導(dǎo)語：如何才能寫好一篇關(guān)于網(wǎng)絡(luò)詐騙的采訪問題，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

網(wǎng)絡(luò)釣魚(Phishing)一詞，是“Fishing”和“Phone”的綜合體，由于黑客始祖起初是以電話作案，所以用“Ph”來取代“F”，創(chuàng)造了”Phishing”。

“網(wǎng)絡(luò)釣魚”攻擊利用欺騙性的電子郵件和偽造的Web站點(diǎn)來進(jìn)行詐騙活動(dòng)，受騙者往往會(huì)泄露自己的財(cái)務(wù)數(shù)據(jù)，如信用卡號(hào)、賬戶用戶名、口令和社保編號(hào)等內(nèi)容。詐騙者通常會(huì)將自己偽裝成知名銀行、在線零售商和信用卡公司等可信的品牌，在所有接觸詐騙信息的用戶中，有高達(dá)5%的人都會(huì)對(duì)這些騙局做出響應(yīng)。

在美國(guó)和英國(guó)已經(jīng)開始出現(xiàn)專門反網(wǎng)絡(luò)釣魚的組織，越來越多在線企業(yè)、技術(shù)公司、安全機(jī)構(gòu)加入到反“網(wǎng)絡(luò)釣魚”組織的行列，比如微軟、戴爾都宣布設(shè)立專案分析師或推出用戶教育計(jì)劃，微軟還捐出4.6萬美元的軟件，協(xié)助防治“網(wǎng)絡(luò)釣魚”。

用戶自衛(wèi)指南

一、普通消費(fèi)者：

安全專家提示：最好的自我保護(hù)方式是不需要多少技術(shù)的。

1.對(duì)要求重新輸入賬號(hào)信息，否則將停掉信用卡賬號(hào)之類的郵件不予理睬。

2.更重要的是，不要回復(fù)或者點(diǎn)擊郵件的鏈接——如果你想核實(shí)電子郵件的信息，使用電話，而非鼠標(biāo);若想訪問某個(gè)公司的網(wǎng)站，使用瀏覽器直接訪問，而非點(diǎn)擊郵件中的鏈接。

3.留意網(wǎng)址——多數(shù)合法網(wǎng)站的網(wǎng)址相對(duì)較短，通常以.com或者.gov結(jié)尾，仿冒網(wǎng)站的地址通常較長(zhǎng)，只是在其中包括合法的企業(yè)名字(甚至根本不包含)。

4.避免開啟來路不明的電子郵件及文件，安裝殺毒軟件并及時(shí)升級(jí)病毒知識(shí)庫(kù)和操作系統(tǒng)補(bǔ)丁，將敏感信息輸入隱私保護(hù)，打開個(gè)人防火墻。

5.使用網(wǎng)絡(luò)銀行時(shí)，選擇使用網(wǎng)絡(luò)憑證及約定賬戶方式進(jìn)行轉(zhuǎn)賬交易，不要在網(wǎng)吧、公用計(jì)算機(jī)上和不明的地下網(wǎng)站做在線交易或轉(zhuǎn)賬。

6.大部分的“網(wǎng)絡(luò)釣魚”信件是使用英文，除非你在國(guó)外申請(qǐng)?jiān)摲?wù)，不然應(yīng)該都收到中文信件。

7.將可疑軟件轉(zhuǎn)發(fā)給網(wǎng)絡(luò)安全機(jī)構(gòu)。

最后提醒一句，不幸中招者最好盡快更換密碼和取消信用卡。

二、商業(yè)機(jī)構(gòu)

1.為避免被“網(wǎng)絡(luò)釣魚”冒名，最重要的是加大制作網(wǎng)站的難度。具體辦法包括：“不使用彈出式廣告”、“不隱藏地址欄”、“不使用框架”等。這種防范是必不可少的，因?yàn)橐坏┚W(wǎng)站名稱被“網(wǎng)絡(luò)釣魚”者利用的話，企業(yè)也會(huì)被卷進(jìn)去，所以應(yīng)該在泛濫前做好準(zhǔn)備。

2.加強(qiáng)用戶驗(yàn)證手段，提高用戶安全意識(shí)。

3.及時(shí)處理用戶反饋，積極打擊假冒網(wǎng)站和其他相關(guān)的違法行為?？蛻糁行膶?duì)類似“為什么每次登陸都得輸入兩次賬號(hào)和密碼？”之類的投訴，就要想到是否有“網(wǎng)絡(luò)釣魚”的可能，因?yàn)椤熬W(wǎng)絡(luò)釣魚”者通?！敖俪帧钡谝淮螖?shù)據(jù)，而用戶再一次登陸才進(jìn)入了真正的頁(yè)面。

4.當(dāng)然，安裝殺毒軟件和防火墻、及時(shí)升級(jí)、打補(bǔ)丁、加強(qiáng)員工安全意識(shí)、與安全廠商保持密切聯(lián)系等都是必不可少的。

最后也要提醒一句，一旦出現(xiàn)被仿冒的情景，首先企業(yè)應(yīng)該把詐騙網(wǎng)頁(yè)取下來。有些時(shí)候，這并不是一件簡(jiǎn)單、快捷的工作。

步驟1：教育

在美國(guó)《網(wǎng)絡(luò)世界》所做的采訪中，任何一家大型在線企業(yè)都將“對(duì)用戶進(jìn)行適當(dāng)教育”放在應(yīng)對(duì)“網(wǎng)絡(luò)釣魚”舉措之首。花旗銀行在主頁(yè)的底部設(shè)有一個(gè)明顯鏈接，以提醒用戶注意有關(guān)電子郵件詐騙的問題。

何公道說：“網(wǎng)絡(luò)釣魚”也是“愿者上鉤”，之所以不斷發(fā)生，就是人們防范觀念淡薄。如果大家的安全意識(shí)永遠(yuǎn)只停留在現(xiàn)在的話，那么“網(wǎng)絡(luò)釣魚”事件一定會(huì)越來越多。王紅陽(yáng)說：用戶安全意識(shí)的提高能降低“網(wǎng)絡(luò)釣魚”的風(fēng)險(xiǎn)，嚴(yán)格執(zhí)行的安全策略、良好的安全習(xí)慣、安全技術(shù)的提高，可以大幅度減少“網(wǎng)絡(luò)釣魚”成功的幾率。

但是記者在完成這篇稿子之前，瀏覽了不少國(guó)內(nèi)商業(yè)網(wǎng)站，并沒有發(fā)現(xiàn)關(guān)于“網(wǎng)絡(luò)釣魚”甚至是關(guān)于安全方面的顯著提示，當(dāng)然也沒有看到一些驗(yàn)證手段。

在美國(guó)和英國(guó)已經(jīng)開始出現(xiàn)專門反網(wǎng)絡(luò)釣魚的組織，比如去年11月成立的APWG和今年6月成立的“Trusted Electronic Communications Forum(TECF)”，它們致力于教育用戶的目的是終止——至少是降低“網(wǎng)絡(luò)釣魚”的攻擊。

步驟2：驗(yàn)證

除了教育外，在線品牌還應(yīng)當(dāng)通過簡(jiǎn)單、易用的方式對(duì)合法的電子郵件進(jìn)行驗(yàn)證。常被人冒充的eBay發(fā)出警告稱，即使發(fā)信人寫的是“support@ebay.com”和“billing@ebay.com”等內(nèi)容，也不見得就是來自eBay的郵件。

因?yàn)椤熬W(wǎng)絡(luò)釣魚”也是一種垃圾郵件，所以人們可以運(yùn)用相同的垃圾郵件處理工具對(duì)網(wǎng)頁(yè)和電子郵件進(jìn)行過濾。趨勢(shì)科技將推出IWSS 2.0，包含名為PhishTrap的反釣魚技術(shù)，利用詐編網(wǎng)站特征數(shù)據(jù)庫(kù)來過濾電子郵件。

此外，銀行在發(fā)出的電子郵件里啟用了數(shù)位電子簽名，現(xiàn)在技術(shù)的發(fā)展，讓“驗(yàn)明正身”更加簡(jiǎn)單，一旦網(wǎng)絡(luò)釣魚者試圖偽造一個(gè)數(shù)字簽名，收件人就會(huì)收到一條警告信息。當(dāng)然，用戶必須學(xué)會(huì)識(shí)別電子簽名。

遠(yuǎn)期的全球驗(yàn)證項(xiàng)目包括發(fā)送者策略框架(Sender Policy Framework)、Yahoo DomainKeys建議和微軟的Caller-ID。但是，這些方法要想完善起來尚需時(shí)日，而且需要得到在線企業(yè)的100%完全認(rèn)同。

步驟3：確認(rèn)

