安内攘外话安全
来源:中国计算机报 更新时间:2012-04-13

IT技术日新月异,企业IT系统越来越来越复杂。安全威胁无处不在,“信息新安全”已经成为当今社会关注的重要问题之一,硬件要安全,软件要安全,无处不在的接入网络也要安全……信息安全产业迎来了自己的需求“井喷”时代。

“信息社会,安全基石”。对于众多安全企业而言,在看到巨大市场前景的同时,如何协助行业部署新一代信息安全的“马其诺防线”……无限商机的背后,一场没有硝烟的战争已经打响。

信息社会 安全基石

中国家信息中心信息安全研究与服务中心 李少鹏

李少鹏

现任职于国家信息中心信息安全研究与服务中心,中国计算机安全网站内容主管。

从互联网的前身—阿帕网(APPANet)的建立,到目前全球数以亿计的上网用户;从美国政府于上个世纪90年代提出的“国家信息基础设施”(建设信息高速公路)计划,到以互联网为核心的综合化信息服务体系和信息技术在全世界各领域的广泛应用;从1971年第一封以@为标志的电子邮件的发出,到现在全球每天360亿封的电子邮件往来。当今世界的政治、军事、经济、文化等各个方面都已经离不开信息技术的强力支撑,以互联网兴起为重要标志的现代信息化社会已经建立。

随着社会的发展和稳定对信息的依赖性越来越强,始终伴随着信息化的信息安全问题在最近几年迅猛放大,已经成为抑制全球信息化进程发展的重大障碍。

从无伤大雅的恶作剧脚本,到造成几十亿美元的蠕虫病毒,从以信息共享为名的盗版软件,到如今泛滥成灾的流氓软件,信息安全已经从神秘的黑客世界走入到每一个计算机用户的面前。如何正确、有效判别这些潜在的信息风险,关系到当今社会信息化发展的大计。

不可避免的安全危胁

写一段没有任何运行错误的程序代码对于一个程序员来说很容易,但要写出一段没有任何安全问题的程序代码似乎就有些困难了。是程序员的安全素质不够,问题出在程序员身上么?要知道,即使是那些专职安全防护的软件产品也经常会曝出各种各样的漏洞,这早已不是什么新鲜的事情。

计算机世界的霸主微软公司的程序员可都是一流的精英,先不说过去Windows、Office系统中至今还补不过来的千疮百孔,往前看其新一代的号称最安全的操作系统Vista,公开的Bug已达2万个,问题代码更是多达几十万行,发行日期一拖再拖。也许这主要是因为过于庞大的系统结构和功能造成的,可在一个0和1的数字世界里,复杂才意味着技术的前进、使用的便利、功能的强大,如今许多人早已明白:没有任何问题的代码只能是没有任何功能的代码。

除了程序代码设计本身的问题,安全漏洞还存在于通讯协议、网络架构、交互模式、电子辐射、信号外泄,甚至是用户安全操作和安全意识等其他与信息交流有关的任何问题中。可以说安全威胁来自于四面八方,漏洞也不可避免,而只要漏洞存在,那么威胁永远存在。

触目惊心的安全事件

2004年10月至2005年1月,某企业职工利用后门程序操纵了互联网上超过6万台的电脑主机连续攻击北京某音乐网站,致使该公司蒙受重大经济损失,这是我国首例如此大规模的“僵尸网络”攻击案;

2005年4月11日,全国超过二十个城市的互联网出现群发性故障;同年7月12日,北京20万ADSL用户断网;

2005年10月,网易计算机系统公司发现与北京市网通合作项目中,价值10元一张的网易一卡通虚拟游戏点卡被盗15.5万张,总价值155万余元;

2006年2月“全国最大网上盗窃通讯资费案”在北京开庭审理。某资深软件研发工程师被控利用工作之便侵入北京移动公司充值中心数据库,盗窃了价值380万元的充值卡密码……

公安部公共信息网络安全监察局主持的2006年全国信息网络安全状况与计算机病毒疫情调查报告中显示,在被调查的一万三千多家单位中,54%的被调查单位发生过信息网络安全事件。

同时,最近两年几乎染及所有计算机和计算机用户的网络钓鱼、流氓软件、垃圾邮件狂潮一轮又一轮的充斥着互联网。据国外的一份调查统计显示,89%的个人电脑平均感染过30种间谍软件。公安部在2005年声称中国的网络钓鱼网站占全球钓鱼网站的13%,名列全球第二位,而仅在2004年,公安部侦破的网络诈骗案件就达1350起。对此,国家反计算入侵和防病毒研究中心在公安部网监局的支持和指导下,发起成立公益性的“中反网络钓鱼联盟”。今年8月,广东首次公开处罚垃圾邮件发送者,这也是国内依据《互联网电子邮件服务管理办法》第一次公开处罚垃圾电子邮件的发送者。

