1、终端安全的重要性1. 信息安全发展趋势(1) 安全需求由单纯防外向内外兼防转化近年来,随着信息化建设的不断深入及不断发展,信息安全正面临日益严峻的挑战。外部风险的日益增高,网络攻击事件频发,而相应的防范技术与设备也越来越明细,如防火墙、IDS 等等,在这里就不做过多的解释。对比之下,内部风险控制则急待加强。受个人经济利益诱惑,内部人员在系统开发和维护过程中,越权访问,窃取敏感信息或者侵吞公共利益,也包括大家在网上经常可以看到的私家侦探等等,这些各种形式的诱惑,使我们清晰地认识到内部威胁正在逐渐加大。根据国际安全界的统计,每年全球计算机网络遭受的攻击和破坏 70%是内部人员所为。来自内部的数据失
2、窃和破坏所造成的危害远远高于外部黑客的攻击。传统的网络安全产品如防火墙和防病毒系统等,对于内部用户攻击和威胁事件则往往无能为力。在第十七次中国计算机安全年会上,专家同样指出大部分网络风险和威胁是来自内部,建立和加强“内部人”网络行为监控与审计并进行责任认定,是网络安全建设重点内容之一。最近,美国信息周刊联合电脑商情报等全球合作伙伴进行“全球信息安全调研” ,全球 40 多个国家的 7000 多名 IT 专业人士参加了本次调研。调研结果表明:信息系统受到攻击的最大总量来自恶意代码和与企业有密切联系的个人的非法使用。中国在电子邮件、资源使用和电话使用中对内部人的监测都不及北美。资料显示:中国只有
3、11%的网络注重对内部网络行为的监控与审计,而且多为制度监管。而在美国这一数值达到 23%,并多为技术监管。起到完整的责任认定体系和绝大部分授权功能的审计监控体系对控制“内部人”风险起到有效的防范作用,是未来安全市场发展的主流。(2) 国家对信息安全有明显的政策导向国家注重信息安全产业的发展等政策的倾斜,对产业的引导促进作用日益显著,一是产业政策与标准先行:国家先认识到信息安全的重要性,制定了等级保护标准和关于促进信息安全产业的办法等政策,问题驱动和政策驱动使得产业获得了良好的政策环境和清晰的产业方向。二是需求与专项推动:各级政府在政府采购、专项支出方面,都就信息安全产业尤其是自有知识产权产品
4、都给予了很多政策倾斜。 国家信息安全政策党的十六大确定了“以信息化带动工业化,以工业化推动信息化,从而全面实现现代化”的基本战略。进入 21 世纪,信息化对经济社会发展的影响更加深刻。信息化与经济全球化相互交织,推动着全球产业分工深化和经济结构调整,重塑着全球经济竞争格局。针对我国信息化的情况,国家在 2003 年颁布了 27 号文件,首次明确规定了我国的信息安全的战略目标是建设国家信息安全保障体系,总体战略方针是积极防御和综合防范。文件还同时规定基础性和支撑性的工作一共是八项,其中比较重要的一项是等级保护制度。2004 年,国家提出了 66 号文件(即关于信息安全等级保护工作的实施意见 )
5、。66号文件把等级保护确认为国家信息安全的基本制度和根本方法,把等级保护提到一个新的高度。66 号文件描述了等级保护的实施方法、原则分工和计划等。2007 年公布了 861 号文件(关于开展全国重要信息系统安全等级保护定级工作的通知 ) ,明确了电子政务范围内的等级保护的具体的操作,包括模型、原理方法和流程等工作。2009 年 10 月,国家提出了关于开展信息安全等级保护安全建设整改工作的指导意见 ,在该文件中进一步提出了对等级保护工作的要求。 国家信息安全专项除了上述国家政策外,科技部正式公布了关于“核心电子器件、高端通用芯片及基础软件产品”也就是“核高基”的科技重大专项课题申报的通知。这是
6、 2006 年国务院发布的国家中长期科学和技术发展规划纲要(2006-2020 年) 中与载人航天、探月工程并列的 16个重大科技专项之一,也是新中国成立以来国家首次执行以如此“巨资”组织开展基础软件重大专项,其预计总投入将超过 1000 亿元。其中,基础软件是指包含操作系统、数据库和中间件的统称。 “核高基” 的适时出现,犹如助推器,给了基础软件更强劲的发展支持力量,无异于给中国软件市场尤其是涉及到基础软件领域的公司打了一记强心针,增添了信心。2007 年 6 月,公安部、国家保密局等四部门联合下发关于开展全国重要信息系统安全等级保护定级工作的通知 ,在全国范围内开展重要信息系统信息安全等级
