|
|
Issue Date: 2003-01-23
安络科技,版权所有
http://www.cnns.net
若需转载,请与本站联系
注:本文刚出炉时,正值2003年度影响最大的蠕虫发作。元月25日,全球互联网受此蠕虫影响,网络速度明显降低,各大小ISP均不同程度受影响。部分关键领域用户的生产网络系统也受到蠕虫侵袭。安络科技当天下午18:00紧急启动应急程序,于当天晚上23:00为多个ISP用户解决了问题。有关该蠕虫的解决方案和事件详情请参见:http://www.cnns.net/news/db/3188.htm 。
前 言... 2
第一篇 信息安全形势... 3
第一章 信息安全状况概述... 3
1.1 信息安全威胁描述... 3
1.2 信息安全态势... 3
第二章 全球信息安全威胁形势... 5
2.1 互联网骨干网络面临的安全威胁... 5
2.2 根域名服务器面临的安全威胁... 6
2.3 全球黑客动向... 7
2.4 网络攻击机制发展动向... 7
2.5 2002年互联网八大网络安全热点... 10
2.6 2003年网络安全可能面临的五大挑战... 11
第三章 中国信息安全形势... 12
3.1概述... 12
3.2 我国网络安全存在的几大安全现状和威胁... 12
3.3 我国台湾的信息安全现状... 13
中国互联网安全大事... 14
中国黑客组织活动情况... 14
第二篇 信息安全政策法规与标准... 15
第一章 国家信息安全政策法规情况... 15
第二章 信息安全标准和规范... 15
第三章 信息安全测评与认证... 15
3.1 什么是测评认证... 15
3.2 什么是系统安全测评认证... 16
3.3 我国信息安全测评认证机构... 16
3.4 信息安全系统测评认证要点... 16
3.5 用户单位进行信息系统安全测评认证的必要性... 16
3.6 进行信息系统安全测评认证的时机与过程... 16
3.7 进行信息系统安全测评认证的准备工作... 16
第三篇:信息安全技术动态... 17
第一章:互联网十大安全漏洞... 17
TOP 1. 17
TOP 2. 17
TOP 3. 18
TOP 4. 18
TOP 5. 18
TOP 6. 19
TOP 7. 19
TOP 8. 19
TOP 9. 19
TOP10. 20
第二章:十大攻击脚本... 20
TOP 1. 20
TOP 2. 21
TOP 3. 21
TOP 4. 22
TOP 5. 22
TOP 6. 22
TOP 7. 22
TOP 8. 23
TOP 9. 23
TOP 10. 23
第三章:八大攻击机制威胁... 24
蠕虫... 24
基于Web应用程序的攻击... 24
后门... 24
rootkits. 25
DoS. 25
Sniffer 25
利用程序自动更新存在的缺陷... 26
针对路由或DNS的攻击... 26
第四篇 信息安全资源... 26
第一章 信息安全产品厂商与产品情况... 26
A)国内厂商... 26
B)国外厂商... 28
第二章 信息安全服务厂商与技术力量... 29
第三章 信息安全解决方案... 30
3.1 信息安全基础设施的必要性... 31
3.2 信息安全专业服务的必要性... 31
3.3 信息安全持续保障的重要性... 31
3.4 安全工程实施原则... 32
第五篇 展望与前瞻... 33
第一章 信息安全产业发展趋势... 33
第二章 信息安全威胁发展趋势... 34
理论文档:信息安全神经系统... 36
前言[/COLOR]
深圳市安络科技有限公司<网络安全评估中心>作为国内最大的专业网络安全技术基地之一,作为最早从事网络安全研究、产品开发和服务的高新技术企业之一,在业界取得了众多令人瞩目的研究成果,并且在信息安全的各个领域中已形成了举足轻重的地位。在其Web站点上推出的免费动态信息安全资信服务(专人实时跟踪的安全漏洞知识库和业界动态新闻库等)更是业界人士了解和跟踪国内、国外最新安全动态,寻求安全技术解决方案的首选。在2002年结束之际,安络科技真诚巨献由安络信息部组织和编辑的《2002年计算机网络安全回顾》,供专业人士和广大IT从业者参考,以回报广大客户和朋友多年来对我们的支持。
第一篇 信息安全形势[/COLOR]
第一章 信息安全状况概述[/COLOR]
1.1 信息安全威胁描述
2002年的恶意代码及黑客攻击手段有三个特点:传播速度惊人、受害面惊人和穿透深度惊人。
传播速度:
“大型推土机”技术(Mass rooter),是新一代规模性恶意代码具备的显著功能。这些恶意代码不仅能实现自我复制,还能自动攻击内外网上的其它主机,并以受害者为攻击源继续攻击其它网络和主机。以这些代码设计的多线程和繁殖速度,一个新蠕虫在一夜之间就可以传播到互联网的各个角落。
受害面:
2002年,多个国家的能源、交通、金融、化工、军事、科技和政府部门等关键领域的信息化程度较2001年都有所提高,这些领域的用户单位的计算机网络,直接或间接地与Internet有所联系。各种病毒、蠕虫等恶意代码,和各种黑客攻击,通过Internet为主线,对全球各行业的计算机网络用户都造成了严重的影响。
穿透深度:
蠕虫和黑客越来越不满足于攻击在线的网站,各种致力于突破各种边界防线的攻击方式层出不穷。一个新的攻击手段,第一批受害对象是那些24小时在线的网站主机和各种网络的边界主机;第二批受害对象是与Internet联网的,经常收发邮件的个人用户;第三批受害对象是OA网或其它二线内网的工作站;终极的受害对象可能会波及到生产网络和关键资产主机。
1.2 信息安全态势
1.2.1 美国信息安全态势
美国拥有全球最多的IP地址和核心的互联网资源,美国所有的计算机加在一起,其计算能力总和超过全球所有计算机能力总和的2/3。但在2002年度,美国也是受黑客攻击最多的国家。这与信息化在美国各行业的普及是密切相关的。
1.2.1.1 原因
为什么美国会出现这么多的信息安全事件?为什么多年来信息安全问题在美国没有得到根本解决?著名网络安全专家,安络科技CTO谢朝霞(Frankie)在接受美国记者采访时,曾分析列举了三个方面的原因:
A、美国计算机资源是全球最有价值的资源
美国的科技领先、经济领先、军事领先等全球优势是目前任何国家都难以企及的。除了硬件设施外,在信息时代,美国社会各方面的无形资产,具有无可想象的数据容量,这些都存储在各种计算机系统内,而不是在办公室,更不是在纸张上。这些关键资产,具有最大的诱惑力,是专业级黑客的首选目标。
B、美国“全球宪兵”角色招致的仇视
二战以来,美国到处插手他国事务,到冷战后这种情形愈演愈烈。很多国家慑于美国军事打击的威胁,暂时不愿与美国公开对抗。但各国的民众、民间组织和各种势力的反美情绪却不会因为战争威胁而被打压下去,而网络领域是现代社会的一个边缘地带,计算机网络的防御措施对于远程攻击者来说都是无形的,攻击者不需要任何军事装备,就可以发动各种远程网络攻击。另外,到目前为止,所有先进国家都把信息安全体系设计为防御性体系,尚未出现即时报复型的计算机网络系统。一旦发生攻击事件,美国只能通过各种手段追查攻击来源,通过法律和外交手段追究攻击者。目前的互联网构架否定了反击型网络安全措施的存在性。没有了这种反击型的实体威慑,很多全球各地的网络攻击者,在有把握隐蔽自己网络踪迹的情况下,就敢于向美国的信息安全挑战,美国的军事、政府、科技、民用等网络设施无一幸免。攻击者很多来自民间,每一次美国出手插手他国事务,或者与其他国家发生军事冲突,美国的军政民网络都会遭致大小规模的黑客攻击。另外,恐怖分子可以招募在美国公司和政府部门内部的IT专家做内应。他们一旦打入内部就可以对关键系统造成巨大的损失。
C、美国计算机网络规划和总体布局已经形成规模效益和产业化应用,难以全面治理
在攻击技术越来越发达的今天,网络安全问题已经引起了国家领导人的重视,因此,Internet应用起步较晚的国家,反而能够较为从容地规划自己国家的网络安全体系。但美国的基础骨干网络架构,早在十多年前就已经搭建好了,那时候美国对信息安全威胁的估计,尚不如现在一个落后国家。经过十几年的发展,美国各行业的生产管理系统,都建立在互联网构架上,要想改变这种架构,需要付出的代价是难以想象的。