安全法规需进一步完善

从1989年《中华人民共和国保守国家秘密法》伊始,到2005年《电子签名法》的实施,我国目前现行的与信息安全直接相关的法律、规章和制度有65部,“涉及网络与信息系统安全、信息内容安全、信息安全系统与产品、保密及密码管理、计算机病毒与危害性程序防治、金融等特定领域的信息安全、信息安全犯罪制裁等多个领域”,可以说已经初步形成了一定的法规体系。尤其是在2003年《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)通过后,电子认证、电子政务、等级保护、商用密码以及银行、证券等金融行业等法规和管理办法相继出台,不仅规范了信息安全市场,还对电子商务的发展、网络经济的正常运转到了意义深远的保障作用,同时也是对“信息安全上升为国家安全”的这一宏观政策指引的响应。

尽管如此,现行的信息安全方面的法规、标准体系仍然需要进一步完善与成熟。截至目前,我国还没有一部严格意义上基于信息安全的基本法,同时这为信息安全标准与政策的制定与落实带来了一定的难度。

层出不穷的攻击手段

目前流行的攻击手段有很多,除了病毒、蠕虫、口令破解等传统方法,木马、网络钓鱼、SQL注入等较为新型的攻击方法,其攻击范围也在不断扩大。但相应的防范技术和知识已经比较普及,应对起来容易些。值得特别注意的是以下三种攻击形式,分布式拒绝服务攻击、零日攻击和社会工程学攻击。

分布式拒绝服务攻击至今还没有特别有效的防范方法,其具备攻击方法简单和攻击源无法确定的特点,上文中音乐网站被攻击的案件就是一个典型的例子。这种攻击的难点在于组建大量的傀儡主机——“僵尸网络”,通常借助即使通讯工具或电子邮件来植入木马,并通过新的系统漏洞的出现而达到顶峰。

零日攻击则是利用尚未公开或未发行补丁的漏洞实施攻击,这种攻击最为致命和可怕,因为任何人都很难对未知的情况做出正确的反应,此种攻击成功率高、隐蔽性强,往往针对某个既定目标,是今后安全防范工作的最大隐患之一。

最后一种是社会工程学,实际上它是一种非技术手段的攻击,它的直接攻击对象不是数据库也不是防火墙,而是能够出入这些敏感地带的人。技术再高也是由人来操作的,安全防范做得再好,得到授权的人也是可以出入的。世界著名黑客凯文·米特尼克在《欺骗的艺术》一书中写到:“安全不是技术问题,它是人和管理的问题……”,“由于开发商不断的创造出更好的安全科技产品,攻击者利用技术上的漏洞变得越来越困难……”,“精干的技术专家辛辛苦苦地设计出安全解决方案来最小化使用计算机的风险,然而却没有解决最大的漏洞——人为因素。”因此,在如今信息安全技术已经趋于成熟的环境下,正确的安全防范意识无比重要。

目前,仍然还有许多人普遍缺乏安全意识。政府网站频频被黑、网上银行客户资金被盗、网上交易遭遇诈骗……,这样的安全事件几乎天天都在发生,其关健原因在于安全管理和意识的匮乏。对于被动的防范来说,意识要重于技术,甚至会超越技术。

安全技术任重道远

广义上的信息安全包括了众多内容,信息安全国家重点实验室冯登国教授曾在今年的“十一五”信息安全发展趋势论坛上讲到抽象化、可信化、网络化、标准化和集成化,是信息安全技术发展的重要趋势。目前主流安全技术不外几种。

主动防御

虽然瑞星、金山、江民三大反病毒厂商在今年先后发出推出主动防御产品的声音。但实质上,目前的主流产品还是在遵循“病毒产生——研究特征码——升级病毒库”的老路子。主动防御技术如何避免大量的提示和误报是主动防御产品是否能真正走向市场的关键性问题。

生物识别

从用户名加口令到加密锁,再从USB令牌到指纹、声纹、虹膜等生物识别。即使身份认证已经有了高级的尖端技术,可目前最为广泛应用的还是最初的用户名加口令身份认证技术,简单易用,且能够保障基本的安全需求。但不可否认,生物识别技术以其无可替代的识别优势必然随着成本的降低、需求的加大走向普及。

