关于网络诈骗的采访问题范文

时间:2023-11-20 17:56:03

导语:如何才能写好一篇关于网络诈骗的采访问题,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

关于网络诈骗的采访问题

篇1

网络钓鱼(Phishing)一词,是“Fishing”和“Phone”的综合体,由于黑客始祖起初是以电话作案,所以用“Ph”来取代“F”,创造了”Phishing”。

“网络钓鱼”攻击利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,受骗者往往会泄露自己的财务数据,如信用卡号、账户用户名、口令和社保编号等内容。诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌,在所有接触诈骗信息的用户中,有高达5%的人都会对这些骗局做出响应。

在美国和英国已经开始出现专门反网络钓鱼的组织,越来越多在线企业、技术公司、安全机构加入到反“网络钓鱼”组织的行列,比如微软、戴尔都宣布设立专案分析师或推出用户教育计划,微软还捐出4.6万美元的软件,协助防治“网络钓鱼”。

用户自卫指南

一、普通消费者:

安全专家提示:最好的自我保护方式是不需要多少技术的。

1.对要求重新输入账号信息,否则将停掉信用卡账号之类的邮件不予理睬。

2.更重要的是,不要回复或者点击邮件的链接——如果你想核实电子邮件的信息,使用电话,而非鼠标;若想访问某个公司的网站,使用浏览器直接访问,而非点击邮件中的链接。

3.留意网址——多数合法网站的网址相对较短,通常以.com或者.gov结尾,仿冒网站的地址通常较长,只是在其中包括合法的企业名字(甚至根本不包含)。

4.避免开启来路不明的电子邮件及文件,安装杀毒软件并及时升级病毒知识库和操作系统补丁,将敏感信息输入隐私保护,打开个人防火墙。

5.使用网络银行时,选择使用网络凭证及约定账户方式进行转账交易,不要在网吧、公用计算机上和不明的地下网站做在线交易或转账。

6.大部分的“网络钓鱼”信件是使用英文,除非你在国外申请该服务,不然应该都收到中文信件。

7.将可疑软件转发给网络安全机构。

最后提醒一句,不幸中招者最好尽快更换密码和取消信用卡。

二、商业机构

1.为避免被“网络钓鱼”冒名,最重要的是加大制作网站的难度。具体办法包括:“不使用弹出式广告”、“不隐藏地址栏”、“不使用框架”等。这种防范是必不可少的,因为一旦网站名称被“网络钓鱼”者利用的话,企业也会被卷进去,所以应该在泛滥前做好准备。

2.加强用户验证手段,提高用户安全意识。

3.及时处理用户反馈,积极打击假冒网站和其他相关的违法行为。客户中心对类似“为什么每次登陆都得输入两次账号和密码?”之类的投诉,就要想到是否有“网络钓鱼”的可能,因为“网络钓鱼”者通常“劫持”第一次数据,而用户再一次登陆才进入了真正的页面。

4.当然,安装杀毒软件和防火墙、及时升级、打补丁、加强员工安全意识、与安全厂商保持密切联系等都是必不可少的。

最后也要提醒一句,一旦出现被仿冒的情景,首先企业应该把诈骗网页取下来。有些时候,这并不是一件简单、快捷的工作。

步骤1:教育

在美国《网络世界》所做的采访中,任何一家大型在线企业都将“对用户进行适当教育”放在应对“网络钓鱼”举措之首。花旗银行在主页的底部设有一个明显链接,以提醒用户注意有关电子邮件诈骗的问题

何公道说:“网络钓鱼”也是“愿者上钩”,之所以不断发生,就是人们防范观念淡薄。如果大家的安全意识永远只停留在现在的话,那么“网络钓鱼”事件一定会越来越多。王红阳说:用户安全意识的提高能降低“网络钓鱼”的风险,严格执行的安全策略、良好的安全习惯、安全技术的提高,可以大幅度减少“网络钓鱼”成功的几率。

但是记者在完成这篇稿子之前,浏览了不少国内商业网站,并没有发现关于网络钓鱼”甚至是关于安全方面的显著提示,当然也没有看到一些验证手段。

在美国和英国已经开始出现专门反网络钓鱼的组织,比如去年11月成立的APWG和今年6月成立的“Trusted Electronic Communications Forum(TECF)”,它们致力于教育用户的目的是终止——至少是降低“网络钓鱼”的攻击。

步骤2:验证

除了教育外,在线品牌还应当通过简单、易用的方式对合法的电子邮件进行验证。常被人冒充的eBay发出警告称,即使发信人写的是“support@ebay.com”和“billing@ebay.com”等内容,也不见得就是来自eBay的邮件。

因为“网络钓鱼”也是一种垃圾邮件,所以人们可以运用相同的垃圾邮件处理工具对网页和电子邮件进行过滤。趋势科技将推出IWSS 2.0,包含名为PhishTrap的反钓鱼技术,利用诈编网站特征数据库来过滤电子邮件。

此外,银行在发出的电子邮件里启用了数位电子签名,现在技术的发展,让“验明正身”更加简单,一旦网络钓鱼者试图伪造一个数字签名,收件人就会收到一条警告信息。当然,用户必须学会识别电子签名。

远期的全球验证项目包括发送者策略框架(Sender Policy Framework)、Yahoo DomainKeys建议和微软的Caller-ID。但是,这些方法要想完善起来尚需时日,而且需要得到在线企业的100%完全认同。

步骤3:确认

Web站点也需要利用某些确认机制来证明自己的合法性。因此,专业身份确认企业CoreStreet最近在其Web站点上贴出一种被称为Spoofstick的免费浏览器助手。当用户在合法的站点,请注意在URL框的下方会出现一个明显的注释,并显示“You’re on ebay.com。”如果用户被骗到了一个伪造的站点,该注释便会显示“You’re on 10.19.32.4。”

eBay已经为它的工具栏添加了一项新的服务,称为账户保镖。这项服务可以告诉用户是否处于eBay和PayPal的合法站点上。如果当用户将eBay的口令输入到未经确认的网站上时,eBay还会进一步向用户发出警告信。

