网路服务的应用为企业节省成本与提高升生产力是最显而易见的,因为公司不必再去烦恼彼此系统间如何沟通的问题。沟通程序越简化,就越能提高生产力。生产力一旦提升,成本自然降低。但也由於网路系统比以前更加便利,电脑性能与运算能力越来越强,越来越好用,也提高非法入侵的频率。由种种关於电脑网路的发展显示,未来破坏安全的入侵行为只会越来越多。
便利之下的隐忧
人
司外部的骇客∶近几年来小至个人用户大至政府机关都无不使用网路,也由於它的便利,入侵事件也逐年成倍数成长,去年十一月至今年七月长达八个月间,我国政府网站爆发有史以来首宗规模最大、系统遭大陆骇客入侵窃取大批资料事件;遭大陆骇客入侵网站高达四十二个、电脑多达二百一十六台;行政院长游锡指示相关单位建立整体性的国家资讯通信安全防护机制,定期对政府网站侦测扫描、补强漏洞。
公司内部怀有恶意的员工∶防了外来的入侵,却忽略了公司内部员工所可能带来的伤害,之前美国某高科技公司离职员工入侵该公司电脑系统重要档案。根据国际电脑安全协会(ICSA Security Report)指出,六十%的 密事件来自企业内部,十五%来自外部入侵。
操作上的疏失∶公司内部人员对网路不了解与管理不当造成威胁与损失,像是帐号密码管理疏失及一些不当设定造成的安全漏洞,让骇客有机可趁。微软曾经传出总部遭骇客入侵,窃走了包括Windows XP、Office XP的软体原始码。据传闻,骇客藉由连上微软公司员工的家用电脑,透过迂回方式,成功地躲过层层防护措施,进入微软内部网路,搜集部份密码後,再将这些资料转寄到俄罗斯的一个邮件帐号。
病毒
不断改良的病毒,由2001 年 Code Red 与 Nimda 电脑病毒利用微软IIS伺服器的漏洞,不但能避开网路的管制大门 - 防火墙,还会在系统上建立後门,2003年初SQL Slammer Worm 病毒,则是利用SQL 的漏洞入侵系统,在系统中取得网址,并开始找寻网路互联有弱点的主机系统再进行感染。Slammer病毒在2003年1月25日发作,藉著SQL Server资料库当中的漏洞,在发作的前五天,就造成10亿美元的损失,同时也以极快的速度散布到全球各地。现今复合式的病毒,单靠防毒软体与防火墙防御是不够的,因为防毒软体,只能防的了病毒,却无法防的了弱点,防火墙,只能对特定的port 进行限制,却无法过滤掉,存在 e-mail 传送所含带的复合式病毒中的弱点。
弱点
软体弱点∶软体的弱点存在於作业系统和应用程式软体中的错误,骇客就经由这些弱点对电脑进行入侵,取得、更改、破坏电脑中的资料或造成当机,而它所造成的损失,常常是无法估算的
管理弱点∶由於管理上的疏失,因而导致被入侵,如系统设 不当或是帐号密码过度於简单而容易猜测。
安全问题永远层出不穷,病毒、入侵型态也不断翻新,骇客越来越精明,入侵软体只需找一下,就可下载一堆骇客工具,这些当然是不合法的,但不管怎样,入侵的类型只会越来越多。
§ 骇客入侵流程∶了解骇客的入侵流程,管理者可以更加清楚知道,骇客从何而来?