可信计算

严格的说,可信计算并不能算一项新兴技术,早在2002年沈昌祥院士开始在国内提倡可信计算。虽然经过了2004年的热点后,国家将其列入“十一五”规划重点支持项目,相关企业也成功的生产出TPM的安全芯片,但中国的可信计算是否能与国际标准接轨、庞大的可信计算体系涵盖内容之间是否能有序协调仍是一个未知的难题。

灾难恢复

实际上,灾难恢复主要不是技术问题,而是管理和实施问题。它的重要性随着对国民经济具有重要支撑作用的大型企事业单位以及政府部门对信息化日益增长的依赖性而凸现出来。近年来,银行、电信,海关、税务、民航等部门已经建立起自己的灾备中心。国务院信息化工作办公室2005年出台的《重要信息系统灾难恢复指南》为我国整个信息安全保障综合体系的最后一环——灾难恢复的管理和实施带来了强有力的促进和重大指导作用。

思索信息安全:内涵与外延

中国信息安全产品测评认证中心副主任 江常青

江常青博士

中国信息安全产品测评认证中心副主任,系统工程实验室主任,国际组织IEEE,ISSA,ISC2及ACM成员。中国第一个CISSP认证证书获得者。

要谈论信息技术发展的趋势和信息安全面临内外部环境的变化,就像一个一直在匆匆行路的人,突然要停一下,观看周围环境,预估和展望前面的道路。 但是要想象前方,恐怕先要回头看看走过的路,因为有两种可能:一种是走出来的路,过去和现在影响着未来;二种的情况是,也许路一直在前方,变化的则是我们的认识和行为。无论怎样,“时而思”比不思则罔更有益。

信息安全的历史有多久?五年,五十年,还是五千年?都可以。

目前,国家、企业和个人开始认识并重视信息化所带来的安全风险问题,以及国内出现专门的信息安全从业人员,仅有5-10年;而以现代计算机的发展与应用算起,信息技术渗入现在社会生活带来的信息安全问题,这段历史达到了50年;其实,自从人类文明伊始,文化和信息的使用开始就存在信息安全问题,这是5000年的历史。但是,历史从来没有象今天这样迫使我们必须去思考和面对信息安全的问题,因为当今是高度信息化的社会。我们生活在一个信息世界中,信息安全问题关系到每个人、家庭和社会各个组织机构。

从辨证学角度来说,变是绝对的,也是相对的。在5~5000年这个“漫长”的尺度上,信息安全领域有的在变,而且变化很大;有些东西也许并没有多大的进展和变化。处理信息的设施在技术发展中变化着,解决信息安全的具体技术措施和手段也随着发展,信息安全的内涵也不断延伸,但有关信息安全的一些关键和核心的问题并没有得到探讨与思考。

“谁的”信息安全?

信息安全自身没有价值和意义,它对于信息和信息系统所有者、管理者、使用者、监管者才有意义。因此,同样一个信息及其系统对于不同的人、组织甚至国家的意义是不同的,因为其安全的目标和需求是不同的。比如说,某商业银行的信息系统,对于银行自身、银行监管部门,以及政府来说,安全价值与意义有着根本的区别。作为企业的银行,其安全核心是保障组织机构的正常运行和获得商业利益的能力;作为行业管理部门是金融安全风险的一个组成部分;从国家和政府部门来说它是事关国计民生的重要信息系统,它的安全影响社会。

“什么的”安全?

从历史发展看,信息安全逐步从信息传输的安全,发展到信息产生,传输、处理、存储等整个生命周期的安全。同时,信息安全也从单纯的指信息数据的保密安全,扩展到支撑信息流动的软硬件、载体的IT安全。在新一代信息技术大规模普及的今天,信息安全还包括信息的使用安全,信息内容的安全与信息及信息系统互动的人的安全等方面。

因此,信息安全不是孤立的。当我们谈论安全时,一定是指特定对象的安全,同时要强调这个特定的对象是对于谁而言,言论中的安全必须在明确的上下文环境之中,否则就失去意义和准确性。

安全是什么?