步骤4:阻断

有些ISP还可以阻止用户被引导到名声不好的Web站点上。例如,当AOL的客户报告自己收到了垃圾邮件,那么包含在这封垃圾邮件中的链接都将被添加到一个受阻站点列表中。当用户点击这些链接,它们显示出的都是错误页面。但这一技术也有可能阻断那些提供真正商业服务的合法链接。

美国EarthLink于4月19日推出了具有防止“网络钓鱼”功能的工具条,当用户试图访问确认的诈骗网站,该工具条将会发出警告,并且将用户重定向到EarthLink公司的WWW网页。而以防堵网站存取起家的Websense,也将“网络钓鱼”或恶意网站列入防堵项目之一。

步骤5:监视

EarthLink还使用一种服务。当有人注册与自己公司类似的品牌时,该服务便会发出警告。目的是确认该网站是否会通过‘网络钓鱼’的方式冒充EarthLink。”

美国万事达国际信用卡公司和NameProtect公司6月21日宣布为打击“网络钓鱼”建立合作关系,利用NameProtect实时检测网上犯罪的技术,监视域名、Web网页、公告板以及垃圾邮件等。监视可以使受害者的数量大幅度减少。

手段:威逼利诱

“网络钓鱼”利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,受骗者往往会泄露自己的财务数据,如信用卡号、账户用户名、口令和社保编号等内容。

“网络钓鱼”的主要伎俩在于仿冒某些公司的网站或电子邮件,然后对其中的程序代码动手脚,如果使用者信以为真地按其链接和要求填入个人重要资料,资料将被传送到诈骗者手中。

趋势科技“PhishTrap(反网络钓鱼陷阱)”成员Richard_Cheng解释说:“当这些网络诈骗者将饵(电子邮件)撒到互联网之后,就静待受骗者上钩。”根据Gartner的统计,由于诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌,所以在所有接触诈骗信息的用户中,有高达5%的人都会对这些骗局作出响应。

诈骗者通常采用“威逼利诱”手段制造出各种名目的“主题”。比如最早引起广泛关注的“网络钓鱼”事件,是去年11月出现的Mimail.J病毒,伪装成由Paypal网站寄出的信息,表示收件者的账户将在5个工作日后失效,要求用户更新个人信息,才能重新启动账户。再比如7月20日,一恶意网站伪装成联想主页,前者将数字1取代英文字母L,利用多种IE漏洞种植木马病毒,并散布“联想集团和腾讯公司联合赠送QQ币”的虚假消息,诱使更多用户访问该网站时造成感染。

现状:上钩者众

最近一年以来,“网络钓鱼”在美、英等国家变得非常猖獗,数量急剧攀升。据Gartner公司最近的一项调查表明,有5700万美国消费者收到过此类仿冒的电子邮件,由此引起的ID欺诈盗窃给美国银行与信用卡公司的用户造成的直接损失在去年达到了12亿美元。

垃圾邮件过滤公司Brightmail的数据表明,过去9个月中,全球Phishing邮件总量增长迅猛,于今年4月达到31亿封。据英国安全机构MI2G报告,去年,有250多起针对主要银行、信用卡公司、电子商务站点以及政府机构的“网络钓鱼”攻击。

根据反网络钓鱼组织APWG(Anti-Phishing Working Group)最新统计指出,约有70.8%的网络欺诈是针对金融机构而来,而最常被仿冒的前三家公司为:Citibank(花旗银行)、eBay和Paypal。

后果:诚信危机

Gartner公司高级副总裁和研究董事Litan说:“金融机构、互联网服务提供商和其他服务商必须严肃地解决‘网络钓鱼’问题,如果不能极大地减少这种诱饵攻击,那么消费者对在线交易的信任感将会逐渐被侵蚀,最终所有网络交易的参加者都会受到伤害。”

APWG主席David Jevans表示:“这些攻击正在破坏整个电子商务系统—我们经营方式的信用。”的确,eBay和其他几十家已遭“网络钓鱼”多次攻击的公司担心:它不仅损害了业务,而且对客户、对电子商务的信心提出了极大挑战。

“网络钓鱼”已经开始显现出其巨大的破坏力。根据Pew Internet Life的调查,消费者对电子邮件的信心已经降到了有史以来的最低点。Cyota最近针对在线银行账户持有者的一项调查表明,74%的被调查者表示,由于此项威胁,自己不太可能对来自银行的电子邮件做出回复,而且进行在线购物的可能性降低了。这意味着,一些合法商业机构如果无法阻止其品牌被欺骗活动继续利用,其在线渠道将可能部分或者彻底失去。

当然受损的还有商业机构的品牌。MI2G执行总裁DK Matai指出:“虽然在很多情况下,品牌所有者并没有错,但这些在线品牌应当具备足够的能力,并用更多的心思来防止消费者犯错误。”APWG旗下一个企业成员因“网络钓鱼”遭到客户起诉,理由是没有履行相应责任。

除了信任,“网络钓鱼”也会给企业和个人带来一些更直接的损失。如果诈骗者钓到用户的信用卡账户信息,无论对于持卡者还是销售商都面临着风险。另外,为每个用户发行新的信用卡、账号和密码大约需要50多美元,如果是大量客户被钓,成本也是非常惊人的。

