瑞星2012年中國信息安全綜合報告
2013-01-23 10:09:49五、 企業(yè)信息安全
(一)企業(yè)信息安全環(huán)境日益嚴(yán)峻
1.?進(jìn)口信息安全產(chǎn)品帶來嚴(yán)重威脅
目前國內(nèi)許多企業(yè),尤其是在能源、電信、金融等重要行業(yè)處于領(lǐng)導(dǎo)地位的大型企業(yè)都在使用國外的信息安全產(chǎn)品。這些企業(yè)選擇該類產(chǎn)品,主要是出于性能、技術(shù)等方面的綜合考慮。然而,隨著全球政治經(jīng)濟格局的不斷變化,國家之間的信息對抗也日趨激烈。2012年11月,一份媒體的調(diào)查顯示,2011至2012年的兩年時間內(nèi),全國各地由進(jìn)口產(chǎn)品“設(shè)備故障”所引發(fā)的通信事故,正在密集上演。
2011年初,廈門電信城域網(wǎng)使用的進(jìn)口設(shè)備頻繁出現(xiàn)異常問題,并且故障很難定位。而提供該設(shè)備的廠商一再辯稱設(shè)備不存在問題,但在電信組織專家多次研究分析后,終于確認(rèn)是該設(shè)備出錯,廠商才被迫承認(rèn)該設(shè)備存在“技術(shù)漏洞”,并直至2011年6月27日才提供解決方案。
一些業(yè)內(nèi)專家透露,進(jìn)口產(chǎn)品已經(jīng)占據(jù)我國各大行業(yè)信息系統(tǒng)的關(guān)鍵節(jié)點,從企業(yè)角度講,企業(yè)的商業(yè)機密時刻處于高危狀態(tài);而從宏觀角度講,整個行業(yè)甚至是國家的機密信息都在這些國外廠商的面前毫無防備。
2.?企業(yè)信息安全建設(shè)整體落后
進(jìn)口安全產(chǎn)品并非是唯一威脅,國內(nèi)企業(yè)信息安全建設(shè)的整體落后也嚴(yán)重影響著企業(yè)的生存與發(fā)展。進(jìn)口信息安全產(chǎn)品雖然性能出眾,然而其昂貴的價格卻讓更多需要安全保護(hù)的國內(nèi)企業(yè)望而卻步。
目前,絕大多數(shù)中小企業(yè)仍舊停留在使用免費的個人版殺毒軟件階段。然而,該類軟件如前文中所述,無法解決病毒交叉感染問題,不僅沒有統(tǒng)一的管理平臺,也無法對企業(yè)內(nèi)網(wǎng)的安全系統(tǒng)進(jìn)行統(tǒng)一的升級維護(hù)。除此之外,僅憑單一的殺毒軟件也遠(yuǎn)遠(yuǎn)不能滿足現(xiàn)代企業(yè)的信息安全需求。
瑞星安全專家指出,“殺毒軟件只能在電腦中毒以后,對病毒進(jìn)行查殺。然而來自外部的互聯(lián)網(wǎng)釣魚、掛馬攻擊,甚至包括企業(yè)內(nèi)部員工的違規(guī)操作都有可能導(dǎo)致企業(yè)內(nèi)網(wǎng)遭到病毒及黑客的入侵。要想保證企業(yè)內(nèi)網(wǎng)安全,必須對信息安全事件做到事前預(yù)防、事中控制和事后審計,這就不是僅靠一款殺毒軟件能夠解決的問題了。”
同時,國內(nèi)一些大型企業(yè)還存在著信息安全產(chǎn)品無序堆疊的問題。這類大型企業(yè)一般都有足夠的資金為企業(yè)內(nèi)網(wǎng)安全做適當(dāng)?shù)慕ㄔO(shè),并且大多愿意針對不同功能購買各大安全廠商性能、口碑最好的產(chǎn)品接入企業(yè)內(nèi)網(wǎng)。然而,頂級的性能并不一定能提供頂級的安全,這些不同品牌的設(shè)備之間經(jīng)常存在兼容性問題。同時,大型企業(yè)的網(wǎng)絡(luò)都是極其復(fù)雜的,一旦出現(xiàn)問題,各品牌的售后卻只能提供與自己產(chǎn)品有關(guān)的技術(shù)支持,導(dǎo)致企業(yè)很難對問題進(jìn)行追蹤和排查,大大降低了解決問題的效率。