众所周知,网络区域是可划分的。有广域网和局域网之分,有Intranet和Internet之分,有办公网和生产网之分,有公用网和专用网之分。这些网之间的划分方式,有逻辑隔离、实体隔离和完全隔绝等多种方式。在以前,美国各领域的网络都与Internet网网相连。意识到Internet的开放性威胁,美国现在在一些敏感机构,也进行了实体隔离级别的网络改造,但网络基础设施与应用息息相关,这项工程牵涉到各单位的应用系统,因此工程浩大无比,这些措施短期内很难改变美国全局的信息安全现状。
1.2.1.2 措施
美国为应付信息安全威胁和未来的信息战,做了很多努力,目前美国政府和军方就信息安全相关问题成立的机构让人眼花缭乱:
u 白宫在911事件以后新成立了美国本土安全部和国家关键基础设施保护委员会。这些机构的一个重要使命是防范网络恐怖攻击。
u 美国安全局几年前已经成立了网络中心机构,建立了40多个网络机构,其中有20多个高层次的计算机战争机构。美国国家安全委员会成立了两个关键机构———国家保密政策委员会和信息系统安全保密委员会,前者负责制定军事安全保密政策和数字化战场设计方案,后者专门负责军事信息高速公路和数字化战场上秘密信息和敏感信息的安全保密管理。
u 联邦调查局属下的NPIC(http://www.nipc.gov,国家关键基础设施保护中心)于1998年2月,每月向公众发布的CyberNotes,都是与信息安全威胁有关的内容。
u 美国国家保密局成立了信息战处。
u 国防部成立了信息战联席指挥中心,联合参谋部信息战局、信息系统安全中心,还在海陆空三军建立了信息战部队,如位于南卡罗来纳州空军基地的空军609信息战中队,美空军的情报局的第92信息战入侵队,和隶属于大西洋舰队的“舰队信息战中心”的海军计算机应急反应分队等。为了监视因特网联接系统,空军成立了计算机应急小组。这是美国航天司令部下属的计算机网络特别行动小组的一部分。计算机应急小组的主要任务是确保网络正常运转。该小组的中心长期保持10到25名工作人员,但是在两个小时内就能额外增派人员帮助修复网络。
u 美军联参机构发行的《2010年联战远景》白皮书为信息战做了注释:“鉴于现代计算机网络、通信系统及电子数据库重要性的日益提升,将信息完全纳入国家整体安全政策中仍属必要。在平时,信息战有助于预防冲突发生,或因应危机及公开敌意行为。在危险爆发时,信息战可以用来解决纷争、增强吓阻、或准备因应公开冲突。在战时,信息战则可以直接达成战略、作战、及战术目标或强化其它用以达成这些目标的方法”。
u 2002年9月底,白宫本土安全办公室披露了国家信息安全战略指导文件《国家保障数字空间安全策略》,这是一份2,800页的文档,用于美国关键信息基础设施的安全指南。这份文件是总统的关键基础设施保护会President's Critical Infrastructure Protection Board,(PCIPB)制定的,覆盖了信息安全的各个方面,包括家庭用户、跨国公司和政府机构,其目的是为所有的国家关键基础设施组成部分的用户提供防止网络恐怖攻击的指南,包括防范外部恶意黑客和来自内部人员的威胁。
如此庞大和细致的信息安全体系,并未很好地改善美国的信息安全水平。美国政府和军方拥有成千上万部存有敏感或秘密信息的电脑,它们大部分都与互联网相连,而且非常容易被黑客攻击。大量的安全脆弱性都是非常普遍的问题:如弱口令、版本过低和缺省配置。每次雇佣一些"黑客"进行安全性的评估时,"黑客"都能成功实现入侵。联邦政府下属的"红组"已经成功入侵各大部门的计算机系统,包括国防部、国家安全局、联邦储备局。
1.2.2 其他各国信息安全态势
n 以色列
据以色列情报局mi2g透露,以色列域名.il在去年数次遭到大规模的黑客攻击,页面被任意涂改。而以色列总理沙龙更成为MyLie病毒新变种嘲弄的对象。
据悉,在02年4月的头两周内,发生在中东地区的15起重大黑客攻击事件中,以色列域名被黑击的次数就达10起,占67%。另一统计数字显示,从2000年9月巴勒斯坦人起义开始,中东地域名被攻击达1295次,而其中42%(约548次)是针对.il域名的。
从mi2g的数字来看,土耳其、摩洛哥及埃及遭到的黑客攻击分别为13%、12%、12%。而以色列可能比上述数字更高,有1.1百万的互联网连接指向它。mi2g称,去年即2001年,以色列域名被黑的次数为413,比前年上升了220%。mi2g的主席及首席执行官DK Matai表示,中东的紧张局域在此表露无遗。
从专门从事统计被黑网站数目的站点Alldas.org的统计数字来看,发动这些黑客攻击的大都是反以色列政府的埃及黑客组织Fighter及WFD。而且,从911事件以后,这两个黑客组织进行的攻击明显增多。
虽然以色列政府本身的网络系统安全并不如人意,但以色列的信息安全攻击和防御技术研究水平在世界上均处于领先地位。
以色列黑客在全球黑客界的技术影响力仅次于美国,与俄罗斯黑客和德国黑客相当。2000年3月28日,面向全球的首届国际黑客大会在以色列召开。美国一家公司对2001年下半年全球300多家与自己有业务往来的公司进行调查后得知,这些公司在半年里共遭到12.88万次黑客攻击,其中30%来自美国本土,是来自其他任何国家的3倍多。如果按网民人数比较,以色列最高:每1万个因特网用户中,有26次黑客袭击来自以色列,而发生在美国的只有3.5次。
以色列的CheckPoint公司是目前全球最具影响力的软件防火墙公司。
n 日本
日本自99年底因为在大阪事件否认侵华事实而遭致大规模中国黑客攻击后,网络安全在日本开始得到重视。去年8月,日本军方使用的一个计算机网络数据发生了泄密事件。就在数据丢失事件的前一天,日本政府刚刚引起公民身份证识别系统,可以通过网络跟踪公民个人数据,通过11位数字识别每个日本公民的身份。但是,数据丢失事件发生后,许多地方当局拒绝使用这一系统,原因是害怕被黑客攻击。
保护计算机网络安全是日本首相小泉纯一郎建立“电子政府”计划的一个长期目标。由于日本政府参拜“靖国神社”、日本右翼分子活跃等原因,日本政府网站频遭来自中国民间黑客的攻击。在亚洲,日本的计算机攻击防御技术水平尚不如我国台湾。
n 俄罗斯
俄罗斯有一批技术水平高超的专业黑客,受经济气候的影响,这些黑客经常受利益驱动从事政治、商业或技术情报收集工作。主要目标是美国军政和科技系统
俄罗斯本身的计算机网络系统安全性并不高,但由于语言和计算机体系的差异,俄罗斯的计算机系统所采用的软硬件设施都有一定的独立性,外国黑客要攻破俄罗斯的网络安全防线,并取得深入的成果相对而言比较困难。
第二章 全球信息安全威胁形势[/COLOR]
2.1 互联网骨干网络面临的安全威胁
Internet主要由两大基本架构组成:路由器构成Internet的主干,DNS服务器将域名解析为IP地址。攻击互联网骨干网络最直接的方式就是攻击互联网主干路由器和DNS服务器。
如果一个攻击者能成功地破坏主干路由器用来共享路由信息的边界网关协议(BGP),或者更改网络中的DNS服务器,将能使Internet陷入一片混乱。为了寻找一些能够使主干路由器和DNS服务器彻底崩溃或者能够取得其系统管理权限的缓冲溢出或其它安全漏洞,恶意的高级攻击者通常会从头到脚,非常仔细地检查一些主流路由器和DNS服务器的服务程序代码和它们之间的通信协议的实现代码。路由代码非常复杂,目前已经发现并已修复了许多重要的安全问题,但是仍旧可能存在许多更严重的问题,并且很可能被黑客发现和利用。DNS软件过去经常发生缓冲溢出这样的问题,在以后也肯定还可能发生类似的问题。如果攻击者发现了路由、DNS或通信协议的安全漏洞,并对其进行大举攻击的话,大部分因特网将会迅速瘫痪。2002年8月,互联网赖以运行的基础通信规则之一,ASN N0.1信令的安全脆弱性就严重威胁互联网骨干网基础设施的安全。黑客可以利用ASN N0.1信令的安全漏洞开发相应的攻击程序,关闭ISP的骨干路由器、交换机和众多的基础网络设备,可最终引起整个互联网瘫痪。由于ASN No.1信令的安全脆弱性,超过100家计算机网络设备的提供商将要付出代价。弥补这些缺陷的投入将超过1亿美金。数百家网络设备提供商在2002年早期就获得警告。由于多个internet通信协议都是基于ASN No.1计算机网络语言,ASN No.1的脆弱性将广泛威胁通信行业。最为显著的例子就是造成SNMP协议多个安全漏洞。相同的问题还影响至少其它三个互联网协议,在这里不做详细叙述。另外,随着黑客技术的发展,超级网络蠕虫、复杂的DDoS攻击等无不威胁着整个互联网的安全。