警惕:真伪难辨

这些欺骗性的电子邮件和Web站点,正看起来越来越“完美”,也越来越“可信”。

信息加密公司PostX首席技术官Cayce Ullman说:“我们遇到一个利用eBay品牌进行诈骗的‘网络钓鱼’者,我用了整整25分钟才确定他是真正的骗子。连我们也很难分清真假,那我们的消费者又如何来区分呢?”其中最令安全专家忧心的是,“网络钓鱼”者使用javascript将浏览器网址所显示的地址换掉,让呈现出来的网址与假冒公司的官方网址完全相同。

绿盟科技专业服务部总监王红阳说:“浏览器自身的脆弱性也在一定程度上增加了迷惑性。”他建议,用户可以使用其他的浏览器来降低风险。

篇2

信息社会 安全基石

从互联网的前身――阿帕网(APPANet)的建立,到目前全球数以亿计的上网用户;从美国政府于上个世纪90年代提出的“国家信息基础设施”(建设信息高速公路)计划,到以互联网为核心的综合化信息服务体系和信息技术在全世界各领域的广泛应用;从1971年第一封以@为标志的电子邮件的发出,到现在全球每天360亿封的电子邮件往来。当今世界的政治、军事、经济、文化等各个方面都已经离不开信息技术的强力支撑,以互联网兴起为重要标志的现代信息化社会已经建立。

随着社会的发展和稳定对信息的依赖性越来越强,始终伴随着信息化的信息安全问题在最近几年迅猛放大,已经成为抑制全球信息化进程发展的重大障碍。

从无伤大雅的恶作剧脚本,到造成几十亿美元的蠕虫病毒,从以信息共享为名的盗版软件,到如今泛滥成灾的流氓软件,信息安全已经从神秘的黑客世界走入到每一个计算机用户的面前。如何正确、有效判别这些潜在的信息风险,关系到当今社会信息化发展的大计。

不可避免的安全危胁

写一段没有任何运行错误的程序代码对于一个程序员来说很容易,但要写出一段没有任何安全问题的程序代码似乎就有些困难了。是程序员的安全素质不够,问题出在程序员身上么?要知道,即使是那些专职安全防护的软件产品也经常会曝出各种各样的漏洞,这早已不是什么新鲜的事情。

计算机世界的霸主微软公司的程序员可都是一流的精英,先不说过去Windows、Office系统中至今还补不过来的千疮百孔,往前看其新一代的号称最安全的操作系统Vista,公开的Bug已达2万个,问题代码更是多达几十万行,发行日期一拖再拖。也许这主要是因为过于庞大的系统结构和功能造成的,可在一个0和1的数字世界里,复杂才意味着技术的前进、使用的便利、功能的强大,如今许多人早已明白:没有任何问题的代码只能是没有任何功能的代码。

除了程序代码设计本身的问题,安全漏洞还存在于通讯协议、网络架构、交互中国家信息中心信息安全研究与服务中心李少鹏模式、电子辐射、信号外泄,甚至是用户安全操作和安全意识等其他与信息交流有关的任何问题中。可以说安全威胁来自于四面八方,漏洞也不可避免,而只要漏洞存在,那么威胁永远存在。

触目惊心的安全事件

2004年10月至2005年1月,某企业职工利用后门程序操纵了互联网上超过6万台的电脑主机连续攻击北京某音乐网站,致使该公司蒙受重大经济损失,这是我国首例如此大规模的“僵尸网络”攻击案;

2005年4月11日,全国超过二十个城市的互联网出现群发性故障;同年7月12日,北京20万ADSL用户断网;

2005年10月,网易计算机系统公司发现与北京市网通合作项目中,价值10元一张的网易一卡通虚拟游戏点卡被盗15.5万张,总价值155万余元;

2006年2月“全国最大网上盗窃通讯资费案”在北京开庭审理。某资深软件研发工程师被控利用工作之便侵入北京移动公司充值中心数据库,盗窃了价值38071元的充值卡密码……

公安部公共信息网络安全监察局主持的2006年全国信息网络安全状况与计算机病毒疫情调查报告中显示,在被调查的一万三千多家单位中,54%的被调查单位发生过信息网络安全事件。

同时,最近两年几乎染及所有计算机和计算机用户的网络钓鱼、流氓软件、垃圾邮件狂潮一轮又一轮的充斥着互联网。据国外的一份调查统计显示,89%的个人电脑平均感染过30种间谍软件。公安部在2005年声称中国的网络钓鱼网站占全球钓鱼网站的13%,名列全球第二位,而仅在2004年,公安部侦破的网络诈骗案件就达1350起。对此,国家反计算入侵和防病毒研究中心在公安部网监局的支持和指导下,发起成立公益性的“中反网络钓鱼联盟”。今年8月,广东首次公开处罚垃圾邮件发送者,这也是国内依据《互联网电子邮件服务管理办法》第一次公开处罚垃圾电子邮件的发送者。

安全法规需进一步完善

从1989年《中华人民共和国保守国家秘密法》伊始,到2005年《电子签名法》的实施,我国目前现行的与信息安全直接相关的法律、规章和制度有65部,“涉及网络与信息系统安全、信息内容安全、信息安全系统与产品、保密及密码管理、计算机病毒与危害性程序防治、金融等特定领域的信息安全、信息安全犯罪制裁等多个领域”,可以说已经初步形成了一定的法规体系。尤其是在2003年《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)通过后,电子认证、电子政务、等级保护、商用密码以及银行、证券等金融行业等法规和管理办法相继出台,不仅规范了信息安全市场,还对电子商务的发展、网络经济的正常运转到了意义深远的保障作用,同时也是对“信息安全上升为国家安全”的这一宏观政策指引的响应。

尽管如此,现行的信息安全方面的法规、标准体系仍然需要进一步完善与成熟。截至目前,我国还没有一部严格意义上基于信息安全的基本法,同时这为信息安全标准与政策的制定与落实带来了一定的难度。