(二)企業(yè)內(nèi)網(wǎng)信息安全威脅趨勢
1.?宏病毒與感染型病毒依舊活躍
瑞星反病毒實驗室提供的材料顯示,目前宏病毒及感染型病毒仍然普遍存在于企業(yè)內(nèi)網(wǎng)當(dāng)中。瑞星安全專家介紹,宏是許多應(yīng)用型軟件都會向用戶提供的一種特殊功能,主要用于一些需要自動化批處理的操作。由于大部分宏都使用BASIC編程語言,因此也成為黑客制造、傳播病毒的手段。報告期內(nèi),一個名為“Dole”的宏病毒持續(xù)活躍。該病毒運行后,將自我復(fù)制到啟動文件夾,實現(xiàn)開機啟動。并隱藏Excel工作簿中的宏,同時修改注冊表,將宏安全屬性設(shè)置為最低,且禁止用戶修改。除此之外,該病毒還會感染中毒期間打開過的所有Excel文件,并搜索Outlook程序,向通訊簿的所有成員定時發(fā)送帶毒郵件。
感染型病毒雖然在病毒總量中的所占比例已下滑至第三位,卻仍然處于殺之不盡的狀態(tài)。通常情況下,用戶中毒后系統(tǒng)內(nèi)會出現(xiàn)異常進(jìn)程,同時該類病毒還會感染其它exe文件,也可能會后臺下載其它病毒或木馬,進(jìn)而危害整個企業(yè)網(wǎng)絡(luò)。此前,該類型病毒已在企業(yè)內(nèi)網(wǎng)持續(xù)活躍6年之久,其變種多、粘性強、危害大,自發(fā)現(xiàn)以來已造成很大的經(jīng)濟損失。
2.?企業(yè)移動辦公或?qū)⒃斐蓴?shù)據(jù)泄密
“移動辦公”也可稱為“3A辦公”,即辦公人員可在任何時間(Anytime)、任何地點(Anywhere)處理與業(yè)務(wù)相關(guān)的任何事情(Anything)。這種全新的辦公模式可以大幅節(jié)約時間成本,提高工作效率。“然而,信息安全問題卻隨之而來”,瑞星安全專家指出,移動化辦公使得數(shù)據(jù)從企業(yè)內(nèi)部走到企業(yè)外部,機密數(shù)據(jù)變得更加難以管理和控制。同時,移動辦公勢必要讓服務(wù)器對一些外部設(shè)備開放遠(yuǎn)程權(quán)限,這讓主動性泄密變得更為容易。上文提到的上海特大個人信息泄漏事件就是運維人員遠(yuǎn)程登錄系統(tǒng)竊取數(shù)據(jù)的。
3.?BYOD為企業(yè)內(nèi)網(wǎng)帶來安全隱患
BYOD是指在企業(yè)的辦公場合,員工攜帶筆記本電腦、手機及平板電腦等個人移動設(shè)備進(jìn)行辦公。通常情況下,BYOD都會選擇接入企業(yè)內(nèi)網(wǎng)的Wi-Fi,并擁有一定程度的內(nèi)網(wǎng)數(shù)據(jù)讀取權(quán)限。這為企業(yè)節(jié)約辦公成本、提高辦公效率提供了不少方便。但是,由于個人設(shè)備上安裝的操作系統(tǒng)版本、應(yīng)用程序以及root權(quán)限等皆不在運維人員的管控范圍內(nèi),一旦個人設(shè)備感染了惡意程序或遭到黑客的惡意入侵,企業(yè)內(nèi)網(wǎng)的信息安全就不可避免將受到威脅。
4.?群體性攻擊事件嚴(yán)重威脅金融業(yè)
近年來,網(wǎng)絡(luò)攻擊的組織形式呈現(xiàn)出一種專業(yè)化和團隊化的趨勢。全球范圍內(nèi)的網(wǎng)絡(luò)攻擊事件不斷發(fā)生,對網(wǎng)上銀行等金融企業(yè)信息系統(tǒng)的潛在攻擊風(fēng)險也越來越高。從2012年的相關(guān)報道來看,與金融、網(wǎng)上支付有關(guān)系的大規(guī)模攻擊就有好幾起。PayPal、花旗銀行、巴西中央銀行等涉及到銀錢交易的機構(gòu)都受到過不同程度的攻擊。隨著網(wǎng)絡(luò)支付應(yīng)用越來越廣泛,用戶群規(guī)模越來越龐大,金融系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)變得越來越重要。