为防止骨干网基础设施遭到攻击,对于一般用户来说为确保自己的系统不会被作为攻击他人的跳板,需要对公共路由器和外部DNS服务器进行安全加固。如果公司的DNS服务器是为安全敏感的机器提供服务,则应为DNS服务器配置防火墙和身份验证服务器;确保DNS服务器安装了最新补丁,对DNS服务器严格监控;如果认为是由ISP的安全缺陷造成的威胁,迅速和ISP取得联系,共同对付这种大规模的网络攻击。
2.2 根域名服务器面临的安全威胁
什么是根域名服务器?全球共有13台根域名服务器。这13台根域名服务器中名字分别为“A”至“M”,其中10台设置在美国,另外各有一台设置于英国、瑞典和日本。下表是这些机器的管理单位、设置地点及最新的IP地址:
名称 管理单位及设置地点 IP地址
A INTERNIC.NET(美国,弗吉尼亚州) 198.41.0.4
B 美国信息科学研究所(美国,加利弗尼亚州) 128.9.0.107
C PSINet公司(美国,弗吉尼亚州) 192.33.4.12
D 马里兰大学(美国马里兰州) 128.8.10.90
E 美国航空航天管理局(美国加利弗尼亚州) 192.203.230.10
F 因特网软件联盟(美国加利弗尼亚州) 192.5.5.241
G 美国国防部网络信息中心(美国弗吉尼亚州) 192.112.36.4
H 美国陆军研究所(美国马里兰州) 128.63.2.53
I Autonomica公司(瑞典,斯德哥尔摩) 192.36.148.17
J VeriSign公司(美国,弗吉尼亚州) 192.58.128.30
K RIPE NCC(英国,伦敦) 193.0.14.129
L IANA (美国,弗吉尼亚州) 198.32.64.12
M WIDE Project(日本,东京) 202.12.27.33
在根域名服务器中虽然没有每个域名的具体信息,但储存了负责每个域(如COM、NET、ORG等)的解析的域名服务器的地址信息,如同通过北京电信你问不到广州市某单位的电话号码,但是北京电信可以告诉你去查020114。世界上所有互联网访问者的浏览器的将域名转化为IP地址的请求(浏览器必须知道数字化的IP地址才能访问网站)理论上都要经过根服务器的指引后去该域名的权威域名服务器(authoritative name server, 如haier.com的权威域名服务器是dns1.hichina.com)上得到对应的IP地址,当然现实中提供接入服务的ISP的缓存域名服务器上可能已经有了这个对应关系(域名到IP地址)的缓存。
根域名服务器是架构因特网所必须的基础设施。在国外,许多计算机科学家将根域名服务器称作“真理”(TRUTH),足见其重要性。但是攻击整个因特网最有力、最直接,也是最致命的方法恐怕就是攻击根域名服务器了。早在1997年7月,这些域名服务器之间自动传递了一份新的关于因特网地址分配的总清单,然而这份清单实际上是空白的。这一人为失误导致了因特网出现最严重的局部服务中断,造成数天之内网面无法访问,电子邮件也无法发送。在2002年的10月21日美国东部时间下午4:45开始,这13台服务器又遭受到了有史以来最为严重的也是规模最为庞大的一次网络袭击。此次受到的攻击是DDoS攻击,超过常规数量30至40倍的数据猛烈地向这些服务器袭来并导致其中的9台不能正常运行。7台丧失了对网络通信的处理能力,另外两台也紧随其后陷于瘫痪。
10月21日的这次攻击对于普通用户来说可能根本感觉不到受到了什么影响。如果仅从此次事件的“后果”来分析,也许有人认为“不会所有的根域名服务器都受到攻击,因此可以放心”,或者“根域名服务器产生故障也与自己没有关系”,还为时尚早。但他们并不清楚其根本原因是:
* 并不是所有的根域名服务器全部受到了影响
* 攻击在短时间内便告结束
* 攻击比较单纯,因此易于采取相应措施
由于目前对于DDoS攻击还没有什么特别有效的解决方案,设想一下如果攻击的时间再延长,攻击再稍微复杂一点,或者再多有一台服务器瘫痪,全球互联网将会有相当一部分网页浏览以及e-mail服务会彻底中断。
而且,我们更应该清楚地认识到虽然此次事故发生的原因不在于根域名服务器本身,而在于因特网上存在很多脆弱的机器,这些脆弱的机器植入DDoS客户端程序(如特洛伊木马),然后同时向作为攻击对象的根域名服务器发送信息包,从而干扰对象服务器的服务甚至直接导致其彻底崩溃。但是这些巨型服务器的漏洞是肯定存在的,即使现在没有被发现,以后也肯定会被发现。而一旦被恶意攻击者发现并被成功利用的话,将会使整个互联网处于瘫痪之中。
2.3 全球黑客动向
随着Internet在全球的发展,黑客的活动也日趋活跃进,大有方兴未艾之势。其动向有以下几个特点:
1.组织越来越扩大化:早期的黑客虽然也有些是有组织的,全规模不大。现在跨地区,跨国界的大型黑客组织己经出现。在Internet网上还有许多黑客的专题讨论组,并有不断扩大之势。
2.行动越来越公开化:包括召开会议,举办竞赛,编写教材等。例如2002年7月12日至14日,来自世界各国的2000名国际黑客云集纽约,举行了迄今为止规模最大的全球黑客大会,并且抛出一款全新的软件作为宣战的工具。在此次黑客大会上,黑客们公布的一项计划引起了全球瞩目,那就是众黑客以不满网络安全检查为由宣布将对全球20多个进行网络检查的国家开战。
3.案件越来越频繁化:权威机构调查显示计算机攻击事件正在以年64%的速度增加。另据统计数字显示,至2002年年末,黑客事件平均每天发生614次,比2002年年初提高20.2%。
4.情况越来越复杂化:无论人们对于黑客的功过如何评说,黑客的成分背景日益复杂,行为动机各有不同,这是客观事实,对此己经不是用“好人、好事”还是“坏人、坏事”所能简单概括。正义、非正义,侵入、反侵入的斗急错综复杂,种种迹象表明,有朝一日在网上爆发一场世界黑客大占并非天方夜谭。
2.4 网络攻击机制发展动向
我们在这里选出了在过去五年里影响最广,破坏最强的五种恶意攻击,并且还预测了在今后的五年中可能影响最大的五种攻击手段。需要说明的是,以下的选择和预测肯定是不能完全符合每个人的观点的,但我们相信,我们的选择和预测结果应该还是很有代表性,和很有意义的。
2.4.1 过去五种影响最大的攻击
选择结果之所以如此,是因为它们中的每一种攻击的破坏力在当时都几乎撼动了大多数人对英特网的信心,从企业的CEO、CIO到系统管理员、网站管理员,甚至到家庭或公司的终端用户都几乎"谈网色变"。他们对电子商务的安全性空前地怀疑,即使在打开自己的电子邮件时也是忐忑不安,犹豫不决。总之,在当时他们所表现出来的恐慌简直令人感到震惊。
红色代码 2001年7月的某天,全球的IDS几乎同时报告遭到不名蠕虫攻击。信息安全组织和专业人士纷纷迅速行动起来,使用蜜罐(honeypots)技术从因特网上捕获数据包进行分析,最终发现这是一利用微软IIS缓冲溢出漏洞进行感染的变种蠕虫。其实这一安全漏洞早在一个月以前就已经被eEye Digital Security发现,微软也发布了相应的补丁程序,但是却很少有组织和企业的网络引起了足够的重视,下载并安装了该补丁。在红色代码首次爆发的短短9个小时内,这一小小蠕虫以速不掩耳之势迅速感染了250,000台服务器,其速度和深入范围之广也迅速引起了全球媒体的注意。最初发现的红色代码蠕虫还只是篡改英文站点的主页,显示“Welcome to http://www.worm.com! Hacked by Chinese!”等信息。但是随后的红色代码蠕虫便如同洪水般在互联网上泛滥,发动DoS(拒绝服务)攻击以及格式化目标系统硬盘,并会在每月20日~28日对白宫的WWW站点的IP地址发动DoS攻击,使白宫的WWW站点不得不全部更改自己的IP地址。之后,红色代码又不断的变种,其破坏力也更强,在红色代码II肆虐时,有近2万服务器/500万网站被感染。从红色代码的肆虐中网络用户可以得到启示:只要注意及时更新补丁和修复程序,对于一般的蠕虫传播是完全可以避免的。因此作为系统管理员在平时应该多注意自己的系统和应用程序所出现的最新漏洞和修复程序,对于提供了修复程序和解决方案的应立即安装和实施;在网络遭到攻击时,为进行进一步的分析,使用蜜罐是一种非常行之有效的方法;红色代码猛攻白宫之所以被成功扼制,是因为ISP们及时将路由表中所有白宫的IP地址都清空了,在这一蠕虫代码企图阻塞网络之前,在因特网边界就已被丢弃。另外,白宫网站也立即更改了所有服务器的IP地址。