层出不穷的攻击手段

目前流行的攻击手段有很多,除了病毒、蠕虫、口令破解等传统方法,木马、网络钓鱼、SQL注入等较为新型的攻击方法,其攻击范围也在不断扩大。但相应的防范技术和知识已经比较普及,应对起来容易些。值得特别注意的是以下三种攻击形式,分布式拒绝服务攻击、零日攻击和社会工程学攻击。

分布式拒绝服务攻击至今还没有特别有效的防范方法,其具备攻击方法简单和攻击源无法确定的特点,上文中音乐网站被攻击的案件就是一个典型的例子。这种攻击的难点在于组建大量的傀儡主机――“僵尸网络”,通常借助即使通讯工具或电子邮件来植入木马,并通过新的系统漏洞的出现而达到顶峰。

零日攻击则是利用尚未公开或未发行补丁的漏洞实施攻击,这种攻击最为致命和可怕,因为任何人都很难对未知的情况做出正确的反应,此种攻击成功率高、隐蔽性强,往往针对某个既定目标,是今后安全防范工作的最大隐患之一。

最后一种是社会工程学,实际上它是一种非技术手段的攻击,它的直接攻击对象不是数据库也不是防火墙,而是能够出入这些敏感地带的人。技术再高也是由人来操作的,安全防范做得再好,得到授权的人也是可以出入的。世界著名黑客凯文・米特尼克在《欺骗的艺术》一书中写到:“安全不是技术问题,它是人和管理的问题……”,“由于开发商不断的创造出更好的安全科技产品,攻击者利用技术上的漏洞变得越来越困难……”,“精干的技术专家辛辛苦苦地 设计出安全解决方案来最小化使用计算机的风险,然而却没有解决最大的漏洞――人为因素。”因此,在如今信息安全技术已经趋于成熟的环境下,正确的安全防范意识无比重要。

目前,仍然还有许多人普遍缺乏安全意识。政府网站频频被黑、网上银行客户资金被盗、网上交易遭遇诈骗……,这样的安全事件几乎天天都在发生,其关健原因在于安全管理和意识的匮乏。对于被动的防范来说,意识要重于技术,甚至会超越技术。

安全技术任重道远

广义上的信息安全包括了众多内容,信息安全国家重点实验室冯登国教授曾在今年的“十一五”信息安全发展趋势论坛上讲到抽象化、可信化、网络化、标准化和集成化,是信息安全技术发展的重要趋势。目前主流安全技术不外几种。

主动防御

虽然瑞星、金山、江民三大反病毒厂商在今年先后发出推出主动防御产品的声音。但实质上,目前的主流产品还是在遵循“病毒产生――研究特征码――升级病毒库”的老路子。主动防御技术如何避免大量的提示和误报是主动防御产品是否能真正走向市场的关键性问题。

生物识别

从用户名加口令到加密锁,再从USB令牌到指纹、声纹、虹膜等生物识别。即使身份认证已经有了高级的尖端技术,可目前最为广泛应用的还是最初的用户名加口令身份认证技术,简单易用,且能够保障基本的安全需求。但不可否认,生物识别技术以其无可替代的识别优势必然随着成本的降低、需求的加大走向普及。

可信计算

严格的说,可信计算并不能算一项新兴技术,早在2002年沈昌祥院士开始在国内提倡可信计算。虽然经过了2004年的热点后,国家将其列入“十一五”规划重点支持项目,相关企业也成功的生产出TPM的安全芯片,但中国的可信计算是否能与国际标准接轨、庞大的可信计算体系涵盖内容之间是否能有序协调仍是一个未知的难题。

灾难恢复

实际上,灾难恢复主要不是技术问题,而是管理和实施问题。它的重要性随着对国民经济具有重要支撑作用的大型企事业单位以及政府部门对信息化日益增长的依赖性而凸现出来。近年来,银行、电信,海关、税务、民航等部门已经建立起自己的灾备中心。国务院信息化工作办公室2005年出台的《重要信息系统灾难恢复指南》为我国整个信息安全保障综合体系的最后一环――灾难恢复的管理和实施带来了强有力的促进和重大指导作用。

理论篇>>>

思索信息安全:内涵与外延

江常青

要谈论信息技术发展的趋势和信息安全面临内外部环境的变化,就像一个一直在匆匆行路的人,突然要停一下,观看周围环境,预估和展望前面的道路。但是要想象前方,恐怕先要回头看看走过的路,因为有两种可能:一种是走出来的路,过去和现在影响着未来;二种的情况是,也许路一直在前方,变化的则是我们的认识和行为。无论怎样,“时而思”比不思则罔更有益。

信息安全的历史有多久?五年,五十年,还是五千年?都可以。

目前,国家、企业和个人开始认识并重视信息化所带来的安全风险问题,以及国内出现专门的信息安全从业人员,仅有5―10年;而以现代计算机的发展与应用算起,信息技术渗入现在社会生活带来的信息安全问题,这段历史达到了50年;其实,自从人类文明伊始,文化和信息的使用开始就存在信息安全问题,这是5000年的历史。但是,历史从来没有象今天这样迫使我们必须去思考和面对信息安全的问题,因为当今是高度信息化的社会。我们生活在一个信息世界中,信息安全问题关系到每个人、家庭和社会各个组织机构。

从辨证学角度来说,变是绝对的,也是相对的。在5~5000年这个“漫长”的尺度上,信息安全领域有的在变,而且变化很大;有些东西也许并没有多大的进展和变化。处理信息的设施在技术发展中变化着,解决信息安全的具体技术措施和手段也随着发展,信息安全的内涵也不断延伸,但有关信息安全的一些关键和核心的问题并没有得到探讨与思考。

“谁的”信息安全?

