美國(guó)大片《恐怖地帶》中有這樣的鏡頭:代表“埃博拉”病毒的紅色區(qū)域在幾天之內(nèi)覆蓋了整個(gè)美國(guó)版圖,速度之快令人怵然。最近在NAI公司北京的辦公室里,筆者竟然又看到了類同的畫面,只是這次蔓延的是計(jì)算機(jī)病毒,傳播速度已經(jīng)要以秒和分鐘來計(jì)算,而受病毒侵害區(qū)域的版圖也在瞬間擴(kuò)展到了全球范圍。這是McAFee反病毒緊急響應(yīng)組總監(jiān)VincentGullotto先生給我們演示的真實(shí)案例。
——病毒或惡意攻擊行為通過網(wǎng)絡(luò)以“光”的速度襲來,須臾不能脫離網(wǎng)絡(luò)的你,如何確保自己的數(shù)據(jù)是安全的?
——“911事件”震驚全球,IT界再次開始反思安全問題。網(wǎng)絡(luò)無辜地成為罪惡孳生的溫床!
——調(diào)查結(jié)果證實(shí),給公司帶來?yè)p失最大的不是來自于外部的攻擊,而是源于內(nèi)部的管理不善。所謂禍起于蕭墻之內(nèi),千里長(zhǎng)堤,毀于蟻穴!
向病毒“學(xué)習(xí)”反病毒
網(wǎng)絡(luò)安全成為重要課題,防治病毒首當(dāng)其沖。病毒與反病毒的魔道之爭(zhēng)沒完沒了,沒有一個(gè)用戶敢確認(rèn)自己具有金剛不壞之身,也沒有一個(gè)反病毒廠商敢斷言自己的產(chǎn)品是金鐘罩鐵布衫。
隨著病毒技術(shù)(不得不承認(rèn)病毒的確是一種技術(shù))的發(fā)展,人們對(duì)病毒概念的認(rèn)識(shí)又進(jìn)一步--“具有自我傳播能力的就可稱為病毒”。過去病毒是指一個(gè)病毒傳染到另一外文件的傳染過程,而現(xiàn)在通過網(wǎng)絡(luò)傳播,病毒不光傳染宿主,病毒已經(jīng)不是單純的傳染文件,也破壞附著體、感染計(jì)算機(jī);在網(wǎng)上從這臺(tái)計(jì)算機(jī)傳播到另外一臺(tái)計(jì)算機(jī),具有自動(dòng)傳播能力的就可稱為病毒,我們常聽說的網(wǎng)絡(luò)蠕蟲(Internet Worm)就是這樣的病毒。
面對(duì)病毒氣勢(shì)洶洶的來犯,我們應(yīng)當(dāng)如何應(yīng)對(duì)呢?反病毒專家VincentGullotto先生談了他的看法。
從1998年以來,病毒數(shù)目大規(guī)模增長(zhǎng),目前能夠監(jiān)測(cè)的病毒共有6萬(wàn)多種。從現(xiàn)在的發(fā)展趨勢(shì)來看,病毒每年成2至3倍的速度增長(zhǎng)。目前,一般的防病毒軟件可以監(jiān)測(cè)到大部分病毒。原來宏病毒占的比例很大,現(xiàn)在增長(zhǎng)最快的是運(yùn)行程序病毒。病毒的發(fā)展變化與網(wǎng)絡(luò)建設(shè)息息相關(guān),90年代初,Internet應(yīng)用還不廣泛,病毒多為手動(dòng)傳染;1995年至1999年,隨著互聯(lián)網(wǎng)的發(fā)展,共享文件增多,宏病毒開始出現(xiàn);現(xiàn)在,電子郵件在工作中占有越來越重要的地位,基于電子郵件、破壞力十足的病毒也越來越多。像“我愛你”、“梅麗莎”、“紅色代碼”及“尼姆達(dá)”等病毒就是通過電子郵件以空前的速度迅速蔓延開來的。病毒通過網(wǎng)絡(luò)傳播,隨著用戶帶寬的不斷增加,被病毒所占用的資源也會(huì)越來越多,防御病毒是最根本的解決辦法。