 |
|
《安全月刊》2006年第十一期 总第二十九期
出刊:2006年11月27日 |
 |
|
|
|
征 文 通 知 |
|
稿件内容:
我们没有固定的框框,只要您认为有价值,值得、可以拿出来跟大家分享,我们都欢迎,您可以:
写出你与网络安全产品打交道的经历;
漫谈您在使用网络安全产品过程中的体会;
谈谈您正在使用的安全产品的优势与不足;
与大家分享您在使用东软网络安全产品过程中悟出的小窍门,试出的小方法;
记述您遇到的印象比较深刻的网络安全事件及解决过程;
展望未来网络安全技术趋势及网络安全市场走向。
奖励办法:稿件一经录用刊登,根据文章内容评定稿费每篇200-500元;来稿未被刊登使用的,也会收到我们的纪念礼品。
|
|
|
|
|
|
|
|
 |
| |
|
安全稳定才是硬道理——Radware AppDirector中标河北国税
|
|
|
近日,全球智能应用交换机领导者与应用安全技术挑战者Radware公司,在税务行业再度发力,在众多全球知名品牌中凭借出色的稳定性与过人的性能,赢得河北省国税局青睐,雀屏中选此项目。
为更好的服务社会公众,河北国税需要能够抵御各种不安全因素的破坏,即要建设一个高性能、高可用性、高安全性、可接受大量用户访问的信息网络系统。河北省国税局经过多方考量,最终采用 Radware 屡获大奖的明星产品 AppDirector应用交换机系列产品,确保了河北国税IP网应用不会因应用服务上固有的不确定性而发生瘫痪,从而确保用户获得优质服务和网络的高可用性。
河北省国税局在服务器的前端,配置了两台AppDirector智能应用交换机,为服务器进行负载均衡,为多个应用建立自己的独立应用环境,以便区分面向全省(省、市、县、所四级网络系统)国税系统针对不同应用提供不同服务器集群的合理化负载均衡。
AppDirector AS 3020具有44Gbps的背板交换处理能力,在河北国税网络中可无阻塞进行数据交换。同时,其具有80万次/每秒的应用会话处理能力,大大提高了河北国税网络系统的访问处理能力。
;在应用安全方面,AppDirector内置了SynApps 架构的应用安全模块实现对网络系统的保护。此模块可以保护web 服务器免受1500 多个攻击信号的攻击,它可以作为服务器、防火墙、cache 服务器,或者路由器前面的另一道防线。提供了基于网络的安全性,并使用了网络信息和基于信息的应用,通过终止所跟踪的可疑会话来实时检测和阻止攻击。
APPD本身具有很强的抗攻击能力,它可以为网络中的服务器提供负载均衡功能,通过对无效连接的管理来防止使用没有开放的服务进行攻击;实现源路由的跟踪,防止IP 欺骗;不用Ack 缓冲应答未确认的SYN,防止SYN 风暴;防止连续和接管的攻击;不运行SMTPd,FTPd,Telnetd 等易受到攻击的进程;具有较高的安全性;通过对设备的简单设置,即可完成多种攻击防护,也可消除病毒流量完全屏蔽Nimda 等病毒。
Radware网络应用系统负载均衡解决方案为河北国税局构建了一套实用的、先进的、安全可靠的、灵活可扩展的网络系统,并充分的提升了网络平台的容入开放性、互连性,经济性、可管理性与可运营性能。
关于Radware公司:
Radware以提供世界一流的产品与服务为方向,坚持研发可确保客户网络安全连接、保护所有关键任务应用程序的技术。Radware为了更好地为客户服务,每年都投入大量资金和人力用于开发新产品、研究更合理更安全的智能应用网络解决方案和新的安全保障技术。
Radware创立于1996年,并于1999年在Nasdaq上市(RDWR)。Radware中国公司在北京成立后又在上海、广州、成都、香港和台北设立了代表处。Radware在中国的目标是通过保障依赖于IT网络架构的企业关键业务的完整可用性、最优异的性能与出众的安全性,消除不可预测的危害性、优化运行降低成本、提高企业投资回报。
Radware致力于信息安全技术领域的技术开发,是智能应用交换机的全球领导者。以智能应用交换技术为基础,Radware的包含应用安全、应用基础架构和端对端连接等的APSolute解决方案成功地保障企业关键业务的网络应用获得完整可用性、最优异的性能与出众的安全性。
全球智能应用交换机领导者与应用安全技术挑战者
通过最优化的资源使用率,Radware在网络应用中提供高性能、高回报的网络应用环境,确保动态网络稳定性、提供最优的连续性和个性化的安全服务,实现网络全方位安全保障。
基于自身4~7层的领先技术根基,配合深度IP包检测技术,Radware面对日益愈演愈烈的网络黑客攻击提供了最为全面的主动安全防范架构;其领先于业界的多千兆位网络安全交换机集合了入侵检测系统(IPS)、带宽管理和流量整形、千兆位级防Dos/DDos攻击以及基于行为模式分析的的Dos攻击防范等诸多功能于一身,为业界提供了最完整的主动安全防范体系,被业界公认为应用安全领域最有实力的挑战者。 |