尼姆达(Nimda) 尼姆达(Nimda)是在 9/11 恐怖袭击后整整一个星期后出现的。笔者现在还清楚地记得因为美国的网络常常成为恐怖组织和对其怀有敌意的黑客的攻击目标。另外,地区之间的冲突和摩擦也会导致双方黑客互相实施攻击,当时传言是中国为了试探美国对网络恐怖袭击的快速反应能力而散布了尼姆达病毒,一些安全专家甚至喊出了“我们现在急需制定另一个‘曼哈顿计划’,以随时应对网络恐怖主义”的口号,由此可见尼姆达在当时给人们造成的恐慌。尼姆达病毒是在早上9:08发现的,它明显地比红病毒更快、更具有摧毁功能,半小时之内就传遍了整个世界。随后在全球各地侵袭了830万部电脑,总共造成将近10亿美元的经济损失。同"红色代码"一样,"尼姆达"也是通过网络对Windows操作系统进行感染的一种蠕虫型病毒。但是它与以前所有的网络蠕虫的最大不同之处在于,"尼姆达"通过多种不同的途径进行传播,而且感染多种Windows操作系统。"。"红色代码"只能够利用IIS的漏洞来感染系统,而"尼姆达"则利用了至少四种微软产品的漏洞来进行传播。从Nimda蠕虫病毒播发的全程和特点来看,网络用户又可以深刻地认识到:对网络攻击事件的紧急响应能力以及和安全专家们建立良好的关系是非常重要的;为阻断恶意蠕虫的传播,往往需要在和广域网的接口之间设置过滤器,或者干脆暂时断开和广域网的连接;在电子邮件客户端和网络浏览器中禁止任意脚本的执行对网络安全性来说是很关键的。
Melissa(1999) 和 LoveLetter(2000) 在1999年3月爆发的Melissa 病毒和2000年5月爆发的LoveLetter 病毒因为它们能够迅速蔓延,并造成极大的危害也荣登了这次评选的五大宝座之一。Melissa是MicrosoftWord宏病毒,LoveLetter则是VBScript病毒,二者除了都是利用Outlook电子邮件附件进行传播外,另外恶意代码也都是利用Microsoft公司开发的Script语言缺陷进行攻击,因此二者非常相似。用户一旦在Microsoft Outlook里打开这个邮件,系统就会自动复制恶意代码并向地址簿中的所有邮件地址发送带有病毒的邮件。很快,由于Outlook用户数目众多,其病毒又可以很容易地被复制,很快许多公司的邮件服务器就被洪水般的垃圾邮件塞满而中断了服务。一些公司在发现遭到攻击或可能遭到后立即将自己内部网络与因特网断开,在内部网将遭到蠕虫感染的机器清除或隔离,等病毒风暴过后才连接到internet上,因此才免受其危害。当时的各大防病毒厂商在病毒爆发后不久立即向他们的客户分发病毒签名文件,但是由于用户太多却要在同一时间下载和更新病毒库,使得要想及时更新签名文件变得非常困难,这无疑更加助长了病毒的肆虐。也正是因为这个原因使得Melissa和LoveLetter病毒所产生的危害仅次于红色代码和尼姆达。Melissa 和 LoveLetter 的爆发可以说是信息安全的唤醒电话,它引起了当时人们对信息安全现状的深思,并无形中对信息安全的设施和人才队伍的发展起了很大的刺激作用:Melissa 和 LoveLetter 刺激了企业和公司对网络安全的投资,尤其是对防病毒方面的投入;许多公司对网络蠕虫病毒的紧急响应表现出来的无能刺激了专业的网络安全紧急响应小组的空前壮大。
分布式拒绝服务攻击 在2000年新千年的到来之际,信息安全领域的人们都以为可以集体地长长地嘘一口气了,因为他们以为由于存在千年虫的问题,在信息网络安全领域中应该暂时还不会出现什么涟波。然后, 一月之后却来了一场谁也意想不到的大洪水:在全球知名网站雅虎第一个宣告因为遭受分布式拒绝服务攻击而彻底崩溃后, 紧接着Amazon.com, CNN, E*Trade, ZDNet, Buy.com, Excite 和 eBay 等其它七大知名网站也几乎在同一时间彻底崩溃。这无疑又一次敲项了因特网的警钟。在这以前人们其实已经接触过来自数以百计的机器的flood攻击,但是像攻击雅虎这样如此大规模的攻击却从未目击过甚至想像过。DDoS 的闪击般攻击使人们认识到英特网远比他们想象得更加脆弱,分布式地拒绝服务攻击产生的影响也远比他们原来想象中的要大得多。利用因特网上大量的机器进行DDoS ,分布式扫描和分布式口令破解等,一个攻击者能够达到许多意想不到的强大效果。从雅虎遭到强大的DDoS攻击中人们又获得了启示:要阻止这种攻击关键是网络出口反欺骗过滤器的功能是否强大。也就是说如果你的Web服务器收到的数据包的源IP地址是伪造的话,你的边界路由器或防火墙必须能够识别出来并将其丢弃;网络安全事件响应小组们认识到他们必须和他们的ISP共同去阻止数据包的flood攻击。如果失去ISP的支持,即使你的防火墙功能再强大,你网络出口的带宽仍旧可能被全部站用。唯一有效的也是最快速地方法就是和ISP联手一起来通过丢包等方法阻挡这一庞大的flood攻击;不幸地,DDoS攻击即使在目前也仍旧是互联网面临的主要威胁,当然这主要是因为ISP在配合阻断DDoS攻击上速度太慢引起的,无疑使事件紧急响应的效果大打折扣。
远程控制特洛伊木马后门(1998-2000) 在1998年7月,黑客 Cult of the Dead Cow(cDc)推出的强大后门制造工具 Back Orifice(或称BO)使庞大的网络系统轻而易举地陷入了瘫痪之中。安装BO主要目的是:黑客通过网络远程入侵并控制受攻击的Win95系统,从而使受侵机器“言听计从”。BO以多功能、代码简洁而著称,并且由于BO操作简单,只要简单地点击鼠标即可,即使最不熟练的黑客也可以成功地引诱用户安装Back Orifice 。只要用户一安装了Back Orifice,黑客几乎就可以为所欲为了,像非法访问敏感信息,修改和删除数据,甚至改变系统配置。如果仅仅从功能上讲,Back Orifice完全可以和市场上最流行的商业远程控制软件,像赛门铁克的pcanywhere,CA的ControlIT, 和免费软件VNC等相媲美。因此,许多人干脆拿它来当作远程控制软件来进行合法的网络管理。由于其简单易用和大肆地宣传,BO迅速被众多的初级黑客用来攻击系统。BO的成功后来也迅速地带动和产生了许多类似的远程控制工具,像 SubSeven, NetBus, Hack-a-Tack 和 Back Orifice 2000 (BO2K)等。这些攻击工具和方法甚至一直保留到现在,作为黑客继续开发新的和更加强大的特洛伊木马后门,以避开检测,绕过个人防火墙和伪装自己的设计思想基础。Back Orifice 和其它类似的木马后门工具使人们从根本上认识到了对用户进行一定的安全方面的培训,使他们不要随意运行不信任软件和广泛地配置防病毒软件的重要性。
当然以上列举的五点可能带有一定的偏见,因此我们另外还选择了三种: 在2002年8月公布的在IE浏览器中签发CA证书时存在的安全漏洞;在2002年2月发现的多个SNMP漏洞;在2001年1月伪装成微软职员进行代码签名的漏洞。
虽然这些恶意的全球性的攻击给人们带来了数十亿美元的经济损失,但也在一定程度上给信息安全技术的发展在无形中起到了巨大的刺激和促进作用。从这些具体的攻击和排除,防范措施中,人们使网络信息安全策略得到了不断地完善和加强, 为迎接新的信息安全挑战奠定了基础。
2.4.2 未来的五种攻击机制
以上的五种恶意攻击均给人们造成了巨大的经济损失,但人们也从中学到了很多的东西。大部分的企业或组织至少也都在信息安全方面采取了一定的基本防御措施,用户的安全意识也得到了加强,一些独创性的安全技术为应对未来更加强大的攻击提供了支持。但是仅仅这些就足够了吗?这是不可能的。至少仅仅靠安全意识上的加强是远远不够的,而且很少有人将历史教训放在心上。红色代码的爆发就充分地说明人们常常即使已经知道存在某种安全威胁,但却事不关己,高高挂起,自己还没有遭到攻击就赖得补救。而企业有限的安全预算也制约着信息安全领域的发展。另外,一些人还会出于某种目的花费大量的时间去研究新的攻击方法和手段,尽管如此,我们还是可以尝试着去预测隐伏着的可能的这些攻击。
超级蠕虫 无论是手段的高明性,还是破坏的危害性,计算机网络受到蠕虫的威胁都在激增。在我们的民意调查中显示人们仍旧将这一威胁看作是计算机网络将面临的最大威胁之一,有超过36%的人认为超级蠕虫的威胁应该摆在第一位。超级蠕虫一般被认为是混合蠕虫,它通常能自我繁殖,并且繁殖速度会变得更快,传播的范围会变得更广。更可怕的是它的一次攻击就能针对多个漏洞。例如,超级蠕虫潜入系统后,不是仅仅攻击某个漏洞,而是会尝试某个已知漏洞,然后尝试一个又一个漏洞。超级蠕虫的一枚弹头针对多个漏洞发动攻击,所以总有一个会有效果。如果它发现你未打补丁的地方,那你就在劫难逃了。而事实上没有哪家公司的系统完全打上了所有的补丁。很多安全专家逐渐看到的通过IM(即时消息)进行传播的蠕虫就可以说是一种超级蠕虫。黑客将一个链接发给IM用户后,如果用户点击链接,蠕虫就会传播给该用户的IM地址簿上的所有人。有了IM,用户将随时处于连接状态,所以也随时会受到攻击。(建议用户参考安络科技的专题文章: 八月震撼:点对点(p2p)通信对信息安全构成严重威胁和前段段时间出现过的 “MSN Messenger”病毒)。
