信息安全頻繁攻擊篇
為什么被病毒偷襲
一場意外足以摧毀整座大樓，但意外不是每天都有；一次病毒的攻擊可以讓公司整個局域網(wǎng)癱瘓，這樣的事情卻時有發(fā)生。不管制造病毒的動機是有意破壞還是無心之過，給企業(yè)造成的影響都是極具破壞性的。
“震蕩波”5月3日入侵歐盟委員會電腦系統(tǒng)。據(jù)歐盟發(fā)言人說，截至3日，在總部設(shè)于比利時布魯塞爾的歐委會2.5萬臺電腦中，至少有1200臺已經(jīng)遭“震蕩波”入侵。同一天，臺灣全省郵局上午遭到入侵，一千三百個郵局中近三分之一因為死機而癱瘓，所有作業(yè)改成人工操作。德國郵政系統(tǒng)、英國海岸警衛(wèi)系統(tǒng)、澳大利亞鐵路系統(tǒng)以及高盛投資銀行都無一幸免，全球超過1800萬臺的電腦受到“震蕩波”病毒的攻擊。
國內(nèi)企業(yè)同樣也遭遇到巨大的打擊。一家新聞單位僅在5月8日一天就受到病毒及變種的1700次攻擊。而根據(jù)瑞星市場部總監(jiān)馬鋼給出的第一手資料，5月1日截止到5月10日16時，僅瑞星一廠家接到的用戶求助電話就已超過4萬，許多企業(yè)的局域網(wǎng)已經(jīng)完全癱瘓。
而現(xiàn)實情況是，許多企業(yè)在明知道其他企業(yè)已中毒，而且媒體已經(jīng)廣泛宣傳如何防毒的情況下，卻仍然麻痹大意，步入其他企業(yè)的后塵，這種狀況著實讓人遺憾。諾基亞中國區(qū)企業(yè)解決方案部技術(shù)部經(jīng)理王磊說：“中國企業(yè)缺乏的不是技術(shù)和產(chǎn)品，而是意識和管理。”對于企業(yè)來說，防范病毒攻擊最重要方法不是裝什么殺毒軟件、到哪里下載補丁，而是如何加強意識并完善企業(yè)的安全制度，保證遇到問題時能在第一時間做出反應(yīng)。
病毒反擊實戰(zhàn)錄
2004年2月的某天深夜，麥格勞希爾公司的HEPDEX系統(tǒng)正高速運轉(zhuǎn)，正在進行檢測工作。零時剛過，系統(tǒng)便檢測到異樣情況，發(fā)現(xiàn)不正常的信息標題大量涌入，而且正從一臺服務(wù)器向另一臺服務(wù)器移動。后來證實，這是當時給全球造成巨大損失的Mydoom病毒。
當時值班的工作人員立即判斷可能是信息安全問題，于是立刻打電話通知信息安全負責人，應(yīng)急響應(yīng)小組也立刻開始進入備戰(zhàn)狀態(tài)，開始檢查狀況、隔離受攻擊服務(wù)器、下載補丁、進行修復(fù)等。從發(fā)現(xiàn)狀態(tài)，緊急集合隊伍，到軟件公司下載補丁，到最后一切恢復(fù)正常，整個過程不過幾小時。第二天早晨8點，公司已經(jīng)可以控制住所有網(wǎng)絡(luò)端口。當病毒再次進入時，系統(tǒng)已經(jīng)可以自動刪除含病毒的附件，郵件收發(fā)一切正常，業(yè)務(wù)也不會受到干擾。而且麥格勞希爾公司在公關(guān)反應(yīng)上也很迅速，第二天早晨，公司已經(jīng)通過大眾媒體向16000名用戶宣布已成功擊敗病毒，用戶自可以放心與公司繼續(xù)進行業(yè)務(wù)往來，沒有任何問題。接下來幾天，公司的監(jiān)測工作一直在繼續(xù)進行，直到確信問題徹底解決。