安全是一种或多种性质或属性吗?它和色彩,质量是对象的属性类似吗? 这个问题很难回答。假设安全是“属性”,安全信息安全经典定义中的保密性、完整性、可用性。这三性都是以否定语句来定义的。要证明一个肯定的性质存在比较容易,找到它即可。要证明“不被修改”等类似否定语句的性质比较困难。 此外,要证明信息或系统同时满足三个性质更为困难,因为这些安全性质是动态变化,它会随着外部对手和系统内部自身变化而变化,也就是常说的今天的安全难以保证明天的安全。因此,很有必要反思安全作为性质是否妥当。近年来,从风险角度来重新定义安全的趋势十分明显,将安全定义为风险可控可管理的过程。这样一来,安全就不是系统自身的性质了,转化为对抗风险的保障能力。安全保障能力由技术、管理、人等措施来构建起来,安全亦被风险和保障两个概念所取代,隐身在后面。安全与否不再是去寻找这些性质存在与否,而是去计算保障是否大于对应风险。如果是,就是安全。这种重新定义的安全将不再是性质,而是个过程和目标,通过过程去达到目标,而目标反映了信息安全在上下文环境中特定要求。

这些探讨和思考能否达到我们理解信息安全的本质,笔者不得而知,但是这是一个探索的过程。在信息技术层面上,在我们实际可以设计实现的信息处理技术的进展中,可以看到未来信息安全技术的发展趋势:

软件安全

软件是构建信息世界和社会的核心部件,安全问题的产生很大程度上来源它的不安全、不可靠,如何提高软件的安全性将会是个重点,有理由相信,随着软件形式化、自动化的提高,其安全性会快速的提高。

安全度量

有人说,不可度量的不是科学,信息安全正处于这样的境地。确实,目前我们还无法在信息安全领域找到类似物理世界的度量,如时间量、空间量、质量等,也没有类似比特的信息量,因此信息安全要成为科学还有很长的路要走。但尽管如此,我们已逐渐找到一些度量,它对提高安全是有好处的,比如安全功能强度,人力的部署和能力提升,过程控制的环节等等。

信息流控制

除了人、管理、网络系统外,信息安全的核心问题还是保证数据和信息的安全。信息流如何开放的网络系统环境中,如何在不可信、不安全的环境中构建可信的信息流动和控制机制是必须要解决的问题。因为数据和信息不可能像物理世界中永远被隔离和锁在保密柜中,它必须给该看到的人看到,就和货币要流通一样,安全必须找到自身的动态价值。

抗攻击技术

由于对手一直存在,破坏安全的外部因素不会消失。安全事故和事件时时都会产生,如何提高信息和系统抗攻击以及受攻击后降低损失的技术十分重要,以防范为主的安全技术将被抗攻击技术将逐步取代。

内部安全

安全技术也将从防范外部威胁为主, 转换到关注内部威胁为,构建内控技术和管理体系将会成为最热的市场机遇。在这里,与业务逻辑和网络行为相关安全分析成为技术难点。

内外之道 把脉“新安全”

赛门铁克中国区总裁 吴锡源

在吴锡源看来,面对信息安全威胁挑战的防护策略必须不断创新,同时兼顾高效与灵活。

当前,大多数企业的信息安全机制不堪一击。具体来说,这些企业的安全措施所提供的防护级别难以应对它们所承受的实际风险。事实胜于雄辩:虽然各个企业已竭尽所能采取相应防护措施,但是它们仍然频繁受到攻击。据可靠数据统计:仅2005年,大约三分之二的企业至少发生一次安全事故,而半数以上的企业则至少发生三次安全事故。

面临挑战的安全管理

目前的主要问题在于,大多数企业只是采用侧重边界的高度反应性防御措施,因此无法与当前日新月异的威胁趋势保持同步。新威胁层出不穷,并以前所未有的速度和效率进行传播,在许多情况下必然会导致混乱局面比比皆是。不仅如此,可用于(或至少所分配用于)改善这种局面的资金也相对较少。实际上,Ernst& Young的《2005年全球信息安全调查》显示,各个企业将其安全预算的50%用于“日常操作和事故响应”,仅将17%的预算用于完成“更关键的战略项目”。

显而易见,企业需要采用更为完善的解决方案才能针对当前的攻击进行自我防护。因此,企业所需要的威胁管理解决方案具有以下特点:主动——能够防御未知威胁;全面——能够将所有企业内外的攻击源头阻挡在外;高效——非常经济实惠的选择。

在企业努力部署有效威胁管理解决方案的过程中,威胁趋势的日新月异、符合法规要求的需要以及对反应性对策的过度依赖对于它们面临的重重挑战来说只是凤毛麟角。

把脉新“安全”

传播速度相对较慢的基于文件的病毒和群发邮件蠕虫仍然屡见不鲜。实际上,在2005年上半年,这类威胁在向赛门铁克报告的前10位恶意代码示例中占三类。不过,黑客的动机已明显从追求名声转向牟取暴利,而漏洞开发框架的日渐普及是威胁趋势发生许多显著变化的主要原因之一。