为对付未来的超级蠕虫我们所能做的将是: 对外部可访问系统进行安全加固, 像Web服务器,邮件服务器和DNS服务器等,尽量将它们所需要开放的服务减少到最小;给系统及时打上补丁、及时更新防病毒软件,对员工进行安全宣传和教育;使用基于主机的入侵检测系统和预防工具, 例如Symantec的 Intruder Alert 3.6 可以阻断或迅速发现蠕虫的攻击。
隐秘攻击(Stealthier Attacks) 现在越来越多的黑客把攻击后成功地逃匿IDS的检测看作是一种艺术,有许多新工具将能使他们在攻击用户的系统后,不会留下任何蛛丝马迹,有多种高级黑客技术将能使之成为可能,而这些技术已经被广泛地为专业黑客和一些高级的脚本菜鸟(Scripts Kids)所采用:
多变代码: 这些恶意软件其本身可能是一种病毒,蠕虫,后门或漏洞攻击脚本,它通过动态地改变攻击代码可以逃避入侵检测系统的特征检测(Signature-based detection ,也可称为模式匹配)。攻击者常常利用这种多变代码进入互联网上的一些带有入侵侦测的系统或IDSes入侵者警告系统。
Antiforensics: 攻击者可操作文件系统的特性和反侦测伎俩进行攻击来逃避IDS的检测。例如通过利用像Burneye这样一个工具,可以掩盖黑客对系统的攻击企图,使用Defiler的工具Toolkit可以覆盖黑客对目标文件系统所做的修改留下的蛛丝马迹。
隐蔽通道: 为了和后门或者恶意软件进行通讯,攻击者必须建立一条非常隐蔽的通信通道。为此,攻击者常常将通讯端口建立在一些非常常用的通信协议端口上,像HTTPS或者SSH。
内核级后门(Kernel-level root kits): 通过从系统内核控制一个系统,攻击者获得对目标系统的完全控制权限,而对受害者来说却一切都似乎风平浪静。
嗅探式后门(Sniffing backdoors): 通过将后门和用户使用的嗅探器捆绑在一起,攻击者能够巧妙地绕过用户使用的传统的通过查看正在监听的端口来发现后门的检测方法,使受害者被种了后门却还一直蒙在鼓里。
反射式/跳跃式攻击: 与其直接像目标系统发送数据,很多攻击者觉得还不如利用TCP/IP欺骗技术去以误导正常的检测,隐蔽攻击者的真实地址。象反射式D.o.S攻击就是例证。有关反射式D.o.S攻击的详细信息,请参见安络科技七月巨献:网络攻击机制和技术发展综述。
针对以上这些诡秘的攻击,作为用户又该如何防范和阻止呢?1. 如果你的系统遭到这种攻击,你需要能够迅速地检测出来,而且要知道攻击者具体在你的系统上干了写什么。为了能够察觉出这种入侵,需要同时使用基于网络和基于主机上的入侵检测系统和防病毒产品,并仔细检查你的系统日志。一般用户可能不具备这种专业能力,可以寻找一家高专业水准的信息安全签约服务商,为您提供高水平的反入侵服务。2. 一旦你发现自己的系统有什么异常,你必须确保你的事件紧急响应小组在取证分析上有丰富的经验,能够熟练使用像@stake的免费TASK工具或者Guidance Software的商业软件EnCase,因为这两个工具都能非常仔细对系统进行分析,并且非常精确地隔离攻击者的真实破坏活动。重点部门的事件响应小组可以和专业安全服务商共建,明确分工,及时处理。
利用程序自动更新存在的缺陷 主流软件供应商,像Microsoft和Apple Computer等都允许用户通过Internet自动更新他们的软件。通过自动下载最新发布的修复程序和补丁,这些自动更新工具可以减少配置安全补丁所耽误的时间。但是程序允许自动更新的这个特征却好比一把双刃剑,有有利的一面,也有不利的一面。攻击者能够通过威胁厂商Web站点的安全性,迫使用户请求被重定向到攻击者自己构建的机器上。然后,当用户尝试连接到厂商站点下载更新程序时,真正下载的程序却是攻击者的恶意程序。这样的话攻击者将能利用软件厂商的自动更新Web站点传播自己的恶意代码和蠕虫病毒。
在过去的六个月中,Apple 和 WinAmp 的Web站点自动更新功能都被黑客成功利用过,所幸的是发现及时(没有被报道)。Apple 和 WinAmp 后来虽然修复了网站的缓冲溢出缺陷,并使用了代码签名(Code Signing)技术,但基于以上问题的攻击流一直没有被彻底清除。为了预防这种潜在的攻击威胁,需要严格控制和管理安装在你的内部网机器上的软件,禁止公司职员随意地安装任何与工作无关的应用软件。在这里,你可以使用软件管理工具来强迫执行,像 Microsoft 的 SMS,LANDesk SOFTware 的 LANDesk。这两个工具只要二者择其一,你就可以配置你的内部升级服务器,如通过在工具中对微软软件升级服务器相关选项进行配置,你可以具体选择哪个修复程序和补丁允许被安装。为保护你的网络,可使用sniffer测试所有的补丁,如发现网络流量不正常或发现开放了陌生的端口则需引起警觉。
针对路由或DNS的攻击 Internet主要由两大基本架构组成:路由器构成Internet的主干,DNS服务器将域名解析为IP地址。如果一个攻击者能成功地破坏主干路由器用来共享路由信息的边界网关协议(BGP),或者更改网络中的DNS服务器,将能使Internet陷入一片混乱。攻击者通常会从头到脚,非常仔细地检查一些主流路由器和DNS服务器的服务程序代码,寻找一些能够使目标程序或设备彻底崩溃或者取得系统管理权限的缓冲溢出或其它安全缺陷。路由代码非常复杂,目前已经发现并已修复了许多重要的安全问题,但是仍旧可能存在许多更严重的问题,并且很可能被黑客发现和利用。DNS软件过去经常发生缓冲溢出这样的问题,在以后也肯定还可能发生类似的问题。如果攻击者发现了路由或DNS的安全漏洞,并对其进行大举攻击的话,大部分因特网将会迅速瘫痪。为了防止遭到这种攻击,确保你的系统不会被作为攻击他人的跳板,应采取如下措施:对公共路由器和外部DNS服务器进行安全加固,如果公司的DNS服务器是为安全敏感的机器提供服务,则应为DNS服务器配置防火墙和身份验证服务器;确保DNS服务器安装了最新补丁,对DNS服务器严格监控;如果你认为是由ISP的安全缺陷造成的威胁,确保你的事件紧急响应小组能够迅速和你的ISP取得联系,共同对付这种大规模的网络攻击。
同时发生计算机网络攻击和恐怖袭击 这可以说是一场双重噩梦:一场大规模的网络攻击使数百万的系统不能正常使用,紧接着,恐怖分子袭击了一个或者更多城市,例如一次类似9/11的恐怖爆炸事件或者一次生化袭击。在9/11恐怖袭击事件后,美国东部的几个海岸城市,电话通信被中断,惊恐万分的人们不得不通过E-MAIL去询问同事或亲人的安全。由于这次袭击,人们发现 Internet 是一种极好的传媒(还有电视传媒)。但是我们不妨假设一下,如果此时爆发超级蠕虫,BGP和DNS被遭到大举攻击,那么在我们最需要它的时候它也将离我们而去,可以想象将是一种什么样的糟糕场面。但是这又并不是不可能发生的。我们要居安思危,为这种灾难的可能发生作好应急准备是相当困难的,所能做的将是:作好计算机的备份工作;除给紧急响应小组配备无线电话外,还需配备全双工传呼设备;要确保你的计算机紧急响应小组有应付恐怖袭击的能力;要假想可能出现的恐怖袭击场面以进行适当的演习,以确保真正同时发生网络攻击和恐怖袭击时,他们能够迅速、完全地进入角色。
也许有人会认为我们这样做可能都是杞人忧天,但是,我们有理由相信这样的事情在未来的5年中是完全有可能发生的,只不过所使用的攻击技术可能是我们在上面所列举出来的,可能是我们所没有预计到的。
2.5 2002年互联网八大网络安全热点
现在的黑客已经不再是恶作剧似的入侵与破坏,还想尽办法地通过网络成为趁人不备的扒手。回顾2002年的网络安全事件,首推黑客冒用eBay帐户事件。这起事件虽然并没有造成重大的损失,但其对今后的网络安全的影响意义是重大的,因为只有网络安全得到了确切的加强,客户的隐私权得到了确保后,B2C才能够真正的成长起来。
那么,2002年出现了那些重大的网络安全事件,2003年又有那些因应新手法所研发出来的网络安全新技术呢?