ISS公司中國區(qū)總經(jīng)理周凱在3月8日晚11：30突然接到總部電話，得知自己系統(tǒng)的一個漏洞可能會被利用傳播病毒。作為信息安全服務(wù)提供商，ISS一面要保證自己安全，另一方面更需要在第一時間通知所有用戶，而且病毒如果利用安全產(chǎn)品的漏洞，后果更加可怕。周凱首先把總部傳來的資料翻譯成中文，同時負責聯(lián)系相關(guān)人員出解決方案，應(yīng)急小組所有人員以及聯(lián)系方式都在一張名單上，就放在離他最近的抽屜里，很快，所有人員聚集完畢，而關(guān)于漏洞的消息也在第二天一早8：00就發(fā)布給Sina、Sohu、Tom等媒體。3月20日，蠕蟲病毒“維迪”發(fā)作，影響甚微。
我們需要應(yīng)急響應(yīng)小組
麥格勞希爾公司首席信息官Mostafa Mehrabani說：“一旦你的公司遭遇某種襲擊，事先都會有個預(yù)兆，這種征兆成百上千，所以你必須做出判斷，什么時候應(yīng)該嚴肅對待。而且大多數(shù)時候，這些征兆都不是物化的，所以你必須積極主動地觀察一切動向，不能有絲毫懈怠。病毒開始襲擊某個點，然后從一個服務(wù)器跳到另一臺，又跳到另一臺，你的反應(yīng)速度必須快之又快。時間，是絕對重要的。最重要的是，如果你沒有一個合適的標準，沒有完善的程序，或者沒有這樣一個優(yōu)秀的團隊來執(zhí)行，那么在你意識到病毒的存在時，你的整個網(wǎng)絡(luò)已經(jīng)崩潰了。”
“我們的應(yīng)急小組是一個虛擬的團隊，我們不知道他們在哪，他們散布在世界各地，但都在同一個制度和政策下活動，一旦有狀況發(fā)生，他們能在最短時間內(nèi)集合起來。我們還對他們定期進行培訓(xùn)，以確保他們擁有準確的知識以應(yīng)對最新的挑戰(zhàn)。我的下屬首席信息安全官是這個小組的直接領(lǐng)導(dǎo)。”
在強調(diào)保護信息安全的今天，國內(nèi)企業(yè)除了重視加大對安全產(chǎn)品的投入之外，更重要的是完善這樣一種應(yīng)急機制以保證對付突發(fā)事件。ISS公司的周凱說：“我們從美國總部到各個地區(qū)的分部，每個國家都有應(yīng)急名單，除了必須包括的資料如手機、家庭電話等，更重要的是，我們還規(guī)定一旦通過各種途徑暫時找不到這個人，那么誰可以代替他擔負責任，而這一切都要固化在名單上。”
可是國內(nèi)很多企業(yè)包括大型企業(yè)的內(nèi)部，都沒有首席信息官（CIO）的職位設(shè)置，更別提首席信息安全官（CISO或CSO）了，應(yīng)急響應(yīng)小組更是無從談起。那么一旦出現(xiàn)意外，根本找不到相關(guān)負責人，整個企業(yè)的安全防線其實非常脆弱，崩潰就在一瞬間。
浪費了100億
根據(jù)研究機構(gòu)MessageLabs今年的調(diào)查數(shù)字顯示，垃圾信占全球電子郵件的36％，其中58.4％都在美國。
研究機構(gòu)Ferris Research今年一項調(diào)查也發(fā)現(xiàn)，全球企業(yè)因垃圾郵件浪費的金額，竟已高達100億美元！這些浪費包括計算機資源、管理人員與收件者的時間成本，以及因而降低的員工生產(chǎn)力。這項研究指出，光是北美地區(qū)，企業(yè)內(nèi)的使用者，每個人每天到辦公室一打開計算機，平均就會收到10封垃圾郵件。