|
<<<< 回到本期导读 |
一、ARP Spoofing攻击原理分析
在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞或者实现“man in the middle” 进行ARP重定向和嗅探攻击。
用伪造源MAC地址发送ARP响应包,对ARP高速缓存机制的攻击。
每个主机都用一个ARP高速缓存存放最近IP地址到MAC硬件地址之间的映射记录。MS Windows高速缓存中的每一条记录(条目)的生存时间一般为60秒,起始时间从被创建时开始算起。
情况下,ARP从缓存中读取IP-MAC条目,缓存中的IP-MAC条目是根据ARP响应包动态变化的。因此,只要网络上有ARP响应包发送到本机,即会更新ARP高速缓存中的IP-MAC条目。
攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。因此,B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址),MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A可不知道被伪造了)。
当攻击源大量向局域网中发送虚假的ARP信息后,就会造成局域网中的机器ARP缓存的崩溃。
Switch上同样维护着一个动态的MAC缓存,它一般是这样,首先,交换机内部有一个对应的列表,交换机的端口对应MAC地址表Port n <-> Mac记录着每一个端口下面存在那些MAC地址,这个表开始是空的,交换机从来往数据帧中学习。因为MAC-PORT缓存表是动态更新的,那么让整个 Switch的端口表都改变,对Switch进行MAC地址欺骗的Flood,不断发送大量假MAC地址的数据包,Switch就更新MAC-PORT缓存,如果能通过这样的办法把以前正常的MAC和Port对应的关系破坏了,那么Switch就会进行泛洪发送给每一个端口,让Switch基本变成一个 HUB,向所有的端口发送数据包,要进行嗅探攻击的目的一样能够达到。也将造成Switch MAC-PORT缓存的崩溃,如下下面交换机中日志所示:
Internet 172.20.156.10000b.cd85.a193 ARPAVlan256Internet 172.20.156.50000b.cd85.a193 ARPAVlan256Internet 172.20.156.254 0000b.cd85.a193 ARPAVlan256Internet 172.20.156.53 0000b.cd85.a193 ARPAVlan256Internet 172.20.156.33 0000b.cd85.a193 ARPAVlan256Internet 172.20.156.130000b.cd85.a193 ARPAVlan256Internet 172.20.156.150000b.cd85.a193 ARPAVlan256Internet 172.20.156.140000b.cd85.a193 ARPAVlan256
二、ARP病毒分析
当局域网内某台主机运行ARP欺骗的木马程序时,会欺***域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。
由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。
在路由器的“系统历史记录”中看到大量如下的信息:
MAC Chged 10.128.103.124MAC Old 00:01:6c:36:d1:7fMAC New 00:05:5d:60:c7:18
这个消息代表了用户的MAC地址发生了变化,在ARP欺骗木马开始运行的时候,局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MAC New地址都一致为病毒主机的MAC地址),同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。
如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致,则说明局域网内曾经出现过ARP欺骗(ARP欺骗的木马程序停止运行时,主机在路由器上恢复其真实的MAC地址)。
BKDR_NPFECT.A病毒引起ARP欺骗之实测分析
Part1. 病毒现象
中毒机器在局域网中发送假的APR应答包进行APR欺骗, 造成其他客户机无法获得网关和其他客户机的网卡真实MAC地址,导致无法上网和正常的局域网通信.