信息安全自身没有价值和意义,它对于信息和信息系统所有者、管理者、使用者、监管者才有意义。因此,同样一个信息及其系统对于不同的人、组织甚至国家的意义是不同的,因为其安全的目标和需求是不同的。比如说,某商业银行的信息系统,对于银行自身、银行监管部门,以及政府来说,安全价值与意义有着根本的区别。作为企业的银行,其安全核心是保障组织机构的正常运行和获得商业利益的能力;作为行业管理部门是金融安全风险的一个组成部分;从国家和政府部门来说它是事关国计民生的重要信息系统,它的安全影响社会。

“什么的”安全?

从历史发展看,信息安全逐步从信息传输的安全,发展到信息产生,传输、处理、存储等整个生命周期的安全。同时,信息安全也从单纯的指信息数据的保密安全,扩展到支撑信息流动的软硬件、载体的IT安全。在新一代信息技术大规模普及的今天,信息安全还包括信息的使用安全,信息内容的安全与信息及信息系统互动的人的安全等方面。

因此,信息安全不是孤立的。当我们谈论安全时,一定是指特定对象的安全,同时要强调这个特定的对象是对于谁而言,言论中的安全必须在明确的上下文环境之中,否则就失去意义和准确性。

安全是什么?

安全是一种或多种性质或属性吗?它和色彩,质量是对象的属性类似吗?这个问题很难回答。假设安全是“属性”,安全信息安全经典定义中的保密性、完整性、可用性。这三性都是以否定语句来定义的。要证明一个肯定的性质存在比较容易,找到它即可。要证明“不被修改”等类似否定语句的性质比较困难。此外,要证明信息或系统同时满足三个性质更为困难,因为这些安全性质是动态变化,它会随着外部对手和系统内部自身变化而变化,也就是常说的今天的安全难以保证明天的安全。因此,很有必要反思安全作为性质是否妥当。近年来,从风险角度来重新定义安全的趋势十分明显,将安全定义为风险可控可管理的过程。这样一来,安全就不是系统自身的性质了,转化为对抗风险的保障能力。安全保障能力由技术、管理、人等措施来构建起来,安全亦被风险和保障两个概念所取代,隐身在后面。安全与否不再是去寻找这些性质存在与否,而是去计算保障是否大于对应风险。如果是,就是安全。这种重新定义的安全将不再是性质,而是个过程和目标,通过过程去达到目标,而目标反映了信息安全在上下文环境定要求。

这些探讨和思考能否达到我们理解信息安全的本质,笔者不得而知,但是这是一个探索的过程。在信息技术层面上,在我们实际可以设计实现的信息处理技术的进展中,可以看到未来信息安全技术的发 展趋势:

软件安全

软件是构建信息世界和社会的核心部件,安全问题的产生很大程度上来源它的不安全、不可靠,如何提高软件的安全性将会是个重点,有理由相信,随着软件形式化、自动化的提高,其安全性会快速的提高。

安全度量

有人说,不可度量的不是科学,信息安全正处于这样的境地。确实,目前我们还无法在信息安全领域找到类似物理世界的度量,如时间量、空间量、质量等,也没有类似比特的信息量,因此信息安全要成为科学还有很长的路要走。但尽管如此,我们已逐渐找到一些度量,它对提高安全是有好处的,比如安全功能强度,人力的部署和能力提升,过程控制的环节等等。

信息流控制

除了人、管理、网络系统外,信息安全的核心问题还是保证数据和信息的安全。信息流如何开放的网络系统环境中,如何在不可信、不安全的环境中构建可信的信息流动和控制机制是必须要解决的问题。因为数据和信息不可能像物理世界中永远被隔离和锁在保密柜中,它必须给该看到的人看到,就和货币要流通一样,安全必须找到自身的动态价值。

抗攻击技术

由于对手一直存在,破坏安全的外部因素不会消失。安全事故和事件时时都会产生,如何提高信息和系统抗攻击以及受攻击后降低损失的技术十分重要,以防范为主的安全技术将被抗攻击技术将逐步取代。

内部安全

安全技术也将从防范外部威胁为主,转换到关注内部威胁为,构建内控技术和管理体系将会成为最热的市场机遇。在这里,与业务逻辑和网络行为相关安全分析成为技术难点。发展篇>>>

发展篇>>>

内外之道把脉“新安全”

吴锡源

当前,大多数企业的信息安全机制不堪一击。具体来说,这些企业的安全措施所提供的防护级别难以应对它们所承受的实际风险。事实胜于雄辩:虽然各个企业已竭尽所能采取相应防护措施,但是它们仍然频繁受到攻击。据可靠数据统计:仅2005年,大约三分之二的企业至少发生一次安全事故,而半数以上的企业则至少发生三次安全事故。

面临挑战的安全管理

目前的主要问题在于,大多数企业只是采用侧重边界的高度反应性防御措施,因此无法与当前日新月异的威胁趋势保持同步。新威胁层出不穷,并以前所未有的速度和效率进行传播,在许多情况下必然会导致混乱局面比比皆是。不仅如此,可用于(或至少所分配用于)改善这种局面的资金也相对较少。实际上,Ernst&Young的《2005年全球信息安全调查》显示,各个企业将其安全预算的50%用于“日常操作和事故响应”,仅将17%的预算用于完成“更关键的战略项目”。

显而易见,企业需要采用更为完善的解决方案才能针对当前的攻击进行自我防护。因此,企业所需要的威胁管理解决方案具有以下特点:主动――能够防御未知威胁;全面――能够将所有企业内外的攻击源头阻挡在外;高效――非常经济实惠的选择。

在企业努力部署有效威胁管理解决方案的过程中,威胁趋势的日新月异、符合法规要求的需要以及对反应性对策的过度依赖对于它们面临的重重挑战来说只是凤毛麟角。

把脉新“安全”

