瑞星2012年中國信息安全綜合報告
2013-01-23 10:09:49五、 企業信息安全
(一)企業信息安全環境日益嚴峻
1.?進口信息安全產品帶來嚴重威脅
目前國內許多企業,尤其是在能源、電信、金融等重要行業處于領導地位的大型企業都在使用國外的信息安全產品。這些企業選擇該類產品,主要是出于性能、技術等方面的綜合考慮。然而,隨著全球政治經濟格局的不斷變化,國家之間的信息對抗也日趨激烈。2012年11月,一份媒體的調查顯示,2011至2012年的兩年時間內,全國各地由進口產品“設備故障”所引發的通信事故,正在密集上演。
2011年初,廈門電信城域網使用的進口設備頻繁出現異常問題,并且故障很難定位。而提供該設備的廠商一再辯稱設備不存在問題,但在電信組織專家多次研究分析后,終于確認是該設備出錯,廠商才被迫承認該設備存在“技術漏洞”,并直至2011年6月27日才提供解決方案。
一些業內專家透露,進口產品已經占據我國各大行業信息系統的關鍵節點,從企業角度講,企業的商業機密時刻處于高危狀態;而從宏觀角度講,整個行業甚至是國家的機密信息都在這些國外廠商的面前毫無防備。
2.?企業信息安全建設整體落后
進口安全產品并非是唯一威脅,國內企業信息安全建設的整體落后也嚴重影響著企業的生存與發展。進口信息安全產品雖然性能出眾,然而其昂貴的價格卻讓更多需要安全保護的國內企業望而卻步。
目前,絕大多數中小企業仍舊停留在使用免費的個人版殺毒軟件階段。然而,該類軟件如前文中所述,無法解決病毒交叉感染問題,不僅沒有統一的管理平臺,也無法對企業內網的安全系統進行統一的升級維護。除此之外,僅憑單一的殺毒軟件也遠遠不能滿足現代企業的信息安全需求。
瑞星安全專家指出,“殺毒軟件只能在電腦中毒以后,對病毒進行查殺。然而來自外部的互聯網釣魚、掛馬攻擊,甚至包括企業內部員工的違規操作都有可能導致企業內網遭到病毒及黑客的入侵。要想保證企業內網安全,必須對信息安全事件做到事前預防、事中控制和事后審計,這就不是僅靠一款殺毒軟件能夠解決的問題了。”
同時,國內一些大型企業還存在著信息安全產品無序堆疊的問題。這類大型企業一般都有足夠的資金為企業內網安全做適當的建設,并且大多愿意針對不同功能購買各大安全廠商性能、口碑最好的產品接入企業內網。然而,頂級的性能并不一定能提供頂級的安全,這些不同品牌的設備之間經常存在兼容性問題。同時,大型企業的網絡都是極其復雜的,一旦出現問題,各品牌的售后卻只能提供與自己產品有關的技術支持,導致企業很難對問題進行追蹤和排查,大大降低了解決問題的效率。
(二)企業內網信息安全威脅趨勢
1.?宏病毒與感染型病毒依舊活躍
瑞星反病毒實驗室提供的材料顯示,目前宏病毒及感染型病毒仍然普遍存在于企業內網當中。瑞星安全專家介紹,宏是許多應用型軟件都會向用戶提供的一種特殊功能,主要用于一些需要自動化批處理的操作。由于大部分宏都使用BASIC編程語言,因此也成為黑客制造、傳播病毒的手段。報告期內,一個名為“Dole”的宏病毒持續活躍。該病毒運行后,將自我復制到啟動文件夾,實現開機啟動。并隱藏Excel工作簿中的宏,同時修改注冊表,將宏安全屬性設置為最低,且禁止用戶修改。除此之外,該病毒還會感染中毒期間打開過的所有Excel文件,并搜索Outlook程序,向通訊簿的所有成員定時發送帶毒郵件。
感染型病毒雖然在病毒總量中的所占比例已下滑至第三位,卻仍然處于殺之不盡的狀態。通常情況下,用戶中毒后系統內會出現異常進程,同時該類病毒還會感染其它exe文件,也可能會后臺下載其它病毒或木馬,進而危害整個企業網絡。此前,該類型病毒已在企業內網持續活躍6年之久,其變種多、粘性強、危害大,自發現以來已造成很大的經濟損失。
2.?企業移動辦公或將造成數據泄密