Part2. 病毒原理分析:
病毒的组件
本文研究的病毒样本有三个组件构成:
%windows%\SYSTEM32\LOADHW.EXE(108,386 bytes) ….. ”病毒组件释放者”
%windows%\System32\drivers\npf.sys(119,808 bytes) ….. ”发ARP欺骗包的驱动程序”
%windows%\System32\msitinit.dll (39,952 bytes)…”命令驱动程序发ARP欺骗包的控制者”
病毒运作基理:
1.LOADHW.EXE 执行时会释放两个组件npf.sys 和msitinit.dll .
LOADHW.EXE释放组件后即终止运行.
注意:病毒假冒成winPcap的驱动程序,并提供winPcap的功能.客户若原先装有winPcap,
npf.sys将会被病毒文件覆盖掉.
2.随后msitinit.dll将npf.sys注册(并监视)为内核级驱动设备: "NetGroup Packet Filter Driver"
msitinit.dll 还负责发送指令来操作驱动程序npf.sys (如发送APR欺骗包, 抓包, 过滤包等)
以下从病毒代码中提取得服务相关值:
BinaryPathName = "system32\drivers\npf.sys"StartType = SERVICE_AUTO_STARTServiceType= SERVICE_KERNEL_DRIVERDesiredAccess= SERVICE_ALL_ACCESSDisplayName = "NetGroup Packet Filter Driver"ServiceName = "Npf"
3. npf.sys 负责监护msitinit.dll. 并将LOADHW.EXE注册为自启动程序:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
dwMyTest =LOADHW.EXE
注: 由于该项位于RunOnce下,该注册表启动项在每次执行后,即会被系统自动删除.
Part3. 反病毒应急响应解决方案
按以下顺序删除病毒组件
1) 删除 ”病毒组件释放者”
%windows%\SYSTEM32\LOADHW.EXE
2) 删除 ”发ARP欺骗包的驱动程序” (兼 “病毒守护程序”)
%windows%\System32\drivers\npf.sys
a. 在设备管理器中, 单击”查看”-->”显示隐藏的设备”
b. 在设备树结构中,打开”非即插即用….”
c. 找到” NetGroup Packet Filter Driver” ,若没找到,请先刷新设备列表
d. 右键点击” NetGroup Packet Filter Driver” 菜单,并选择”卸载”.