传播速度相对较慢的基于文件的病毒和群发邮件蠕虫仍然屡见不鲜。实际上,在2005年上半年,这类威胁在向赛门铁克报告的前10位恶意代码示例中占三类。不过,黑客的动机已明显从追求名声转向牟取暴利,而漏洞开发框架的日渐普及是威胁趋势发生许多显著变化的主要原因之一。

・威胁数量与日俱增

这不足为奇。由于黑客的动机越来越强烈,并且开发新型恶意软件的难度越来越低,所以威胁的数量无疑会猛增。不仅如此,威胁制作软件及其模块化构造技术导致开发威胁变种的行为司空见惯。例如,2005年上半年,仅针对Win32平台的新病毒和蠕虫变种数量就已达到10800种。与前六个月相比,次数量就增加了48%。

・威胁生成时间日益缩短

日益成熟的黑客工具包不断增多的另一恶果是开发新威胁所需的时间明显缩短。因此,从发现新漏洞到发起针对该漏洞的特定攻击之间的时间也无可避免地大大缩短。实际上,在2005年上半年,此时间段的平均持续时间仅为六天。

・威胁传播速度正在加快

虽然近年来这方面威胁的趋势没有显著变化,但是由于威胁的传播速度已经非常惊人,所以这种形势不容乐观。例如,2001年红色代码在37分钟内即可使感染速率增加一倍。而在2003年,Sapphire蠕虫每8.5秒传播速度就会加倍,最终不到10分钟就会感染90%易受攻击的目标主机。而且,认为最终不会出现传播速度更快的威胁完全不切实际。

・威胁日益变化莫测

导致变种数量不断增多的因素也同时导致混合型威胁层出不穷。通过使用多种利用机制、有效负载和/或传播方法,这类威胁更有可能避开企业防线,然后成功施加负面影响。另外,导致局面日益恶化的另一个原因是黑客目前主要攻击系统和应用程序层的弱点,而不是网络层的漏洞。这样,他们的攻击往往成为侧重网络层活动对策的漏网之鱼;不幸的是,大多数企业目前只凭借这样的对策来保护自己。

首先,威胁数量大增意味着不仅安全员工将承受更大的压力,而且他们所实施的对策在一定程度上也会受到影响。还需要进行更多研究以确定最具破坏力的威胁、需要采取更多防御措施,最终还需要解决更多事故和故障。要使这样的等式重新达到平衡,很可能需要任命更多安全管理员或实施可提高操作效率的工具,特别是在研究和防范活动方面。第二个影响是使利用管理补丁程序进行防御的效果微乎其微。过去,从发现漏洞到漏洞被利用之间的时间长达数月,所以制造商可以从容开发和补丁程序,然后由企业对这些补丁程序进行测试和实施。但是,目前在发现漏洞后平均需要54天才能相关补丁程序,所以根本无法及时提供补丁程序。而且即便能够及时提供,还需要考虑测试和实施相应补丁程序所需时间的问题。在最紧迫的情况下,最高效的企业可能需要几天才能完成该过程。但这根本不具有代表性,企业补丁程序管理流程的常规执行时间至少需要30天。

安全之路延伸何方

面对不断变化的新威胁,信息安全的环境也在发生着深刻的变革。

首先,由于需要保持竞争优势,所以各个企业必须更迅速地应用新兴技术(例如,WLAN、VolP和Web服务)以及所有现有技术和平台的新版本。一般,各个企业不但必须管理和保护更多计算基础架构和应用程序,而且其中大部分均为新出现的复杂架构和程序,极为分散。结果是由于配置错误和疏忽导 致的代码漏洞与日俱增,而且弱点也越来越多。

其次,随着内部威胁日益严重,企业的安全观念正发生着深刻的变化。从历史角度来看,企业一般将注意力集中在保护他们与互联网的连接上面,很少保护他们的内部网络和系统。不过,由于第三方连接日益增多,现场办公的合同工需要连接到公司网络,而且公司自身员工的移动性越来越强,从而导致威胁可以绕过互联网边界控制,然后从内部以相对迅猛的速度传播。因此,除了原来必须要保护的日益增多的基础架构外,企业现在还必须保护内部网络和系统。

此外,确保内部网络安全的另外一个要素是必须遵从各种“暗示”的法规和法律(如果没有明示)。不过,从所占用的资源数量及有时会提供虚假的安全感角度来看,遵从这些要求反而会产生更多问题。事实上,一份最新调查表明遵从是信息安全活动的最重要的推动因素,该调查还表明由此而引发的主要活动是制定和更新各种策略和程序,而不是切实加强公司的安全架构或整体战略。

更现实的还有预算问题,企业面临的这方面挑战在一定程度上变得欲盖弥彰。只需看看现状就足以:目前所制定的安全预算不仅不合理,而且这部分预算的使用方式往往对防御攻击没有帮助,此外这部分预算永远处于与“企业”的其他需要进行竞争的状态。

以上复杂因素清楚地表明理想的威胁管理解决方案必须兼顾高效性和灵活性。相对于安全部门可支配的资源而言,他们需要完成的工作过于繁重。与此同时,基础业务需求(不考虑基础架构)可谓常变常新。

策略篇>>>

“湿件”:另一种思维看安全

刘 恒

鲁迪卢克在系列科幻小说《湿件》中讲述了一个人类制造的肉身机器人如何控制和改变人类的故事。该书对人类脑力智慧(湿件)与带有编码化知识(软件)的机器人(硬件)的结合并最终摆脱人类控制的前景作了最大胆的想象。

无独有偶,“湿件”先后出现在黑客界和医药界,并且成为新经济增长理论的一个术语。如今,启明星辰率先在安全业界引入“湿件”理论,并开始成功应用到安全服务领域。

看到“湿件”二字,绝大部分人认为是“事件”的笔误,其实不然,两者毫无瓜葛,截然不同。“湿件”是指与计算机软件、硬件系统紧密相连的人(程序员、操作员、管理员),及与系统相连的人类神经系统。由此可见,“湿件”,是储存于人脑之中,无法与拥有它的人分离的能力、才干、知识等。

