“老三樣,堵漏洞、做高牆、防外攻,防不勝防。” 日前,中國工程院沈昌祥院士這樣概括中國信息安全的基本狀況。
信息安全提了這麼些年,究竟國內的網絡如何脆弱,如何不堪一擊,恐怕常人是難以想象的。公安部計算機安全機構、國家信息中心的領導最熟知。從現在的實際運營狀況看,可能存在的一些問題,令主管信息安全的領導擔憂。本文僅列舉出網絡安全方面的問題和大忌,供有識之士發表高論,起一個拋磚引玉的作用:
一、不堪一擊的根服務器
互聯網的唯一致命弱點就是它完全依賴於使用根服務器的域名系統(DNS),根服務器掌握著國際域名(如 .com, .net, .org)的所有授權細節。
位於全球的網絡結構的核心中共有13台這種根服務器。這個服務器網絡由命名和數字互聯網公司(ICANN)管理,該公司是一個提供互聯網命名規則咨詢服務的集團。中心或者說A服務器管理著主域名列表,該服務器由一家名叫 Network Solutions 的美國公司管理。每天,主域名列表會被復制到位於世界各地的其它12服務器上。這12個服務器大部分在美國的軍事、教育站點和 NASA,另外,在日本,瑞典和英國各有一台這種服務器。
據 Excite@Home 的主任技術專家 Milo Medin 講,對上述服務器采取同時、持續分布式拒絕服務(DDoS)的攻擊,就像前幾年對著名電子商務網站 Yahoo! 和 Amazon.com 的攻擊一樣,那麼,整個網絡的通信聯絡將全部終斷。
當我們在域名系統中輸入一個純英文的網站地址的時候,一個叫作"quot;BIND"quot;的開放代碼軟件就會把這個英文名字轉化成全部由數字構成的互聯網協議地址,也就是我們通常所說的 IP 地址。組成 IP 地址的這些數字向網絡發送信息包。"quot;根域名服務器被看作是技術基礎設施中至關重要的部分。
而DDoS 攻擊的作用並不會被馬上察覺到。在遭受攻擊後,那些著名的網站會比其它網站晚些受到影響,因為通常在電腦中有緩存支持。攻擊所造成的損害會通過那些不是很出名的站點開始不工作顯現出來。最後,那些沒有根服務器的國家的網站,包括澳大利亞,中國等,將從整個網絡世界中消失。
由於13台根服務器被分散在世界各地,所以,對單一根服務器的攻擊只會造成很小的影響。但是,在奧林匹克運動會即將於北京2008開幕之際,誰也不知道網絡恐怖主義者是否會同時對所有的根服務器采取攻擊行動。一位澳大利亞的計算機故障快速反應小組的(AusCERT)發言人稱,任何對根服務器的攻擊都會造成嚴重的影響,對於澳大利亞來說,擁有自己的根服務器是明智之舉。
攻擊必須在數小時內完成並能保持最大破壞狀態數十天,但是,大量的備份系統將使攻擊變得十分困難。而恢復的時間可能需要數天,甚至數周,這期間世界上整個互聯網服務將處於中斷狀態。網絡之間的相互聯系越是緊密,任何服務中斷所造成的不可見連鎖反應就越大。
中國目前也沒有自己的根服務器提供域名管理服務,就像澳大利亞一樣,所以在其它根服務器遭到攻擊後,我們也將失去與世界上其它地方網絡的聯系。是否我們也要等到舉辦奧運會的時候才考慮設置自己的根服務器.
美國:1997年7月,一次主根服務器停電造成了數據被損壞,使得網絡運營受到了嚴重的影響。美國政府的商務部授權對該系統面臨私有化進行討論。最後,討論的結果認為保證互聯網的穩定性是任何 DNS 管理系統的首要任務。
二、脆弱性:銀行網絡存在嚴重的漏洞
來自CCID的網絡安全市場報告:
信息產業部1999年對銀行證券系統的1546個營業部門23萬台計算機的檢測中發現全部都有安全漏洞,留下了眾多的網絡安全隱患。近期的銀行計算機信息系統的安全事件時有發生,並呈增加趨勢,網絡安全事件的損失呈擴大趨勢。目前中國已有20多家銀行的200多個分支機構擁有網址和主頁,其中開展實質性網絡銀行業務的分支機構達50余家,客戶數超過40萬戶。50多家銀行發行銀行卡兩億多張。隨著網上銀行的應用推廣,銀行業的網絡安全問題將關系到銀行新業務增長點的開發、銀行的信譽乃至生存。中國人民銀行現正在起草網絡銀行業務的管理辦法和有關網絡金融風險管理的指引,近期將會出台,將進一步增強銀行業的網絡安全意識。
目前,金融機構和銀行信息網絡系統存在的漏洞之綜合分析:
1.來自互聯網風險:
網上銀行、電子商務、網上交易系統都是通過Internet公網並且都與銀行發生關系,銀行系統網絡如果與Internet公網直接或間接互聯,那麼由於互聯網自的廣泛性、自由性等特點,象銀行這樣的金融系統自然會被惡意的入侵者列入其攻擊目標的前列。
2.外單位風險:
銀行系統與電信局、水電部門、保險公司、證券交易所等單位網絡互聯。由於銀行與這些單位之間不可能是完全任信關系,因此,它們之間的互聯,也使得銀行網絡系統存在著來自外單位的安全威脅。
3.來自不信任域風險:
大部分銀行系統都發展到全國聯網。一個系統分布在全國各地,范圍之廣分布到鄉鎮乃至村鎮,而且各級銀行也都是獨立核算單位,因此,對每一個區域銀行來說,其它區域銀行都可以說是不信任的。同樣存在安全危脅。
4.來自內部的風險:
據調查統計,已發生的網絡安全事件中,70%的攻擊是來自內部。因此內部網的安全風險更嚴重。內部員工對自身企業網絡結構、應用比較熟悉,自已攻擊或洩露重要信息,內外勾結,都將可能成為導致系統受攻擊的最致命安全威脅。
5.管理安全風險:
銀行內部員工的安全意識薄弱,企業的安全管理體制不健全也是網絡存在安全風險的重要因素之一,健全的安全管理體制是一個企業網絡安全得以保障及維系的關鍵因素。
安全威脅可能引發的結果有非法使用資源、惡意破壞數據、數據竊取、數據篡改、假冒、偽造、欺騙、敲詐勒索等。種種結果對銀行這樣特殊性的行業來說,其損失都是不可估量的。
案例:網上銀行似乎成了黑客關注的焦點
去年6月初,有人盜用網上銀行網管員信箱,假借“網絡銀行系統升級”名義,給網上銀行客戶發送電子郵件,索要網上銀行注冊客戶的用戶名(登錄卡號)和密碼。目前,該行已經在自己官方網站的顯著位置刊發了“重要提示”,對其網上銀行客戶預警。 巧合的是,幾乎是在同時,在全球范圍內,1200多家歐洲和美國的銀行和保險公司稱,其客戶密碼和信用卡號碼等重要信息有可能已經被黑客竊取,6月4日發作的“怪物”病毒變種,已經開始在因特網上呈現出蔓延勢頭,波及到100多個國家,而據反病毒專家稱,這種“怪物”病毒會不斷變換形式,並能對付反病毒或_blank">防火牆軟件。更值得警惕的是,這種病毒會在受到感染的電腦中安裝“木馬”程序,使黑客能將銀行用戶的信用卡號和密碼秘密傳送至某一特定郵箱地址,從而達到非法竊取他人資金的目的。
三、電信部門的輕視和網絡安全意識的淡漠
案例:1
2002年7月25日上午,警方接到報案,湖北教育網站連續受到黑客攻擊,致使全省28萬考生無法及時查詢高考成績。
警方發現黑客上網的IP地址屬監利范圍,並很快查得黑客使用的電話。由於此號多次移機轉戶,資料斷層,一時難以找到其確切位置。干警們在監利縣電信局積極協助下,,冒著大雨走街串巷,經過5個小時排查,終於在監利大市場一門店前發現了該號碼。一部電話放在店內牆角小凳上,卻不見電腦及上網工具。正在犯疑之際,細心的偵查員小潘發現有一根電話線牽上閣樓。干警們爬上閣樓,果見這根線上連著一部電腦及上網設備,旁邊有一堆光盤。經查,其中有9張黑客工具光盤。偵查人員現場開機,發現該電腦裝有多種黑客軟件,並且有使用過的跡象。警方將店主彭某的兒子小彭控制。
經對該機硬盤的數據解讀和對黑客軟件的成果記錄判讀,7月24日,該台計算機的確登錄掃描過省教育網的服務器。省教育網傳來的被攻擊記錄顯示與該台計算機使用軟件的時間及IP地址相吻合。在事實面前,21歲的荊州某高校計算機大三學生小彭不得不承認,其妹妹高考只有317分,他心理極不平衡,便於23日、24日兩天攻擊省教育網站。
案例2:
2000年 7月23日17時48分,重慶永川市電信局“永川熱線”網站突遭“襲擊”,24日“黑客”再次襲擊,“永川熱線”不堪重負,整個網絡陷入癱瘓。據統計,在連續四天時間裡,“永川熱線”先後五次遭“黑客”數據“炸彈”的狂轟濫炸,網站服務器數據被大量破壞,累計中斷服務23小時,直接經濟損失上萬元。重慶市公安局科技通信處偵查人員很快查到了“黑客”用來攻擊的電話號碼,並查此電話屬於上海東石軟件公司。據該公司介紹,公司的軟件程序員張勇23日至26日夜一直在上網。
以上2例案件都說明電信局工作的失誤,至少是網絡安全意識的淡漠而導致了黑客的入侵或破壞。假如,電信部門在網絡鏈路上主動添加防護設備(如:入侵檢測系統IDS)是完全可以避免事故或事件發生的。因為,大部分服務器都寄存在電信局,入侵檢測方面應當是電信部門的本職業務范圍,郵電技術部門完全應當意識到本地網絡的漏洞或問題,在現有技術條件下,本應當避免的上述事故的發生,可見電信部門的輕視和網絡安全意識的淡漠。(電信部門不是沒有錢改造網絡環境和防范黑客入侵,根本就是不負責任和輕視網絡安全造成的)。事後配合警方破案僅僅是例行公事罷了。
四、信息安全產業和產品令人擔憂
目前,中國網絡安全技術和產品有如下九大類產品
防火牆、VPN(Virtual?Private?Networks虛擬專用網)、信息加密、訪問控制、身份認證、日志審核、安全評估、入侵檢測、存儲安全等。
安全產業的缺陷和不足(吹毛求疵,尖刻但實在,希望安全廠商別在意啊!)
1. 防火牆越砌越高,入侵檢測越做越復雜,病毒庫也越來越龐大,卻依然無法應對層出不窮的惡意攻擊和病毒,尤其是無法禁止已經在電腦硬盤中駐存的一些惡意程序向網絡上肆意傳播。根子肯定是出在“信息安全產品的薄弱性和不穩定性”(中國信息安全產業分會常