在以往的傳統(tǒng)網(wǎng)絡(luò)攻擊中,黑客主要通過其控制的“傀儡機”發(fā)起分布式攻擊;然而在近期的群體性攻擊事件中,黑客組織發(fā)布了一些專業(yè)的攻擊工具,如LOIC(LowOrbitIonCannon)、HOIC(HighOrbitIonCannon)、HttpDoSTool等,以供支持者下載,網(wǎng)絡(luò)攻擊的支持者可以在客戶端對攻擊工具進(jìn)行配置,選擇在同一時間段加入攻擊團隊,從而實現(xiàn)在一定的時間內(nèi)發(fā)起有組織的大規(guī)模分布式攻擊。
瑞星安全專家指出,大規(guī)模群體攻擊事件目前多發(fā)于歐美國家,目前國內(nèi)大部分企業(yè)都無法對此有所防范。然而在互聯(lián)網(wǎng)中,國家與國家的地理界限早已化為不同號段的IP地址,黑客的入侵行為也早已不再受到國家和地區(qū)的限制。一旦有一天,黑客組織將矛頭指向國內(nèi),國內(nèi)的大多數(shù)企業(yè)將毫無招架之力。
(三)企業(yè)內(nèi)網(wǎng)信息安全管理現(xiàn)狀
1.?企業(yè)內(nèi)網(wǎng)信息安全防護(hù)水平參差不齊
針對上面提到的病毒感染問題,瑞星安全專家表示,根據(jù)瑞星多年的客戶服務(wù)經(jīng)驗來看,造成多病毒大面積入侵企業(yè)內(nèi)網(wǎng)的原因主要有兩個:
第一,電腦終端上的防毒程序未開啟(或未升級至最新版本)。在幫助企業(yè)后期維護(hù)的工作中,瑞星工程師曾多次發(fā)現(xiàn)企業(yè)內(nèi)網(wǎng)存在病毒,而染毒客戶端的殺毒軟件已很長時間未開啟,只要將客戶端打開并升級至最新版本,病毒立刻就可被查殺。由此可見,保持安全軟件時刻運行并隨時更新,對企業(yè)內(nèi)網(wǎng)安全來說是必不可少的功課。
第二,系統(tǒng)漏洞修補不及時。在IT科技高速發(fā)展的當(dāng)下,黑客技術(shù)也是瞬息萬變。一個漏洞一個小時前被發(fā)現(xiàn),一個小時之后利用該漏洞對電腦進(jìn)行攻擊的病毒就有可能出現(xiàn)在網(wǎng)上,幾天之內(nèi),這個病毒就能傳遍網(wǎng)絡(luò)。“并不是只有安全軟件的工程師在與黑客賽跑,企業(yè)的安全運維人員也同樣在與黑客賽跑”,瑞星安全專家指出,“世界上沒有任何一個系統(tǒng)是絕對安全的,只要系統(tǒng)存在,漏洞就一定會存在。所以一旦漏洞被發(fā)現(xiàn),企業(yè)應(yīng)盡早做好相應(yīng)的防護(hù)措施。”
2.?企業(yè)信息安全整體防護(hù)體系建設(shè)急劇落后
在信息時代,技術(shù)文檔、客戶信息都成為決定企業(yè)命運的商業(yè)機密。所以,內(nèi)網(wǎng)的存取權(quán)限也成為企業(yè)信息安全工作的重中之重。如何管理企業(yè)內(nèi)網(wǎng)的電腦終端、如何管理移動辦公設(shè)備、如何管理BYOD,都成為企業(yè)安全的必修課。目前,市場上有不少提供企業(yè)信息安全管理的產(chǎn)品,而企業(yè)仍然面臨著無法回避的窘境:國內(nèi)的內(nèi)網(wǎng)管理產(chǎn)品分級不夠細(xì)致,授權(quán)也只能針對簡單的幾種情況,稍微復(fù)雜一點的網(wǎng)絡(luò)就無法適應(yīng),而進(jìn)口產(chǎn)品則價格昂貴,為企業(yè)的運營成本帶來巨大壓力。