Web站點(diǎn)也需要利用某些確認(rèn)機(jī)制來證明自己的合法性。因此，專業(yè)身份確認(rèn)企業(yè)CoreStreet最近在其Web站點(diǎn)上貼出一種被稱為Spoofstick的免費(fèi)瀏覽器助手。當(dāng)用戶在合法的站點(diǎn)，請(qǐng)注意在URL框的下方會(huì)出現(xiàn)一個(gè)明顯的注釋，并顯示“You’re on ebay.com。”如果用戶被騙到了一個(gè)偽造的站點(diǎn)，該注釋便會(huì)顯示“You’re on 10.19.32.4。”

eBay已經(jīng)為它的工具欄添加了一項(xiàng)新的服務(wù)，稱為賬戶保鏢。這項(xiàng)服務(wù)可以告訴用戶是否處于eBay和PayPal的合法站點(diǎn)上。如果當(dāng)用戶將eBay的口令輸入到未經(jīng)確認(rèn)的網(wǎng)站上時(shí)，eBay還會(huì)進(jìn)一步向用戶發(fā)出警告信。

步驟4：阻斷

有些ISP還可以阻止用戶被引導(dǎo)到名聲不好的Web站點(diǎn)上。例如，當(dāng)AOL的客戶報(bào)告自己收到了垃圾郵件，那么包含在這封垃圾郵件中的鏈接都將被添加到一個(gè)受阻站點(diǎn)列表中。當(dāng)用戶點(diǎn)擊這些鏈接，它們顯示出的都是錯(cuò)誤頁(yè)面。但這一技術(shù)也有可能阻斷那些提供真正商業(yè)服務(wù)的合法鏈接。

美國(guó)EarthLink于4月19日推出了具有防止“網(wǎng)絡(luò)釣魚”功能的工具條，當(dāng)用戶試圖訪問確認(rèn)的詐騙網(wǎng)站，該工具條將會(huì)發(fā)出警告，并且將用戶重定向到EarthLink公司的WWW網(wǎng)頁(yè)。而以防堵網(wǎng)站存取起家的Websense，也將“網(wǎng)絡(luò)釣魚”或惡意網(wǎng)站列入防堵項(xiàng)目之一。

步驟5：監(jiān)視

EarthLink還使用一種服務(wù)。當(dāng)有人注冊(cè)與自己公司類似的品牌時(shí)，該服務(wù)便會(huì)發(fā)出警告。目的是確認(rèn)該網(wǎng)站是否會(huì)通過‘網(wǎng)絡(luò)釣魚’的方式冒充EarthLink?！?/p>

美國(guó)萬事達(dá)國(guó)際信用卡公司和NameProtect公司6月21日宣布為打擊“網(wǎng)絡(luò)釣魚”建立合作關(guān)系，利用NameProtect實(shí)時(shí)檢測(cè)網(wǎng)上犯罪的技術(shù)，監(jiān)視域名、Web網(wǎng)頁(yè)、公告板以及垃圾郵件等。監(jiān)視可以使受害者的數(shù)量大幅度減少。

手段：威逼利誘

“網(wǎng)絡(luò)釣魚”利用欺騙性的電子郵件和偽造的Web站點(diǎn)來進(jìn)行詐騙活動(dòng)，受騙者往往會(huì)泄露自己的財(cái)務(wù)數(shù)據(jù)，如信用卡號(hào)、賬戶用戶名、口令和社保編號(hào)等內(nèi)容。

“網(wǎng)絡(luò)釣魚”的主要伎倆在于仿冒某些公司的網(wǎng)站或電子郵件，然后對(duì)其中的程序代碼動(dòng)手腳，如果使用者信以為真地按其鏈接和要求填入個(gè)人重要資料，資料將被傳送到詐騙者手中。

趨勢(shì)科技“PhishTrap(反網(wǎng)絡(luò)釣魚陷阱)”成員Richard_Cheng解釋說：“當(dāng)這些網(wǎng)絡(luò)詐騙者將餌(電子郵件)撒到互聯(lián)網(wǎng)之后，就靜待受騙者上鉤。”根據(jù)Gartner的統(tǒng)計(jì)，由于詐騙者通常會(huì)將自己偽裝成知名銀行、在線零售商和信用卡公司等可信的品牌，所以在所有接觸詐騙信息的用戶中，有高達(dá)5%的人都會(huì)對(duì)這些騙局作出響應(yīng)。

詐騙者通常采用“威逼利誘”手段制造出各種名目的“主題”。比如最早引起廣泛關(guān)注的“網(wǎng)絡(luò)釣魚”事件，是去年11月出現(xiàn)的Mimail.J病毒，偽裝成由Paypal網(wǎng)站寄出的信息，表示收件者的賬戶將在5個(gè)工作日后失效，要求用戶更新個(gè)人信息，才能重新啟動(dòng)賬戶。再比如7月20日，一惡意網(wǎng)站偽裝成聯(lián)想主頁(yè)，前者將數(shù)字1取代英文字母L，利用多種IE漏洞種植木馬病毒，并散布“聯(lián)想集團(tuán)和騰訊公司聯(lián)合贈(zèng)送QQ幣”的虛假消息，誘使更多用戶訪問該網(wǎng)站時(shí)造成感染。

現(xiàn)狀：上鉤者眾

最近一年以來，“網(wǎng)絡(luò)釣魚”在美、英等國(guó)家變得非常猖獗，數(shù)量急劇攀升。據(jù)Gartner公司最近的一項(xiàng)調(diào)查表明，有5700萬美國(guó)消費(fèi)者收到過此類仿冒的電子郵件，由此引起的ID欺詐盜竊給美國(guó)銀行與信用卡公司的用戶造成的直接損失在去年達(dá)到了12億美元。

垃圾郵件過濾公司Brightmail的數(shù)據(jù)表明，過去9個(gè)月中，全球Phishing郵件總量增長(zhǎng)迅猛，于今年4月達(dá)到31億封。據(jù)英國(guó)安全機(jī)構(gòu)MI2G報(bào)告，去年，有250多起針對(duì)主要銀行、信用卡公司、電子商務(wù)站點(diǎn)以及政府機(jī)構(gòu)的“網(wǎng)絡(luò)釣魚”攻擊。

根據(jù)反網(wǎng)絡(luò)釣魚組織APWG(Anti-Phishing Working Group)最新統(tǒng)計(jì)指出，約有70.8%的網(wǎng)絡(luò)欺詐是針對(duì)金融機(jī)構(gòu)而來，而最常被仿冒的前三家公司為：Citibank(花旗銀行)、eBay和Paypal。

后果：誠(chéng)信危機(jī)

Gartner公司高級(jí)副總裁和研究董事Litan說：“金融機(jī)構(gòu)、互聯(lián)網(wǎng)服務(wù)提供商和其他服務(wù)商必須嚴(yán)肅地解決‘網(wǎng)絡(luò)釣魚’問題，如果不能極大地減少這種誘餌攻擊，那么消費(fèi)者對(duì)在線交易的信任感將會(huì)逐漸被侵蝕，最終所有網(wǎng)絡(luò)交易的參加者都會(huì)受到傷害?！?/p>

APWG主席David Jevans表示：“這些攻擊正在破壞整個(gè)電子商務(wù)系統(tǒng)—我們經(jīng)營(yíng)方式的信用。”的確，eBay和其他幾十家已遭“網(wǎng)絡(luò)釣魚”多次攻擊的公司擔(dān)心：它不僅損害了業(yè)務(wù)，而且對(duì)客戶、對(duì)電子商務(wù)的信心提出了極大挑戰(zhàn)。

“網(wǎng)絡(luò)釣魚”已經(jīng)開始顯現(xiàn)出其巨大的破壞力。根據(jù)Pew Internet Life的調(diào)查，消費(fèi)者對(duì)電子郵件的信心已經(jīng)降到了有史以來的最低點(diǎn)。Cyota最近針對(duì)在線銀行賬戶持有者的一項(xiàng)調(diào)查表明，74%的被調(diào)查者表示，由于此項(xiàng)威脅，自己不太可能對(duì)來自銀行的電子郵件做出回復(fù)，而且進(jìn)行在線購(gòu)物的可能性降低了。這意味著，一些合法商業(yè)機(jī)構(gòu)如果無法阻止其品牌被欺騙活動(dòng)繼續(xù)利用，其在線渠道將可能部分或者徹底失去。

當(dāng)然受損的還有商業(yè)機(jī)構(gòu)的品牌。MI2G執(zhí)行總裁DK Matai指出：“雖然在很多情況下，品牌所有者并沒有錯(cuò)，但這些在線品牌應(yīng)當(dāng)具備足夠的能力，并用更多的心思來防止消費(fèi)者犯錯(cuò)誤。”APWG旗下一個(gè)企業(yè)成員因“網(wǎng)絡(luò)釣魚”遭到客戶起訴，理由是沒有履行相應(yīng)責(zé)任。

除了信任，“網(wǎng)絡(luò)釣魚”也會(huì)給企業(yè)和個(gè)人帶來一些更直接的損失。如果詐騙者釣到用戶的信用卡賬戶信息，無論對(duì)于持卡者還是銷售商都面臨著風(fēng)險(xiǎn)。另外，為每個(gè)用戶發(fā)行新的信用卡、賬號(hào)和密碼大約需要50多美元，如果是大量客戶被釣，成本也是非常驚人的。