黑客冒用eBay帐户
2002年3月底,美国华盛顿著名艺术家Gloria Geary在eBay拍卖网站的帐户,被黑客利用来拍卖 Intel Pentium芯片。由于黑客已经更改了帐户密码,使得真正的帐户主人Gloria Geary在察觉被黑客入侵后,反而无法进入自己的帐户,更别提紧急删除这起造假拍卖事件了。虽然隔天eBay撤销了这起冒名拍卖的物件,然而却使受害人饱受虚惊。因为这些冒名顶替的黑客,也可能使用合法身份者的名义线上出价,然后让被害者付费。事实上,从2002年1月份起,类似盗取ID的案件就不断地发生,黑客轻易地接管帐户,并且进行假交易,让不知情的合法使用者一头雾水地面对同样受害的出价人。
个人PC被攻击机率大增
911事件后,美国政府部门和企业为了防范恐怖份子攻击电脑系统,相对重视系统安全的防护工作,使得黑客转换容易下手的攻击目标:一般个人用户。权威单位指出,当个人电脑用户在完全未采用防毒软件保护的情况下,使用宽频上网,24小时内必定会有一打以上的黑客“接管”你的电脑。接下来病毒、木马程式和从安全漏洞流窜进来的黑客,就会开始进驻你的磁盘、登录你的操作系统,甚至有可能将你的电脑变成“僵尸”电脑,成为主动攻击其他电脑的傀儡中心。
虽然美国最近将电脑犯罪列入反恐怖攻击的处罚条例,其发挥出来的吓阻作用的确能够让黑客不敢直接潜入那些被严密看管的攻击目标。 然而专家们却担心黑客改用“迂回战术”,那就是借由入侵个人用户并操纵其电脑,来达到危害企业网络的目的。
另外一个有趣的现像是,911事件让许多急于从网络上获取最新消息的网友,发现了宽频上网的优势,于是使用宽带上网的人口也明显增加。根据调查报告指出,2002年度增长率达到了14%,这也意味着黑客将有更大的机会来入侵系统。
个人用户在黑客攻击网络事件中,除了资料被删除外,还扮演着“帮凶”的角色。比如,造成网络壅塞甚至瘫痪的Denial of Service attack阻绝服务攻击事件中,你的电脑可能是数以万计攻击某网站的共犯之一。
木马程式也偷窥
对于一直想标新立异的黑客来说,攻击政府网站已经显得有点老套。相比之下,与其突破防火墙和 Intrusion Detection Systems (IDS)的重围,单挑Unix或Solaris,还不如改弦易辙地去攻击数以万计 Windows用户,这些疏于防范的个人用户对黑客来说显然是容易下手多了。更何况黑客地下组织的网站还提供目标攻击名册,详细列出了各种可攻击的Port,当然还有免费的“攻击程式产生器”,不需要高深的技术背景也可以当起黑客。
新的特洛依木马程式,像是在你的键盘上方装设了隐藏的针孔摄影机一样,可以记录你敲下的每一个键盘指令或在你的电脑里暗动手脚,有朝一日发动“阻断式服务攻击”(denial-of-service attack)时,只需敲一个键就OK了。如10月份现身的Bugbear熊熊虫病毒,以新的感染手法在10月份让连续半年稳居毒王宝座的Klez求职信病毒退位。这个病毒可以窃取高度敏感的资料,如密码、帐号等等,并将其传送到指定的电脑中,另外被感染的电脑还会遭其远端控制。如果你上网进行电子交易,键入了你的信用卡账号、密码等,键盘侧录程式(Key logger)就会把他侧录下来,传到某个TCP/IP埠,接下来就可以利用您的个人私密资料为所欲为了
天下没有白吃的午餐
近年来,类似的软件分享或下载网站,已经快速增加到了4300个左右。这些网站可供下载的内容包罗万象,有游戏软件也有电子邮件程式,几乎涵盖了所有你能够想得到的软件。不过,现在已经有专业的网站监测单位发现,许多比较受欢迎的分享网站,居然夹带具有操控使用者电脑能力的特洛依木马程式。在过去的2002年里,许多中小企业的IT主管,已经疲于应付公司内部下载免费软件所导致的后遗症,包含难以估计的产能损失和安全系统的修复成本。这一切似乎应验了中国的那句古话:“天下没有白吃的午餐”!