到底是哪些人在發(fā)送廣告郵件？效益到底有多大？他們手上的名單是哪里來的？

Kevin（化名），一位常幫某家傳銷公司發(fā)送線上廣告郵件的人員，可以說是這些垃圾郵件的「幕后黑手」之一。從他的身上，可以一窺背后哪些驚人內(nèi)幕？

發(fā)信2小時，月入5萬！
學(xué)美工出身、本身從事網(wǎng)絡(luò)拍賣的Kevin，每天只要兼差2小時發(fā)送廣告郵件，就可以帶來每個月4～5千元的額外收入。

這一切的過程都很「e」。一年多前，Kevin從電子信箱中一封廣告郵件，看到某家傳銷公司征求兼職人員。它的工作內(nèi)容是用網(wǎng)絡(luò)發(fā)送廣告信，強調(diào)可「在家工作，無須上班」，薪水則依廣告信的回復(fù)率而定。Kevin在線上填寫了資料，不久就收到email通知面試。

錄取之后，上過1小時的新人訓(xùn)練課程，公司會提供廣告網(wǎng)頁，還有可以抓到網(wǎng)友電子信箱的搜尋軟件「Advanced Email Estractor」、發(fā)信軟件「Dmailer」，就能工作了。

Kevin表示，由于他本身另外有在做生意，所以每天只發(fā)送1～2萬封郵件。然而，有的同事是做全職的，每天連續(xù)發(fā)送10小時的廣告信，數(shù)量可高達數(shù)10萬封以上！

至于寄送名單到底是怎么來的？Kevin表示，來源有兩種：

1.運用搜索軟件：到各求職、交友以及新浪、網(wǎng)易等大型門戶網(wǎng)站，就可以搜到網(wǎng)友在上面登錄的電子信箱。

2.上網(wǎng)買名單：有人會在網(wǎng)絡(luò)上發(fā)廣告信賣名單光盤，價格從200～600元到數(shù)千元不等。只要在線上先填寫訂購單，對方會用郵局寄送，采「貨到付款」方式，不用碰面。Kevin就曾花數(shù)百元買過一次這樣的名單光盤，里面有600萬筆資料，「效果相當不錯，」他說。
至于回收率，Kevin指出，以他自己的經(jīng)驗來說，網(wǎng)友回復(fù)率大約有2～3成?！府斎唬灿腥藢懶艁砹R，說收到廣告信很煩！」他不好意思地笑著說。
發(fā)信的、防堵的都有錢賺
把這些回信整理好之后，回傳給公司，就可以依回信數(shù)量來領(lǐng)錢；據(jù)Kevin透露，他每個月在這方面的收入是4～5千元。
不曉得這樣的數(shù)字有沒有夸大。因為研究機構(gòu)Vertis調(diào)查發(fā)現(xiàn)，高達8成的美國成人表示厭惡pop-up（彈出式網(wǎng)絡(luò)廣告）、垃圾郵件、當面行銷；比較能接受郵寄到家的實體廣告信件、報紙廣告、郵購目錄。
不過，無論大多數(shù)人多么討厭廣告郵件，只要有極少比例的人愿意回復(fù)，業(yè)者就可在其中挖掘商機。
從事這項副業(yè)之后，Kevin對廣告郵件的態(tài)度也有轉(zhuǎn)變。以前，他一看到垃圾信就刪掉；如今，他會欣賞別人的廣告頁面設(shè)計得如何，作為自己發(fā)送郵件的參考。
此外，廣告郵件雖惹人厭，防治垃圾郵件卻也帶來龐大商機。研究機構(gòu)Ferris估計，2003年全球防治垃圾郵件服務(wù)的產(chǎn)值已達1.2億美元，2008年更將成長到10億美元。既然發(fā)信的、防毒的都有錢賺，想讓廣告郵件銷聲匿跡，看來是很難！