7、保护定级工作。而作为信息系统主要组成部分的服务器与终端操作系统,更是等级保护重点整改的核心。2008 年 11 月中旬,国家发展改革委下发了国家发展改革委办公厅关于组织实施2009 年信息安全专项有关事项的通知 (发改办高技20082494 号) ,目的是贯彻落实国家信息化领导小组关于加强信息安全保障工作的意见 (中办发200327 号)和国家信息安全“十一五”规划 (国信安 20072 号)的工作部署。在为国家信息化建设及国家信息安全基础设施提供支撑的信息安全产品产业化中,明确重点支持服务器与终端安全产品的产业化。2010 年 3 月,国家发展改革委下发了国家发展改革委办公厅关于组织实施 2
8、010 年信息安全专项有关事项的通知 (发改办高技2010549 号 ),旨在贯彻落实 2006-2020 年国家信息化发展战略和国家信息化“十一五”规划的工作部署,进一步促进我国信息安全产业的发展,提升信息安全专业化服务水平,保障国民经济和社会信息化得健康快速发展,重点支持服务器与终端类的操作系统安全加固产业化。2. 终端安全的重要性(1) 终端面临的主要威胁传统的以组织边界和核心资产为保护对象的安全体系逐渐显示出严重的缺陷,无法有效应对终端安全面临的诸多问题。 病毒木马攻击计算机病毒的传播为全球带来数目巨大的经济损失。如 2000 年爱虫是通过 Outlook 电子邮件系统传播,全球经济损
9、失超过 100 亿美元;而 2006 年的熊猫烧香病毒,造成的直接经济损失也是上亿美元。据国家计算机病毒应急处理中心统计,2007 年,我国接入互联网的计算机被植入病毒木马程序的计算机达到了 91.47%,被植入三种以上病毒木马程序的占 53.64%,其中 87以上是以网络盗窃或远程控制计算机为目的的木马程序,即我国每 10 台接入互联网的计算机中有 8 台计算机曾受到黑客控制。2009 年 8 月 1 日至 31 日,CNCERT/CC 对当前流行的木马程序的活动状况进行了抽样监测,发现我国大陆地区 23398 个 IP 地址对应的主机被其他国家或地区通过木马程序秘密控制,其分布情况下图所示
10、,最多的地区为北京市,高达 24.61%。被境外通过木马程序控制的中国大陆主机对应 IP 的地区分布图而由于病毒木马等造成的失窃密事件也是频频发生。如环球时报报道的一个参与中国潜艇科研项目的军工科研所发生重大泄密事件。当事科研人员用工作电脑上网查阅自己的邮箱时,收到了一封“国防科工委办公厅的中秋贺卡” ,信手点开,结果中招,重要军事机密资料被间谍程序从网上窃走。 伪造用户登录现在的操作系统只有用户名和口令的认证方式,口令极易被窃取或破解。网上随处可见“计算机密码破解教程” 、 “电脑中常用的十二种密码破解方法”等资料。这样,整个系统就完成进入“不设防”状态。非法人员可以登录系统,任意查看或拷贝
11、其想要得到的资料。这也为非法内部人员窃取单位机密、窥探个人隐私提供了可乘之机。 随意安装应用程序许多终端用户随意安装应用程序,但许多的应用程序都包含连接网络功能,甚至某些从互联网下载的软件其中携带病毒木马等。而目前的许多个人办公终端都不对用户安装程序进行技术控制,导致机器遭受恶意攻击的概率增大。 数据明文存储易造成失窃密事件大多用户电脑中的数据都是以明文存储在磁盘上,而这种电脑一旦出现丢失、维修、密码破解等事故,重要数据就极有可能“不翼而飞” 。一份最新的报告显示,加拿大政府部门及商业机构的信息部门(IT)在 2009 年的失密次数激增近 3 倍,造成的平均损失估计值达 834000 加元,比
12、 2008 年增加 97%。 任意使用 U 盘等移动存储近年来,信息化技术高速发展。一方面,重要数据信息(如涉密图纸、生产工艺等)都存储于计算机中;另一方面,U 盘、移动硬盘、MP3 等移动存储的应用得到广泛普及。而针对移动存储的安全事件也大大增多。首先,大量的病毒木马可以通过移动存储进入计算机系统。境外间谍部门经常是专门设计各种摆渡木马,并且搜集我国大量保密单位工作人员的个人网址或邮箱,只要这些人当中有联网使用 U 盘等移动介质的,摆渡木马就会悄悄植入移动介质。一旦这些人违反规定在内部工作网的电脑上插入 U 盘等移动介质,摆渡木马立刻就感染内网,把保密资料下载到移动介质上。只要使用者再把这个
13、移动介质接入联网电脑,下载的情报就自动传到控制端的网络间谍那里。其次是内部人员的主动窃密。公务员离职现象还算比较少,但是企业从业人员离职跳槽现象非常普遍。由于中国企业不重视知识产权保护,不重视机密信息安全,所以离职人员在离职前都会大量拷贝带走核心资料。在这些人员再次就业之时,这些被拷贝带走的商业信息,就成为竞争对手打击和挤压原单位的重要武器。 网络连接威胁一方面是涉密机器随意上网的威胁。如前面提到的中国潜艇科研项目重大泄密事件,如果计算机不连接网络,根本无从发生。2010 年 8 月,韩国一名立法委员公开的军事数据显示,数十名韩国士兵的电脑在今年 1 月至 3 月份遭到黑客入侵,丢失了 171
