推荐阅读
联系我们

 

行业资讯
当前位置:行业资讯

“棱镜门”折射出哪些信息安全盲区?

来源:科技日报 时间:2013-07-03 16:44

2013年07月01日      

       打破砂锅

   近日,“棱镜门”事件掀开了美国对全球信息控制的冰山一角。在互联网时代的今天,“棱镜门”事件给各国政府、企业及个人上了一堂真实版的信息谍战课。请关注——

  近一时期,美国中央情报局雇员爱德华·斯诺登向媒体披露了一些机密文件,致使包括“棱镜”项目在内的美国政府多个秘密情报监视项目暴露在全球公众视线当中。美国情报机构在互联网上对多个国家的10类主要信息进行监听,包括电邮信息、即时消息、视频、照片、存储数据、语音聊天、文件传输、视频会议、登录时间和社交网络资料等,这为我国的信息安全敲响了警钟。日前,信息安全专家接受科技日报记者采访,分析并指出我国在信息安全方面的一些盲区,专家呼吁应从国家、企业和个人三个层面,充分认识到信息安全的重要性,全面提高全民信息安全意识。

  盲目选择国外产品后患无穷

  随着“棱镜门”事件的进展,国内媒体也更加关注一些美国跨国公司产品对中国信息安全形成的潜在威胁。

  目前,国内政府部门和企业对外国品牌的电子产品、信息技术产品过分依赖。据报道,在涉及政府、海关、邮政、金融、铁路、民航、医疗、军警等国家关键信息基础设施的建设中,频频出现美国的“八大金刚”(思科、IBM、谷歌、高通、英特尔、苹果、甲骨文、微软)的影子。特别是美国思科参与了中国几乎所有大型网络项目的建设,中国电信163和中国联通169是国内最重要的两个骨干网络,两者承载着中国互联网80%以上的流量。但在这两大骨干网络中,思科占据了70%以上的份额,并把持着所有超级核心节点。

  “‘棱镜门’事件为信息安全防护敲响了警钟,特别是一些敏感部门和单位,以及涉及国家机密的机构,更应该做好安全防范工作。”北京大学网络与软件安全保障实验室主任陈钟说,当务之急是各行各业要重视并清楚信息安全威胁可能来自哪些方面,具体到哪个行业、哪个部门还要做具体分析、评估。“当然,现在要全面废除国外设备并不现实。”

  “国内许多政企选择外国产品可能是出于高性能的考量,然而这也为信息安全埋下重大隐患。无论是电子设备厂商还是信息技术厂商,都是有国籍的,但是互联网和电子信息产品却没有国界”,瑞星安全专家唐威表示,“从技术角度来讲,任何电子信息类产品都有被植入后门、窃取用户情报的可能,政府部门、企业甚至是个人的信息都有可能被窃取,一些重要数据在不知不觉间被备份,大量使用国外产品后患无穷。”

  “棱镜计划攻击的是信息中心,获取大量数据,这种长期渗透,不以破坏而是以窃取为目的的攻击,更不易察觉。”唐威说。

  BYOD办公是把“双刃剑”

  目前在国内,很多企业非常鼓励BYOD办公方式,这种办公方式允许员工在机场、酒吧等各种场合使用自已的个人电脑、手机、平板电脑等终端设备,登录所在单位的在线办公系统,达到方便办公、节约办公成本的目的。这种办公方式不受时间、地点、设备、人员、网络环境的限制,展现了一种未来办公新趋势。但是这样的做法也使得办公数据与私人设备的物理边界消失,使得员工和外来人员可以随意接入企业网络,拷贝机密文件。美国情报机构拥有非常完备的信息保全制度,但仍无法拦住斯诺登将机密文件拷贝至自己的设备,“这与BYOD不无关系”。

  实际上,对BYOD这种办公方式所带来的安全问题,业内一直存在争论。陈钟说,BYOD本身就是一个极大的安全问题,有些企业认为很好,比如一些保险公司用这种方式办公很方便,“但是一些敏感部门就一定要加强防护。”