警惕：真?zhèn)坞y辨

這些欺騙性的電子郵件和Web站點(diǎn)，正看起來越來越“完美”，也越來越“可信”。

信息加密公司PostX首席技術(shù)官Cayce Ullman說：“我們遇到一個(gè)利用eBay品牌進(jìn)行詐騙的‘網(wǎng)絡(luò)釣魚’者，我用了整整25分鐘才確定他是真正的騙子。連我們也很難分清真假，那我們的消費(fèi)者又如何來區(qū)分呢？”其中最令安全專家憂心的是，“網(wǎng)絡(luò)釣魚”者使用javascript將瀏覽器網(wǎng)址所顯示的地址換掉，讓呈現(xiàn)出來的網(wǎng)址與假冒公司的官方網(wǎng)址完全相同。

綠盟科技專業(yè)服務(wù)部總監(jiān)王紅陽(yáng)說：“瀏覽器自身的脆弱性也在一定程度上增加了迷惑性?！彼ㄗh，用戶可以使用其他的瀏覽器來降低風(fēng)險(xiǎn)。

篇2

信息社會(huì)　安全基石

從互聯(lián)網(wǎng)的前身――阿帕網(wǎng)(APPANet)的建立，到目前全球數(shù)以億計(jì)的上網(wǎng)用戶；從美國(guó)政府于上個(gè)世紀(jì)90年代提出的“國(guó)家信息基礎(chǔ)設(shè)施”(建設(shè)信息高速公路)計(jì)劃，到以互聯(lián)網(wǎng)為核心的綜合化信息服務(wù)體系和信息技術(shù)在全世界各領(lǐng)域的廣泛應(yīng)用；從1971年第一封以@為標(biāo)志的電子郵件的發(fā)出，到現(xiàn)在全球每天360億封的電子郵件往來。當(dāng)今世界的政治、軍事、經(jīng)濟(jì)、文化等各個(gè)方面都已經(jīng)離不開信息技術(shù)的強(qiáng)力支撐，以互聯(lián)網(wǎng)興起為重要標(biāo)志的現(xiàn)代信息化社會(huì)已經(jīng)建立。

隨著社會(huì)的發(fā)展和穩(wěn)定對(duì)信息的依賴性越來越強(qiáng)，始終伴隨著信息化的信息安全問題在最近幾年迅猛放大，已經(jīng)成為抑制全球信息化進(jìn)程發(fā)展的重大障礙。

從無傷大雅的惡作劇腳本，到造成幾十億美元的蠕蟲病毒，從以信息共享為名的盜版軟件，到如今泛濫成災(zāi)的流氓軟件，信息安全已經(jīng)從神秘的黑客世界走入到每一個(gè)計(jì)算機(jī)用戶的面前。如何正確、有效判別這些潛在的信息風(fēng)險(xiǎn)，關(guān)系到當(dāng)今社會(huì)信息化發(fā)展的大計(jì)。

不可避免的安全危脅

寫一段沒有任何運(yùn)行錯(cuò)誤的程序代碼對(duì)于一個(gè)程序員來說很容易，但要寫出一段沒有任何安全問題的程序代碼似乎就有些困難了。是程序員的安全素質(zhì)不夠，問題出在程序員身上么?要知道，即使是那些專職安全防護(hù)的軟件產(chǎn)品也經(jīng)常會(huì)曝出各種各樣的漏洞，這早已不是什么新鮮的事情。

計(jì)算機(jī)世界的霸主微軟公司的程序員可都是一流的精英，先不說過去Windows、Office系統(tǒng)中至今還補(bǔ)不過來的千瘡百孔，往前看其新一代的號(hào)稱最安全的操作系統(tǒng)Vista，公開的Bug已達(dá)2萬個(gè)，問題代碼更是多達(dá)幾十萬行，發(fā)行日期一拖再拖。也許這主要是因?yàn)檫^于龐大的系統(tǒng)結(jié)構(gòu)和功能造成的，可在一個(gè)0和1的數(shù)字世界里，復(fù)雜才意味著技術(shù)的前進(jìn)、使用的便利、功能的強(qiáng)大，如今許多人早已明白：沒有任何問題的代碼只能是沒有任何功能的代碼。

除了程序代碼設(shè)計(jì)本身的問題，安全漏洞還存在于通訊協(xié)議、網(wǎng)絡(luò)架構(gòu)、交互中國(guó)家信息中心信息安全研究與服務(wù)中心李少鵬模式、電子輻射、信號(hào)外泄，甚至是用戶安全操作和安全意識(shí)等其他與信息交流有關(guān)的任何問題中?？梢哉f安全威脅來自于四面八方，漏洞也不可避免，而只要漏洞存在，那么威脅永遠(yuǎn)存在。

觸目驚心的安全事件

2004年10月至2005年1月，某企業(yè)職工利用后門程序操縱了互聯(lián)網(wǎng)上超過6萬臺(tái)的電腦主機(jī)連續(xù)攻擊北京某音樂網(wǎng)站，致使該公司蒙受重大經(jīng)濟(jì)損失，這是我國(guó)首例如此大規(guī)模的“僵尸網(wǎng)絡(luò)”攻擊案；

2005年4月11日，全國(guó)超過二十個(gè)城市的互聯(lián)網(wǎng)出現(xiàn)群發(fā)性故障；同年7月12日，北京20萬ADSL用戶斷網(wǎng)；

2005年10月，網(wǎng)易計(jì)算機(jī)系統(tǒng)公司發(fā)現(xiàn)與北京市網(wǎng)通合作項(xiàng)目中，價(jià)值10元一張的網(wǎng)易一卡通虛擬游戲點(diǎn)卡被盜15．5萬張，總價(jià)值155萬余元；

2006年2月“全國(guó)最大網(wǎng)上盜竊通訊資費(fèi)案”在北京開庭審理。某資深軟件研發(fā)工程師被控利用工作之便侵入北京移動(dòng)公司充值中心數(shù)據(jù)庫(kù)，盜竊了價(jià)值38071元的充值卡密碼……

公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局主持的2006年全國(guó)信息網(wǎng)絡(luò)安全狀況與計(jì)算機(jī)病毒疫情調(diào)查報(bào)告中顯示，在被調(diào)查的一萬三千多家單位中，54％的被調(diào)查單位發(fā)生過信息網(wǎng)絡(luò)安全事件。

同時(shí)，最近兩年幾乎染及所有計(jì)算機(jī)和計(jì)算機(jī)用戶的網(wǎng)絡(luò)釣魚、流氓軟件、垃圾郵件狂潮一輪又一輪的充斥著互聯(lián)網(wǎng)。據(jù)國(guó)外的一份調(diào)查統(tǒng)計(jì)顯示，89％的個(gè)人電腦平均感染過30種間諜軟件。公安部在2005年聲稱中國(guó)的網(wǎng)絡(luò)釣魚網(wǎng)站占全球釣魚網(wǎng)站的13％，名列全球第二位，而僅在2004年，公安部偵破的網(wǎng)絡(luò)詐騙案件就達(dá)1350起。對(duì)此，國(guó)家反計(jì)算入侵和防病毒研究中心在公安部網(wǎng)監(jiān)局的支持和指導(dǎo)下，發(fā)起成立公益性的“中反網(wǎng)絡(luò)釣魚聯(lián)盟”。今年8月，廣東首次公開處罰垃圾郵件發(fā)送者，這也是國(guó)內(nèi)依據(jù)《互聯(lián)網(wǎng)電子郵件服務(wù)管理辦法》第一次公開處罰垃圾電子郵件的發(fā)送者。

安全法規(guī)需進(jìn)一步完善

從1989年《中華人民共和國(guó)保守國(guó)家秘密法》伊始，到2005年《電子簽名法》的實(shí)施，我國(guó)目前現(xiàn)行的與信息安全直接相關(guān)的法律、規(guī)章和制度有65部，“涉及網(wǎng)絡(luò)與信息系統(tǒng)安全、信息內(nèi)容安全、信息安全系統(tǒng)與產(chǎn)品、保密及密碼管理、計(jì)算機(jī)病毒與危害性程序防治、金融等特定領(lǐng)域的信息安全、信息安全犯罪制裁等多個(gè)領(lǐng)域”，可以說已經(jīng)初步形成了一定的法規(guī)體系。尤其是在2003年《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)［2003］27號(hào))通過后，電子認(rèn)證、電子政務(wù)、等級(jí)保護(hù)、商用密碼以及銀行、證券等金融行業(yè)等法規(guī)和管理辦法相繼出臺(tái)，不僅規(guī)范了信息安全市場(chǎng)，還對(duì)電子商務(wù)的發(fā)展、網(wǎng)絡(luò)經(jīng)濟(jì)的正常運(yùn)轉(zhuǎn)到了意義深遠(yuǎn)的保障作用，同時(shí)也是對(duì)“信息安全上升為國(guó)家安全”的這一宏觀政策指引的響應(yīng)。

盡管如此，現(xiàn)行的信息安全方面的法規(guī)、標(biāo)準(zhǔn)體系仍然需要進(jìn)一步完善與成熟。截至目前，我國(guó)還沒有一部嚴(yán)格意義上基于信息安全的基本法，同時(shí)這為信息安全標(biāo)準(zhǔn)與政策的制定與落實(shí)帶來了一定的難度。