·威胁数量与日俱增

这不足为奇。由于黑客的动机越来越强烈,并且开发新型恶意软件的难度越来越低,所以威胁的数量无疑会猛增。不仅如此,威胁制作软件及其模块化构造技术导致开发威胁变种的行为司空见惯。例如,2005年上半年,仅针对Win32平台的新病毒和蠕虫变种数量就已达到10800种。与前六个月相比,次数量就增加了48%。

·威胁生成时间日益缩短

日益成熟的黑客工具包不断增多的另一恶果是开发新威胁所需的时间明显缩短。因此,从发现新漏洞到发起针对该漏洞的特定攻击之间的时间也无可避免地大大缩短。实际上,在2005年上半年,此时间段的平均持续时间仅为六天。

·威胁传播速度正在加快

虽然近年来这方面威胁的趋势没有显著变化,但是由于威胁的传播速度已经非常惊人,所以这种形势不容乐观。例如,2001年红色代码在37分钟内即可使感染速率增加一倍。而在2003年,Sapphire蠕虫每8.5秒传播速度就会加倍,最终不到10分钟就会感染90%易受攻击的目标主机。而且,认为最终不会出现传播速度更快的威胁完全不切实际。

·威胁日益变化莫测

导致变种数量不断增多的因素也同时导致混合型威胁层出不穷。通过使用多种利用机制、有效负载和/或传播方法,这类威胁更有可能避开企业防线,然后成功施加负面影响。另外,导致局面日益恶化的另一个原因是黑客目前主要攻击系统和应用程序层的弱点,而不是网络层的漏洞。这样,他们的攻击往往成为侧重网络层活动对策的漏网之鱼;不幸的是,大多数企业目前只凭借这样的对策来保护自己。

首先,威胁数量大增意味着不仅安全员工将承受更大的压力,而且他们所实施的对策在一定程度上也会受到影响。还需要进行更多研究以确定最具破坏力的威胁、需要采取更多防御措施,最终还需要解决更多事故和故障。要使这样的等式重新达到平衡,很可能需要任命更多安全管理员或实施可提高操作效率的工具,特别是在研究和防范活动方面。第二个影响是使利用管理补丁程序进行防御的效果微乎其微。过去,从发现漏洞到漏洞被利用之间的时间长达数月,所以制造商可以从容开发和发布补丁程序,然后由企业对这些补丁程序进行测试和实施。但是,目前在发现漏洞后平均需要54天才能发布相关补丁程序,所以根本无法及时提供补丁程序。而且即便能够及时提供,还需要考虑测试和实施相应补丁程序所需时间的问题。在最紧迫的情况下,最高效的企业可能需要几天才能完成该过程。但这根本不具有代表性,企业补丁程序管理流程的常规执行时间至少需要30天。

安全之路延伸何方

面对不断变化的新威胁,信息安全的环境也在发生着深刻的变革。

首先,由于需要保持竞争优势,所以各个企业必须更迅速地应用新兴技术(例如,WLAN、VoIP和Web服务)以及所有现有技术和平台的新版本。一般,各个企业不但必须管理和保护更多计算基础架构和应用程序,而且其中大部分均为新出现的复杂架构和程序,极为分散。结果是由于配置错误和疏忽导致的代码漏洞与日俱增,而且弱点也越来越多。

其次,随着内部威胁日益严重,企业的安全观念正发生着深刻的变化。从历史角度来看,企业一般将注意力集中在保护他们与互联网的连接上面,很少保护他们的内部网络和系统。不过,由于第三方连接日益增多,现场办公的合同工需要连接到公司网络,而且公司自身员工的移动性越来越强,从而导致威胁可以绕过互联网边界控制,然后从内部以相对迅猛的速度传播。因此,除了原来必须要保护的日益增多的基础架构外,企业现在还必须保护内部网络和系统。

此外,确保内部网络安全的另外一个要素是必须遵从各种“暗示”的法规和法律(如果没有明示)。不过,从所占用的资源数量及有时会提供虚假的安全感角度来看,遵从这些要求反而会产生更多问题。事实上,一份最新调查表明遵从是信息安全活动的最重要的推动因素,该调查还表明由此而引发的主要活动是制定和更新各种策略和程序,而不是切实加强公司的安全架构或整体战略。

更现实的还有预算问题,企业面临的这方面挑战在一定程度上变得欲盖弥彰。只需看看现状就足以:目前所制定的安全预算不仅不合理,而且这部分预算的使用方式往往对防御攻击没有帮助,此外这部分预算永远处于与“企业”的其他需要进行竞争的状态。