防御病毒需從各個(gè)方面入手,對(duì)于廠商而言,通過對(duì)病毒特性的研究,生產(chǎn)出防御病毒的最新產(chǎn)品,讓這些產(chǎn)品具有最佳的易用性,實(shí)際這只是防病毒廠商全部工作的一個(gè)部分。教育用戶,讓他們意識(shí)到防御病毒的重要性才是最關(guān)鍵的。隨著一波高過一波的病毒侵襲,企業(yè)用戶防病毒的意識(shí)在近年已大大加強(qiáng),并能夠制定出適合自己的反病毒策略。相對(duì)于企業(yè)用戶,個(gè)人用戶的防病毒意識(shí)還十分淡薄,無可否認(rèn),互聯(lián)網(wǎng)為我們的工作帶來方便與快捷,但互聯(lián)網(wǎng)對(duì)用戶而言并不是百利而無一害,當(dāng)用戶從互聯(lián)網(wǎng)上瀏覽的時(shí)候,已經(jīng)受到病毒的威脅。很多個(gè)人用戶因?yàn)樯形从龅讲《荆銦o視病毒的存在,實(shí)際上潛在的危險(xiǎn)早已經(jīng)存在,只是還未爆發(fā)而已。
對(duì)于目前許多廠家熱心推出的硬件殺毒技術(shù),Vincent先生談到:事實(shí)上,硬件殺毒同樣離不開軟件的支持。所謂的硬件殺毒技術(shù)其實(shí)只是為用戶提供了一個(gè)比較方便簡(jiǎn)單的一體化解決方案。當(dāng)用戶依靠軟件產(chǎn)品來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的保護(hù)時(shí),必須購(gòu)買多個(gè)產(chǎn)品,而硬件殺毒為用戶提供的則是一個(gè)經(jīng)濟(jì)易用的單一產(chǎn)品。做為一個(gè)實(shí)用工具,硬件產(chǎn)品本身即代表了一個(gè)出色解決方案。通過它,大中型企業(yè)能夠保護(hù)其網(wǎng)絡(luò)免遭外來病毒威脅,同時(shí)又免除了從不同的銷售商那里尋找、購(gòu)買與集成硬件、操作系統(tǒng)與軟件部件的諸多繁瑣工作。易管理性是硬件殺毒產(chǎn)品獲得成功的關(guān)鍵。
安全(殺毒)與管理之間的關(guān)系非常密切,Vincent先生認(rèn)為,購(gòu)買和安裝防病毒軟件并不是防御病毒的全部工作。事實(shí)上,很多時(shí)候,我們是不需要防病毒軟件的。用戶購(gòu)買越來越多的防病毒軟件,希望能夠快速有效地防止病毒。其實(shí),企業(yè)首要的任務(wù)是制定防病毒策略,明確規(guī)定哪種類型的文件可以運(yùn)行,哪種文件不可以運(yùn)行,在此基礎(chǔ)上,然后再運(yùn)行防病毒軟件產(chǎn)品。例如,宏病毒是在微軟Word中產(chǎn)生的,但是有80%的人在使用Word時(shí),無需運(yùn)行宏,也不知道宏的存在,其實(shí)只要你對(duì)宏有所了解,運(yùn)用一些簡(jiǎn)單的設(shè)置就可以將其阻擋。此外,也無需將所有文件存成Word文檔,如果你運(yùn)用RTF格式,由于它是不支持宏的,也無法傳播宏。防御病毒,除了防病毒軟件外,制定相關(guān)策略是至關(guān)重要的。此外,防病毒廠商為用戶提供的咨詢服務(wù)也是有效的方式之一,向不同的公司征求意見,暫時(shí)的花費(fèi)也許會(huì)很高,但從長(zhǎng)遠(yuǎn)發(fā)展角度考慮,投資是必要的。