(如图一)
网路应用快速普及,网路的应用程式也大幅成长,大部份的公司因为人力编制有限,而且未善用适当的工具加以管理,难免会产生疏忽而导致骇客入侵。美国联邦调查局 ( FBI ) 和旧金山电脑安全机构在去年公布一项调查,受访的500家企业和政府机构中,约有90%在过去一年中有遭受攻击的经验,损失总额逾4.5亿美元。
倍数成长的弱点
美国电脑紧急事件反应小组协调中心(CERT/CC)
美国电脑紧急事件反应小组协调中心(CERT/CC)公布的数字显示,2002 年该中心接到的电脑安全事故报告中指出,2002年发现弱点数为4,129个是2000年发现弱点数1,090个的4倍,2002年发生的资安事件为82,094件是2000年发生资安事件21,756件的4倍,由此我们可得知,弱点数量与资安事件是成正比的,且99%的骇客是利用既有的漏洞入侵。
1995-2002 弱点统计报告
| Year |
1995 |
1996 |
1997 |
1998 |
1999 |
2000 |
2001 |
2002 |
| Vulnerabilities |
171 |
345 |
311 |
262 |
417 |
1,090 |
2,437 |
4,129 |
1990-2002 安全事故统计报告
| Year |
1990 |
1991 |
1992 |
1993 |
1994 |
1995 |
1996 |
1997 |
1998 |
1999 |
2000 |
2001 |
2002 |
| Incidents |
252 |
406 |
773 |
1,334 |
2,340 |
2,412 |
2,573 |
2,134 |
3,734 |
9,859 |
21,756 |
52,658 |
82,094 |
公开的已知安全漏洞
CERT/CC是报告漏洞的一个主要Internet安全问题报告中心,偶尔发布一些报告,提供某个严重安全问题的描述及其影响,并提供修补的建议或变通办法的细节。除了CERT以外,CIAC (Computer Incident Advisory Capability) 也报告漏洞,许多不同的组织可能会用不同的名称来报告同样的漏洞,为了解决这个问题,MITRE支持常见漏洞揭露(CVE, Common Vulnerabilityies and Exposures)列表来对所有公开的已知安全漏洞建立单一的独有名称以相互区别,例如造成SQL Slammer Worm 病毒的安全漏洞,CVE 编号为 CAN-2002-064,可由 http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0649
)获得安全漏洞的描述。NIST的ICAT(http://icat.nist.gov/) 则是CVE弱点搜寻引擎,把每个CVE弱点分类并提供查询与比较。
风险评估->风险管理
什麽时候才能阻止网路骇客入侵?人类文明已有四千年历史,何时才能让犯罪成为绝响?答案是∶永远不会。网路世界也是一样的道理,我们最多能做的就是尽可能管理风险,将风险降到最低,一如在实体世界的做法。
风险评估
资讯资产、威胁、弱点是风险评估的三大要素,经由企业内部资讯资产所面临的潜在威胁与弱点,在由资产价值与潜在威胁与弱点发生的机率或强度,决定该资产的风险值(Risk Value)(如图二)
风险管理
企业走进e化,数位化资料比例日亦加重,重要数位资产除了网路快速发展之脚步促使、并应促使组织重新思考其安全策略的完善与否。今日的企业首重在於藉由风险评估与符合其本身实际的需求去订立安全政策来保障数位资产。
利用安全漏洞扫描器 ( Vulnerability Scanner ) 工具对网路上设备及主机做风险评估与管理
网路安全在过去一直倾向采取被动式管理的防护策略,被动式防护所使用的设备及工具也是最省事且直接有效的,例如防火墙、入侵侦测等。然而在复合式病毒出现後,被动式的防护策略已显得防御力不足。利用软体漏洞进行攻击的病毒总是造成企业与机关大量损失,使得企业只能忍受亡羊补牢的损失。漏洞扫描器 (vulnerability Scanner ) 为网路安全中评估弱点及风险的重要工具,它主要的功能是找出网路主机及设备的漏洞以及隐藏性风险以及鉴定网路架构安全程度,如同雇请善意的职业骇客进行安全漏洞评估分析。大致上能对SMTP、POP、HTTP、FTP、SNMP、Telnet、SSH、NFS等协定,以及帐号密码管理疏失及不当的设定做安全检测,完整的功能更可以对防火墙、路由器等硬体设备以及资料库伺服器(MS SQL、MySQL、Oracle等)做检测。漏洞扫描後所产生的风险评估安全报告也可以分别提供给管理者及技术人员,管理者报告仅提供了解整个网路的安全状态及风险程度分析,而技术人员报告提供每一个弱点说明及修补建议,提供技术人员进行修补的方法,将隐藏性风险及威胁降至最低,使原本必需大费周章的弱点评估管理工作变得轻松容易。
网路的安全管理是必需的,企业必须先评估现有网路的安全状况,才能充分了解自身网路的安全防御能力,并拟定妥善的网路安全政策,配合适当的防护设备、定期的稽核以及持之以恒的系统管理制度配合,才能在利用网路的高效率的同时,也能保护网路及资源不致於被破坏或窃取。
作者:中华龙网产品技术处 赖妍帆
版权所有,如欲转载,请文章完整,或经本公司同意。
网路、安全、弱点与风险管理