以上复杂因素清楚地表明理想的威胁管理解决方案必须兼顾高效性和灵活性。相对于安全部门可支配的资源而言,他们需要完成的工作过于繁重。与此同时,基础业务需求(不考虑基础架构)可谓常变常新。

“湿件”:另一种思维看安全

启明星辰首席技术官 刘恒

鲁迪卢克在系列科幻小说《湿件》中讲述了一个人类制造的肉身机器人如何控制和改变人类的故事。该书对人类脑力智慧(湿件)与带有编码化知识(软件)的机器人(硬件)的结合并最终摆脱人类控制的前景作了最大胆的想象。

无独有偶,“湿件”先后出现在黑客界和医药界,并且成为新经济增长理论的一个术语。如今,启明星辰率先在安全业界引入“湿件”理论,并开始成功应用到安全服务领域。

看到“湿件”二字,绝大部分人认为是“事件”的笔误,其实不然,两者毫无瓜葛,截然不同。“湿件”是指与计算机软件、硬件系统紧密相连的人(程序员、操作员、管理员),及与系统相连的人类神经系统。由此可见,“湿件”,是储存于人脑之中,无法与拥有它的人分离的能力、才干、知识等。

从某种意义而言, “湿件”是与软件、硬件并列的IT第三大件,人们应该对“湿件”给予充分重视。“湿件”第一次将人的作用突出出来,而且这种作用远远高于软件和硬件。没有软件,硬件是无用的;没有人的操作或指示,软件、硬件一起也做不了什么;由此可见,“湿件”是IT系统最为基础的部分。

网络安全的脆弱一环

尽管“湿件”的作用如此基础和重要,但是长期以来却未被提到应有的重视高度。尤其是在中国的网络安全领域,对于“湿件”的研究基本是个“空白”,目前,启明星辰公司敏锐地发现这一“空白”,第一次将安全“湿件”与安全服务紧密地联系在一起,第一次将人在信息安全中的决定性作用突出了出来。

三个典型的案例很容易说明问题。

案例一:某小区的保安系统很健全,24小时有保安守卫,但最近却发现有小偷入户行窃。尽管没有搞清入侵者是从哪儿进来的,有关部门还是贴了一个告示,提醒大家夏天别开窗户以防小偷。由于没有找出问题的症结所在,同样的事情在该小区再次发生。后来有人发现,小区里栏杆的设计不合理,让小偷钻了进去,如果拉两个栏杆,就可以防止这种情况。

这个案例说明,我们必须充分了解攻击者和攻击行为发生的原因,才有可能有效防御攻击。

案例二:某部门存放重要文档的电脑出了故障,保管文档的人在部门内对电脑进行了修理。一段时间后,该重要文档泄漏了,并被公开到互联网上。经过一番追查,最后发现是修理电脑的人偷偷将文档拷贝了下来。这个案例说明,人员安全意识的缺失是遭到攻击的致命因素。

案例三:“你想要值钱的东西吗?想要,你就去拿吧。”全球最著名的黑客Mitnick语出惊人。人们都认为他拥有无人能敌的高超技术,他却在自己的《欺骗的艺术》一书中说,安全的核心和根本,不是技术问题,而是人和管理问题;安全最薄弱的环节是人的因素,穿透人这道防火墙往往非常容易。

从这三个案例中,我们不难看出,人的因素在信息安全中是何等重要。这也是启明星辰为何将“湿件”引入安全服务的意义所在。对“安全湿件”的强调,体现了一种系统的安全设计思想,有了这种意识,用户在构建安全系统时会考虑更多的因素。如果用户没有考虑到 “湿件”也是安全系统的一个组成部分,他设计出来的安全防御系统肯定是不健全的,是失去平衡的,结果是花了很多钱,建造的安全系统并不安全。

完善安全系统

信息安全是动态的,是过程,是攻击和防御的平衡,从这个角度讲,可将安全“湿件”划分为攻击型“湿件”和防御型“湿件”。攻击“湿件”和防御“湿件”都可以进一步细分下去。例如,防御型“湿件”还可以按照不同的人、不同类型的知识进行细分。

在信息安全系统中,攻击和防御是密不可分、相辅相成的两个方面。一方面,所谓“知彼知己、百战不殆”,只有在攻防结合的基础上,充分地了解甚至先考虑攻击“湿件”,知道攻击“湿件”是什么、在哪里、怎么样,才谈得上有效防御。目前很多安全产品或方案存在着一个严重的缺陷,那就是并不了解攻击者,也就是没有防御的明确目标,只是凭想象强行建立起一种防御系统。其实也许用户根本不需要那么强大的防御系统,这就是忽略了攻击“湿件”产生的问题。