從安全漏洞“學(xué)習(xí)”管理之道
黑客攻擊“秘技”中最狠的一招叫做社會(huì)工程學(xué)--這是美國(guó)一個(gè)著名黑客最早提出來的--他一旦決定攻破某個(gè)網(wǎng)站,如果技術(shù)上實(shí)現(xiàn)不了,他就要開始社會(huì)工程學(xué)行動(dòng)了。他到這個(gè)辦公樓里翻垃圾,到那里去找線索,翻一段時(shí)間后,從一些廢紙上就對(duì)這個(gè)公司的情況了如指掌了。可以很輕易地得到或誘騙到密碼。比如打電話說我是**,我密碼忘了云云,公司的情況一清二楚,由不得你不上當(dāng)。另外還有這種情況,你解雇了公司的網(wǎng)絡(luò)管理員,而內(nèi)部東西他都知道,而且密碼系統(tǒng)是他設(shè)的,一旦他進(jìn)行某些有危害性的操作,造成的后果不是安全公司所能負(fù)責(zé)的。三分技術(shù)七分管理,管理是重中之重。
就如Vincent先生所說的,防范病毒重在內(nèi)部管理機(jī)制,保衛(wèi)網(wǎng)絡(luò)安全同樣如此。網(wǎng)絡(luò)使全球一體化的概念變得直觀和現(xiàn)實(shí),不僅要防范黑客和病毒的入侵,還包括隱私保護(hù)、信息安全的調(diào)和、如何使設(shè)備及網(wǎng)絡(luò)工作更穩(wěn)定等范圍更廣的常態(tài)研究。目前國(guó)內(nèi)應(yīng)用安全產(chǎn)品主要是以安全軟件為主,包括一些殺毒軟件、防火墻、授權(quán)認(rèn)證。加密等等。2000年是企業(yè)上網(wǎng)年,2001年是網(wǎng)絡(luò)安全年。據(jù)統(tǒng)計(jì)在北京IDC(互聯(lián)網(wǎng)數(shù)據(jù)中心)就有30多家,IDC的基礎(chǔ)業(yè)務(wù)是接入服務(wù)和主機(jī)托管,上千臺(tái)的服務(wù)器托管在IDC中心,他們的發(fā)展對(duì)網(wǎng)絡(luò)安全帶來一些更為嚴(yán)峻的課題,網(wǎng)絡(luò)發(fā)展越大,網(wǎng)絡(luò)安全存在的問題就越突出。
網(wǎng)絡(luò)安全產(chǎn)品的應(yīng)用為用戶提供了更多的安全策略和安全手段,是保障網(wǎng)絡(luò)不可或缺的部分。目前安全產(chǎn)品國(guó)外的有美國(guó)ISS漏洞掃描和入侵檢測(cè)系統(tǒng)、美國(guó)NAI的防火墻和Macfee防病毒以及Sniffer、美國(guó)趨勢(shì)科技防病毒、NETSCREEN防火墻、CA安全認(rèn)證等安全產(chǎn)品。國(guó)內(nèi)的有天網(wǎng)防火墻、東大阿爾派防火墻NETEYE、天融信防火墻、安絡(luò)公司的網(wǎng)絡(luò)安全在線評(píng)估系統(tǒng)NSOAS和網(wǎng)警入侵檢測(cè)系統(tǒng)、江民公司KV3000、瑞星防病毒產(chǎn)品等。事實(shí)上,安裝放火墻的網(wǎng)絡(luò)也不一定確保安全。防火墻的原理是防外但是不可以防內(nèi),據(jù)統(tǒng)計(jì)很多網(wǎng)絡(luò)受到攻擊造成損失50%以上是來自于內(nèi)部,防火墻可以把屏蔽外部一些入侵,而內(nèi)部人想出去就很難管理到,IDS入侵檢測(cè)系統(tǒng)可以彌補(bǔ)了防火墻的不足之處,它和防火墻配合在一起使用,能夠進(jìn)一步提高網(wǎng)絡(luò)的安全。