比病毒更常見的是垃圾信息，雖然它并不能像偷竊和災(zāi)難一樣給您一個“立竿見影”的損失。但是它確實是普遍存在的，而且正在不斷的消耗股東的投資，威脅著公司的正常運作。
對于那些為員工支付薪水的管理者來說，他們應(yīng)該盡量減少員工處理瑣碎事情的時間，避免員工每天被泛濫成災(zāi)的色情郵件，或是股市的暴跌而痛苦不堪。
目前，影響員工集中精神處理公司事務(wù)從而降低工作效率主要有兩種因素：垃圾信息和來自網(wǎng)上的美女，音樂，電影，球賽，股市的誘惑。
垃圾信息分散了員工的注意力
內(nèi)部垃圾信息讓員工心神不寧
我們之所以用“垃圾信息”而沒有使用“垃圾郵件”這個詞匯，是因為在即時通訊風(fēng)行的現(xiàn)在，干擾員工工作的不僅僅是定期收取的“垃圾郵件”，更多的是員工自己無法控制的“即時信息”，而這些無用的“即時信息”大多是由公司的內(nèi)部員工制造。
一些小型企業(yè)購買了RTX后，并沒有及時對每一個員工進行權(quán)限設(shè)置，造成每一個員工都可以向全體員工同時發(fā)送消息，而大部分消息對某一個具體的員工來講是不必要的。QQ也會給員工造成同樣的麻煩。據(jù)統(tǒng)計，在一個使用RTX的小企業(yè)中，一個員工所收取的即時消息中，有一小時是無用的，而且員工在收到這些垃圾消息是會感到煩惱。
與通信相關(guān)的安全性服務(wù)商美國FaceTime Communications和美國IDC合作于當?shù)貢r間2004年4月26日公布了關(guān)于企業(yè)利用即時信息（IM）情況的調(diào)查結(jié)果。他們發(fā)現(xiàn)90％不許使用即時信息軟件的企業(yè)擔心“生產(chǎn)效率下降”、“威脅到信息和網(wǎng)絡(luò)的安全”以及“難以遵守法規(guī)及公司內(nèi)部規(guī)定”等。
對于那些習(xí)慣使用郵件通知員工的企業(yè)來講，內(nèi)部員工的垃圾郵件已經(jīng)成為員工頭疼的事情。“公司里總是有莫名其妙的不認識的人給我發(fā)送郵件，看上去是一個群發(fā)的通知，我還不能把他當成垃圾郵件扔在一邊，但看了之后，發(fā)現(xiàn)和我沒有任何關(guān)系。”某咨詢公司的公關(guān)經(jīng)理抱怨道。
“到目前為止，還沒有什么技術(shù)是針對企業(yè)內(nèi)部垃圾郵件過濾的。只能從公司的規(guī)定中控制”許教授說。
充斥互聯(lián)網(wǎng)的色情廣告郵件降低員工的工作效率
“外部垃圾信息”主要指的是垃圾郵件，在互聯(lián)網(wǎng)上傳輸?shù)睦]件占用大量的資源，不但造成企業(yè)網(wǎng)絡(luò)資源的浪費，而且一旦垃圾郵件占到企業(yè)互聯(lián)網(wǎng)總流量的三分之一，就會造成巨大的存儲需求，直接降低了計算機的運作速度。