安全“湿件”有助于企业提高和完善现有系统的安全性。企业在进行安全投资的时候,应该首先注重培养人才,培养“湿件”,甚至应该把“湿件”摆在硬件和软件之前考虑。实践证明,“湿件”的投资回报率相当高,产生的效果巨大。“湿件”应该是排在软件和硬件之前的基础性的部件。

由于防御型“湿件”中的人总是不可避免地具有脆弱性,这给攻击型“湿件”提供了可乘之机,安全风险在所难免,安全产品和安全技术有时也会失灵。刘恒博士指出,许多安全问题仅凭安全产品和技术是解决不了的,必须充分考虑人的因素,用基于“湿件”的服务去解决。

从上述角度来看,信息安全的关注点正在发生变化,转向关注“湿件”。高明的用户一方面要构建自己内部的安全“湿件”,另一方面在自身“湿件”不够强健时,则可以购买专业安全公司提供的安全“湿件”。“湿件”作为服务成为主流,无疑是安全产业发展的必然趋势。

崭新的安全服务

“湿件”与安全服务紧密相关,但是并不能划等号,也不能划大于号或小于号。因为服务强调的是一种形式和过程,而安全“湿件”强调的是安全软件和硬件之外的人的重要性,突出的是系统的有机性,是一种强调完整协调一致的理念。安全“湿件”作为服务的一种形式应该成为安全业界的主流。启明星辰的M2S就是全新的基于“湿件”的安全服务。

作为一个重要的防御型“湿件”,M2S体现的是具有标志性的专业化的安全服务。这个体系是在启明星辰TSP理念的指导下,在多年安全服务最佳实践的基础上,结合国际先进的安全服务理念、模型和业务模式,以用户需求为中心,以注重实效为宗旨,推出的一种全面、细致的全新服务模式,主要包括国际化管理咨询、专业化风险评估、实时性管理监控、专家型应急响应等内容。

M2S,一个能够进行全面防范、即时监测、专家响应的实时安全过程,是一种全新的安全“湿件”。M2S有4层含义:MMS(Managed Monitoring Services),体现了专业的监控技术与服务;MSS(Managed Security Services),体现了安全企业与国际通用托管式安全服务的融合,强调安全企业要保持国际安全服务的规范性;MtoS(Management to Security),阐明了安全企业倡导的“通过管理达到安全”的理念,也契合了“服务的核心在于人”的理念;MSM(Management Security Monitory),管理安全监控,这里尤其体现了本地化差异性,与国外MSM主要根据设备来实行监控管理不同, M2S致力于解决客户几乎所有的安全问题,范围更为广泛。

可以说,“湿件”理论与M2S的有效结合,提升了网络和系统自身的防御能力,为更多的用户提升了生产效能,而将安全“湿件”与服务紧密相联,也完全可以有效帮助信息安全企业在安全服务领域树立新的里程碑。

安全风险管理的游戏规则

驾驭风险,方可掌控安全。日前,绿盟科技专业服务部总监王红阳,就目前信息安全风险评估以及风险管理的创新理念、前沿技术、创建适应企业发展的网络环境等问题,接受了《软件世界》杂志的采访。

软件世界:如何理解风险管理的概念?绿盟科技在这方面的研究有没有什么前沿性的课题?

王红阳:在COSO企业风险管理框架中,风险定义为任何可能影响某一组织实现其目标的事项。风险的范围可能是财务、合法性、符合性、运维、市场、战略、信息、技术、人员、声誉等方面。风险包括恶性事件带来的威胁、尚不能确定后果的事件、可转化为机会的事件。风险管理是发现和了解组织中风险的各个方面, 并且付诸明智的行动帮助组织实现战略目标, 减少失败的可能并降低不确定的经营结果的整个过程。信息安全风险评估(本文以下简称“风险评估”),则是指依据国家、国际有关信息技术、安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学、公正的综合评估活动过程,它要评估信息系统的脆弱性、信息系统面临的威胁,以及脆弱性被威胁源利用后所产生的实际负面影响等,并根据安全事件发生的可能性和负面影响的程度,来识别信息系统的安全风险。

信息安全是一个动态的复杂过程,它贯穿于信息资产和信息系统的整个生命周期。信息安全的威胁来自于内部破坏、外部攻击、内外勾结进行的破坏以及自然危害。必须按照风险管理的思想,对可能的威胁、脆弱性和需要保护的信息资源进行分析,依据风险评估的结果为信息系统选择适当的安全措施,妥善应对可能发生的风险。企业风险管理使管理当局能够有效的应对不确定性以及由此带来的风险和机会。

软件世界:如何在一个组织的网络中识别出风险所在?