e. 重启windows系统,
f.删除%windows%\System32\drivers\npf.sys
3) 删除 ”命令驱动程序发ARP欺骗包的控制者”
%windows%\System32\msitinit.dll
2. 删除以下”病毒的假驱动程序”的注册表服务项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Npf
三、定位ARP攻击源头和防御方法
1.定位ARP攻击源头
主动定位方式:因为所有的ARP攻击源都会有其特征——网卡会处于混杂模式,可以通过ARPKiller这样的工具扫描网内有哪台机器的网卡是处于混杂模式的,从而判断这台机器有可能就是“元凶”。定位好机器后,再做病毒信息收集,提交给趋势科技做分析处理。
标注:网卡可以置于一种模式叫混杂模式(promiscuous),在这种模式下工作的网卡能够收到一切通过它的数据,而不管实际上数据的目的地址是不是它。这实际就是Sniffer工作的基本原理:让网卡接收一切它所能接收的数据。
被动定位方式:在局域网发生ARP攻击时,查看交换机的动态ARP表中的内容,确定攻击源的MAC地址;也可以在局域居于网中部署Sniffer工具,定位ARP攻击源的MAC。
也可以直接Ping网关IP,完成Ping后,用ARP –a查看网关IP对应的MAC地址,此MAC地址应该为欺骗的MAC。
使用NBTSCAN可以取到PC的真实IP地址、机器名和MAC地址,如果有”ARP攻击”在做怪,可以找到装有ARP攻击的PC的IP、机器名和MAC地址。
命令:“nbtscan -r 192.168.16.0/24”(搜索整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段,即192.168.16.25-192.168.16.137。输出结果第一列是IP地址,最后一列是MAC地址。
NBTSCAN的使用范例:
假设查找一台MAC地址为“000d870d585f”的病毒主机。
1)将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。
2)在Windows开始—运行—打开,输入cmd(windows98输入“command”),在出现的DOS窗口中输入:C: btscan -r 192.168.16.1/24(这里需要根据用户实际网段输入),回车。
3)通过查询IP--MAC对应表,查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。
通过上述方法,我们就能够快速的找到病毒源,确认其MAC——〉机器名和IP地址。
2.防御方法
a.使用可防御ARP攻击的三层交换机,绑定端口-MAC-IP,限制ARP流量,及时发现并自动阻断ARP攻击端口,合理划分VLAN,彻底阻止盗用IP、MAC地址,杜绝ARP的攻击。
b.对于经常爆发病毒的网络,进行Internet访问控制,限制用户对网络的访问。此类ARP攻击程序一般都是从Internet下载到用户终端,如果能够加强用户上网的访问控制,就能极大的减少该问题的发生。
c.在发生ARP攻击时,及时找到病毒攻击源头,并收集病毒信息,可以使用趋势科技的SIC2.0,同时收集可疑的病毒样本文件,一起提交到趋势科技的TrendLabs进行分析,TrendLabs将以最快的速度提供病毒码文件,从而可以进行ARP病毒的防御。 |
<<<<
回到本期导读
|
|
 |
圣诞期间垃圾邮件创新记录 |
| |
11月21日国际报道除了足够的火鸡外,今年圣诞节期间的垃圾邮件也将创下新的记录。
在每年即将结束之际,垃圾电子邮件发送者通常会更加活跃。但是,据反垃圾邮件工具厂商称,今年的垃圾邮件数量将是空前的。垃圾邮件发送者已经在庆祝圣诞的来临了。