  “危险的是个人数据与企业的数据混在一起”唐威认为,如果内部员工将存有核心机密的硬件丢失,或者主观上就要拷贝泄露,“这就存在很大威胁。”

  “随着移动互联网的发展,新的BYOD已经是智能手机+平板,取代传统的笔记本+优盘的方式,通过3G发送,窃密更加容易。”

  实际上,一些单位的工作人员从网上下载破解版软件、外挂等,安装到办公电脑上,还有强行使用低版本的IE浏览器等忽视安全的现象,有可能会将带有漏洞、后门的软件带进内网,从而带来不可预知的风险。

  唐威说,通常情况,BYOD都会选择接入企业内网的Wi-Fi,并拥有一定程度的内网数据读取权限。但是,一旦个人设备感染了恶意程序或遭到黑客的恶意入侵,企业内网的信息安全就不可避免将受到威胁。“要监听窃取数据包,其实只需要一个软件就可轻松做到。”

  如何管理内网的电脑终端、如何管理移动办公设备、如何规范管理BYOD,已成为今天信息安全的必修课。

  新技术新应用暗藏安全风险

  近年来,信息新科技、新应用发展迅速,这也为信息安全带来了很多未知风险。

  唐威认为,利用智能终端设备获取情报将成为一种新趋势。“比如智能手机,竞争对手可利用智能手机的摄像头和麦克风,全程监听企业内部的信息,即使不接入企业内网,也能获取情报。”

  据瑞星监测显示,去年一年,仅瑞星就截获手机病毒样本6842个。“智能手机、平板电脑等移动设备为网络信息传递带来便捷的同时,也面临着许多信息安全风险。一些恶意App以提供免费下载为诱饵,一旦安装,恶意App就通过事先设定好的命令,将用户移动设备中的个人隐私信息发送出去,导致信息泄露。”

  另外,使用公共Wi-Fi遭遇信息安全风险的情况也不在少数。黑客往往会搭建一个假的免费公共Wi-Fi供用户使用,当用户在这个“黑网”内进行网络交易或输入隐私信息时,黑客便可轻易截获所有数据。

  “随着新技术新应用的飞速发展,未来可穿戴智能设备可能会成为信息安全的一个新盲区。”唐威说。

目前,云服务已广泛使用,但存在的安全风险却不可小觑,亟须加强信息安全立法,建立一整套信息安全保障体系

    近几年,“云”的概念越来越火,云服务越来越多:音乐分享、文档分享、通讯录同步、在线购物……原本储存在电脑本机上的word文档,现在越来越多地被储存在google docs上;原来存在硬盘上的音乐、照片,现在也许放在了苹果icloud里;原来的qq聊天记录,也被储存在了腾讯的服务器中。

    云端服务频遭黑客攻击

    “云服务这项技术,需要将用户信息、办公系统,乃至商业机密上传到云端数据库,以便在需要时随时调用。可以想象这些储存了用户资料的‘云’,一旦出现漏洞遭到攻击,其影响和损失巨大。”瑞星安全专家唐威说。

    目前,针对储存有价值的资料进行“云”攻击,正成为黑客的新方向,入侵服务器把用户数据库、财务数据库等重要信息“盗窃”出来的“拖库”事件频频发生,2011年发生的多起恶性事件至今令人难忘:

    4月,索尼psn网络遭攻击,入侵者窃取了大约7700万份个人信息以及2700万个云音乐服务账户,受影响的用户超过1亿人。

    4月,服务于1800万博客和网站的wordpress.com遭到攻击,入侵者盗走了部分源代码和资料,导致vip客户的隐私信息外泄。

    6月,新浪微博遭遇跨站攻击蠕虫侵袭,微博用户中招后会自动向自己的粉丝发送含毒私信和微博,有人点击后会再次中毒,形成恶性循环。

    12月,天涯、csdn等一批著名网站数据库连续外泄,数千万网民的账号、密码等个人资料被公开。

    随着“棱镜门”事件越来越多的爆料,“云”的安全性再次引发人们的关注。

    “不能因汽车会导致车祸,就不发展汽车产业了。”北京大学网络与软件安全保障实验室主任陈钟认为,云服务是一个大的发展趋势,具有重大意义,“关键是要解决好安全问题。”

