美国大片《恐怖地带》中有这样的镜头:代表“埃博拉”病毒的红色区域在几天之内覆盖了整个美国版图,速度之快令人怵然。最近在NAI公司北京的办公室里,笔者竟然又看到了类同的画面,只是这次蔓延的是计算机病毒,传播速度已经要以秒和分钟来计算,而受病毒侵害区域的版图也在瞬间扩展到了全球范围。这是McAFee反病毒紧急响应组总监VincentGullotto先生给我们演示的真实案例。
——病毒或恶意攻击行为通过网络以“光”的速度袭来,须臾不能脱离网络的你,如何确保自己的数据是安全的?
——“911事件”震惊全球,IT界再次开始反思安全问题。网络无辜地成为罪恶孳生的温床!
——调查结果证实,给公司带来损失最大的不是来自于外部的攻击,而是源于内部的管理不善。所谓祸起于萧墙之内,千里长堤,毁于蚁穴!
向病毒“学习”反病毒
网络安全成为重要课题,防治病毒首当其冲。病毒与反病毒的魔道之争没完没了,没有一个用户敢确认自己具有金刚不坏之身,也没有一个反病毒厂商敢断言自己的产品是金钟罩铁布衫。
随着病毒技术(不得不承认病毒的确是一种技术)的发展,人们对病毒概念的认识又进一步--“具有自我传播能力的就可称为病毒”。过去病毒是指一个病毒传染到另一外文件的传染过程,而现在通过网络传播,病毒不光传染宿主,病毒已经不是单纯的传染文件,也破坏附着体、感染计算机;在网上从这台计算机传播到另外一台计算机,具有自动传播能力的就可称为病毒,我们常听说的网络蠕虫(Internet Worm)就是这样的病毒。
面对病毒气势汹汹的来犯,我们应当如何应对呢?反病毒专家VincentGullotto先生谈了他的看法。
从1998年以来,病毒数目大规模增长,目前能够监测的病毒共有6万多种。从现在的发展趋势来看,病毒每年成2至3倍的速度增长。目前,一般的防病毒软件可以监测到大部分病毒。原来宏病毒占的比例很大,现在增长最快的是运行程序病毒。病毒的发展变化与网络建设息息相关,90年代初,Internet应用还不广泛,病毒多为手动传染;1995年至1999年,随着互联网的发展,共享文件增多,宏病毒开始出现;现在,电子邮件在工作中占有越来越重要的地位,基于电子邮件、破坏力十足的病毒也越来越多。像“我爱你”、“梅丽莎”、“红色代码”及“尼姆达”等病毒就是通过电子邮件以空前的速度迅速蔓延开来的。病毒通过网络传播,随着用户带宽的不断增加,被病毒所占用的资源也会越来越多,防御病毒是最根本的解决办法。防御病毒需从各个方面入手,对于厂商而言,通过对病毒特性的研究,生产出防御病毒的最新产品,让这些产品具有最佳的易用性,实际这只是防病毒厂商全部工作的一个部分。教育用户,让他们意识到防御病毒的重要性才是最关键的。随着一波高过一波的病毒侵袭,企业用户防病毒的意识在近年已大大加强,并能够制定出适合自己的反病毒策略。相对于企业用户,个人用户的防病毒意识还十分淡薄,无可否认,互联网为我们的工作带来方便与快捷,但互联网对用户而言并不是百利而无一害,当用户从互联网上浏览的时候,已经受到病毒的威胁。很多个人用户因为尚未遇到病毒,便无视病毒的存在,实际上潜在的危险早已经存在,只是还未爆发而已。
对于目前许多厂家热心推出的硬件杀毒技术,Vincent先生谈到:事实上,硬件杀毒同样离不开软件的支持。所谓的硬件杀毒技术其实只是为用户提供了一个比较方便简单的一体化解决方案。当用户依靠软件产品来实现对网络的保护时,必须购买多个产品,而硬件杀毒为用户提供的则是一个经济易用的单一产品。做为一个实用工具,硬件产品本身即代表了一个出色解决方案。通过它,大中型企业能够保护其网络免遭外来病毒威胁,同时又免除了从不同的销售商那里寻找、购买与集成硬件、操作系统与软件部件的诸多繁琐工作。易管理性是硬件杀毒产品获得成功的关键。
安全(杀毒)与管理之间的关系非常密切,Vincent先生认为,购买和安装防病毒软件并不是防御病毒的全部工作。事实上,很多时候,我们是不需要防病毒软件的。用户购买越来越多的防病毒软件,希望能够快速有效地防止病毒。其实,企业首要的任务是制定防病毒策略,明确规定哪种类型的文件可以运行,哪种文件不可以运行,在此基础上,然后再运行防病毒软件产品。例如,宏病毒是在微软Word中产生的,但是有80%的人在使用Word时,无需运行宏,也不知道宏的存在,其实只要你对宏有所了解,运用一些简单的设置就可以将其阻挡。此外,也无需将所有文件存成Word文档,如果你运用RTF格式,由于它是不支持宏的,也无法传播宏。防御病毒,除了防病毒软件外,制定相关策略是至关重要的。此外,防病毒厂商为用户提供的咨询服务也是有效的方式之一,向不同的公司征求意见,暂时的花费也许会很高,但从长远发展角度考虑,投资是必要的。
从安全漏洞“学习”管理之道
黑客攻击“秘技”中最狠的一招叫做社会工程学--这是美国一个著名黑客最早提出来的--他一旦决定攻破某个网站,如果技术上实现不了,他就要开始社会工程学行动了。他到这个办公楼里翻垃圾,到那里去找线索,翻一段时间后,从一些废纸上就对这个公司的情况了如指掌了。可以很轻易地得到或诱骗到密码。比如打电话说我是**,我密码忘了云云,公司的情况一清二楚,由不得你不上当。另外还有这种情况,你解雇了公司的网络管理员,而内部东西他都知道,而且密码系统是他设的,一旦他进行某些有危害性的操作,造成的后果不是安全公司所能负责的。三分技术七分管理,管理是重中之重。
就如Vincent先生所说的,防范病毒重在内部管理机制,保卫网络安全同样如此。网络使全球一体化的概念变得直观和现实,不仅要防范黑客和病毒的入侵,还包括隐私保护、信息安全的调和、如何使设备及网络工作更稳定等范围更广的常态研究。目前国内应用安全产品主要是以安全软件为主,包括一些杀毒软件、防火墙、授权认证。加密等等。2000年是企业上网年,2001年是网络安全年。据统计在北京IDC(互联网数据中心)就有30多家,IDC的基础业务是接入服务和主机托管,上千台的服务器托管在IDC中心,他们的发展对网络安全带来一些更为严峻的课题,网络发展越大,网络安全存在的问题就越突出。
网络安全产品的应用为用户提供了更多的安全策略和安全手段,是保障网络不可或缺的部分。目前安全产品国外的有美国ISS漏洞扫描和入侵检测系统、美国NAI的防火墙和Macfee防病毒以及Sniffer、美国趋势科技防病毒、NETSCREEN防火墙、CA安全认证等安全产品。国内的有天网防火墙、东大阿尔派防火墙NETEYE、天融信防火墙、安络公司的网络安全在线评估系统NSOAS和网警入侵检测系统、江民公司KV3000、瑞星防病毒产品等。事实上,安装放火墙的网络也不一定确保安全。防火墙的原理是防外但是不可以防内,据统计很多网络受到攻击造成损失50%以上是来自于内部,防火墙可以把屏蔽外部一些入侵,而内部人想出去就很难管理到,IDS入侵检测系统可以弥补了防火墙的不足之处,它和防火墙配合在一起使用,能够进一步提高网络的安全。
安全认证的产品,比如微软的数字签名产品、CA公司的认证,实际上解决的是端到端的安全问题,这种端到端应用在金融业、网上银行最为实际,因此也最为广泛。
安全普查是评估的一种方式,安全的普查目前在国内外上基本上都采用软件进行漏洞扫描,如果扫描到存在漏洞的话就要把这个漏洞补好。现在国内很多公司的网络安全都存在这样或那样的问题,安全意识比较淡泊,虽然有些专业网站应用了一套或几套防火墙,实际上防火墙只相当于一栋房子的门,门关好了,而窗户大敞,很多威胁都可以从窗户轻易进来,因此说网络是很不安全的并非危言耸听。
有一个这样的案例,某公司网络被攻击了,原因很简单,公司的网管利用服务器发送了一个邮件,结果服务器的IP上了黑名单,短期内就被国际上的黑客组织捕捉到了。他们虽然加了防火墙,但并没有逃过黑客的攻击。从这个角度来讲,网络存在漏洞是受到攻击的基本条件,实际上网上安全普查对于发现和修补漏洞非常关键。
企业应用好的安全产品,只说明企业具有了先进的技术,而人和管理才是薄弱的环节,如果处理不好,会使安全产品和安全技术形同虚设。许多国外的优秀安全产品在国内企业应用起来没有起到相应的作用也与此有关。他们的产品技术比较先进,但在应用上对使用者的素质要求较高,而有些企业的人员在安全意识上达不到要求。从事网络管理的人安全意识淡泊,这是非常严峻的问题。
在国内这种形势下,借他人之手筑自身安全也是值得考虑的安全管理途径之一。实际上,网络安全管理服务供应商在美国已经不是概念而是一个实在的迅速增长的市场。但在中国,由于文化观念上的不同,企业将数据与安全交给别的公司来运作,就好像将自己家保险柜的钥匙交给不相干的人保管一样,还不是能让人习惯的做法。
但是,随着中小企业信息化程度的不断提高,随着网络安全应用的需求不断上升,相信安全管理服务这一观念也将会很快为人们所接受,就像现在越来越多的人开始使用银行保险箱一样,不久的将来,会有越来越多的企业会拥有自己的网络安全管理服务供应商。
寻找“黑客”中的管理员
网络需要安全、稳定,而稳定的网络并不是一个安全的网络。网络只要开放,就要与外界取得联系,那么就埋藏了遭受黑客攻击的隐患。谁也不能保证100%的安全,就像坐飞机,谁又能保证飞机不会出意外?唯一的解决办法只能是选择信用良好、安全飞行时间较长的航线。从网络安全攻防角度来讲,对攻击没有任何研究的人来做网络安全工作恐怕是难以胜任的。仅仅是算法专家(可能已经从事了几十年的数学基础研究)或者只知道讲网络安全重要性并不足以担当起安全管理的重任。信息安全在研究开发、产业发展、安全认证,尤其是人才培养方面的问题已经迫在眉睫。
信息安全不可能用钱购买,培养和聘请安全管理人才也不可能是一日之功。日前,有关部门在检查某单位网站和内网的安全性时很有感触:他们配置了高档的CISCO PIX硬件防火墙,但WEB服务器的administrator和数据库的SA居然没有设置口令!这个例子很直观的说明:人的因素是信息安全的关键环节。网络信息安全没有资金投入好比赤膊上阵,但再先进的安全软件和硬件离开了一定的使用水平和安全意识也是毫无意义。
目前在国内许多企业中,并没有设置安全管理工作的专门岗位,往往由网络管理员兼任安全管理员的角色。身为网管,工作都很繁忙,任何一点的疏忽漏洞就会导致整个系统的全面崩溃。安全和管理实际上成为一对矛盾:作为网管管100台机器,则不可能每台服务器一个密码,因为要涉及到流量问题、对带宽效率的影响问题等;而为安全考虑,则必须安装防火墙、设置密码等,可是由于种种原因,国外使用的千兆防火墙目前在国内还没有普遍应用。
目前,在民间活跃着一大批具备网络安全知识和管理知识的人才,而他们往往披着“黑客”或所谓“红客”的面纱活跃在网络中,影响着人们的网络生活。
“从黑客中寻找安全管理人才,向黑客学习安全管理之道。”这并不是什么丢人的事,许多国外大公司已经在这么做,毕竟有过黑客经历的人更加了解网络的薄弱环节和应该加强的地方。
这些事实都昭示我们,安全已经不是一个技术范畴的问题,而是延伸到管理学、社会学、心理学等等中间,并进一步影响着我们的工作和生活。从安全的反面来学习打造安全壁垒,从攻击的角度学习防守,从黑客的心理学来研究管理员策略,这是我们不应忽视的途径。