安全厂商BarracudaNetworks负责产品管理的副总裁斯蒂芬表示,就象合法厂商在万圣节前开始囤积装饰品和礼品一样,垃圾邮件发送者在今年早些时候就开始发送与圣诞礼物相关的垃圾邮件了。
IronPortSystems的数据显示,10月份,平均每天发送的垃圾邮件数量由上年同期的310亿封增长到了630亿封。据反垃圾邮件专业厂商MessageLabs表示,10月份发送的88.7%的电子邮件属于垃圾邮件。它还预计,到11、12月份时这一比例将提高到近90%。这会导致大量的垃圾邮件。
IronPort预测,12月份平均每天的垃圾邮件数量将由上年同期的380 亿封增长到780 亿封。
ISP和反垃圾邮件公司正在联合打击这股垃圾邮件潮。专家表示,但这是一场猫捉老鼠的游戏,目前,垃圾邮件发送者“溜走了”。Forrester Research的分析师兰伯特说,反垃圾邮件厂商正在努力,最好的产品能够拦截98% 的垃圾邮件,会有2%的垃圾邮件成为漏网之鱼。但由于垃圾邮件总数很大,这仍然意味着很多的垃圾邮件。
专家表示,每年的圣诞节期间都会出现垃圾邮件高峰,因为在这期间人们更容易打开邮件。消费者会在网上购买更多的物品,希望获得有关送什么礼物的主意,期待朋友的电子贺卡。
垃圾邮件发送者会充分利用这一点,发送虚假的订单确认电子邮件、电子贺卡,推荐购买它们的产品作为送给亲朋好友的礼物。斯蒂芬说,从感恩节到新年的这一段时间中,垃圾邮件的数量会增长50%。专家指出,垃圾邮件的增长有许多原因。
雅虎的一名产品经理迈尔斯说,其一,垃圾邮件发送者在不断地寻找并发现新的方法将自己的信息传达给用户。我们也在不断地提高垃圾邮件拦截能力。他表示,雅虎通过部署新技术和与其它厂商合作有效地拦截了大量的垃圾邮件。
技术进步是另一个推动力。垃圾邮件发送者在使用新工具通过botnet发送垃圾邮件,这意味着许多垃圾邮件是由许多不知情的用户的PC发送的。另外,垃圾邮件发送者已经发现了绕开拦截技术的新途径。专家表示,这是垃圾邮件发送者的“完美风暴”。
MessageLabs的技术总监马克表示,10月份,我们发现垃圾邮件的水平是空前的━━比往年要高出许多,这似乎与特洛伊木马病毒有关。他说,许多垃圾邮件都是通过名为SpamThru的特洛伊木马病毒发送的。特洛伊木马病毒通常是通过恶意网站或电子邮件附件感染Windows PC的,它也可能在用户不知不觉的情况下通过安全漏洞感染PC。
马克说,这一技术被称作“垃圾邮件加农炮”。在传统的botnet中,bot 的控制者连接到网络上,然后一封一封地发送垃圾邮件,与“小豆枪”(指打一发子弹扣一下扳机)相似。相比之下,SpamThru更象是一个邮件群发软件。
安全厂商SecureWorks 的一名研究人员说,SpamThru的独特之处就在于它利用P2P 技术与其它被感染的PC共享信息,其中包括控制服务器的详细资料、垃圾邮件模板、所有被感染的PC.SpamThru 似乎是俄罗斯黑客的杰作。研究人员发现,SpamThru已经建立了分布在166 个国家中,由73000 台计算机组成的botnet,成了一门威力极大的“垃圾邮件加农炮”。
专家表示,另外,垃圾邮件发送者在欺骗反垃圾邮件技术方面也越来越老练了。他们最新的技术是只包含有文本或一幅图片的电子邮件。
在纯文本的垃圾邮件中,关键字通常会使用错误的拼写,以躲避反垃圾邮件技术的检查;只包含图片的垃圾邮件很难被过滤,因为反垃圾邮件技术无法搞清楚图片的内容。斯蒂芬说,狡猾的垃圾邮件发送者通常会对他们的垃圾邮件绕开反垃圾邮件技术的能力进行测试。
所有的垃圾邮件都会吞噬大量的带宽,堵塞邮件服务器的运行,更不要说收件箱了。IronPort的数据显示,上个月,平均每天发送的垃圾邮件的数据量为819TB ,一年前的这一数据只有275TB。
IronPort负责营销的高级副总裁汤姆说,问题在于,即使是很好的垃圾邮件过滤技术也只能拦截一定比例的垃圾邮件,即使只有1%的垃圾邮件成为漏网之鱼,那也将是个很大的数字。