电脑安全成筹码
2002年11月份,Computerworld披露一名支持伊拉克的马来西亚黑客,声称一旦美国对伊拉克发动战事,将以破坏力强大的电脑病毒反击。这名黑客声称已经完成了部署,并与俄国和巴基斯坦的黑客共同合作,届时至少有5个以上的恶性程式,会联军发动网络病毒攻势。据称,届时会爆发SirCam、 Klez和Nimda等3大毒王的“三合一”病毒洪流。这名黑客强调,该蠕虫早在2002年8月份就已经自行通过层层测试,随时准备反击。
黑客锁定亚洲服务器
位于纽约的一家Internet基础建设顾问公司,2002年初在分析了超过1200万个黑客攻击事件后所作出的研究报告显示,继美国之后,韩国和中国的服务器已经成为了黑客的主要跳板。其中,美国占49%,韩国与中国分别占17%和15%。根据这次公布的调查报告显示,黑客主要针对提供电子邮件、文档分享和网站浏览的服务器搜寻刺探其可能存在的安全漏洞,甚至直接进行入侵破坏。
尽管这份报告没有提到哪些国家比较容易遭受攻击,但是也很明确的指出没有安全设施的网络基础建设,很容易被全球的黑客“相中”,作为攻击跳板,当然相对的其风险指数也居高不下。
根据统计,平均每个宽频用户每天会遭受10个黑客的攻击,不但增长率节节上升,而且就连犯罪的年龄层也在节节下降。
无线上网成为新目标
今后,随着无线网络的快速发展,通过移动式个人电脑在公开场合进行资料传输的机率与日遽增,与此同时无线网络的安全防护问题也开始显得越来越重要。据趋势科技表示,无线网络势必将成为黑客攻击的新漏洞。因此在PC-cillin 2003中特地加入了全球首创的Wi-Fi无线安全防护(Wi-Fi Protection),不论何时何地悠游无线网路,网友都能更加安心自在,不必担心个人机密资料外泄。此外,为了加强防范上述的网络恐怖攻击事件的发生,PC-cillin2003还内建了全新研发的主控式个人防火墙(Enhanced Personal Firewall)功能,具有即时监控、过滤与追踪任何形式的网络资料传输或交换的功能,让所有黑客无可遁形,还能避免您的电脑遭到来自不明网站的恶性程式挟持,阻绝特洛伊木马程式的袭击,避免你成为病毒的帮凶。
主动式解决方案未雨绸缪
企业饱受黑客、蠕虫的袭击,无论这些无恐不入的恶性程式,是从软件厂商默默修补漏洞的空白期趁虚而入,还是企业对于安装修正程式这事显得力不从心,而让门户洞开,企业网管人员的确需要一个“主动式”的安全防护策略。趋势科技(Trend Micro)推出的企业安全防护策略EPSEnterprise Protection Strategy),可以说是针对传统防毒市场的大换血,它可以在蠕虫破门而入前,提供网管人员各项安全防护主动部署的安全机制。EPS企业安全防护策略是趋势科技针对网络内容安全推出的创新解决方案。不用等到病毒码更新,就能主动防御。通过Trend Micro Control Manager(TMCM)管理整个病毒爆发周期,让企业在面临病毒爆发的威胁时,通过TMCM获得趋势科技主动提供的完整防毒策略,有效降低因为病毒疫情带来的人力损失及成本。
2.6 2003年网络安全可能面临的五大挑战
当我们还沉浸在迎接新年的喜悦的时候,有人已经放松了对网络安全问题的警惕性。以目前的蠕虫和病毒设计技术,预计2003年会发生大规模的恶意代码攻击。下面就是预计在2003年网络安全领域将面临的5大挑战:
1、垃圾邮件数量将变本加厉。
根据电子邮件安全服务提供商Message Labs公司最近的一份报告,预计2003年全球垃圾邮件数量的增长率将超过正常电子邮件的增长率,而且就每封垃圾邮件的平均容量来说,也将比正常的电子邮件要大得多。这无疑将会加大成功狙击垃圾邮件的工作量和难度。目前还没有安装任何反垃圾邮件软件的企业公司恐怕得早做未雨绸缪的工作,否则就得让自己的员工们在今后每天不停地在键盘上按动“删除键”了。另外,反垃圾邮件软件也得不停升级,因为目前垃圾邮件传播者已经在实行“打一枪换一个地方”的游击战术了。
2、即时通讯工具照样难逃垃圾信息之劫。
即时通讯工具以前是不大受垃圾信息所干扰的,但现在情况已经发生了很大的变化。垃圾邮件传播者会通过种种手段清理搜集到大量的网络地址,然后再给正处于即时通讯状态的用户们发去信息,诱导他们去访问一些非法收费网站。更令人头疼的是,目前一些推销合法产品的厂家也在使用这种让人厌烦的手段来让网民们上钩。目前市面上还没有任何一种反即时通讯干扰信息的软件,这对软件公司来说无疑也是一个商机。
3、内置防护软件型硬件左右为难。
现在人们对网络安全问题受重视的程度也比以前大为提高。这种意识提高的表现之一就是许多硬件设备在出厂前就内置了防护型的软件。这种做法虽然前几年就已经出现,预计在今后的几年中将会成为一种潮流。但这种具有自护功能的硬件产品却正遭遇着一种尴尬,即在有人欢迎这种产品的同时,也有人反对这样的产品。往好处讲,这种硬件产品更容易安装,整体价格也相对低廉一些。但它也有自身的弊端:如果企业用户需要更为专业化的软件服务时,这种产品就不会有很大的弹性区间。
4、企业用户网络安全维护范围的重新界定。
目前各大企业公司的员工们在家里通过宽带接入而登录自己公司的网络系统已经是一件很寻常的事情了。这种工作新方式的出现同样也为网络安全带来了新问题,即企业用户网络安全维护范围需要重新界定。因为他们都是远程登录者,并没有纳入传统的企业网络安全维护的“势力范围”之内。另外,由于来自网络的攻击越来越严重,许多企业用户不得不将自己网络系统内的每一台PC机都装上防火墙、反侵入系统以及反病毒软件等一系列的网络安全软件。这同样也改变了以往企业用户网络安全维护范围的概念。
5、如何看护好个人的信用资料。
在美国,个人信用资料在美国公众的日常生活中占据着重要的地位。以前的网络犯罪者只是通过网络窃取个人用户的信用卡账号,但随着网上窃取个人信用资料的手段的提高,预计2003年这种犯罪现象将会发展到全面窃取美国公众的个人信用资料的程度。如网络犯罪者可以对你的银行存款账号、社会保险账号以及你最近的行踪都能做到一览无余。如果不能有效地遏制这种犯罪趋势,无疑将会给美国公众的日常人生活带来极大的负面影响。
第三章 中国信息安全形势[/COLOR]
3.1概述
近年来,我国的信息安全发展的大环境已日臻完善,并取得了巨大的成绩,但是当前我国的信息安全形势依然是不容乐观的,面临严峻的挑战:
3.1.1、技术防御整体水平不高
随着网络尤其是因特网在我国的迅速普及,针对我国境内信息系统的攻击正在呈现快速增长的势头。据了解,从1997年底到现在,我国的政府部门、证券公司、银行、ISP、ICP等机构的计算机网络相继遭到多次攻击。仅2001年四月份我国有记录在案的被来自境外黑客攻击的案例就多达443次。
一个国家可持续提高的网络空间安全保障能力,是同这个国家在信息安全领域专业队伍的研究和技术水平相适应的。目前,信息技术的攻击手段不断推陈出新,有害信息的发布者也不断借助新技术来对抗各项管理措施。这迫使社会需要一支信息安全专业工作队伍,这支队伍要求具有较强的信息安全专业技术水准和解决实际问题的能力,并必须不断地跟踪研究最新的安全技术。
一个国家IT系统运行的可靠性,是与这个国家信息安全保障的准备工作水平相适应的。实践证明,信息安全风险的预先识别和信息系统安全性评估工作非常重要。去年发生的不法分子攻击中国鑫诺卫星的事件造成了严重影响,相关的工程技术人员在事件处理过程中,由于对风险认识不足,准备不足,缺乏必要的技术设施和相关处理经验,事发后未能最大程度地降低负面影响,攻击者数日后再度攻击成功,该事件造成了较为严重的后果。从这件事情也可以看出,信息安全专业保障技术力量和相关的信息安全技术平台是我国极其缺乏的宝贵资源。
我国电子政务、电子商务和各行业的计算机网络应用尚处于发展阶段,以上这些领域的大型计算机网络工程都由国内一些较大的系统集成商负责,这些集成商绝大多数都缺乏专业的安全支撑技术力量。例如,目前有一个很突出的现状是,一些集成商的技术负责人或项目负责人,其信息安全知识贫乏得令人吃惊,撰写安全方案照搬书本和教条,对安全解决方案的认识都停留在产品集成层次,这些项目负责人普遍认为只需要在各个层次部署了安全产品,整个系统的网络安全就能得到保障。这样一来,整个方案中充斥着各类产品的介绍,一套安全解决方案成为各种安全厂商产品的堆砌,这样的后果不仅造成用户投资的浪费,而且根本上很难抵挡黑客的手工攻击和各种恶意代码威胁。
3.1.2、各类安全威胁与风险已尽露端倪
我国网络信息的政治安全问题中最突出的有两方面问题,一是网上的失窃密案件多有发生,二是反动邪教****功和民运分子等境内外敌对势力利用因特网从事各种违法犯罪活动,对社会稳定和政权巩固造成了许多负面影响。
我国网络信息的经济安全问题中最突出问题是金融安全问题,银行、证券信息系统的安全隐患巨大,特别是我国银行网络每年因安全问题包括外部攻击、内外勾结、内部人员违法犯罪和技术缺陷引起的经济损失数以亿计。
我国网络信息的军事安全问题已发生了重大军事机密泄密的事件。
我国网络信息的公众安全问题,全国各地都发生过涉及个人隐私、名誉权遭到侵害的案件。
至于信息战的问题,我国目前遭受的更多是意识形态的文化方面的渗透。
上述安全问题,已覆盖了各个重要敏感的安全领域,随着国家信息化的进一步发展,还将更充分更深入地暴露出我国信息网络的安全隐患,遭受更大的威胁和风险。
3.2 我国网络安全存在的几大安全现状和威胁
第一,计算机网络系统使用的软、硬件很大一部分是国外产品,外国公司成为最大的获利者,并且对引进的信息技术和设备缺乏保护信息安全所必不可少的有效管理和技术改造。软件除面临价格歧视的威胁外,其还可能隐藏着后门,一旦发生重大情况,那些隐藏在电脑芯片和操作软件中的后门就有可能在某种秘密指令下激活,造成国内电脑网络、电信系统瘫痪。我国电脑制造业对许多硬件核心部件的研发、生产能力很弱,关键部件完全处于受制于人的地位。
第二,全社会的信息安全意识虽然有所提高,但将其提到实际日程中来的依然很少。在我们本年度进行的多次安全普查和评估中发现许多公司和企业,甚至敏感单位的计算机网络系统基本处于不设防状态。有的即使其网络系统已由专业的安全服务商为其制定了安全策略,但在一定时间后,由于在网络的使用中发现没有以前的方便,便私自更改安全策略,过后才通知甚至根本没有通知安全服务商,等一旦遭到攻击已是悔之晚矣。
第三,国内很多公司在遭到攻击后,为名誉起见往往并不积极追究黑客的法律责任。美国八大网站受到攻击,但并未使其比较敏感的客户资料泄露,却在媒体上大炒而特炒;相反,一些公司被黑后损失更为严重惨重,反而无声无息。国内有些公司为保证客户对其的信任,不敢公布自己的损失,更不敢把黑客送上法庭,往往采取私了的方式,这种“姑息养奸”的做法就进一步助长了黑客的嚣张气焰。
第四,目前关于网络犯罪的法律还不健全。互联网毕竟是新生事物,它对传统的法律提出了挑战。比如盗窃、删改他人系统信息属于犯罪行为,但仅仅是观看,既不进行破坏,也不谋取私利算不算犯罪?还比如网上有很多BBS,黑客在上边讨论软件漏洞、攻击手段等,这既可以说是技术研究,也可以说是提供攻击工具,这又算不算犯罪呢?更进一步说,提高网络安全技术水平的有效途径就是做黑客,以掌握网络漏洞。如果使这种黑客行为绝迹,对网络安全整体水平的提高,是不是适得其反呢?