層出不窮的攻擊手段

目前流行的攻擊手段有很多，除了病毒、蠕蟲、口令破解等傳統(tǒng)方法，木馬、網(wǎng)絡(luò)釣魚、SQL注入等較為新型的攻擊方法，其攻擊范圍也在不斷擴(kuò)大。但相應(yīng)的防范技術(shù)和知識(shí)已經(jīng)比較普及，應(yīng)對(duì)起來容易些。值得特別注意的是以下三種攻擊形式，分布式拒絕服務(wù)攻擊、零日攻擊和社會(huì)工程學(xué)攻擊。

分布式拒絕服務(wù)攻擊至今還沒有特別有效的防范方法，其具備攻擊方法簡(jiǎn)單和攻擊源無法確定的特點(diǎn)，上文中音樂網(wǎng)站被攻擊的案件就是一個(gè)典型的例子。這種攻擊的難點(diǎn)在于組建大量的傀儡主機(jī)――“僵尸網(wǎng)絡(luò)”，通常借助即使通訊工具或電子郵件來植入木馬，并通過新的系統(tǒng)漏洞的出現(xiàn)而達(dá)到頂峰。

零日攻擊則是利用尚未公開或未發(fā)行補(bǔ)丁的漏洞實(shí)施攻擊，這種攻擊最為致命和可怕，因?yàn)槿魏稳硕己茈y對(duì)未知的情況做出正確的反應(yīng)，此種攻擊成功率高、隱蔽性強(qiáng)，往往針對(duì)某個(gè)既定目標(biāo)，是今后安全防范工作的最大隱患之一。

最后一種是社會(huì)工程學(xué)，實(shí)際上它是一種非技術(shù)手段的攻擊，它的直接攻擊對(duì)象不是數(shù)據(jù)庫(kù)也不是防火墻，而是能夠出入這些敏感地帶的人。技術(shù)再高也是由人來操作的，安全防范做得再好，得到授權(quán)的人也是可以出入的。世界著名黑客凱文?米特尼克在《欺騙的藝術(shù)》一書中寫到：“安全不是技術(shù)問題，它是人和管理的問題……”，“由于開發(fā)商不斷的創(chuàng)造出更好的安全科技產(chǎn)品，攻擊者利用技術(shù)上的漏洞變得越來越困難……”，“精干的技術(shù)專家辛辛苦苦地 設(shè)計(jì)出安全解決方案來最小化使用計(jì)算機(jī)的風(fēng)險(xiǎn)，然而卻沒有解決最大的漏洞――人為因素?！币虼?，在如今信息安全技術(shù)已經(jīng)趨于成熟的環(huán)境下，正確的安全防范意識(shí)無比重要。

目前，仍然還有許多人普遍缺乏安全意識(shí)。政府網(wǎng)站頻頻被黑、網(wǎng)上銀行客戶資金被盜、網(wǎng)上交易遭遇詐騙……，這樣的安全事件幾乎天天都在發(fā)生，其關(guān)健原因在于安全管理和意識(shí)的匱乏。對(duì)于被動(dòng)的防范來說，意識(shí)要重于技術(shù)，甚至?xí)郊夹g(shù)。

安全技術(shù)任重道遠(yuǎn)

廣義上的信息安全包括了眾多內(nèi)容，信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室馮登國(guó)教授曾在今年的“十一五”信息安全發(fā)展趨勢(shì)論壇上講到抽象化、可信化、網(wǎng)絡(luò)化、標(biāo)準(zhǔn)化和集成化，是信息安全技術(shù)發(fā)展的重要趨勢(shì)。目前主流安全技術(shù)不外幾種。

主動(dòng)防御

雖然瑞星、金山、江民三大反病毒廠商在今年先后發(fā)出推出主動(dòng)防御產(chǎn)品的聲音。但實(shí)質(zhì)上，目前的主流產(chǎn)品還是在遵循“病毒產(chǎn)生――研究特征碼――升級(jí)病毒庫(kù)”的老路子。主動(dòng)防御技術(shù)如何避免大量的提示和誤報(bào)是主動(dòng)防御產(chǎn)品是否能真正走向市場(chǎng)的關(guān)鍵性問題。

生物識(shí)別

從用戶名加口令到加密鎖，再?gòu)腢SB令牌到指紋、聲紋、虹膜等生物識(shí)別。即使身份認(rèn)證已經(jīng)有了高級(jí)的尖端技術(shù)，可目前最為廣泛應(yīng)用的還是最初的用戶名加口令身份認(rèn)證技術(shù)，簡(jiǎn)單易用，且能夠保障基本的安全需求。但不可否認(rèn)，生物識(shí)別技術(shù)以其無可替代的識(shí)別優(yōu)勢(shì)必然隨著成本的降低、需求的加大走向普及。

可信計(jì)算

嚴(yán)格的說，可信計(jì)算并不能算一項(xiàng)新興技術(shù)，早在2002年沈昌祥院士開始在國(guó)內(nèi)提倡可信計(jì)算。雖然經(jīng)過了2004年的熱點(diǎn)后，國(guó)家將其列入“十一五”規(guī)劃重點(diǎn)支持項(xiàng)目，相關(guān)企業(yè)也成功的生產(chǎn)出TPM的安全芯片，但中國(guó)的可信計(jì)算是否能與國(guó)際標(biāo)準(zhǔn)接軌、龐大的可信計(jì)算體系涵蓋內(nèi)容之間是否能有序協(xié)調(diào)仍是一個(gè)未知的難題。

災(zāi)難恢復(fù)

實(shí)際上，災(zāi)難恢復(fù)主要不是技術(shù)問題，而是管理和實(shí)施問題。它的重要性隨著對(duì)國(guó)民經(jīng)濟(jì)具有重要支撐作用的大型企事業(yè)單位以及政府部門對(duì)信息化日益增長(zhǎng)的依賴性而凸現(xiàn)出來。近年來，銀行、電信，海關(guān)、稅務(wù)、民航等部門已經(jīng)建立起自己的災(zāi)備中心。國(guó)務(wù)院信息化工作辦公室2005年出臺(tái)的《重要信息系統(tǒng)災(zāi)難恢復(fù)指南》為我國(guó)整個(gè)信息安全保障綜合體系的最后一環(huán)――災(zāi)難恢復(fù)的管理和實(shí)施帶來了強(qiáng)有力的促進(jìn)和重大指導(dǎo)作用。

理論篇>>>

思索信息安全：內(nèi)涵與外延

江常青

要談?wù)撔畔⒓夹g(shù)發(fā)展的趨勢(shì)和信息安全面臨內(nèi)外部環(huán)境的變化，就像一個(gè)一直在匆匆行路的人，突然要停一下，觀看周圍環(huán)境，預(yù)估和展望前面的道路。但是要想象前方，恐怕先要回頭看看走過的路，因?yàn)橛袃煞N可能：一種是走出來的路，過去和現(xiàn)在影響著未來；二種的情況是，也許路一直在前方，變化的則是我們的認(rèn)識(shí)和行為。無論怎樣，“時(shí)而思”比不思則罔更有益。

信息安全的歷史有多久?五年，五十年，還是五千年?都可以。

目前，國(guó)家、企業(yè)和個(gè)人開始認(rèn)識(shí)并重視信息化所帶來的安全風(fēng)險(xiǎn)問題，以及國(guó)內(nèi)出現(xiàn)專門的信息安全從業(yè)人員，僅有5―10年；而以現(xiàn)代計(jì)算機(jī)的發(fā)展與應(yīng)用算起，信息技術(shù)滲入現(xiàn)在社會(huì)生活帶來的信息安全問題，這段歷史達(dá)到了50年；其實(shí)，自從人類文明伊始，文化和信息的使用開始就存在信息安全問題，這是5000年的歷史。但是，歷史從來沒有象今天這樣迫使我們必須去思考和面對(duì)信息安全的問題，因?yàn)楫?dāng)今是高度信息化的社會(huì)。我們生活在一個(gè)信息世界中，信息安全問題關(guān)系到每個(gè)人、家庭和社會(huì)各個(gè)組織機(jī)構(gòu)。

從辨證學(xué)角度來說，變是絕對(duì)的，也是相對(duì)的。在5～5000年這個(gè)“漫長(zhǎng)”的尺度上，信息安全領(lǐng)域有的在變，而且變化很大；有些東西也許并沒有多大的進(jìn)展和變化。處理信息的設(shè)施在技術(shù)發(fā)展中變化著，解決信息安全的具體技術(shù)措施和手段也隨著發(fā)展，信息安全的內(nèi)涵也不斷延伸，但有關(guān)信息安全的一些關(guān)鍵和核心的問題并沒有得到探討與思考。

“誰的”信息安全?