“移動辦公”也可稱為“3A辦公”,即辦公人員可在任何時間(Anytime)、任何地點(Anywhere)處理與業務相關的任何事情(Anything)。這種全新的辦公模式可以大幅節約時間成本,提高工作效率。“然而,信息安全問題卻隨之而來”,瑞星安全專家指出,移動化辦公使得數據從企業內部走到企業外部,機密數據變得更加難以管理和控制。同時,移動辦公勢必要讓服務器對一些外部設備開放遠程權限,這讓主動性泄密變得更為容易。上文提到的上海特大個人信息泄漏事件就是運維人員遠程登錄系統竊取數據的。
3.?BYOD為企業內網帶來安全隱患
BYOD是指在企業的辦公場合,員工攜帶筆記本電腦、手機及平板電腦等個人移動設備進行辦公。通常情況下,BYOD都會選擇接入企業內網的Wi-Fi,并擁有一定程度的內網數據讀取權限。這為企業節約辦公成本、提高辦公效率提供了不少方便。但是,由于個人設備上安裝的操作系統版本、應用程序以及root權限等皆不在運維人員的管控范圍內,一旦個人設備感染了惡意程序或遭到黑客的惡意入侵,企業內網的信息安全就不可避免將受到威脅。
4.?群體性攻擊事件嚴重威脅金融業
近年來,網絡攻擊的組織形式呈現出一種專業化和團隊化的趨勢。全球范圍內的網絡攻擊事件不斷發生,對網上銀行等金融企業信息系統的潛在攻擊風險也越來越高。從2012年的相關報道來看,與金融、網上支付有關系的大規模攻擊就有好幾起。PayPal、花旗銀行、巴西中央銀行等涉及到銀錢交易的機構都受到過不同程度的攻擊。隨著網絡支付應用越來越廣泛,用戶群規模越來越龐大,金融系統的網絡安全防護變得越來越重要。
在以往的傳統網絡攻擊中,黑客主要通過其控制的“傀儡機”發起分布式攻擊;然而在近期的群體性攻擊事件中,黑客組織發布了一些專業的攻擊工具,如LOIC(LowOrbitIonCannon)、HOIC(HighOrbitIonCannon)、HttpDoSTool等,以供支持者下載,網絡攻擊的支持者可以在客戶端對攻擊工具進行配置,選擇在同一時間段加入攻擊團隊,從而實現在一定的時間內發起有組織的大規模分布式攻擊。
瑞星安全專家指出,大規模群體攻擊事件目前多發于歐美國家,目前國內大部分企業都無法對此有所防范。然而在互聯網中,國家與國家的地理界限早已化為不同號段的IP地址,黑客的入侵行為也早已不再受到國家和地區的限制。一旦有一天,黑客組織將矛頭指向國內,國內的大多數企業將毫無招架之力。
(三)企業內網信息安全管理現狀
1.?企業內網信息安全防護水平參差不齊
針對上面提到的病毒感染問題,瑞星安全專家表示,根據瑞星多年的客戶服務經驗來看,造成多病毒大面積入侵企業內網的原因主要有兩個:
第一,電腦終端上的防毒程序未開啟(或未升級至最新版本)。在幫助企業后期維護的工作中,瑞星工程師曾多次發現企業內網存在病毒,而染毒客戶端的殺毒軟件已很長時間未開啟,只要將客戶端打開并升級至最新版本,病毒立刻就可被查殺。由此可見,保持安全軟件時刻運行并隨時更新,對企業內網安全來說是必不可少的功課。
第二,系統漏洞修補不及時。在IT科技高速發展的當下,黑客技術也是瞬息萬變。一個漏洞一個小時前被發現,一個小時之后利用該漏洞對電腦進行攻擊的病毒就有可能出現在網上,幾天之內,這個病毒就能傳遍網絡。“并不是只有安全軟件的工程師在與黑客賽跑,企業的安全運維人員也同樣在與黑客賽跑”,瑞星安全專家指出,“世界上沒有任何一個系統是絕對安全的,只要系統存在,漏洞就一定會存在。所以一旦漏洞被發現,企業應盡早做好相應的防護措施。”
2.?企業信息安全整體防護體系建設急劇落后
在信息時代,技術文檔、客戶信息都成為決定企業命運的商業機密。所以,內網的存取權限也成為企業信息安全工作的重中之重。如何管理企業內網的電腦終端、如何管理移動辦公設備、如何管理BYOD,都成為企業安全的必修課。目前,市場上有不少提供企業信息安全管理的產品,而企業仍然面臨著無法回避的窘境:國內的內網管理產品分級不夠細致,授權也只能針對簡單的幾種情況,稍微復雜一點的網絡就無法適應,而進口產品則價格昂貴,為企業的運營成本帶來巨大壓力。