相关资料显示,2004年,由在删除垃圾邮件上所耗费时间造成的经济影响估计为216 亿美元。兰伯特表示,电子邮件用户非常苦恼,ISP 和企业则为垃圾邮件所占用的带宽买了单。
垃圾邮件的不断增长和打击垃圾邮件的困难表明,盖茨两年前的预言落空了。盖茨在两年前曾预测,二年后垃圾邮件问题将得到彻底解决。兰伯特说,垃圾邮件问题还在困扰着我们。
但是,反垃圾邮件斗士们并没有认输。Barracuda Networks、IronPort、MessageLabs 等厂商正在努力提高它们的反垃圾邮件技术,雅虎等电子邮件服务商和ISP 也在部署相关技术,在垃圾邮件进入用户电子邮箱前对它们进行拦截。但是,在今年的圣诞节期间,人们还是会受到垃圾邮件的骚扰。 |
<<<< 回到本期导读 |
 |
| |
|
病毒警报 |
|
近期,计算机病毒疫情较为平稳,传播范围广、危害性强的病毒疫情没有出现过。一些企业和计算机个人用户受到病毒危害比较集中在蠕虫和木马程序上,这些蠕虫和木马程序大多出现的变种很多,有的会在短时间内就出现很多新变种,让计算机用户防范起来十分困难,措手不及
另外,微软公司会在下周二发布六个操作系统的漏洞补丁程序,这些补丁程序多数是修复Windows操作系统中存在的漏洞隐患,还有会修复微软公司的XML(一种标识语言)语法分析器中存在的漏洞。值得注意的是在互联网络上有些恶意攻击者已经公布了XML的代码,一旦被攻击者利用,将会利用XML语法分析器中的这个漏洞在计算机用户的操作系统上运行非法的恶意程序,破坏系统的正常使用。
因此,国家计算机病毒应急处理中心提醒广大计算机用户下周留心微软公司发布的这几个操作系统漏洞补丁程序,特别是针对微软公司XML语法分析器漏洞的补丁程序。一旦漏洞补丁程序发布出来,立即下载安装。
专家提醒:
针对上述蠕虫和木马程序出现新变种的情况,我们建议计算机用户采用如下防范措施:
1、请不要轻易点击运行从互联网上下载后未经防病毒软件处理过的程序文件,最好建议计算机用户先用升级过的防病毒软件对下载地程序文件进行扫描,然后再点击运行它。
2、计算机用户在浏览网页的时候,将操作系统浏览器的安全级别设置为高,同时打开防病毒软件的实时监控功能。 |
|
|
<<<< 回到本期导读 |
|
 |
|
如何在重装SAV10.1/SCS3.1服务器后继续管理原来的客户端 |
当原先的SAV10.1/SCS3.1服务器的操作系统崩溃或硬件损坏后,我们一般都会考虑硬件功能满足的前提下重装原先SAV10.1/SCS3.1服务器的操作系统来解决,但要注意的是,Symantec自SAV10.X、SCS3.X后使用了PKI证书认证体系,同时服务器与客户端的通信也是经SSL加密的。
这时新的SAV10.1/SCS3.1服务器上在重装后会自动生成服务器组证书、服务器证书、证书私钥等文件的,而且是每次安装时临时生成的。那么原来持有旧的服务器组证书的客户端就因认证失败而无法与服务器通讯了。
针对以上情况,我建议做一下操作即可解决这个问题了:
1、保持原先的SAV10.1/SCS3.1服务器的IP和计算机名称不变;
2、将新的SAV10.1/SCS3.1服务器的GRC.DAT配置文件(c:\program files\sav)拷贝到旧的客户端的相应目录(C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5);
3、将新的SAV10.1/SCS3.1服务器的服务器组证书(c:\program files\sav\roots)拷贝到旧的客户端的相应目录(c:\program files\symantec antivirus\pki\roots);
4、修改旧的客户端的注表
HKLM\Software\Intel\LANdesk\VirusProtect\CurrentVersion\ProductControl\ReloadRootCertsNow 注册表键的DWORD值设为1;
