是修理電腦的人偷偷將文檔拷貝了下來。這個案例說明,人員安全意識的缺失是遭到攻擊的致命因素。
案例三:“你想要值錢的東西嗎?想要,你就去拿吧。”全球最著名的黑客Mitrdck語出驚人。人們都認為他擁有無人能敵的高超技術,他卻在自己的《欺騙的藝術》一書中說,安全的核心和根本,不是技術問題,而是人和管理問題;安全最薄弱的環節是人的因素,穿透人這道防火墻往往非常容易。
從這三個案例中,我們不難看出,人的因素在信息安全中是何等重要。這也是啟明星辰為何將“濕件”引入安全服務的意義所在。對“安全濕件”的強調,體現了一種系統的安全設計思想,有了這種意識,用戶在構建安全系統時會考慮更多的因素。如果用戶沒有考慮到“濕件”也是安全系統的一個組成部分,他設計出來的安全防御系統肯定是不健全的,是失去平衡的,結果是花了很多錢,建造的安全系統并不安全。
完善安全系統
信息安全是動態的,是過程,是攻擊和防御的平衡,從這個角度講,可將安全“濕件”劃分為攻擊型“濕件”和防御型“濕件”。攻擊“濕件”和防御“濕件”都可以進一步細分下去。例如,防御型“濕件”還可以按照不同的人、不同類型的知識進行細分。
在信息安全系統中,攻擊和防御是密不可分、相輔相成的兩個方面。一方面,所謂“知彼知己、百戰不殆”,只有在攻防結合的基礎上,充分地了解甚至先考慮攻擊“濕件”,知道攻擊“濕件”是什么、在哪里、怎么樣,才談得上有效防御。目前很多安全產品或方案存在著一個嚴重的缺陷,那就是并不了解攻擊者,也就是沒有防御的明確目標,只是憑想象強行建立起一種防御系統。其實也許用戶根本不需要那么強大的防御系統,這就是忽略了攻擊“濕件”產生的問題。
安全“濕件”有助于企業提高和完善現有系統的安全性。企業在進行安全投資的時候,應該首先注重培養人才,培養“濕件”,甚至應該把“濕件”擺在硬件和軟件之前考慮。實踐證明,“濕件”的投資回報率相當高,產生的效果巨大。“濕件”應該是排在軟件和硬件之前的基礎性的部件。
由于防御型“濕件”中的人總是不可避免地具有脆弱性,這給攻擊型“濕件”提供了可乘之機,安全風險在所難免,安全產品和安全技術有時也會失靈。劉恒博士指出,許多安全問題僅憑安全產品和技術是解決不了的,必須充分考慮人的因素,用基于“濕件”的服務去解決。
從上述角度來看,信息安全的關注點正在發生變化,轉向關注“濕件”。高明的用戶一方面要構建自己內部的安全“濕件”,另一方面在自身“濕件”不夠強健時,則可以購買專業安全公司提供的安全“濕件”。“濕件”作為服務成為主流,無疑是安全產業發展的必然趨勢。
嶄新的安全服務
“濕件”與安全服務緊密相關,但是并 不能劃等號,也不能劃大于號或小于號。因為服務強調的是一種形式和過程,而安全“濕件”強調的是安全軟件和硬件之外的人的重要性,突出的是系統的有機性,是一種強調完整協調一致的理念。安全“濕件”作為服務的一種形式應該成為安全業界的主流。啟明星辰的M2S就是全新的基于“濕件”的安全服務。
作為一個重要的防御型“濕件”,M2S體現的是具有標志性的專業化的安全服務。這個體系是在啟明星辰TSP理念的指導下,在多年安全服務最佳實踐的基礎上,結合國際先進的安全服務理念、模型和業務模式,以用戶需求為中心,以注重實效為宗旨,推出的一種全面、細致的全新服務模式,主要包括國際化管理咨詢、專業化風險評估、實時性管理監控、專家型應急響應等內容。
M2S,一個能夠進行全面防范、即時監測、專家響應的實時安全過程,是一種全新的安全“濕件”。M2S有4層含義:MMS(Managed Monitoring Services),體現了專業的監控技術與服務;MSS(Managed Security Services),體現了安全企業與國際通用托管式安全服務的融合,強調安全企業要保持國際安全服務的規范性;MtoS(Management to Security),闡明了安全企業倡導的“通過管理達到安全”的理念,也契合了“服務的核心在于人”的理念;MSM(Management Secu-rity Monitory),管理安全監控,這里尤其體現了本地化差異性,與國外MSM主要根據設備來實行監控管理不同,M2S致力于解決客戶幾乎所有的安全問題,范圍更為廣泛。
可以說,“濕件”理論與M2S的有效結合,提升了網絡和系統自身的防御能力,為更多的用戶提升了生產效能,而將安全“濕件”與服務緊密相聯,也完全可以有效幫助信息安全企業在安全服務領域樹立新的里程碑。
管理篇>>>
安全風險管理的游戲規則
駕馭風險,方可掌控安全。日前,綠盟科技專業服務部總監王紅陽,就目前信息安全風險評估以及風險管理的創新理念、前沿技術、創建適應企業發展的網絡環境等問題,接受了《軟件世界》雜志的采訪。
軟件世界:如何理解風險管理的概念?綠盟科技在這方面的研究有沒有什么前沿性的課題?
王紅陽:在COSO企業風險管理框架中,風險定義為任何可能影響某一組織實現其目標的事項。風險的范圍可能是財務、合法性、符合性、運維、市場、戰略、信息、技術、人員、聲譽等方面。風險包括惡性事件帶來的威脅、尚不能確定后果的事件、可轉化為機會的事件。風險管理是發現和了解組織中風險的各個方面,并且付諸明智的行動幫助組織實現戰略目標,減少失敗的可能并降低不確定的經營結果的整個過程。信息安全風險評估(本文以下簡稱“風險評估”),則是指依據國家、國際有關信息技術、安全技術標準,對信息系統及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學、公正的綜合評估活動過程,它要評估信息系統的脆弱性、信息系統面臨的威脅,以及脆弱性被威脅源利用后所產生的實際負面影響等,并根據安全事件發生的可能性和負面影響的程度,來識別信息系統的安全風險。
信息安全是一個動態的復雜過程,它貫穿于信息資產和信息系統的整個生命周期。信息安全的威脅來自于內部破壞、外部攻擊、內外勾結進行的破壞以及自然危害。必須按照風險管理的思想,對可能的威脅、脆弱性和需要保護的信息資源進行分析,依據風險評估的結果為信息系統選擇適當的安全措施,妥善應對可能發生的風險。企業風險管理使管理當局能夠有效的應對不確定性以及由此帶來的風險和機會。
軟件世界:如何在一個組織的網絡中識別出風險所在?
王紅陽:風險評估遵循了ISOl7799、ISOl3335、ISOl5408(GB/T18336)、SSE-CMM等一系列的國際和國內標準,這些標準提供了評估過程、評估方法、評估模型、評估內容等多方面的規范化指導,同時在評估算法、評估操作等方面參考了AS/NZS4360。GAO/AIMD-00-33,GAO/AIMD-98 68.BSI PD3000等美國、澳大利亞、新西蘭的標準和規范。
風險評估的過程就是對信息系統所面臨的各種風險發生的可能性和風險發生后的嚴重性進行評價,即在國際、國內等相關標準和規范的指導下對信息系統的資產、威脅、脆弱性三要素進行詳細具體的評估。
風險評估包含了(但不僅限于)以下一系列的技術評估手段和管理評估手段:
?安全掃描:通過評估工具軟件或專用安全評估系統自動獲取評估對象的脆弱性信息,包括主機掃描、網絡掃描、數據庫掃描等,用于分析系統、應用、網絡設備存在的常見漏洞。
?人工檢查:通過人工方式直接操作評估對象來獲取所需要的安全配置信息,主要解決遠程無法通過工具軟件或設備獲得的信息,以及為避免評估意外事件而采取的方法。
?IDS取樣分析:通過在核心網絡采樣監聽通信數據方式,獲取網絡中存在的攻擊和蠕蟲行為,并對通信流量進行分析。
?滲透測試:在獲取用戶授權后,通過真實模擬黑客使用的工具、方法來進行實際漏洞發現和利用的安全測試方法。
?應用安全評估:對用戶業務應用軟件進行安全功能審核、滲透測試、源代碼審核等。
?安全管理審計:通過文檔審核、策略審核、問卷調查、顧問訪談等形式,對信息安全策略、組織信息安全、資產管理、人力資源安全、物理和環境的安全、日常運作和通訊、訪問控制、系統的獲得、開發與維護、信息安全事件管理、業務持續性管理、符合性等方面進行綜合評估。
軟件世界:信息資產風險管理的內容包括什么?通過怎樣的策略和方案可以達到風險管理的目的?
王紅陽:信息安全風險評估的目的是全面、準確的了解組織機構的網絡安全現狀,發現系統的安全問題及其可能存在的危害,以便為系統最終安全需求的提出提供依據。同時,也是為了分析網絡信息系統的安全需求,找出目前的安全策略和實際需求的差距,為保護信息系統的安全提供科學依據。進而通過合理步驟,制定出適合系統具體情況的安全策略及其管理和實施規范,為安全體系的設計提供參考。
信息安全風險評估是一個組織機構實現信息系統安全必要的、重要的步驟,可以使決策者對其業務信息系統的安全建設或安全改造思路有更深刻的認識。通過信息安全風險評估,他們將清楚業務信息系統包含的重要資產、面臨的主要威脅、本身的弱點;哪些威脅出現的可能性較大,造成的影響也較大,哪些威脅出現的可能性較小,造成的影響可以忽略不計;通過保護哪些資產,防止哪些威脅出現,如何保護和防止才能保證系統達到一定的安全級別;提出的安全方案需要多少技術和費用的支持,更進一步,還會分析出信息系統的風險是如何隨時間變化的,將來應如何面對這些風險,這需要建立一個晚上的體系。