信息安全自身沒有價(jià)值和意義，它對(duì)于信息和信息系統(tǒng)所有者、管理者、使用者、監(jiān)管者才有意義。因此，同樣一個(gè)信息及其系統(tǒng)對(duì)于不同的人、組織甚至國(guó)家的意義是不同的，因?yàn)槠浒踩哪繕?biāo)和需求是不同的。比如說，某商業(yè)銀行的信息系統(tǒng)，對(duì)于銀行自身、銀行監(jiān)管部門，以及政府來說，安全價(jià)值與意義有著根本的區(qū)別。作為企業(yè)的銀行，其安全核心是保障組織機(jī)構(gòu)的正常運(yùn)行和獲得商業(yè)利益的能力；作為行業(yè)管理部門是金融安全風(fēng)險(xiǎn)的一個(gè)組成部分；從國(guó)家和政府部門來說它是事關(guān)國(guó)計(jì)民生的重要信息系統(tǒng)，它的安全影響社會(huì)。

“什么的”安全?

從歷史發(fā)展看，信息安全逐步從信息傳輸?shù)陌踩?，發(fā)展到信息產(chǎn)生，傳輸、處理、存儲(chǔ)等整個(gè)生命周期的安全。同時(shí)，信息安全也從單純的指信息數(shù)據(jù)的保密安全，擴(kuò)展到支撐信息流動(dòng)的軟硬件、載體的IT安全。在新一代信息技術(shù)大規(guī)模普及的今天，信息安全還包括信息的使用安全，信息內(nèi)容的安全與信息及信息系統(tǒng)互動(dòng)的人的安全等方面。

因此，信息安全不是孤立的。當(dāng)我們談?wù)摪踩珪r(shí)，一定是指特定對(duì)象的安全，同時(shí)要強(qiáng)調(diào)這個(gè)特定的對(duì)象是對(duì)于誰而言，言論中的安全必須在明確的上下文環(huán)境之中，否則就失去意義和準(zhǔn)確性。

安全是什么?

安全是一種或多種性質(zhì)或?qū)傩詥?它和色彩，質(zhì)量是對(duì)象的屬性類似嗎?這個(gè)問題很難回答。假設(shè)安全是“屬性”，安全信息安全經(jīng)典定義中的保密性、完整性、可用性。這三性都是以否定語句來定義的。要證明一個(gè)肯定的性質(zhì)存在比較容易，找到它即可。要證明“不被修改”等類似否定語句的性質(zhì)比較困難。此外，要證明信息或系統(tǒng)同時(shí)滿足三個(gè)性質(zhì)更為困難，因?yàn)檫@些安全性質(zhì)是動(dòng)態(tài)變化，它會(huì)隨著外部對(duì)手和系統(tǒng)內(nèi)部自身變化而變化，也就是常說的今天的安全難以保證明天的安全。因此，很有必要反思安全作為性質(zhì)是否妥當(dāng)。近年來，從風(fēng)險(xiǎn)角度來重新定義安全的趨勢(shì)十分明顯，將安全定義為風(fēng)險(xiǎn)可控可管理的過程。這樣一來，安全就不是系統(tǒng)自身的性質(zhì)了，轉(zhuǎn)化為對(duì)抗風(fēng)險(xiǎn)的保障能力。安全保障能力由技術(shù)、管理、人等措施來構(gòu)建起來，安全亦被風(fēng)險(xiǎn)和保障兩個(gè)概念所取代，隱身在后面。安全與否不再是去尋找這些性質(zhì)存在與否，而是去計(jì)算保障是否大于對(duì)應(yīng)風(fēng)險(xiǎn)。如果是，就是安全。這種重新定義的安全將不再是性質(zhì)，而是個(gè)過程和目標(biāo)，通過過程去達(dá)到目標(biāo)，而目標(biāo)反映了信息安全在上下文環(huán)境定要求。

這些探討和思考能否達(dá)到我們理解信息安全的本質(zhì)，筆者不得而知，但是這是一個(gè)探索的過程。在信息技術(shù)層面上，在我們實(shí)際可以設(shè)計(jì)實(shí)現(xiàn)的信息處理技術(shù)的進(jìn)展中，可以看到未來信息安全技術(shù)的發(fā) 展趨勢(shì)：

軟件安全

軟件是構(gòu)建信息世界和社會(huì)的核心部件，安全問題的產(chǎn)生很大程度上來源它的不安全、不可靠，如何提高軟件的安全性將會(huì)是個(gè)重點(diǎn)，有理由相信，隨著軟件形式化、自動(dòng)化的提高，其安全性會(huì)快速的提高。

安全度量

有人說，不可度量的不是科學(xué)，信息安全正處于這樣的境地。確實(shí)，目前我們還無法在信息安全領(lǐng)域找到類似物理世界的度量，如時(shí)間量、空間量、質(zhì)量等，也沒有類似比特的信息量，因此信息安全要成為科學(xué)還有很長(zhǎng)的路要走。但盡管如此，我們已逐漸找到一些度量，它對(duì)提高安全是有好處的，比如安全功能強(qiáng)度，人力的部署和能力提升，過程控制的環(huán)節(jié)等等。

信息流控制

除了人、管理、網(wǎng)絡(luò)系統(tǒng)外，信息安全的核心問題還是保證數(shù)據(jù)和信息的安全。信息流如何開放的網(wǎng)絡(luò)系統(tǒng)環(huán)境中，如何在不可信、不安全的環(huán)境中構(gòu)建可信的信息流動(dòng)和控制機(jī)制是必須要解決的問題。因?yàn)閿?shù)據(jù)和信息不可能像物理世界中永遠(yuǎn)被隔離和鎖在保密柜中，它必須給該看到的人看到，就和貨幣要流通一樣，安全必須找到自身的動(dòng)態(tài)價(jià)值。

抗攻擊技術(shù)

由于對(duì)手一直存在，破壞安全的外部因素不會(huì)消失。安全事故和事件時(shí)時(shí)都會(huì)產(chǎn)生，如何提高信息和系統(tǒng)抗攻擊以及受攻擊后降低損失的技術(shù)十分重要，以防范為主的安全技術(shù)將被抗攻擊技術(shù)將逐步取代。

內(nèi)部安全

安全技術(shù)也將從防范外部威脅為主，轉(zhuǎn)換到關(guān)注內(nèi)部威脅為，構(gòu)建內(nèi)控技術(shù)和管理體系將會(huì)成為最熱的市場(chǎng)機(jī)遇。在這里，與業(yè)務(wù)邏輯和網(wǎng)絡(luò)行為相關(guān)安全分析成為技術(shù)難點(diǎn)。發(fā)展篇>>>

發(fā)展篇>>>

內(nèi)外之道把脈“新安全”

吳錫源

當(dāng)前，大多數(shù)企業(yè)的信息安全機(jī)制不堪一擊。具體來說，這些企業(yè)的安全措施所提供的防護(hù)級(jí)別難以應(yīng)對(duì)它們所承受的實(shí)際風(fēng)險(xiǎn)。事實(shí)勝于雄辯：雖然各個(gè)企業(yè)已竭盡所能采取相應(yīng)防護(hù)措施，但是它們?nèi)匀活l繁受到攻擊。據(jù)可靠數(shù)據(jù)統(tǒng)計(jì)：僅2005年，大約三分之二的企業(yè)至少發(fā)生一次安全事故，而半數(shù)以上的企業(yè)則至少發(fā)生三次安全事故。

面臨挑戰(zhàn)的安全管理

目前的主要問題在于，大多數(shù)企業(yè)只是采用側(cè)重邊界的高度反應(yīng)性防御措施，因此無法與當(dāng)前日新月異的威脅趨勢(shì)保持同步。新威脅層出不窮，并以前所未有的速度和效率進(jìn)行傳播，在許多情況下必然會(huì)導(dǎo)致混亂局面比比皆是。不僅如此，可用于(或至少所分配用于)改善這種局面的資金也相對(duì)較少。實(shí)際上，Ernst&Young的《2005年全球信息安全調(diào)查》顯示，各個(gè)企業(yè)將其安全預(yù)算的50％用于“日常操作和事故響應(yīng)”，僅將17％的預(yù)算用于完成“更關(guān)鍵的戰(zhàn)略項(xiàng)目”。

顯而易見，企業(yè)需要采用更為完善的解決方案才能針對(duì)當(dāng)前的攻擊進(jìn)行自我防護(hù)。因此，企業(yè)所需要的威脅管理解決方案具有以下特點(diǎn)：主動(dòng)――能夠防御未知威脅；全面――能夠?qū)⑺衅髽I(yè)內(nèi)外的攻擊源頭阻擋在外；高效――非常經(jīng)濟(jì)實(shí)惠的選擇。

在企業(yè)努力部署有效威脅管理解決方案的過程中，威脅趨勢(shì)的日新月異、符合法規(guī)要求的需要以及對(duì)反應(yīng)性對(duì)策的過度依賴對(duì)于它們面臨的重重挑戰(zhàn)來說只是鳳毛麟角。

把脈新“安全”

傳播速度相對(duì)較慢的基于文件的病毒和群發(fā)郵件蠕蟲仍然屢見不鮮。實(shí)際上，在2005年上半年，這類威脅在向賽門鐵克報(bào)告的前10位惡意代碼示例中占三類。不過，黑客的動(dòng)機(jī)已明顯從追求名聲轉(zhuǎn)向牟取暴利，而漏洞開發(fā)框架的日漸普及是威脅趨勢(shì)發(fā)生許多顯著變化的主要原因之一。

?威脅數(shù)量與日俱增

這不足為奇。由于黑客的動(dòng)機(jī)越來越強(qiáng)烈，并且開發(fā)新型惡意軟件的難度越來越低，所以威脅的數(shù)量無疑會(huì)猛增。不僅如此，威脅制作軟件及其模塊化構(gòu)造技術(shù)導(dǎo)致開發(fā)威脅變種的行為司空見慣。例如，2005年上半年，僅針對(duì)Win32平臺(tái)的新病毒和蠕蟲變種數(shù)量就已達(dá)到10800種。與前六個(gè)月相比，次數(shù)量就增加了48％。

?威脅生成時(shí)間日益縮短

日益成熟的黑客工具包不斷增多的另一惡果是開發(fā)新威脅所需的時(shí)間明顯縮短。因此，從發(fā)現(xiàn)新漏洞到發(fā)起針對(duì)該漏洞的特定攻擊之間的時(shí)間也無可避免地大大縮短。實(shí)際上，在2005年上半年，此時(shí)間段的平均持續(xù)時(shí)間僅為六天。

?威脅傳播速度正在加快

雖然近年來這方面威脅的趨勢(shì)沒有顯著變化，但是由于威脅的傳播速度已經(jīng)非常驚人，所以這種形勢(shì)不容樂觀。例如，2001年紅色代碼在37分鐘內(nèi)即可使感染速率增加一倍。而在2003年，Sapphire蠕蟲每8．5秒傳播速度就會(huì)加倍，最終不到10分鐘就會(huì)感染90％易受攻擊的目標(biāo)主機(jī)。而且，認(rèn)為最終不會(huì)出現(xiàn)傳播速度更快的威脅完全不切實(shí)際。

?威脅日益變化莫測(cè)

導(dǎo)致變種數(shù)量不斷增多的因素也同時(shí)導(dǎo)致混合型威脅層出不窮。通過使用多種利用機(jī)制、有效負(fù)載和／或傳播方法，這類威脅更有可能避開企業(yè)防線，然后成功施加負(fù)面影響。另外，導(dǎo)致局面日益惡化的另一個(gè)原因是黑客目前主要攻擊系統(tǒng)和應(yīng)用程序?qū)拥娜觞c(diǎn)，而不是網(wǎng)絡(luò)層的漏洞。這樣，他們的攻擊往往成為側(cè)重網(wǎng)絡(luò)層活動(dòng)對(duì)策的漏網(wǎng)之魚；不幸的是，大多數(shù)企業(yè)目前只憑借這樣的對(duì)策來保護(hù)自己。

首先，威脅數(shù)量大增意味著不僅安全員工將承受更大的壓力，而且他們所實(shí)施的對(duì)策在一定程度上也會(huì)受到影響。還需要進(jìn)行更多研究以確定最具破壞力的威脅、需要采取更多防御措施，最終還需要解決更多事故和故障。要使這樣的等式重新達(dá)到平衡，很可能需要任命更多安全管理員或?qū)嵤┛商岣卟僮餍实墓ぞ撸貏e是在研究和防范活動(dòng)方面。第二個(gè)影響是使利用管理補(bǔ)丁程序進(jìn)行防御的效果微乎其微。過去，從發(fā)現(xiàn)漏洞到漏洞被利用之間的時(shí)間長(zhǎng)達(dá)數(shù)月，所以制造商可以從容開發(fā)和補(bǔ)丁程序，然后由企業(yè)對(duì)這些補(bǔ)丁程序進(jìn)行測(cè)試和實(shí)施。但是，目前在發(fā)現(xiàn)漏洞后平均需要54天才能相關(guān)補(bǔ)丁程序，所以根本無法及時(shí)提供補(bǔ)丁程序。而且即便能夠及時(shí)提供，還需要考慮測(cè)試和實(shí)施相應(yīng)補(bǔ)丁程序所需時(shí)間的問題。在最緊迫的情況下，最高效的企業(yè)可能需要幾天才能完成該過程。但這根本不具有代表性，企業(yè)補(bǔ)丁程序管理流程的常規(guī)執(zhí)行時(shí)間至少需要30天。

安全之路延伸何方

面對(duì)不斷變化的新威脅，信息安全的環(huán)境也在發(fā)生著深刻的變革。

首先，由于需要保持競(jìng)爭(zhēng)優(yōu)勢(shì)，所以各個(gè)企業(yè)必須更迅速地應(yīng)用新興技術(shù)(例如，WLAN、VolP和Web服務(wù))以及所有現(xiàn)有技術(shù)和平臺(tái)的新版本。一般，各個(gè)企業(yè)不但必須管理和保護(hù)更多計(jì)算基礎(chǔ)架構(gòu)和應(yīng)用程序，而且其中大部分均為新出現(xiàn)的復(fù)雜架構(gòu)和程序，極為分散。結(jié)果是由于配置錯(cuò)誤和疏忽導(dǎo) 致的代碼漏洞與日俱增，而且弱點(diǎn)也越來越多。

其次，隨著內(nèi)部威脅日益嚴(yán)重，企業(yè)的安全觀念正發(fā)生著深刻的變化。從歷史角度來看，企業(yè)一般將注意力集中在保護(hù)他們與互聯(lián)網(wǎng)的連接上面，很少保護(hù)他們的內(nèi)部網(wǎng)絡(luò)和系統(tǒng)。不過，由于第三方連接日益增多，現(xiàn)場(chǎng)辦公的合同工需要連接到公司網(wǎng)絡(luò)，而且公司自身員工的移動(dòng)性越來越強(qiáng)，從而導(dǎo)致威脅可以繞過互聯(lián)網(wǎng)邊界控制，然后從內(nèi)部以相對(duì)迅猛的速度傳播。因此，除了原來必須要保護(hù)的日益增多的基礎(chǔ)架構(gòu)外，企業(yè)現(xiàn)在還必須保護(hù)內(nèi)部網(wǎng)絡(luò)和系統(tǒng)。

此外，確保內(nèi)部網(wǎng)絡(luò)安全的另外一個(gè)要素是必須遵從各種“暗示”的法規(guī)和法律(如果沒有明示)。不過，從所占用的資源數(shù)量及有時(shí)會(huì)提供虛假的安全感角度來看，遵從這些要求反而會(huì)產(chǎn)生更多問題。事實(shí)上，一份最新調(diào)查表明遵從是信息安全活動(dòng)的最重要的推動(dòng)因素，該調(diào)查還表明由此而引發(fā)的主要活動(dòng)是制定和更新各種策略和程序，而不是切實(shí)加強(qiáng)公司的安全架構(gòu)或整體戰(zhàn)略。

更現(xiàn)實(shí)的還有預(yù)算問題，企業(yè)面臨的這方面挑戰(zhàn)在一定程度上變得欲蓋彌彰。只需看看現(xiàn)狀就足以：目前所制定的安全預(yù)算不僅不合理，而且這部分預(yù)算的使用方式往往對(duì)防御攻擊沒有幫助，此外這部分預(yù)算永遠(yuǎn)處于與“企業(yè)”的其他需要進(jìn)行競(jìng)爭(zhēng)的狀態(tài)。

以上復(fù)雜因素清楚地表明理想的威脅管理解決方案必須兼顧高效性和靈活性。相對(duì)于安全部門可支配的資源而言，他們需要完成的工作過于繁重。與此同時(shí)，基礎(chǔ)業(yè)務(wù)需求(不考慮基礎(chǔ)架構(gòu))可謂常變常新。

策略篇>>>

“濕件”：另一種思維看安全

劉　恒

魯?shù)媳R克在系列科幻小說《濕件》中講述了一個(gè)人類制造的肉身機(jī)器人如何控制和改變?nèi)祟惖墓适隆Ｔ摃鴮?duì)人類腦力智慧(濕件)與帶有編碼化知識(shí)(軟件)的機(jī)器人(硬件)的結(jié)合并最終擺脫人類控制的前景作了最大膽的想象。

無獨(dú)有偶，“濕件”先后出現(xiàn)在黑客界和醫(yī)藥界，并且成為新經(jīng)濟(jì)增長(zhǎng)理論的一個(gè)術(shù)語。如今，啟明星辰率先在安全業(yè)界引入“濕件”理論，并開始成功應(yīng)用到安全服務(wù)領(lǐng)域。

看到“濕件”二字，絕大部分人認(rèn)為是“事件”的筆誤，其實(shí)不然，兩者毫無瓜葛，截然不同?！皾窦笔侵概c計(jì)算機(jī)軟件、硬件系統(tǒng)緊密相連的人(程序員、操作員、管理員)，及與系統(tǒng)相連的人類神經(jīng)系統(tǒng)。由此可見，“濕件”，是儲(chǔ)存于人腦之中，無法與擁有它的人分離的能力、才干、知識(shí)等。

從某種意義而言，“濕件”是與軟件、硬件并列的IT第三大件，人們應(yīng)該對(duì)“濕件”給予充分重視?！皾窦钡谝淮螌⑷说淖饔猛怀龀鰜恚疫@種作用遠(yuǎn)遠(yuǎn)高于軟件和硬件。沒有軟件，硬件是無用的；沒有人的操作或指示，軟件、硬件一起也做不了什么；由此可見，“濕件”是IT系統(tǒng)最為基礎(chǔ)的部分。

網(wǎng)絡(luò)安全的脆弱一環(huán)

盡管“濕件”的作用如此基礎(chǔ)和重要，但是長(zhǎng)期以來卻未被提到應(yīng)有的重視高度。尤其是在中國(guó)的網(wǎng)絡(luò)安全領(lǐng)域，對(duì)于“濕件”的研究基本是個(gè)“空白”，目前，啟明星辰公司敏銳地發(fā)現(xiàn)這一“空白”，第一次將安全“濕件”與安全服務(wù)緊密地聯(lián)系在一起，第一次將人在信息安全中的決定性作用突出了出來。

三個(gè)典型的案例很容易說明問題。

案例一：某小區(qū)的保安系統(tǒng)很健全，24小時(shí)有保安守衛(wèi)，但最近卻發(fā)現(xiàn)有小偷入戶行竊。盡管沒有搞清入侵者是從哪兒進(jìn)來的，有關(guān)部門還是貼了一個(gè)告示，提醒大家夏天別開窗戶以防小偷。由于沒有找出問題的癥結(jié)所在，同樣的事情在該小區(qū)再次發(fā)生。后來有人發(fā)現(xiàn)，小區(qū)里欄桿的設(shè)計(jì)不合理，讓小偷鉆了進(jìn)去，如果拉兩個(gè)欄桿，就可以防止這種情況。

這個(gè)案例說明，我們必須充分了解攻擊者和攻擊行為發(fā)生的原因，才有可能有效防御攻擊。

案例二：某部門存放重要文檔的電腦出了故障，保管文檔的人在部門內(nèi)對(duì)電腦進(jìn)行了修理。一段時(shí)間后，該重要文檔泄漏了，并被公開到互聯(lián)網(wǎng)上。經(jīng)過一番追查，最后發(fā)現(xiàn)是修理電腦的人偷偷將文檔拷貝了下來。這個(gè)案例說明，人員安全意識(shí)的缺失是遭到攻擊的致命因素。

案例三：“你想要值錢的東西嗎?想要，你就去拿吧?！比蜃钪暮诳蚆itrdck語出驚人。人們都認(rèn)為他擁有無人能敵的高超技術(shù)，他卻在自己的《欺騙的藝術(shù)》一書中說，安全的核心和根本，不是技術(shù)問題，而是人和管理問題；安全最薄弱的環(huán)節(jié)是人的因素，穿透人這道防火墻往往非常容易。

從這三個(gè)案例中，我們不難看出，人的因素在信息安全中是何等重要。這也是啟明星辰為何將“濕件”引入安全服務(wù)的意義所在。對(duì)“安全濕件”的強(qiáng)調(diào)，體現(xiàn)了一種系統(tǒng)的安全設(shè)計(jì)思想，有了這種意識(shí)，用戶在構(gòu)建安全系統(tǒng)時(shí)會(huì)考慮更多的因素。如果用戶沒有考慮到“濕件”也是安全系統(tǒng)的一個(gè)組成部分，他設(shè)計(jì)出來的安全防御系統(tǒng)肯定是不健全的，是失去平衡的，結(jié)果是花了很多錢，建造的安全系統(tǒng)并不安全。

完善安全系統(tǒng)

信息安全是動(dòng)態(tài)的，是過程，是攻擊和防御的平衡，從這個(gè)角度講，可將安全“濕件”劃分為攻擊型“濕件”和防御型“濕件”。攻擊“濕件”和防御“濕件”都可以進(jìn)一步細(xì)分下去。例如，防御型“濕件”還可以按照不同的人、不同類型的知識(shí)進(jìn)行細(xì)分。

在信息安全系統(tǒng)中，攻擊和防御是密不可分、相輔相成的兩個(gè)方面。一方面，所謂“知彼知己、百戰(zhàn)不殆”，只有在攻防結(jié)合的基礎(chǔ)上，充分地了解甚至先考慮攻擊“濕件”，知道攻擊“濕件”是什么、在哪里、怎么樣，才談得上有效防御。目前很多安全產(chǎn)品或方案存在著一個(gè)嚴(yán)重的缺陷，那就是并不了解攻擊者，也就是沒有防御的明確目標(biāo)，只是憑想象強(qiáng)行建立起一種防御系統(tǒng)。其實(shí)也許用戶根本不需要那么強(qiáng)大的防御系統(tǒng)，這就是忽略了攻擊“濕件”產(chǎn)生的問題。

安全“濕件”有助于企業(yè)提高和完善現(xiàn)有系統(tǒng)的安全性。企業(yè)在進(jìn)行安全投資的時(shí)候，應(yīng)該首先注重培養(yǎng)人才，培養(yǎng)“濕件”，甚至應(yīng)該把“濕件”擺在硬件和軟件之前考慮。實(shí)踐證明，“濕件”的投資回報(bào)率相當(dāng)高，產(chǎn)生的效果巨大?！皾窦睉?yīng)該是排在軟件和硬件之前的基礎(chǔ)性的部件。

由于防御型“濕件”中的人總是不可避免地具有脆弱性，這給攻擊型“濕件”提供了可乘之機(jī)，安全風(fēng)險(xiǎn)在所難免，安全產(chǎn)品和安全技術(shù)有時(shí)也會(huì)失靈。劉恒博士指出，許多安全問題僅憑安全產(chǎn)品和技術(shù)是解決不了的，必須充分考慮人的因素，用基于“濕件”的服務(wù)去解決。

從上述角度來看，信息安全的關(guān)注點(diǎn)正在發(fā)生變化，轉(zhuǎn)向關(guān)注“濕件”。高明的用戶一方面要構(gòu)建自己內(nèi)部的安全“濕件”，另一方面在自身“濕件”不夠強(qiáng)健時(shí)，則可以購(gòu)買專業(yè)安全公司提供的安全“濕件”?！皾窦弊鳛榉?wù)成為主流，無疑是安全產(chǎn)業(yè)發(fā)展的必然趨勢(shì)。

嶄新的安全服務(wù)

“濕件”與安全服務(wù)緊密相關(guān)，但是并 不能劃等號(hào)，也不能劃大于號(hào)或小于號(hào)。因?yàn)榉?wù)強(qiáng)調(diào)的是一種形式和過程，而安全“濕件”強(qiáng)調(diào)的是安全軟件和硬件之外的人的重要性，突出的是系統(tǒng)的有機(jī)性，是一種強(qiáng)調(diào)完整協(xié)調(diào)一致的理念。安全“濕件”作為服務(wù)的一種形式應(yīng)該成為安全業(yè)界的主流。啟明星辰的M2S就是全新的基于“濕件”的安全服務(wù)。

作為一個(gè)重要的防御型“濕件”，M2S體現(xiàn)的是具有標(biāo)志性的專業(yè)化的安全服務(wù)。這個(gè)體系是在啟明星辰TSP理念的指導(dǎo)下，在多年安全服務(wù)最佳實(shí)踐的基礎(chǔ)上，結(jié)合國(guó)際先進(jìn)的安全服務(wù)理念、模型和業(yè)務(wù)模式，以用戶需求為中心，以注重實(shí)效為宗旨，推出的一種全面、細(xì)致的全新服務(wù)模式，主要包括國(guó)際化管理咨詢、專業(yè)化風(fēng)險(xiǎn)評(píng)估、實(shí)時(shí)性管理監(jiān)控、專家型應(yīng)急響應(yīng)等內(nèi)容。

M2S，一個(gè)能夠進(jìn)行全面防范、即時(shí)監(jiān)測(cè)、專家響應(yīng)的實(shí)時(shí)安全過程，是一種全新的安全“濕件”。M2S有4層含義：MMS(Managed Monitoring Services)，體現(xiàn)了專業(yè)的監(jiān)控技術(shù)與服務(wù)；MSS(Managed Security Services)，體現(xiàn)了安全企業(yè)與國(guó)際通用托管式安全服務(wù)的融合，強(qiáng)調(diào)安全企業(yè)要保持國(guó)際安全服務(wù)的規(guī)范性；MtoS(Management to Security)，闡明了安全企業(yè)倡導(dǎo)的“通過管理達(dá)到安全”的理念，也契合了“服務(wù)的核心在于人”的理念；MSM(Management Secu-rity Monitory)，管理安全監(jiān)控，這里尤其體現(xiàn)了本地化差異性，與國(guó)外MSM主要根據(jù)設(shè)備來實(shí)行監(jiān)控管理不同，M2S致力于解決客戶幾乎所有的安全問題，范圍更為廣泛。

可以說，“濕件”理論與M2S的有效結(jié)合，提升了網(wǎng)絡(luò)和系統(tǒng)自身的防御能力，為更多的用戶提升了生產(chǎn)效能，而將安全“濕件”與服務(wù)緊密相聯(lián)，也完全可以有效幫助信息安全企業(yè)在安全服務(wù)領(lǐng)域樹立新的里程碑。

管理篇>>>

安全風(fēng)險(xiǎn)管理的游戲規(guī)則

駕馭風(fēng)險(xiǎn)，方可掌控安全。日前，綠盟科技專業(yè)服務(wù)部總監(jiān)王紅陽(yáng)，就目前信息安全風(fēng)險(xiǎn)評(píng)估以及風(fēng)險(xiǎn)管理的創(chuàng)新理念、前沿技術(shù)、創(chuàng)建適應(yīng)企業(yè)發(fā)展的網(wǎng)絡(luò)環(huán)境等問題，接受了《軟件世界》雜志的采訪。

軟件世界：如何理解風(fēng)險(xiǎn)管理的概念？綠盟科技在這方面的研究有沒有什么前沿性的課題？

王紅陽(yáng)：在COSO企業(yè)風(fēng)險(xiǎn)管理框架中，風(fēng)險(xiǎn)定義為任何可能影響某一組織實(shí)現(xiàn)其目標(biāo)的事項(xiàng)。風(fēng)險(xiǎn)的范圍可能是財(cái)務(wù)、合法性、符合性、運(yùn)維、市場(chǎng)、戰(zhàn)略、信息、技術(shù)、人員、聲譽(yù)等方面。風(fēng)險(xiǎn)包括惡性事件帶來的威脅、尚不能確定后果的事件、可轉(zhuǎn)化為機(jī)會(huì)的事件。風(fēng)險(xiǎn)管理是發(fā)現(xiàn)和了解組織中風(fēng)險(xiǎn)的各個(gè)方面，并且付諸明智的行動(dòng)幫助組織實(shí)現(xiàn)戰(zhàn)略目標(biāo)，減少失敗的可能并降低不確定的經(jīng)營(yíng)結(jié)果的整個(gè)過程。信息安全風(fēng)險(xiǎn)評(píng)估(本文以下簡(jiǎn)稱“風(fēng)險(xiǎn)評(píng)估”)，則是指依據(jù)國(guó)家、國(guó)際有關(guān)信息技術(shù)、安全技術(shù)標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行科學(xué)、公正的綜合評(píng)估活動(dòng)過程，它要評(píng)估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅，以及脆弱性被威脅源利用后所產(chǎn)生的實(shí)際負(fù)面影響等，并根據(jù)安全事件發(fā)生的可能性和負(fù)面影響的程度，來識(shí)別信息系統(tǒng)的安全風(fēng)險(xiǎn)。

信息安全是一個(gè)動(dòng)態(tài)的復(fù)雜過程，它貫穿于信息資產(chǎn)和信息系統(tǒng)的整個(gè)生命周期。信息安全的威脅來自于內(nèi)部破壞、外部攻擊、內(nèi)外勾結(jié)進(jìn)行的破壞以及自然危害。必須按照風(fēng)險(xiǎn)管理的思想，對(duì)可能的威脅、脆弱性和需要保護(hù)的信息資源進(jìn)行分析，依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果為信息系統(tǒng)選擇適當(dāng)?shù)陌踩胧咨茟?yīng)對(duì)可能發(fā)生的風(fēng)險(xiǎn)。企業(yè)風(fēng)險(xiǎn)管理使管理當(dāng)局能夠有效的應(yīng)對(duì)不確定性以及由此帶來的風(fēng)險(xiǎn)和機(jī)會(huì)。

軟件世界：如何在一個(gè)組織的網(wǎng)絡(luò)中識(shí)別出風(fēng)險(xiǎn)所在？

王紅陽(yáng)：風(fēng)險(xiǎn)評(píng)估遵循了ISOl7799、ISOl3335、ISOl5408(GB／T18336)、SSE-CMM等一系列的國(guó)際和國(guó)內(nèi)標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)提供了評(píng)估過程、評(píng)估方法、評(píng)估模型、評(píng)估內(nèi)容等多方面的規(guī)范化指導(dǎo)，同時(shí)在評(píng)估算法、評(píng)估操作等方面參考了AS／NZS4360。GAO／AIMD-00-33，GAO／AIMD-98 68．BSI PD3000等美國(guó)、澳大利亞、新西蘭的標(biāo)準(zhǔn)和規(guī)范。

風(fēng)險(xiǎn)評(píng)估的過程就是對(duì)信息系統(tǒng)所面臨的各種風(fēng)險(xiǎn)發(fā)生的可能性和風(fēng)險(xiǎn)發(fā)生后的嚴(yán)重性進(jìn)行評(píng)價(jià)，即在國(guó)際、國(guó)內(nèi)等相關(guān)標(biāo)準(zhǔn)和規(guī)范的指導(dǎo)下對(duì)信息系統(tǒng)的資產(chǎn)、威脅、脆弱性三要素進(jìn)行詳細(xì)具體的評(píng)估。

風(fēng)險(xiǎn)評(píng)估包含了(但不僅限于)以下一系列的技術(shù)評(píng)估手段和管理評(píng)估手段：

?安全掃描：通過評(píng)估工具軟件或?qū)Ｓ冒踩u(píng)估系統(tǒng)自動(dòng)獲取評(píng)估對(duì)象的脆弱性信息，包括主機(jī)掃描、網(wǎng)絡(luò)掃描、數(shù)據(jù)庫(kù)掃描等，用于分析系統(tǒng)、應(yīng)用、網(wǎng)絡(luò)設(shè)備存在的常見漏洞。

?人工檢查：通過人工方式直接操作評(píng)估對(duì)象來獲取所需要的安全配置信息，主要解決遠(yuǎn)程無法通過工具軟件或設(shè)備獲得的信息，以及為避免評(píng)估意外事件而采取的方法。

?IDS取樣分析：通過在核心網(wǎng)絡(luò)采樣監(jiān)聽通信數(shù)據(jù)方式，獲取網(wǎng)絡(luò)中存在的攻擊和蠕蟲行為，并對(duì)通信流量進(jìn)行分析。

?滲透測(cè)試：在獲取用戶授權(quán)后，通過真實(shí)模擬黑客使用的工具、方法來進(jìn)行實(shí)際漏洞發(fā)現(xiàn)和利用的安全測(cè)試方法。

?應(yīng)用安全評(píng)估：對(duì)用戶業(yè)務(wù)應(yīng)用軟件進(jìn)行安全功能審核、滲透測(cè)試、源代碼審核等。

?安全管理審計(jì)：通過文檔審核、策略審核、問卷調(diào)查、顧問訪談等形式，對(duì)信息安全策略、組織信息安全、資產(chǎn)管理、人力資源安全、物理和環(huán)境的安全、日常運(yùn)作和通訊、訪問控制、系統(tǒng)的獲得、開發(fā)與維護(hù)、信息安全事件管理、業(yè)務(wù)持續(xù)性管理、符合性等方面進(jìn)行綜合評(píng)估。

軟件世界：信息資產(chǎn)風(fēng)險(xiǎn)管理的內(nèi)容包括什么？通過怎樣的策略和方案可以達(dá)到風(fēng)險(xiǎn)管理的目的？

王紅陽(yáng)：信息安全風(fēng)險(xiǎn)評(píng)估的目的是全面、準(zhǔn)確的了解組織機(jī)構(gòu)的網(wǎng)絡(luò)安全現(xiàn)狀，發(fā)現(xiàn)系統(tǒng)的安全問題及其可能存在的危害，以便為系統(tǒng)最終安全需求的提出提供依據(jù)。同時(shí)，也是為了分析網(wǎng)絡(luò)信息系統(tǒng)的安全需求，找出目前的安全策略和實(shí)際需求的差距，為保護(hù)信息系統(tǒng)的安全提供科學(xué)依據(jù)。進(jìn)而通過合理步驟，制定出適合系統(tǒng)具體情況的安全策略及其管理和實(shí)施規(guī)范，為安全體系的設(shè)計(jì)提供參考。

信息安全風(fēng)險(xiǎn)評(píng)估是一個(gè)組織機(jī)構(gòu)實(shí)現(xiàn)信息系統(tǒng)安全必要的、重要的步驟，可以使決策者對(duì)其業(yè)務(wù)信息系統(tǒng)的安全建設(shè)或安全改造思路有更深刻的認(rèn)識(shí)。通過信息安全風(fēng)險(xiǎn)評(píng)估，他們將清楚業(yè)務(wù)信息系統(tǒng)包含的重要資產(chǎn)、面臨的主要威脅、本身的弱點(diǎn)；哪些威脅出現(xiàn)的可能性較大，造成的影響也較大，哪些威脅出現(xiàn)的可能性較小，造成的影響可以忽略不計(jì)；通過保護(hù)哪些資產(chǎn)，防止哪些威脅出現(xiàn)，如何保護(hù)和防止才能保證系統(tǒng)達(dá)到一定的安全級(jí)別；提出的安全方案需要多少技術(shù)和費(fèi)用的支持，更進(jìn)一步，還會(huì)分析出信息系統(tǒng)的風(fēng)險(xiǎn)是如何隨時(shí)間變化的，將來應(yīng)如何面對(duì)這些風(fēng)險(xiǎn)，這需要建立一個(gè)晚上的體系。