这样再重启SAV10.1/SCS3.1客户端的SymantecAntiVirus服务或直接重启计算机后就可跟新的SAV10.1/SCS3.1服务器通讯了!! |
|
| |
工程师:杨诗磊
工程师信箱:yshl@ultratech.com.cn 欢迎大家与我一起交流技术方面的问题。
<<<< 回到本期导读 |
|
信息安全不仅是技术问题,也是管理问题,没有完善的管理,降低安全风险只是空谈。
信息安全所受到的重视程度一直在上升,我国政府主管部门频频出台一系列政策法规,直接牵引、推进信息安全的应用和发展,各类安全产品也层出不穷。然而,多方的重视并没有缓解安全面临的严峻形势。
比如,很多企业习惯于在多处部署不同的安全产品以期达到全面的安全效果,但依赖于安全产品的简单堆积来应对“日新月异”的攻击手段和病毒传播是无法持续有效的。相反,每个安全产品产生海量的安全事件造成严重的信息过载,各类安全产品“各自为政”,不同产品之间的安全信息无法共享,形成一个个“信息孤岛”,管理员缺乏应付混合型安全威胁的能力。海量事件、定位困难、事件间不能关联呈现,导致管理员无法及时准确地发现网络中的安全隐患,进而加以处理。而安全事件不能及时处理往往会带来更大更严重的危害。
实际上,信息安全只有通过实施一整套恰当的控制措施才能实现,这些控制措施包括策略、实践、步骤、组织结构和软件功能。信息安全管理的核心是安全风险管理,它涉及到多个要素:资产、资产价值、威胁、脆弱性、风险、防护需求、防护措施它们之间的关系如附图所示。
分析安全管理的关系图,我们不难发现,安全管理是一个动态管理的过程,会随着时间的推移和业务的发展而变化。许多企业尽管拥有了先进而昂贵的信息安全设备,但“政策”或“人”往往无法配合,产生了很大问题。因为许多安全问题不是因为产品的功能不佳造成的。即使企业设置了层层关卡,仍可能因为被破解的管理者密码、帮助台维修后未关闭的开放权限、轻易被共享的网络文件夹等管理盲点,为黑客及病毒开启后门。因此,企业信息安全是管理问题,而非单纯的技术问题。唯有完善的管理,才能降低安全风险,避免不必要的损失。为了做好安全管理,笔者建议从以下几方面着手:
1. 提升组织的整体安全意识
要高度重视信息安全管理,切实加强领导,以高度的责任感进一步推进信息化建设和信息安全管理。对信息安全管理工作引起足够的重视,在加强信息系统的软硬件建设的同时,对信息安全管理工作也不能松懈和忽视。企业的信息安全政策不应再单单是信息部门的责任,企业对于组织安全的认知,应通过整体安全分析与定期安全检查获得提升。
2. 强化执行作业程序
一方面我们在信息化建设过程中严格执行信息安全标准,减少内部的弱点和威胁,使安全隐患不再有机可乘;另一方面对于安全事件的处置,提倡强制实施应变作业流程,并针对特定目标提供安全训练,协助建立必要的作业程序,以及时发现安全隐患、降低并控制安全事件的损害。
3. 提升应变能力
信息安全技术的日新月异,使得安全管理有着很大的不确定性。再严密的安保措施也不能保证网络安全的万无一失,因此必须增强信息安全管理的危机处理能力,将危机处理程序标准化,在危机来临之际,采取有效措施,积极将损失减少到最小程度。同时针对各种安全事件拟定一套顺畅且有效的应变措施,如为了封堵某一网络蠕虫病毒的传播,自动配置防火墙,阻塞已中病毒主机的IP地址或者该病毒传播所利用的TCP/UDP端口等等。
4. 构建安全环境
|
 |
| 网络安全和信息安全是信息资源共享的前提,发展信息化必须高度重视信息网络安全体系的建设。积极争取网络安全认证机构的合作和支持,同时加强信息安全技术平台的建设,加强企业内部的安全技术建设和监察管理工作,联合有关部门严厉打击危害计算机信息系统安全和利用计算机技术进行犯罪活动,保障行业信息安全。 |
谭博士信箱:txy@ultratech.com.cn 欢迎大家与我共同探讨安全问题。
<<<< 回到本期导读 |
| |
订阅《安全月刊》 |
|
|
本期导读:
