在对信息系统进行安全管理之前,信息管理者首先要做的是树立正确的网络安全观。只有在正确的网络安全理念指导下,信息管理者才能对网络系统安全进行有效管理。网络安全一定要摒弃绝对化、静态化、技术化、片面化和极端化等几种错误观念。
一、 绝对化:期望零风险
信息系统本身具有很大的“脆弱性”,信息系统依赖的硬件、信息系统应用的IT技术(软件方面)、信息系统的建设和使用过程都存在着大量的风险因素,这类风险客观长期存在,既有有形的风险(设备、环境)、也有无形的风险(行为、道德)。信息系统安全管理的目标只能是将风险控制在一定的范围内,而不是实现绝对的安全。那种要求系统服务商承诺软件系统功能无差错,要求系统服务商承担系统错误造成的损失和影响的做法都是不科学的。其实不仅是网络安全,任何类型的安全都是如此。对于投资安全来说,世界上不是也没有稳赚不赔的生意吗?
为了追求绝对的安全,一些组织采用了物理隔离的方式。物理隔离能保证绝对安全吗?当然不能。不要忘记,IT基础设施只是信息系统的一部分,各种利益相关者如操作人员也是信息系统的组成之一。某些国家的情报机构已经开发出了一种可以让处于气隙系统电脑感染的工具。这种工具检测到有U盘连接之后,会首先感染U盘,然后再通过U盘将病毒摆渡到气隙系统中的计算机上。如果操作人员安全意识淡薄,拿着连接过互联网的U盘连接到气隙系统的计算机上,则信息系统的安全闸门可能就会轰然倒下。因此,即便信息系统的IT基础设备被物理隔离,仍旧要加强信息安全管理。2009年7月至2010年9月间,伊朗核设施遭受了Stuxnet病毒的攻击。位于伊朗纳坦兹的浓缩铀工厂首先遭到了攻击,其用于浓缩铀材料的离心机受到了严重的破坏,近20%的离心机因此报废,进而导致浓缩铀的产量下降了30%。Stuxnet病毒是世界上首个专门针对工业控制系统编写的破坏性病毒,其传播方式有别于一般的计算机病毒,除了经由互联网传播外,还可以通过USB设备来感染未接入互联网的计算机。只要被Stuxnet病毒感染的U盘连接计算机后,这种病毒会在不需要任何操作的情况下,取得工业电脑系统的控制权。
二、片面化:只关注外部威胁
在进行信息系统安全管理时,人们的主要精力往往重点关注来自外部的安全威胁,如网络渗透、黑客攻击等,却忽视来自内部的安全威胁。但是纵观IT史上那些重大的信息安全事件,大部分都是由于内部人士误操作或者蓄意发起。
2017年2月28号,号称“亚马逊AWS最稳定”的云存储服务S3出现“超高错误率”的宕机事件。由于美国许多大型网站如Snapchat、Twitter等都是基于亚马逊的云存储服务,结果,美国半个互联网都跟着瘫痪了。AWS后来给出了确切的解释:一名程序员在调试系统的时候,运行了一条原本打算删除少量服务器的脚本,结果输错了一个字母,导致大量服务器被删。为了修复这个错误,亚马逊不得不重启整个系统,最终导致了震惊全球的Amazon S3宕机4个小时事件。
三、静态化:期待一劳永逸
在解决安全问题的过程中,不可能一劳永逸。安全产品、安全技术需要随着攻击手段的发展而不断地升级,并且需要管理人员来日常运营维护,否则安全防护会成为稻草人,马奇诺防线,在变化的攻击手段前不堪一击。因此唯一的长效安全机制就是安全的持续改进,针对变化的安全形势和矛盾的持续调整。
四、极端化:为保安全牺牲业务目标
信息系统的目标是为了支撑企业组织的的业务,信息系统安全管理的目标是为了确保信息系统的正常运行,为企业组织实现业务目标提供信息支撑。因此,确保信息系统的安全只是手段,而不是目标,不能为了信息系统的安全而影响到信息系统的正常使用,更不能影响到企业目标的实现。
五、技术化:安全是IT技术人员的事情
网络安全不单单是IT技术人员的事,它涉及到企业组织的方方面面,是一项系统工程,需要技术与管理双管齐下。例如,尽管信息系统在设计过程中,综合采用多种高级的加密算法来实现用户访问控制和权限管理,但是如果用户没用养成良好的安全意识,在登录系统后随意离开电脑,或者将自己的用户名和密码随便贴在电脑显示器边缘,那无论采用任何高级的安全技术也不能确保信息系统的安全。
虽然现在大家的网络安全意识都很高,但是世界上的事情只有相对没有绝对。有关国外调查研究结果显示,目前人们的网络安全观念严重与互联网的实际情况背离,相信您一定在和朋友的聊天中提到过下面内容中的一些观点,而这些观点看起爱是无懈可击的,比如,使用安全工具软件和为系统打好补丁电脑就不会存在安全风险;数据一旦加密就会万无一失等等。参考下下卖弄的内容,或许对您能起到一定的警醒作用,至少他能告诉我们,我们的一些观念已经陈旧,有进一步提高的必要!
错误观念一、黑客不理睬版本低的操作系统和软件
好多朋友认为认为,版本低的系统,黑客不会做为攻击目标,因为黑客只看重版本高的系统和软件,因为那样不会显出他们的水平。
事实并非如此,自身的网络安全专家JohaesUllrich说。他是安全分析和预警服务机构――SA因特网风暴中心的首席技术官,这家机构负责发布有关安全漏洞和错误的警告。他提醒,对黑客来说,最近没有更新或者没有打上补丁的Web服务器是一个常见的攻击点。“许多旧版本的Apache和IIS(因特网信息服务器)会遭到缓冲器溢出攻击。”
如果存储空间处理不了太多信息,就会出现溢出,从而会发生缓冲器溢出问题。额外信息总会溢出到某个地方,这样黑客就可以利用系统的漏洞,让额外信息进入本不该进入的地方。虽然微软和Apache.org在几年前都发布了解决缓冲器溢出问题的补丁,但还有许多旧系统没打上补丁。
错误观念二、使用安全工具软件和为系统打好补丁就没有安全风险
有些工具可以让黑客对微软通过其WindowsUpdate服务发布的补丁进行“逆向工程”(reverse-engineer)。通过比较补丁出现的变化,黑客就能摸清补丁是如何解决某个漏洞的,然后查明怎样利用补丁。
MartyLindner是卡内基梅隆大学软件工程研究所计算机紧急响应小组协调中心的事件处理小组负责人,他说:“如今开发的新工具都围绕同一个基本主题:扫描寻找漏洞。对因特网进行扫描,详细列出易受攻击的机器。所开发的工具假定每台机器都容易遭到某个漏洞的攻击,然后只需运行工具就是了。每个系统都有漏洞;没有什么是百分之百安全的。”
黑客普遍使用的工具当中就有Google,它能够搜索并找到诸多网站的漏洞,譬如默认状态下的服务器登录页面。有人利用Google寻找不安全的网络摄像头、网络漏洞评估报告、口令、信用卡账户及其他敏感信息。Santy蠕虫和MyDoom的新变种最近就利用了Google的黑客功能(Googlehacking)。甚至已经开始涌现出了Johy.IHackStuff.com这样的网站,它们提供链接到介绍越来越多的Google黑客手法的地方。
前一段时间,McAfee公司发布了SiteDigger.0工具的更新版,它有一些新特性,譬如可以查明某个站点是不是容易受到Google黑客攻击。虽然这款工具的目的是供管理员测试各自的网络,但黑客也有可能利用该软件寻找任何站点存在的漏洞。
错误观念三、数据加密之后就会万无一失
事实上,对数据进行加密处理只是保护数据的一个重要环节,但是绝不会毫无差错。JonOrbeton警告说:如今黑客采用嗅探器可是越来越完善,能够截获L和L交易信号,窃取经过加密的数据。虽然加密有助于保护遭到窃取的数据被人读取,但加密标准却存在着几个漏洞。黑客只要拥有适当工具,就能够钻这些漏洞的空子。Orbeton说:“黑客在想方设法避开安全机制。”
错误观念四、安全公司的数据一定安然无恙
连据认为最安全的组织也有可能发现自己容易受到黑客的攻击。位于弗吉尼亚州费尔法克斯的乔治梅森大学是安全信息系统中心的所在地,向来不乏安全专家。但这个工作场所最近发现,黑客攻击了这所大学的主ID服务器、往服务器中安装了搜寻其他大学的系统的工具后,2000多名学生和教职员工的姓名、社会保障号码以及照片在黑客面前暴露无遗。黑客可能通过没有防火墙保护的计算机潜入进来,然后植入了扫描工具,寻找闯入其他系统的口令。
这家大学立即采取了对策,关闭了服务器中的部分系统,用不同的ID号取代了学生们的社会保障号码,防范身份失窃。校方还在允许计算机连接到其网络之前,先使用软件进行扫描;建立较小的子网,隔离存放有敏感数据的计算机;更加密切地监控整个网络的活动。
连一些国家的国防部门也不能幸免。它们只好不断部署新软件以防范新出现的漏洞,并且坚持采用经过实践证明可靠的安全方法。譬如说,加拿大国防部就使用VanguardIntegrityProfeionals公司的VanguardSecuritySolutio5.,保护所用的IBMeServerzSeries大型机。这款软件包括采用双令牌的用户验证机制,可以同IBM用于z/OS的资源访问控制工具(RACF)配合使用。
加拿大国防部的RACF中心管理员GeorgeMitchell说,他总是保持高度警惕,以防未授权用户获得访问系统的机会。除了使用监控工具外,他还要运用常识。“我会让某人打电话告诉大致情况。如果某人想更改口令,我会问几个问题,通过加密的电子邮件对该人进行答复。”
错误观念五、防火墙让系统固若金汤
自身安全专家SteveThorurg,是开发半导体联网解决方案的Mindeed科技公司的工程师,他说:“许多人说:‘我们装有防火墙。’但防火墙功能再好,经过它们的IP数据痕迹照样能够被读取。”黑客只要跟踪内含系统网络地址的IP痕迹,就能了解服务器及与它们相连的计算机的详细信息,然后利用这些信息钻网络漏洞的空子。
如此看来,仅有防火墙和加密显然不够。网络管理员不仅要确保自己运行的软件版本最新、最安全,还要时时关注操作系统的漏洞报告,时时密切关注网络,寻找可疑活动的迹象。此外,他们还要对使用网络的最终用户给出明确的指导,劝他们不要安装没有经过测试的新软件,打开电子邮件的可执行附件,访问文件共享站点、运行对等软件,配置自己的远程访问程序和不安全的无线接入点,等等。
Thorurg说,问题在于,愿意投入财力和人力来保持安全的公司寥寥无几。他说:“它们知道这么做不会受欢迎,因为这会降低工作效率。成本是主要的问题,因为这些公司都关注成本底线。”
错误观念六、局域网络的安全屏障不被突破,黑客就无从下手
局域网络一般是指单位或公司组建的局域网。有些IT部门拼命防护企业网络,却不料因为用户把公司的便携式电脑接到家里或者Wi-Fi热点地区等未受保护的网络连接,结果企业网安全遭到危及。黑客甚至可以在热点地区附近未授权的Wi-Fi接入点,诱骗用户登录到网络。一旦恶意用户控制了某台计算机,就可以植入击键记录程序,窃取企业V软件的口令,然后利用窃取的口令随意访问网络。
有时候,单单恐吓要搞破坏也会迫使公司就范,黑客甚至扬言要破坏网站、删除重要文件,或者把幼儿se qing图片放到公司计算机上,从而对受害者进行敲诈。这已有过先例,据说,因黑客扬言要发动拒绝服务攻击敲诈钱财,英国有许多网上赌博站点一直在出钱消灾。
错误观念七、Mac系统安全稳定
1、大家家都知道苹果公司的Mac系统确实在安全性能上较Windows 系统高,这使得许多人认为,自己的Mac系统跟老系统一样,也不容易遭到黑客的攻击。但是大家不要忘记了,许多Mac机运行微软Office等Windows程序,或者与Windows机器联网。这样一来,Mac机同样难免遇到Windows用户面临的漏洞。正如安全专家Cigital公司的CTOGaryMcGraw所说:出现针对Windows和OSX的跨平台病毒“只是迟早的事”。
2、事实上,MacOSX环境也容易受到攻击,即便不是在运行Windows软件。赛门铁克公司最近发布的一份报告发现,00年查明MacOSX存在7种漏洞。该公司警告,这类漏洞可能会日渐成为黑客的目标,特别是因为Mac系统开始日渐流行。譬如在00年0月,黑客编写了名为Opener的一款脚本病毒。该脚本可以让MacOSX防火墙失效、获取个人信息和口令、开后门以便可以远程控制Mac机,此外还可能会删除数据。
