由台湾信息间谍案引发的思考
来源:IT专家网 更新时间:2012-04-13

作者: 郑林


 
  据《环球时报》报道,近期我国破获或监控到了数起台湾信息间谍案。这些间谍采用的手法是通过在目标计算机系统上置入木马和僵尸程序,获取大量机密信息,获取情报。而中国政府和军队以及国防科研机构、军工企业网络是这些间谍案的主要目标对象。针对这些渗透活动,目前我们的网络和信息安全控制措施显现出了不足的一面。

  众所周知,目前恶意代码的发展趋势已经非常明确,即从过去的明目张胆地破环计算机系统转变为潜伏在系统内部,伺机窃取信息或进行其它的恶意行为。据统计,各种类型的恶意代码中木马和僵尸程序所占的比例已经达到70%左右,并且还有不断攀升的趋势。这些恶意代码潜伏的目的是不被发现,以便于长期活动,牟取更大利益。在这些恶意代码以及其背后操纵者关注的利益中,最突出的就是两类:经济利益和政治利益。

  在过去的网络入侵和病毒传播中,其发起者一般是分散的、没有大量物力支撑的个人或者小的团体,其入侵规模和影响面也是有限的。但是,随着通过网络能够牟取的利益价值不断增加,其发起者的身份逐渐在变化。原先松散的个人和团体被利益链条连接在一起,而拥有雄厚实力的财团或政治团体变成了某些网络恶意活动的始作俑者。此时,在攻击和防御的两端,防御不力的这一方无疑会陷入被动的境地。

  反观目前我们采用的网络和信息安全控制措施,某些不足将会严重影响其控制的实效性。一些安全防护理论中往往会把检测和响应的时间作为衡量一个安全防护体系有效性的指标。但是,在实际应用中,往往会出现两种情况:第一,由于误检测(False positive)和自动响应联动机制而导致网络可用性受损;第二,加入人工干预的分析后,检测和响应两个环节中间存在严重脱节,从而导致防护体系保护程度降低。上面两种情况都会影响到安全控制措施的实效性。

  如何提高安全措施的实效性?下文将从两个方面进行分析。

如何提高安全措施的实效性?首先我们需要了解什么是安全措施的实效性。安全措施的实效性即目前的安全控制体系的运行状况,是需要通过对网络和信息安全体系的绩效评估来进行衡量的。这个衡量的过程需要结合用户的业务目标,对目前实施的信息安全控制体系进行效率和效果的分析,最终得出一系列结论。比如承载重要保密信息的信息系统的业务目标之一就是对重要信息进行机密性控制。如果没有对网络恶意代码进行检测和拦截,那么信息间谍就有可能通过种植木马的手段窃取机密信息,即该系统的控制实效性是欠缺的。

  首先,从管理方面分析。信息系统的所有者和运营者必须要对网络和信息安全建设给予充分的重视。在此基础上,用户应该具有一套层次化的、可操作性强的策略和规程。其中的关键点需要设置指标要求,并且对评估方法进行具体化。在每一次评估后,管理层需要重点对不符合项进行分析,并且实施行之有效的补救措施。只有具备了良性的反馈机制,信息安全控制措施才能够真正发挥其保障作用,而不是仅仅给用户一种虚假的安全感。

  其次,从技术方面分析。从本次台湾信息间谍案的情况看,植入木马的方式是信息间谍窃取机密信息的重要渠道。我们有两个控制点可以对这种入侵进行有效地控制。其一是网络边界;其二是终端计算机。

  在网络边界处,一般的信息系统仅仅使用了防火墙进行隔离,而缺乏应用层的保护手段。事实上,基于应用层的恶意代码是往往是网络入侵者广泛利用的工具。因此,在重要网络中的网络边界和关键网段处进行网络恶意代码的检测和清除,已经成为安全建设的一项重要内容。

  在终端计算机上,可移动存储介质比如U盘等已经成为一个入侵者关注的薄弱环节。所以,不仅仅要从管理制度上规定在重要网络中使用这些可移动存储介质的正确方式,而且一定要从技术上加以落实。比如除了在终端计算机上统一部署防病毒软件之外,还需要进行终端计算机的全面安全技术控制,合理实施移动介质的使用规范。

  除了上述的两种控制手段,机密信息在存储和传输过程中的加密、以及数据泄漏防范控制措施也是很重要的。前者已经广泛应用,而后者正在成为安全控制措施的热点之一。

  当前,我国正在推行的安全等级保护政策对于国家重要信息系统的保护是至关重要的。比如,等级保护制度对第三级信息系统的安全保护要求是:“应能够在统一安全策略下防护系统免受来自外部有组织的团体(如一个商业情报组织或犯罪组织等),拥有较为丰富资源(包括人员能力、计算能力等)的威胁源发起的恶意攻击、较为严重的自然灾难以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。” 通过实施等级保护,重要信息系统将会从管理和技术两个层面得到有效的保障,从而有效防御类似的信息间谍渗透活动。