苏文力,阳光保险助理总裁,央行观察专栏作家
前几年分管互联网中心工作的时候,每天都会登录到公司网站上转转。这天我按照习惯上网浏览公司产品销售页,结果发现网站反应速度极慢。正准备打电话了解情况,互联网中心负责人急火火的推门进到我办公室,反映公司网站正受到黑客攻击,对外服务基本瘫痪。看到她紧张焦急的的样子,联想到这段时间大家辛勤的工作,自己突然有了一种释然放松的感觉,就笑着对她说“祝贺你!终于有黑客光顾了。”看她一脸不解的样子,赶紧补充道“有黑客来攻击,意味着公司网站有些价值了,说明前段时间咱们的工作已经取得了成效,不过IT方面可要有事情做了。”
威胁从哪来?
网络安全防控跟现实生活的财产安全防控非常相似,当一家商店里没有值钱的东西时,小偷是不会光顾的,你也不用考虑财产安全防控的问题。随着商店里财富增加达到一定程度,小偷就会被吸引过来,就必须开始考虑加强安全防控措施了。防控力度取决于需保护财产的价值,财产价值越高,对小偷越有吸引力,若得手后会有高回报,更会吸引一些大盗前来冒险。被偷可能的损失越大,投入的防控支出所发挥的作用也越大。防控投入要算经济账,不可能无限制增加,但一定要与所保护财产免受损失的价值相匹配。
网络上的小偷就是黑帽黑客,其通过网络,利用技术手段进入企业的电脑中,或窃取数据或破坏你的数据。就如同破解门锁进入商场,窃取或破坏你商店里值钱的物品一样。窃取数据是为了获取信息,然后在地下市场卖出获利。比如窃取电脑中的客户电话号码、身份证号码、家庭住址、工作单位等隐私信息,卖给诈骗集团。破坏数据则是指篡改企业计算机系统中的数据,使得这些数据中反映的信息对其有利,从而获取利益。比如篡改银行账户中的资金余额,或是删除变更企业记录的一些合同债务等信息。
还有一种网络上的攻击者叫白帽黑客,起正面积极的作用。其运作方式是经过你公司同意进行网络侦查攻击,想方设法进入你的系统。有别于黑帽黑客的是其不做任何损害你利益的事情。不拿走也不变更你的数据,而只是证明是否存在漏洞机会。检测你系统的安全性,发现你的盲区薄弱环节,让你及早进行安全加固,不给黑帽黑客以可乘之机。就如同现实中,请其他另外的安全人员扮成旅客前往机场,尝试各种手段携带危险品突破防卫进入核心区域,以检测机场安全防卫系统的可靠性。特别要强调指出,除非是国家安全机构,任何未经你授权同意就对你系统进行的网络攻击行为都是违法的。
若有公司或个人自称白帽子,发现了你公司一些网络隐患,想据此提供安全防护服务,要特别当心。一些圈内人士印证,许多安全漏洞被告知前,数据盗窃和破坏行为已经完成,价值就几乎已被榨干。一些黑帽子先把黑钱挣了,再改头换面以白帽子形象赚你钱。若能够有证据证明其未经允许曾经攻击过你的系统,就应该可以对其提起法律诉讼。一些受害者出于公司声誉等原因息事宁人,最终不但造成自己蒙受更多损失,还让这些歹徒有机会加害更多人。
攻击者会积极探测发现当前网络中存在的技术安全漏洞,研究新型攻击手段。有一种阴谋论的说法,认为提供防攻击服务的网络安全公司也会有类似行为。从正面角度说,其是为了抢在窃贼之前发现问题,提前做好准备;从负面角度来看,就是为了制造市场需求,昧着良心挣钱。这种事情一旦被公众发现,会给其经营带来灾难性的影响。相信业内成熟公司为了自己的长期发展考虑,会非常珍惜自身信誉,努力正当的做生意。但不能排除一些初创小公司,可能会有走旁门左道的冲动或行为。
常见的防护手段
本文开头所描述的攻击被称作拒绝服务攻击,其目的就是让你的网站运行瘫痪,无法正常对外服务。类似过去街面上的地痞无赖堵在店门,让你的店铺无法营业,然后收取保护费。在当今社会,保护费是很难收到的。不少黑客的行为就是以颠覆秩序为乐,以哗众取宠为荣,期待得到精神上的满足。拒绝服务攻击的技术含量比较低,市场上有大量能够有效应对该类攻击的网络防护工具。一般经过一段时间后,攻击手段会出现一定程度的变异提升,但只要通过相应工具升级就可以有效做好应对防御。
数据资产的安全是大家最为重视的,需要采取一系列网络安全防护措施,让攻击者进不来,进来了看不懂,看明白了也拿不走。就如同对自己家庭重要资产的防护,不让小偷进入到家里来,进来了让其分不清那些东西值钱,即使找到保险柜,也打不开、搬不走。防止攻击者进入你系统区域最常用的方法是访问控制,对用户访问网络资源的权限进行严格的认证和控制。例如进行用户身份认证,设置用户访问目录和文件的权限,控制网络设备配置权限等。类似给家里大门及柜子层层上锁,只给有需要的人配置钥匙,不让外人随便出入或打开。
加密是防护数据安全的重要手段,让攻击者看不懂系统中所存放数据的具体含义,以达到保护数据的目的。要将关键敏感数据和非关键敏感数据区分开来,对关键敏感数据一定要进行加密处理。这样即便有人能够接触到这些数据,也不能轻易读懂其具体信息内容,不会造成关键信息泄露。例如客户的密码就是关键敏感数据,必须进行加密存放,一定不能明码存储。生活中有些家庭将贵重物品包装在食品袋中存放到冰箱里,让小偷一时分辨不清,就是类似的做法。
另一项安全防护措施是网络隔离。就如同商店,分公众活动区域、柜台收款区域和收银机。通过限定每个区域可以进入的对象,达到层层防护的作用。网络服务也要依据不同使用者的使用频度和使用程度,通过防火墙部署和网段路由设置等举措进行数据访问隔离。将常用且不关键的数据放在比较方便存取的区域,将关键数据部署在相对难以进入的区域,以提升整体安全性。
所谓数据不被拿走是担心攻击者把系统中的数据传向网络,因此要控制使用大规模数据下载功能,只对特定对外服务要求开放该使用权限。配套监控和审计也是重要的防护手段。监控就如同在超市里的监控摄像,有专门人员通过监控摄像观察顾客在超市里的行为。对于监控中发现的网络访问异常举止,就要采取有针对性的行动。一段时间后还要安排整体事后检查,就是审计,可以对某个访问者或区域进行有针对性的仔细核查,发现可能存在的攻击和隐患。
企业网络安全适用于木桶理论,安全程度取决于你的防护短板有多高。攻击者不会去碰防线中最坚固的部分,而是会寻找并攻击最薄弱的环节。要经常进行安全漏洞扫描,检查整个防护体系哪里存在漏洞,及时进行修补。就如同一个堡垒,很可能随着时间的侵蚀和各种攻击的破坏,逐渐产生出新的薄弱环节,及时修复就会确保整个堡垒抗攻击能力的提升。
IT系统安全性并不天然可靠,操作系统、中间件、应用程序和网络设施等经常会被发现存在新漏洞,因此需要不断打补丁,全方位修补漏洞,以确保系统的安全。漏洞随着攻击者和防护者的不断试探交锋被逐步确认发现,所打的补丁也只是当时能够发挥作用,不要幻想一次性发现所有问题并能够一劳永逸的解决,该项工作需要长期持续进行。
安全防护管理策略
网络安全需要建立立体防护体系,就如同建立起立体的军事防护工事,火力交叉、相互协同保护。整体的防护体系可以避免让攻击者一点突破就一览无余,要迫使攻击者层层推进都遇到强大的阻力。整体防护所带来的防护效果会比强调某单项防护做到极致效果好的多。这需要在各层面采用的防护技术要有所变化,不能单打一。要结合企业自身特点,配合应用架构进行有针对性的整体安全设计,以形成企业网络安全防护的独特屏障。要经常检视整体防护架构的安全状况,当发现安全级别无法达到企业要求时,及时进行架构上的调整加固。
公司一定要有一支自己的安全防护队伍,负责制定公司安全策略并组织实施。可以考虑购买安全防护服务,在技术上获取最大限度的帮助。网络安全防护公司可以提供非常专业的服务,但其人员变化比较大,所能够承担的责任十分有限,更无法对甲方企业内部安全防护进行协调组织。如同你可以请保安公司保护你的商场,但你一定要有自己的保卫部全面统筹安全保卫工作。你的安全防护程度要求越高,自己的安全防护队伍规模就越要大,能力就越要高。
安全防护非常繁琐,需要长期持续细致的工作,任何疏忽大意都可能给企业带来巨大的损失。要在企业中加强安全防护的教育和培训,让人人都建立起数据安全意识。更重要的是必须落实数据安全责任,做到谁守护的防线谁负责,谁的数据谁负责。落实责任的同时还要赋予相应的权利,并配套相应的资源。这样的安排可能会带来使用数据的不方便,但这就是安全所需要付出的代价。
网络安全是相对的,现在没有发生问题并不是你的防护工作已经做到万无一失,而可能是真正的攻击高手还没有对你采取行动。记得过去在银行工作的时候,我们刚刚完成了一次全方位的网络安全加固,从各个方面对系统安全进行了升级,设想了许多可能的攻击手段,有针对性的采取了一系列防护措施。正好人行开展商业银行网络安全状况检测,请来自国家专业网络安全机构的专家对部分银行网络安全状况进行评测。我们一方面很有信心,另一方面也很想看看自己的防线坚固程度究竟如何,就主动申请接受检查。
一段时间后结果出来了,首先我们得到了非常肯定的结论,认为我们是国内银行及金融界,乃至所有商业网站中安全工作最出色的。其次就指出了我们还是存在漏洞,并现场演示如何通过侵入客户电脑,假借客户欺骗银行系统,变更交易信息内容的过程。这让我们认识到山外有山,道高一尺魔高一丈。赶紧回去组织力量调整相应的客户终端安全策略,安排防护加固。他们留下了一句让我印象深刻的话“任何商业级别的网络防护措施,在国家级别的网络安全攻击面前都没有太多抵抗力。”
企业建设国家安全级别的网络防护体系实在不太现实,且除非处在国家战争敌对状态,才会发生有国家级别对手的攻击。真到了那个时候,也会有所征兆,咱们国家也会提供相应的支持帮助。在网络安全方面,大家军备竞赛更多的是体现比别人做得好。攻击者肯定是挑软柿子捏,比较而言谁的安全漏洞明显,谁最容易遭受攻击。就如同在野外遭遇猛兽时,你不必成为跑的最快那一位,但一定不能成为落在最后的那一位。
声明:本文来自央行观察,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。