从某种意义而言,“湿件”是与软件、硬件并列的IT第三大件,人们应该对“湿件”给予充分重视。“湿件”第一次将人的作用突出出来,而且这种作用远远高于软件和硬件。没有软件,硬件是无用的;没有人的操作或指示,软件、硬件一起也做不了什么;由此可见,“湿件”是IT系统最为基础的部分。

网络安全的脆弱一环

尽管“湿件”的作用如此基础和重要,但是长期以来却未被提到应有的重视高度。尤其是在中国的网络安全领域,对于“湿件”的研究基本是个“空白”,目前,启明星辰公司敏锐地发现这一“空白”,第一次将安全“湿件”与安全服务紧密地联系在一起,第一次将人在信息安全中的决定性作用突出了出来。

三个典型的案例很容易说明问题。

案例一:某小区的保安系统很健全,24小时有保安守卫,但最近却发现有小偷入户行窃。尽管没有搞清入侵者是从哪儿进来的,有关部门还是贴了一个告示,提醒大家夏天别开窗户以防小偷。由于没有找出问题的症结所在,同样的事情在该小区再次发生。后来有人发现,小区里栏杆的设计不合理,让小偷钻了进去,如果拉两个栏杆,就可以防止这种情况。

这个案例说明,我们必须充分了解攻击者和攻击行为发生的原因,才有可能有效防御攻击。

案例二:某部门存放重要文档的电脑出了故障,保管文档的人在部门内对电脑进行了修理。一段时间后,该重要文档泄漏了,并被公开到互联网上。经过一番追查,最后发现是修理电脑的人偷偷将文档拷贝了下来。这个案例说明,人员安全意识的缺失是遭到攻击的致命因素。

案例三:“你想要值钱的东西吗?想要,你就去拿吧。”全球最著名的黑客Mitrdck语出惊人。人们都认为他拥有无人能敌的高超技术,他却在自己的《欺骗的艺术》一书中说,安全的核心和根本,不是技术问题,而是人和管理问题;安全最薄弱的环节是人的因素,穿透人这道防火墙往往非常容易。

从这三个案例中,我们不难看出,人的因素在信息安全中是何等重要。这也是启明星辰为何将“湿件”引入安全服务的意义所在。对“安全湿件”的强调,体现了一种系统的安全设计思想,有了这种意识,用户在构建安全系统时会考虑更多的因素。如果用户没有考虑到“湿件”也是安全系统的一个组成部分,他设计出来的安全防御系统肯定是不健全的,是失去平衡的,结果是花了很多钱,建造的安全系统并不安全。

完善安全系统

信息安全是动态的,是过程,是攻击和防御的平衡,从这个角度讲,可将安全“湿件”划分为攻击型“湿件”和防御型“湿件”。攻击“湿件”和防御“湿件”都可以进一步细分下去。例如,防御型“湿件”还可以按照不同的人、不同类型的知识进行细分。

在信息安全系统中,攻击和防御是密不可分、相辅相成的两个方面。一方面,所谓“知彼知己、百战不殆”,只有在攻防结合的基础上,充分地了解甚至先考虑攻击“湿件”,知道攻击“湿件”是什么、在哪里、怎么样,才谈得上有效防御。目前很多安全产品或方案存在着一个严重的缺陷,那就是并不了解攻击者,也就是没有防御的明确目标,只是凭想象强行建立起一种防御系统。其实也许用户根本不需要那么强大的防御系统,这就是忽略了攻击“湿件”产生的问题。

安全“湿件”有助于企业提高和完善现有系统的安全性。企业在进行安全投资的时候,应该首先注重培养人才,培养“湿件”,甚至应该把“湿件”摆在硬件和软件之前考虑。实践证明,“湿件”的投资回报率相当高,产生的效果巨大。“湿件”应该是排在软件和硬件之前的基础性的部件。

由于防御型“湿件”中的人总是不可避免地具有脆弱性,这给攻击型“湿件”提供了可乘之机,安全风险在所难免,安全产品和安全技术有时也会失灵。刘恒博士指出,许多安全问题仅凭安全产品和技术是解决不了的,必须充分考虑人的因素,用基于“湿件”的服务去解决。

从上述角度来看,信息安全的关注点正在发生变化,转向关注“湿件”。高明的用户一方面要构建自己内部的安全“湿件”,另一方面在自身“湿件”不够强健时,则可以购买专业安全公司提供的安全“湿件”。“湿件”作为服务成为主流,无疑是安全产业发展的必然趋势。

崭新的安全服务

“湿件”与安全服务紧密相关,但是并 不能划等号,也不能划大于号或小于号。因为服务强调的是一种形式和过程,而安全“湿件”强调的是安全软件和硬件之外的人的重要性,突出的是系统的有机性,是一种强调完整协调一致的理念。安全“湿件”作为服务的一种形式应该成为安全业界的主流。启明星辰的M2S就是全新的基于“湿件”的安全服务。

作为一个重要的防御型“湿件”,M2S体现的是具有标志性的专业化的安全服务。这个体系是在启明星辰TSP理念的指导下,在多年安全服务最佳实践的基础上,结合国际先进的安全服务理念、模型和业务模式,以用户需求为中心,以注重实效为宗旨,推出的一种全面、细致的全新服务模式,主要包括国际化管理咨询、专业化风险评估、实时性管理监控、专家型应急响应等内容。