據(jù)市場研究公司Gartner公司估計，一家10000名員工的公司因為垃圾郵件問題而造成的生產(chǎn)力損失要超過1300萬美元。歐盟的一項調(diào)查表明，垃圾郵件每年為歐洲造成超過60億歐元的經(jīng)濟損失。
雖然企業(yè)可以運用各種垃圾郵件過濾器來減少垃圾郵件對員工的騷擾，但到目前為止，沒有任何一個處理方法是完美的。名單刪除法，即不在名單列表上的都被視為垃圾郵件是目前比較普遍的做法。但是，伴隨著垃圾郵件的刪除，一些新客戶的郵件也會被視為垃圾郵件，而且七天以后自動刪除，造成的損失很大。
ISS（Internet security system）全球公司德國**公司之后，引進了**垃圾郵件處理系統(tǒng)，這個系統(tǒng)不采用列表刪除法，而是可以查看到郵件中是否包含不健康圖片，這就很大程度上緩解了垃圾郵件對員工的干擾，因為現(xiàn)在大部分的廣告垃圾郵件是包含色情圖片的。
跟蹤足球賽浪費了公司的帶寬
員工利用公司資源處理私人事物同樣會嚴重影響工作效率。據(jù)調(diào)查，在2002年世界杯期間，歐洲有5000萬以上的員工違反公司規(guī)定在辦公電腦上跟蹤比賽，這給歐洲企業(yè)帶來了巨大的麻煩。由于太多人在線收看比賽，導(dǎo)致過渡占用公司網(wǎng)絡(luò)帶寬，影響了正常交易。
公司員工在工作時間不遵守公司規(guī)定，隨意的下載音樂和電影甚至，上網(wǎng)炒股，收看在線比賽甚至搜索色情網(wǎng)站，導(dǎo)致網(wǎng)絡(luò)堵塞的現(xiàn)象在中國的企業(yè)中也時有發(fā)生。而更糟糕的是，許多企業(yè)領(lǐng)導(dǎo)仍然沒有意識到員工隨意占用公司帶寬是公司安全的一部分。
“我們公司沒有任何政策規(guī)定員工不許占用公司帶寬下載電影音樂，直到有一天我們的總裁無法收取他的郵件為止。”某大型企業(yè)的職員透漏說。
目前，多數(shù)大型跨國公司采取的是路由器監(jiān)控，也就是嚴格監(jiān)控員工曾經(jīng)鏈接過的網(wǎng)站。雖然中國企業(yè)現(xiàn)在也慢慢的開始引進這項技術(shù)，但有所不同的是，一旦員工違反公司規(guī)定，利用公司的網(wǎng)絡(luò)資源處理私人問題，跨國公司會立刻 “逮捕”這名員工，并且進行嚴厲的懲罰，而且這種懲罰是實實在在的現(xiàn)金罰款。
麥格勞希爾公司也正是通過這種嚴格的政策來保證公司職員不會浪費公司的網(wǎng)絡(luò)資源。正如中國科學(xué)院高能物理研究所計算中心許教授所說：“有了技術(shù)，有了制度，沒有執(zhí)行，企業(yè)信息安全保障體系仍然等于零。而公司管理者能夠做的就是制定嚴格的易于執(zhí)行的游戲規(guī)則。”



結(jié)語：解讀信息安全公式


加強意識 防患未然
《中國財富》所指向的信息威脅遠遠超過黑客攻擊、病毒肆虐的范疇，信息安全也遠不是“技術(shù)”二字可以解決的問題。我們自己的安全自然要加倍保護，而首先即是加強防患意識，不要在技術(shù)上已近乎完美，卻因一時疏忽而滿盤皆輸。不要像有些公司的總裁，嚴格規(guī)定不允許任何員工隨意進入自己的辦公室，但卻忘了防范清潔工；不要像有些銀行完全有能力向NEC購買故障率為千萬分之一的服務(wù)器，但是卻使監(jiān)控帶子輕易流入二手市場；不要等到某一天公司的一個普通員工捧著一疊董事會的協(xié)議交給你，說是從他身旁的打印機取出來的；也不要等到競爭對手對自己第二年的戰(zhàn)略規(guī)劃已了如指掌，只因花幾百元買通普通員工輕易取走了你上一年的人事變動情況表。
金諾網(wǎng)安總裁金波說：“國內(nèi)許多企業(yè)缺乏的是一種安全意識的培養(yǎng)。舉個很簡單的例子，黑客攻擊往往利用的是最古老的漏洞。可以看出，這種安全問題絕不是技術(shù)層面上的。”而那些購買了瑞星、金山的殺毒軟件后從不升級的企業(yè)，在遇到最新病毒時無法應(yīng)對則是缺乏意識的另一個印證。危機總是在你意識最薄弱的時候發(fā)生，不要等到中毒后才開始尋找解藥。
規(guī)范制度 確保實施
意識之后，就是制度和執(zhí)行的問題。
本刊記者專訪首次來華的麥格勞希爾公司CIO Mostafa Mehrabani時，這位曾被評為全球百名信息技術(shù)最佳領(lǐng)導(dǎo)者，帶領(lǐng)全球隊伍為公司以及所有客戶提供信息解決方案的CIO一開始就提出保衛(wèi)信息安全的四大要素：技術(shù)、制度、流程和人。
“合適的標準、完善的程序、優(yōu)秀的執(zhí)行團隊，是一個企業(yè)信息化安全的重要保障。技術(shù)只是基礎(chǔ)保障，技術(shù)不等于全部，很多問題不是一個裝一個防火墻或者一個IDS就能解決的。在組織架構(gòu)上，我們有兩個小組，一是專門制定安全政策和規(guī)則的小部分人，另外一組是大部分負責執(zhí)行的員工，在軟件、硬件以及網(wǎng)絡(luò)等相應(yīng)部門。而制度很重要，如何執(zhí)行這個制度更為重要，沒有執(zhí)行一切都為零。我們能保證一旦遇到緊急情況，散落在各地的應(yīng)急響應(yīng)小組能在最短時間內(nèi)集合起來。一旦有成員違反規(guī)定，我們將有十分嚴格的懲罰措施。”
保證制度的執(zhí)行非常重要，安氏××說：“給企業(yè)提供的安全服務(wù)再周到，如果企業(yè)的執(zhí)行力度不夠，只能發(fā)揮其中的一小部分功能，1＋1不一定等于2。” 任何問題歸根到底都是人的因素，加強對員工的管理，對企業(yè)管理者來說比單純購買產(chǎn)品或者制定規(guī)則重要得多，像我們國家許多保密部門信息化安全部署得很全面，但只要一個員工不按規(guī)定辦事，上班時偷偷連上外網(wǎng)，機密很有可能就這樣流出。“本來以為規(guī)定就足夠了，但是人的心理是沒辦法監(jiān)控的。所以對人的管理應(yīng)該是信息安全最為重要的問題。”許教授說。
電子取證 法律結(jié)合技術(shù)解決安全問題
而對人的管理還需要通過法律來約束，前提又是技術(shù)做保障。
安然公司為了銷毀證據(jù)，公司里的碎紙機整天不停地高速運轉(zhuǎn)，大量文件資料被銷毀，還不能公然焚燒，他們就把這些碎紙裝進麻袋里，放在卡車上，裝了好幾輛卡車，裝上卡車又不知道往哪兒開。于是公司高層下達命令，讓這些滿載碎紙的卡車在高速公路上開下去，一直開了一兩個星期……
另一方面，公司電腦存有大量重要資料，包括財務(wù)報表等，他們必須銷毀這些證據(jù)。FBI預(yù)料他們要進行大規(guī)模的破壞，卡車是找不到了，但電腦跑不了。他們就以最快速度趕到公司，一個早晨便將100臺電腦全部封鎖。當場運用取證技術(shù)，電腦有無口令都無所謂，因為可以直接把硬盤鏡像過來。這種技術(shù)原理不復(fù)雜，相當于照一張相，而現(xiàn)場不加任何改動。鏡像后加自己的軟件，對磁盤結(jié)構(gòu)進行專門分析，研究刪除的文件怎么恢復(fù)，最終獲得大量輔助證據(jù)。
電子取證技術(shù)已經(jīng)在輔助公安部偵破犯罪方面發(fā)揮了很大的功效，在我國，中科院高能物理所的許榕生教授和他的學(xué)生們正在研究這個課題并計劃投入生產(chǎn)。許教授說：“這種取證技術(shù)可以記錄黑客入侵的每個行為，時間精確到秒，而且還可以恢復(fù)已被刪除的文件。”許教授目前正在研究“白匣子”，與“黑匣子”記錄黑客入侵行為不同，“白匣子”專門記錄知識產(chǎn)權(quán)。“如果你的文件在這個匣子上拷貝一次，就留下證據(jù)，后面的人如果拿不出其他證據(jù)證明在之前拷貝過，就足以證明它的產(chǎn)權(quán)是你的。”對員工的每一次拷貝行為都有記錄，那么再處理員工偷盜問題時，就有技術(shù)和法律做保障，加之一些制度的制定以及對員工價值觀的培訓(xùn)，企業(yè)信息安全防線會更加穩(wěn)固。
我們終究不能像電影《黑衣人》或者《記憶的裂痕》那樣，通過消除員工的記憶來保證企業(yè)機密不被泄露，我們也永遠無法阻止地震或火災(zāi)的發(fā)生，但是我們有辦法讓我們的企業(yè)更安全。

擴展閱讀

版權(quán)聲明：