第五,中国信息安全人才培养体系虽已初步形成,西安电子科技大学、解放军信息工程学院、北京邮电大学已拥有密码学博士点和硕士点,另外在2000年西安电子科技大学开始招收信息对抗专业本科生,2001年全国第一个信息安全本科专业在武汉大学创建,2002年又有18所高等学校建立了信息安全本科专业,但随着信息化进程加快和计算机的广泛应用,信息安全问题日益突出,同时,新兴的电子商务、电子政务和电子金融的发展,也对信息安全专门人才的培养提出了更高要求,目前我国信息安全人才培养还远远不能满足需要。
去年国内信息安全产业稳步增长,但市场份额远未达到我国IT建设规模所需的安全投资规模。我国信息安全产业发展面临一些挑战,业界权威,国家信息安全测评认证中心主任吴世忠曾经指出,我国信息安全产业有以下问题:
一是安全应用需求不明,产业技术推动性太强,应用针对性不够。技术产品跟从美国的商业趋势,国内安全需求得不到很好满足;二是产品过度集中,低水平重复严重,产业结构失调,资源配制不当,缺乏竞争力。产品高度集中在网络周边防护和密码设备上,而身份识别和信息审计等利基产品少;三是核心技术仍然受到制约,产业化水平较低,产品安全质量令人担忧。除操作系统、应用芯片、应用软件外,在专用协议、标准方面受到限制,展品、样品、试用品、废品多,认证通过率很低;四是缺乏产业政策的支持,尤其缺乏融资政策和采购政策,难以适应WTO的严峻挑战。
3.3 我国台湾的信息安全现状
1999年两国论事件后,大陆民间第一代黑客的攻击对台湾影响深刻。那一次最严重的事件是台湾国民大会主机软硬件系统彻底瘫痪,包括台湾监察院等20个重要政府站点在一夜之内被入侵,引起海内外关注。此后大陆第二代、第三代黑客又陆续对台湾政府和民间网站发动过多次攻击。
台湾当局目前将建立防御性信息安全体系作为信息安全工作的重心。陈水扁于2000年8月30日批准了“建立我國通資訊基礎建設安全機制”案,由行政院组织成立了“国家资通安全应变中心”,由行政院院长担任总召集人,负责运作台湾地区的计算机网络安全协调和应急体系,该案要求于2002年12月前建立“国家资通安全基本防护能力”:
1、2001年1月完成通报体系建立。
2、成立行政院资通安全会报(已于2001年1月院会通过后编成)。
3、成立“国家资通安全应变中心”(已于2001年1月院会通过后编成)。
4、2001年12月31日前完成台湾资通技术研发策略及系统弱点评估。
5、2001年12月31日前完成认证、保证、信息分享体系建立。
6、2002年12月31日前完成政府PKI基础建设(配合电子化政府完成CA认证机制)。
7、各单位规划第二阶段执行计画(初稿于2002年8月31日前完成)。
8、综合业务组提出资通安全推动方案报告(预计2002年9月前完成)。
台湾当局将信息安全事件划分为四个等级:
『A』级:影响公共安全、社会秩序、人民生命财产。
『B』级:系统停顿,业务无法运作。
『C』级:业务中断,影响系统效率。
『D』级:业务短暂停顿,可立即修复。
影响等级达到『B』级(含)以下时,由危机通报分组负责通报各副召集人处理,并依需要由副召集人召集各分组及相关单位召开紧急应变会议或立即进驻应变中心处理全般状况;当危机通报分组回报影响等级达到『A』级时,由应变中心副召集人立即通报召集人,并即刻召集各分组及相关单位进驻应变中心召开紧急应变会议处理全般状况。
台湾当局目前视大陆黑客为对台湾信息安全的头号威胁,曾经多次采取措施防范大陆黑客对台湾军政系统的攻击。台湾国防部网站曾经多次遭遇大陆三代黑客的攻击。99年以来,台湾国防部投巨资对台湾各国防部门、各军种的信息安全进行了改善,国军各单位都配置了防火墙和入侵检测等专业安全设施,安全程度大大提高。自99年以后,台湾国军的军网Minet已经完全实现与Internet物理隔绝。目前大陆黑客想要侵入台湾国防部的Internet(http://www.mnd.gov.tw)网站都已经很难,更不用说已经物理隔离的国军资讯网络了。台湾的GSN(Government Service Network)的安全措施也较为严密,一般的黑客不容易对GSN发动规模性攻击。
中国互联网安全大事
中国黑客组织活动情况
在2002年度,国内黑客组织的活动情况总的说来比较平静,尽管黑客出击率和攻击事件在不断增加,但都属于小股作战或个人行为,基本没有什么影响力。
在2002年五月没来之前,因为按照以往每年五月中美黑客之间都要进行一场大规模的攻击较量,并且双方民间非正式网络团体均声称要在“五一”期间组织对某些国家和地区的网站进行攻击,一些媒体也就此作了渲染性报道。因此,双方都高度警惕,并在事先尽可能地作好了应对措施。当时,美国中央情报局(CIA)官员甚至宣称,中国大陆军方正准备对美国及台湾的计算机网络发动大规模的网络攻击,其中包括与互联网连接的军事系统都将会遭到严重破坏. 另据他们的分析家说,美国当局正准备迎接中国学生在接下来几周对美国发动的新一波黑客攻击. 而据美国《洛杉矶时报》回顾说,此份机密警报是在五一一周前发到情报局官员手中的。当时对这一事件,中国互联网协会也给予密切的关注,并责成中国互联网协会网络与信息安全工作委员会与中国计算机网络应急协调中心(CNCERT/CC)合作,组织部分互联网运营及安全服务方面的会员单位,召开会议,通报情况,部署应急防范措施。在中国互联网协会网站与中国计算机应急协调中心的网站上,也发布了《关于防范与制止网络攻击行为的公告》。国内的其它重要网站和网络服务提供商们也纷纷刊登公告或直接通知他们的客户和网民要提前作好准备,应对一切可能发生的网络攻击。
但是最终在有关部门的努力下,国内5个最大的民间非正式网络团体终于公开声明,放弃拟定中的网络攻击计划。这样,中外媒体事先报道的“五一黑客大战”得到了有效控制。对此,中国互联网协会负责人在后来接受记者采访时表示:对5个自发的民间非正式网络团体放弃网络攻击计划表示欢迎,我国政府和社会各界历来反对任何组织和个人以任何理由对网络进行任何形式的攻击。
其实,这种毫无意义的网络攻击只可能是两败俱伤,并且一旦形成规模,将会导致相互攻击不断升级,给双方国家和社会带来重大破坏与损失。这种行为对国家、对互联网、对国际社会都是不负责任的。并且无论是利用网络传播不良和有害信息的行为,还是针对网络的攻击行为,都是为法律所不容的。 |
|
狗仔卡
发表于 2003-2-25 10:36:07
提升卡
置顶卡
变色卡
恢复卡