安全認(rèn)證的產(chǎn)品,比如微軟的數(shù)字簽名產(chǎn)品、CA公司的認(rèn)證,實(shí)際上解決的是端到端的安全問題,這種端到端應(yīng)用在金融業(yè)、網(wǎng)上銀行最為實(shí)際,因此也最為廣泛。
安全普查是評(píng)估的一種方式,安全的普查目前在國(guó)內(nèi)外上基本上都采用軟件進(jìn)行漏洞掃描,如果掃描到存在漏洞的話就要把這個(gè)漏洞補(bǔ)好。現(xiàn)在國(guó)內(nèi)很多公司的網(wǎng)絡(luò)安全都存在這樣或那樣的問題,安全意識(shí)比較淡泊,雖然有些專業(yè)網(wǎng)站應(yīng)用了一套或幾套防火墻,實(shí)際上防火墻只相當(dāng)于一棟房子的門,門關(guān)好了,而窗戶大敞,很多威脅都可以從窗戶輕易進(jìn)來,因此說網(wǎng)絡(luò)是很不安全的并非危言聳聽。
有一個(gè)這樣的案例,某公司網(wǎng)絡(luò)被攻擊了,原因很簡(jiǎn)單,公司的網(wǎng)管利用服務(wù)器發(fā)送了一個(gè)郵件,結(jié)果服務(wù)器的IP上了黑名單,短期內(nèi)就被國(guó)際上的黑客組織捕捉到了。他們雖然加了防火墻,但并沒有逃過黑客的攻擊。從這個(gè)角度來講,網(wǎng)絡(luò)存在漏洞是受到攻擊的基本條件,實(shí)際上網(wǎng)上安全普查對(duì)于發(fā)現(xiàn)和修補(bǔ)漏洞非常關(guān)鍵。
企業(yè)應(yīng)用好的安全產(chǎn)品,只說明企業(yè)具有了先進(jìn)的技術(shù),而人和管理才是薄弱的環(huán)節(jié),如果處理不好,會(huì)使安全產(chǎn)品和安全技術(shù)形同虛設(shè)。許多國(guó)外的優(yōu)秀安全產(chǎn)品在國(guó)內(nèi)企業(yè)應(yīng)用起來沒有起到相應(yīng)的作用也與此有關(guān)。他們的產(chǎn)品技術(shù)比較先進(jìn),但在應(yīng)用上對(duì)使用者的素質(zhì)要求較高,而有些企業(yè)的人員在安全意識(shí)上達(dá)不到要求。從事網(wǎng)絡(luò)管理的人安全意識(shí)淡泊,這是非常嚴(yán)峻的問題。
在國(guó)內(nèi)這種形勢(shì)下,借他人之手筑自身安全也是值得考慮的安全管理途徑之一。實(shí)際上,網(wǎng)絡(luò)安全管理服務(wù)供應(yīng)商在美國(guó)已經(jīng)不是概念而是一個(gè)實(shí)在的迅速增長(zhǎng)的市場(chǎng)。但在中國(guó),由于文化觀念上的不同,企業(yè)將數(shù)據(jù)與安全交給別的公司來運(yùn)作,就好像將自己家保險(xiǎn)柜的鑰匙交給不相干的人保管一樣,還不是能讓人習(xí)慣的做法。
但是,隨著中小企業(yè)信息化程度的不斷提高,隨著網(wǎng)絡(luò)安全應(yīng)用的需求不斷上升,相信安全管理服務(wù)這一觀念也將會(huì)很快為人們所接受,就像現(xiàn)在越來越多的人開始使用銀行保險(xiǎn)箱一樣,不久的將來,會(huì)有越來越多的企業(yè)會(huì)擁有自己的網(wǎng)絡(luò)安全管理服務(wù)供應(yīng)商。
尋找“黑客”中的管理員