王红阳:风险评估遵循了ISO17799、ISO13335、ISO15408(GB/T18336)、SSE-CMM等一系列的国际和国内标准,这些标准提供了评估过程、评估方法、评估模型、评估内容等多方面的规范化指导,同时在评估算法、评估操作等方面参考了AS/NZS4360,GAO/AIMD-00-33, GAO/AIMD-98-68, BSI PD3000 等美国、澳大利亚、新西兰的标准和规范。

风险评估的过程就是对信息系统所面临的各种风险发生的可能性和风险发生后的严重性进行评价,即在国际、国内等相关标准和规范的指导下对信息系统的资产、威胁、脆弱性三要素进行详细具体的评估。

风险评估包含了(但不仅限于)以下一系列的技术评估手段和管理评估手段:

·安全扫描:通过评估工具软件或专用安全评估系统自动获取评估对象的脆弱性信息,包括主机扫描、网络扫描、数据库扫描等,用于分析系统、应用、网络设备存在的常见漏洞。

·人工检查:通过人工方式直接操作评估对象来获取所需要的安全配置信息,主要解决远程无法通过工具软件或设备获得的信息,以及为避免评估意外事件而采取的方法。

·IDS取样分析:通过在核心网络采样监听通信数据方式,获取网络中存在的攻击和蠕虫行为,并对通信流量进行分析。

·渗透测试:在获取用户授权后,通过真实模拟黑客使用的工具、方法来进行实际漏洞发现和利用的安全测试方法。

·应用安全评估:对用户业务应用软件进行安全功能审核、渗透测试、源代码审核等。

·安全管理审计:通过文档审核、策略审核、问卷调查、顾问访谈等形式,对信息安全策略、组织信息安全、资产管理、人力资源安全、物理和环境的安全、日常运作和通讯、访问控制、系统的获得、开发与维护、信息安全事件管理、业务持续性管理、符合性等方面进行综合评估。

软件世界:信息资产风险管理的内容包括什么?通过怎样的策略和方案可以达到风险管理的目的?

王红阳:信息安全风险评估的目的是全面、准确的了解组织机构的网络安全现状,发现系统的安全问题及其可能存在的危害,以便为系统最终安全需求的提出提供依据。同时,也是为了分析网络信息系统的安全需求,找出目前的安全策略和实际需求的差距,为保护信息系统的安全提供科学依据。进而通过合理步骤,制定出适合系统具体情况的安全策略及其管理和实施规范,为安全体系的设计提供参考。

信息安全风险评估是一个组织机构实现信息系统安全必要的、重要的步骤,可以使决策者对其业务信息系统的安全建设或安全改造思路有更深刻的认识。通过信息安全风险评估,他们将清楚业务信息系统包含的重要资产、面临的主要威胁、本身的弱点;哪些威胁出现的可能性较大,造成的影响也较大,哪些威胁出现的可能性较小,造成的影响可以忽略不计;通过保护哪些资产,防止哪些威胁出现,如何保护和防止才能保证系统达到一定的安全级别;提出的安全方案需要多少技术和费用的支持;更进一步,还会分析出信息系统的风险是如何随时间变化的,将来应如何面对这些风险,这需要建立一个晚上的体系。

信息安全管理就是通过保证维护信息的机密性、完整性和可用性来管理和保护组织的所有信息资产的一项体制。“三分技术,七分管理”。当前阶段,很多组织已经越来越意识到真正达到信息安全的目标仅仅通过安全产品是不能实现的,结合安全产品的信息安全管理体系(ISMS)的搭建才能实现信息系统的整体安全保障。通过合理的组织体系、规章制度和控管措施,把具有信息安全保障功能的软硬件设施和管理以及使用信息的人整合在一起,以此确保整个组织达到预定程度的信息安全。ISMS的基本组成部分可以分为四层金字塔结构,最上层是总体方针,第二层是安全组织体系,第三层是涵盖物理、网络、系统、应用、数据等方面的统一安全策略,第四层是可操作的安全管理制度、操作规范和流程。安全组织体系建立健全了组织信息系统的安全管理责任制。它明确定义了组织内部的安全管理组织体系,以便在整个组织体系范围内执行信息安全的管理工作。

安全策略体系分别从物理安全、网络安全、系统安全、应用安全、数据安全、病毒防护、安全教育、应急恢复、口令管理、安全审计、系统开发、第三方安全等方面提出了规范的安全策略要求,对安全管理工作具有实际的指导作用。