    要建立完善的信息安全制度

    “从‘棱镜门’事件可以看出,当前国际信息对抗日趋严重,同行业之间的竞争也愈加激烈,然而,目前国内很多企业对信息安全建设的概念仅仅停留在简单安装杀毒软件的层面,这是远远不够的。”唐威说,杀毒软件只能解决病毒相关问题,却不能解决由系统管理不严、员工操作不当和黑客入侵引发的安全问题。“信息安全体系建设,不只是用信息安全产品搭建一个堡垒,更重要的是建立一套完善的信息安全制度”。

    专家指出,想要将信息安全方面的风险降至最低,从“软件”上来说,需要一套分工明确、责任清晰的信息安全管理制度;而从“硬件”上来说,企业不但需要能够对运维工作进行监管,同时也需要对运维人员操作权限进行明确分工、限制。

    现在有这样一些现象:有的单位对于员工上网浏览行为会规定的非常严格,一般不允许浏览新闻、看电影、聊天等,有的单位就管理松散,有时企业管理人员也会利用办公电脑打打扑克,在工作之余进行休闲娱乐活动。“发生在伊朗的‘震网’病毒事件,就是由于信息安全体系出现疏漏而造成的。”陈钟提示到。

    “即使在保密等级比较高的网络中,仍然有许多基本安全保护措施未得到贯彻执行。”唐威说。一项抽样调查显示,45%的主机系统未及时弥补高风险补丁,70%以上的内部网存在弱口令,未安装防火墙,不能防范黑客攻击等等。

    业内人士认为,对于信息安全的保护,应当从安全流程和安全产品两方面共同着力。一方面,信息安全不再是分散的、技术上的简单概念,应与管理、基础建设、应急处理等宏观设计统一起来;另一方面,针对不同行业、不同规模、不同安全级别的企事业及政府单位,应量身定制完整的安全解决方案。

    信息安全亟须立法保护

    专家表示,与欧美发达国家相比,我国信息安全发展还处在初期,很重要的一个原因在于没有完善的法律法规。

    据统计,目前涉及信息网络安全的法律、法规大约有60部左右。但这些法律法规多是明确责任范围的条款,真正能起到保护国家信息安全、推动我国信息安全发展的法律法规还不多。

    北京邮电大学互联网治理与法律研究中心主任李欲晓认为,此次“棱镜门”事件在一定程度上会促进国内信息安全立法。

    “全国人大制定的是上位法,还应形成一系列配套法律法规。比如,美国的棱镜计划针对其他国家进行监听监视,那么,我们就要从保护中国公民、企业和国家安全的角度,做好数据保护立法,建立一套保护机制。”

    李欲晓说,在网络安全基础设施建设中,在软硬件的服务应用过程中,与国家利益安全相关联的跨境数据流动,一定要有法律作保障。“境外企业向中国提供服务时,我们应该要求其在信息采集、应用、传播等方面保证是安全可信的。”

    在市场监管方面,要加强安全防护监管,对数据流动的安全性、合法性要加强监管,对于信息服务提供商,不管是跨国巨头,还是什么其他性质的公司,不能随便滥用取得的数据。

    李欲晓还建议,要高度重视网络素养培养,并纳入到国民教育体系。他认为,由于互联网的出现,极大地改变了世界,“普及网络安全知识,养成安全意识,掌握一些基本安全常识很重要。”

    他呼吁,建立互联网信息安全联合国公约,在他看来,以前我国立法更多的是关注国内,但是互联网是全人类的信息平台,只有各国联合起来才能促进全球信息安全建设,“不能说某个国家有特殊权力,就凌驾于他国之上。”