網(wǎng)絡(luò)需要安全、穩(wěn)定,而穩(wěn)定的網(wǎng)絡(luò)并不是一個(gè)安全的網(wǎng)絡(luò)。網(wǎng)絡(luò)只要開放,就要與外界取得聯(lián)系,那么就埋藏了遭受黑客攻擊的隱患。誰(shuí)也不能保證100%的安全,就像坐飛機(jī),誰(shuí)又能保證飛機(jī)不會(huì)出意外?唯一的解決辦法只能是選擇信用良好、安全飛行時(shí)間較長(zhǎng)的航線。從網(wǎng)絡(luò)安全攻防角度來講,對(duì)攻擊沒有任何研究的人來做網(wǎng)絡(luò)安全工作恐怕是難以勝任的。僅僅是算法專家(可能已經(jīng)從事了幾十年的數(shù)學(xué)基礎(chǔ)研究)或者只知道講網(wǎng)絡(luò)安全重要性并不足以擔(dān)當(dāng)起安全管理的重任。信息安全在研究開發(fā)、產(chǎn)業(yè)發(fā)展、安全認(rèn)證,尤其是人才培養(yǎng)方面的問題已經(jīng)迫在眉睫。
信息安全不可能用錢購(gòu)買,培養(yǎng)和聘請(qǐng)安全管理人才也不可能是一日之功。日前,有關(guān)部門在檢查某單位網(wǎng)站和內(nèi)網(wǎng)的安全性時(shí)很有感觸:他們配置了高檔的CISCO PIX硬件防火墻,但WEB服務(wù)器的administrator和數(shù)據(jù)庫(kù)的SA居然沒有設(shè)置口令!這個(gè)例子很直觀的說明:人的因素是信息安全的關(guān)鍵環(huán)節(jié)。網(wǎng)絡(luò)信息安全沒有資金投入好比赤膊上陣,但再先進(jìn)的安全軟件和硬件離開了一定的使用水平和安全意識(shí)也是毫無意義。
目前在國(guó)內(nèi)許多企業(yè)中,并沒有設(shè)置安全管理工作的專門崗位,往往由網(wǎng)絡(luò)管理員兼任安全管理員的角色。身為網(wǎng)管,工作都很繁忙,任何一點(diǎn)的疏忽漏洞就會(huì)導(dǎo)致整個(gè)系統(tǒng)的全面崩潰。安全和管理實(shí)際上成為一對(duì)矛盾:作為網(wǎng)管管100臺(tái)機(jī)器,則不可能每臺(tái)服務(wù)器一個(gè)密碼,因?yàn)橐婕暗搅髁繂栴}、對(duì)帶寬效率的影響問題等;而為安全考慮,則必須安裝防火墻、設(shè)置密碼等,可是由于種種原因,國(guó)外使用的千兆防火墻目前在國(guó)內(nèi)還沒有普遍應(yīng)用。
目前,在民間活躍著一大批具備網(wǎng)絡(luò)安全知識(shí)和管理知識(shí)的人才,而他們往往披著“黑客”或所謂“紅客”的面紗活躍在網(wǎng)絡(luò)中,影響著人們的網(wǎng)絡(luò)生活。
“從黑客中尋找安全管理人才,向黑客學(xué)習(xí)安全管理之道。”這并不是什么丟人的事,許多國(guó)外大公司已經(jīng)在這么做,畢竟有過黑客經(jīng)歷的人更加了解網(wǎng)絡(luò)的薄弱環(huán)節(jié)和應(yīng)該加強(qiáng)的地方。
這些事實(shí)都昭示我們,安全已經(jīng)不是一個(gè)技術(shù)范疇的問題,而是延伸到管理學(xué)、社會(huì)學(xué)、心理學(xué)等等中間,并進(jìn)一步影響著我們的工作和生活。從安全的反面來學(xué)習(xí)打造安全壁壘,從攻擊的角度學(xué)習(xí)防守,從黑客的心理學(xué)來研究管理員策略,這是我們不應(yīng)忽視的途徑。