14、5 份关于韩国对朝战争计划和军事机密的资料。另一方面是非法控制的终端,可能向服务器发起攻击。黑客要控制一台服务器可能要突破层层防御,技术往往非常困难。但要控制一台终端,则相对容易的多。而控制终端后,以终端作为跳板来攻击同一网络中的服务器,或者盗取服务器上的机密资料,则更为容易。(2) 终端安全重要性分析对于处在当今信息化时代的企业来说,开发互联的网络环境带来了丰富资源和极大便利,但同时也引入了越来越多的安全威胁,越来越多的企业也已经意识到网络安全问题的严重性,花费重金部署防火墙、入侵检测等安全设备,在防范外来攻击保障网络安全方面铸起“千里之堤” ,在此基础上,企业管理者往往就认为可高枕无忧了,
15、却忽视了看似最不起眼却对企业安全影响最直接、覆盖面最广的内部终端安全问题,企业终端管理问题已经俨然成为了企业安全“千里大堤”上的“蚁穴” ,决不可忽视。虽然终端资产的重要性级别通常低于网络中的交换机、路由器等核心网络设备以及各种业务主机和服务器,但广大终端数量众多,并且是组织的日常办公和业务运行的载体,如果终端安全受到威胁,即使网络中的核心设备安然无恙,整个网络的业务运行也会受到严重影响甚至瘫痪,如同家庭是社会的细胞,终端也是组成网络的基本单元,他们的安全与否对网络自身的健康运行有着深远的影响。由于企业内部终端数量多,人员层次不同,流动性大,安全意识薄弱而产生病毒泛滥、终端滥用资源、非授权访问
16、、恶意终端破坏、信息泄密等等安全事件不胜枚举,安全威胁问题对于以信息为生存基础的企业来说甚至将是致命的,而解决外部攻击防范问题的网络安全设备根本无法解决此类威胁,要为企业建立全面立体的安全防护体系,就不可忽视终端弱点管理,强化针对终端的弱点管理比解决外部安全威胁问题更重要。建设一个有效的终端安全管理体系,不仅能够保障终端安全,而且能够提升网络整体的安全防御能力。3. 终端安全问题解决思路针对形形色色的安全问题,我们提出从以下几点防范措施。(1) 完善现有信息安全管理制度安全项目规划、用需求分析、网络技术应用、安全策略制定、人员职责分工、安全等级评定、网络用户管理、安全审计评价、人员安全培训、安
17、全规章制度建立。这些是对网络管理者提出的要求,仅靠技术人员的工作职能无法完成,必须“三分技术加上七分管理” 。(2) 部署杀毒软件等恶意代码防御软件安装杀毒软件,并每天进行病毒库更新,是防御计算机病毒木马的有效手段。同时,及时对操作系统进行补丁更新,保证系统漏洞得到最快修复。但必须指出,杀毒软件和操作系统补丁都存在“滞后性” ,即病毒和漏洞先出现后,才会有相应的病毒库和补丁更新。也不要以为装了安全软件,电脑里就没有了病毒木马。日前,有研究报告显示,尽管国内 95.6%的电脑上安装了安全软件,但其中 30%以上的电脑仍存在被“漏杀 ”的病毒木马。业内人士指出,这些“ 漏网之毒 ”直接影响到中国千
18、万网民的网络安全,带来的经济损失将超过 10 亿元。(3) 加强用户登录的身份鉴别方式用户登录的时候,打破传统用户名+密码的认证方式的限制,引入其他不易被仿冒或破解的方式。例如,现在许多的终端加固或终端管理类软件,采用 USB-KEY 的认证方式,对用户的身份进行鉴别。(4) 从技术层面对用户权限进行控制对用户在计算机终端中的权限进行有效控制,包括普通用户不能以管理员(Administrator )身份进行登录,登录后能应用哪些软件进行操作,能用哪些软件等进行控制。目前,市场上较为常见的产品有一些桌面管理系统、终端安全保护系统等类似产品。(5) 用户重要信息加密存储对用户存储在计算机上的重要数据进行加密,数据以密文存储在计算机上。电脑或硬盘一旦丢失或损坏维修等,重要数据即使被窃取,非法拥有者也无法解密。这类产品较多,如数据加密锁、Windows 7 下自带的 Bitlocker 等等。(6) U 盘使用及网络连接控制以技术手段,禁止 U 盘随意使用。确实有应用需求,则应对每个 U 盘进行相应的注册管理和拷贝限制;技术上限制用户拨号连接等私自上网行为,重要业务终端必须做到内外网隔离。目前的桌面管理系统、终端安全保护系统、网络信息隔离交换设备等都可以进行此类控制。