據(jù)《環(huán)球時報》報道���,近期我國破獲或監(jiān)控到了數(shù)起臺灣信息間諜案�����。這些間諜采用的手法是通過在目標計算機系統(tǒng)上置入木馬和僵尸程序�,獲取大量機密信息���,獲取情報����。而中國政府和軍隊以及國防科研機構(gòu)���、軍工企業(yè)網(wǎng)絡(luò)是這些間諜案的主要目標對象��。針對這些滲透活動���,目前我們的網(wǎng)絡(luò)和信息安全控制措施顯現(xiàn)出了不足的一面��。
眾所周知����,目前惡意代碼的發(fā)展趨勢已經(jīng)非常明確�,即從過去的明目張膽地破環(huán)計算機系統(tǒng)轉(zhuǎn)變?yōu)闈摲谙到y(tǒng)內(nèi)部�����,伺機竊取信息或進行其它的惡意行為�。據(jù)統(tǒng)計,各種類型的惡意代碼中木馬和僵尸程序所占的比例已經(jīng)達到70%左右����,并且還有不斷攀升的趨勢。這些惡意代碼潛伏的目的是不被發(fā)現(xiàn)�����,以便于長期活動����,牟取更大利益。在這些惡意代碼以及其背后操縱者關(guān)注的利益中�,最突出的就是兩類:經(jīng)濟利益和政治利益�����。
在過去的網(wǎng)絡(luò)入侵和病毒傳播中�����,其發(fā)起者一般是分散的�����、沒有大量物力支撐的個人或者小的團體���,其入侵規(guī)模和影響面也是有限的。但是�,隨著通過網(wǎng)絡(luò)能夠牟取的利益價值不斷增加,其發(fā)起者的身份逐漸在變化����。原先松散的個人和團體被利益鏈條連接在一起,而擁有雄厚實力的財團或政治團體變成了某些網(wǎng)絡(luò)惡意活動的始作俑者���。此時����,在攻擊和防御的兩端,防御不力的這一方無疑會陷入被動的境地��。
反觀目前我們采用的網(wǎng)絡(luò)和信息安全控制措施�,某些不足將會嚴重影響其控制的實效性。一些安全防護理論中往往會把檢測和響應(yīng)的時間作為衡量一個安全防護體系有效性的指標�。但是,在實際應(yīng)用中���,往往會出現(xiàn)兩種情況:第一����,由于誤檢測(False positive)和自動響應(yīng)聯(lián)動機制而導致網(wǎng)絡(luò)可用性受損;第二�,加入人工干預(yù)的分析后��,檢測和響應(yīng)兩個環(huán)節(jié)中間存在嚴重脫節(jié)����,從而導致防護體系保護程度降低。上面兩種情況都會影響到安全控制措施的實效性���。
如何提高安全措施的實效性?下文將從兩個方面進行分析����。
如何提高安全措施的實效性?首先我們需要了解什么是安全措施的實效性。安全措施的實效性即目前的安全控制體系的運行狀況����,是需要通過對網(wǎng)絡(luò)和信息安全體系的績效評估來進行衡量的。這個衡量的過程需要結(jié)合用戶的業(yè)務(wù)目標�,對目前實施的信息安全控制體系進行效率和效果的分析,最終得出一系列結(jié)論�。比如承載重要保密信息的信息系統(tǒng)的業(yè)務(wù)目標之一就是對重要信息進行機密性控制。如果沒有對網(wǎng)絡(luò)惡意代碼進行檢測和攔截����,那么信息間諜就有可能通過種植木馬的手段竊取機密信息,即該系統(tǒng)的控制實效性是欠缺的����。
首先,從管理方面分析�����。信息系統(tǒng)的所有者和運營者必須要對網(wǎng)絡(luò)和信息安全建設(shè)給予充分的重視����。在此基礎(chǔ)上,用戶應(yīng)該具有一套層次化的���、可操作性強的策略和規(guī)程���。其中的關(guān)鍵點需要設(shè)置指標要求����,并且對評估方法進行具體化�����。在每一次評估后�����,管理層需要重點對不符合項進行分析��,并且實施行之有效的補救措施�。只有具備了良性的反饋機制,信息安全控制措施才能夠真正發(fā)揮其保障作用�����,而不是僅僅給用戶一種虛假的安全感���。
其次���,從技術(shù)方面分析。從本次臺灣信息間諜案的情況看����,植入木馬的方式是信息間諜竊取機密信息的重要渠道。我們有兩個控制點可以對這種入侵進行有效地控制�。其一是網(wǎng)絡(luò)邊界;其二是終端計算機。
在網(wǎng)絡(luò)邊界處�,一般的信息系統(tǒng)僅僅使用了防火墻進行隔離,而缺乏應(yīng)用層的保護手段�。事實上,基于應(yīng)用層的惡意代碼是往往是網(wǎng)絡(luò)入侵者廣泛利用的工具��。因此�,在重要網(wǎng)絡(luò)中的網(wǎng)絡(luò)邊界和關(guān)鍵網(wǎng)段處進行網(wǎng)絡(luò)惡意代碼的檢測和清除,已經(jīng)成為安全建設(shè)的一項重要內(nèi)容��。
在終端計算機上����,可移動存儲介質(zhì)比如U盤等已經(jīng)成為一個入侵者關(guān)注的薄弱環(huán)節(jié)。所以��,不僅僅要從管理制度上規(guī)定在重要網(wǎng)絡(luò)中使用這些可移動存儲介質(zhì)的正確方式,而且一定要從技術(shù)上加以落實��。比如除了在終端計算機上統(tǒng)一部署防病毒軟件之外�����,還需要進行終端計算機的全面安全技術(shù)控制��,合理實施移動介質(zhì)的使用規(guī)范�。
除了上述的兩種控制手段,機密信息在存儲和傳輸過程中的加密�����、以及數(shù)據(jù)泄漏防范控制措施也是很重要的���。前者已經(jīng)廣泛應(yīng)用�����,而后者正在成為安全控制措施的熱點之一��。
當前�����,我國正在推行的安全等級保護政策對于國家重要信息系統(tǒng)的保護是至關(guān)重要的�。比如�,等級保護制度對第三級信息系統(tǒng)的安全保護要求是:“應(yīng)能夠在統(tǒng)一安全策略下防護系統(tǒng)免受來自外部有組織的團體(如一個商業(yè)情報組織或犯罪組織等),擁有較為豐富資源(包括人員能力���、計算能力等)的威脅源發(fā)起的惡意攻擊���、較為嚴重的自然災(zāi)難以及其他相當危害程度的威脅所造成的主要資源損害,能夠發(fā)現(xiàn)安全漏洞和安全事件����,在系統(tǒng)遭到損害后,能夠較快恢復(fù)絕大部分功能���?�!?通過實施等級保護��,重要信息系統(tǒng)將會從管理和技術(shù)兩個層面得到有效的保障��,從而有效防御類似的信息間諜滲透活動���。