M2S,一个能够进行全面防范、即时监测、专家响应的实时安全过程,是一种全新的安全“湿件”。M2S有4层含义:MMS(Managed Monitoring Services),体现了专业的监控技术与服务;MSS(Managed Security Services),体现了安全企业与国际通用托管式安全服务的融合,强调安全企业要保持国际安全服务的规范性;MtoS(Management to Security),阐明了安全企业倡导的“通过管理达到安全”的理念,也契合了“服务的核心在于人”的理念;MSM(Management Secu-rity Monitory),管理安全监控,这里尤其体现了本地化差异性,与国外MSM主要根据设备来实行监控管理不同,M2S致力于解决客户几乎所有的安全问题,范围更为广泛。

可以说,“湿件”理论与M2S的有效结合,提升了网络和系统自身的防御能力,为更多的用户提升了生产效能,而将安全“湿件”与服务紧密相联,也完全可以有效帮助信息安全企业在安全服务领域树立新的里程碑。

管理篇>>>

安全风险管理的游戏规则

驾驭风险,方可掌控安全。日前,绿盟科技专业服务部总监王红阳,就目前信息安全风险评估以及风险管理的创新理念、前沿技术、创建适应企业发展的网络环境等问题,接受了《软件世界》杂志的采访。

软件世界:如何理解风险管理的概念?绿盟科技在这方面的研究有没有什么前沿性的课题?

王红阳:在COSO企业风险管理框架中,风险定义为任何可能影响某一组织实现其目标的事项。风险的范围可能是财务、合法性、符合性、运维、市场、战略、信息、技术、人员、声誉等方面。风险包括恶性事件带来的威胁、尚不能确定后果的事件、可转化为机会的事件。风险管理是发现和了解组织中风险的各个方面,并且付诸明智的行动帮助组织实现战略目标,减少失败的可能并降低不确定的经营结果的整个过程。信息安全风险评估(本文以下简称“风险评估”),则是指依据国家、国际有关信息技术、安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学、公正的综合评估活动过程,它要评估信息系统的脆弱性、信息系统面临的威胁,以及脆弱性被威胁源利用后所产生的实际负面影响等,并根据安全事件发生的可能性和负面影响的程度,来识别信息系统的安全风险。

信息安全是一个动态的复杂过程,它贯穿于信息资产和信息系统的整个生命周期。信息安全的威胁来自于内部破坏、外部攻击、内外勾结进行的破坏以及自然危害。必须按照风险管理的思想,对可能的威胁、脆弱性和需要保护的信息资源进行分析,依据风险评估的结果为信息系统选择适当的安全措施,妥善应对可能发生的风险。企业风险管理使管理当局能够有效的应对不确定性以及由此带来的风险和机会。

软件世界:如何在一个组织的网络中识别出风险所在?

王红阳:风险评估遵循了ISOl7799、ISOl3335、ISOl5408(GB/T18336)、SSE-CMM等一系列的国际和国内标准,这些标准提供了评估过程、评估方法、评估模型、评估内容等多方面的规范化指导,同时在评估算法、评估操作等方面参考了AS/NZS4360。GAO/AIMD-00-33,GAO/AIMD-98 68.BSI PD3000等美国、澳大利亚、新西兰的标准和规范。

风险评估的过程就是对信息系统所面临的各种风险发生的可能性和风险发生后的严重性进行评价,即在国际、国内等相关标准和规范的指导下对信息系统的资产、威胁、脆弱性三要素进行详细具体的评估。

风险评估包含了(但不仅限于)以下一系列的技术评估手段和管理评估手段:

・安全扫描:通过评估工具软件或专用安全评估系统自动获取评估对象的脆弱性信息,包括主机扫描、网络扫描、数据库扫描等,用于分析系统、应用、网络设备存在的常见漏洞。

・人工检查:通过人工方式直接操作评估对象来获取所需要的安全配置信息,主要解决远程无法通过工具软件或设备获得的信息,以及为避免评估意外事件而采取的方法。

・IDS取样分析:通过在核心网络采样监听通信数据方式,获取网络中存在的攻击和蠕虫行为,并对通信流量进行分析。

・渗透测试:在获取用户授权后,通过真实模拟黑客使用的工具、方法来进行实际漏洞发现和利用的安全测试方法。

・应用安全评估:对用户业务应用软件进行安全功能审核、渗透测试、源代码审核等。

・安全管理审计:通过文档审核、策略审核、问卷调查、顾问访谈等形式,对信息安全策略、组织信息安全、资产管理、人力资源安全、物理和环境的安全、日常运作和通讯、访问控制、系统的获得、开发与维护、信息安全事件管理、业务持续性管理、符合性等方面进行综合评估。

软件世界:信息资产风险管理的内容包括什么?通过怎样的策略和方案可以达到风险管理的目的?

王红阳:信息安全风险评估的目的是全面、准确的了解组织机构的网络安全现状,发现系统的安全问题及其可能存在的危害,以便为系统最终安全需求的提出提供依据。同时,也是为了分析网络信息系统的安全需求,找出目前的安全策略和实际需求的差距,为保护信息系统的安全提供科学依据。进而通过合理步骤,制定出适合系统具体情况的安全策略及其管理和实施规范,为安全体系的设计提供参考。

信息安全风险评估是一个组织机构实现信息系统安全必要的、重要的步骤,可以使决策者对其业务信息系统的安全建设或安全改造思路有更深刻的认识。通过信息安全风险评估,他们将清楚业务信息系统包含的重要资产、面临的主要威胁、本身的弱点;哪些威胁出现的可能性较大,造成的影响也较大,哪些威胁出现的可能性较小,造成的影响可以忽略不计;通过保护哪些资产,防止哪些威胁出现,如何保护和防止才能保证系统达到一定的安全级别;提出的安全方案需要多少技术和费用的支持,更进一步,还会分析出信息系统的风险是如何随时间变化的,将来应如何面对这些风险,这需要建立一个晚上的体系。