“老三样,堵漏洞、做高墙、防外攻,防不胜防。” 日前,中国工程院沈昌祥院士这样概括中国信息安全的基本状况。
信息安全提了这么些年,究竟国内的网络如何脆弱,如何不堪一击,恐怕常人是难以想象的。公安部计算机安全机构、国家信息中心的领导最熟知。从现在的实际运营状况看,可能存在的一些问题,令主管信息安全的领导担忧。本文仅列举出网络安全方面的问题和大忌,供有识之士发表高论,起一个抛砖引玉的作用:
一、不堪一击的根服务器
互联网的唯一致命弱点就是它完全依赖于使用根服务器的域名系统(DNS),根服务器掌握着国际域名(如 .com, .net, .org)的所有授权细节。
位于全球的网络结构的核心中共有13台这种根服务器。这个服务器网络由命名和数字互联网公司(ICANN)管理,该公司是一个提供互联网命名规则咨询服务的集团。中心或者说A服务器管理着主域名列表,该服务器一家名叫 Network Solutions 的美国公司管理。每天,主域名列表会被复制到位于世界各地的其它12服务器上。这12个服务器大部分在美国的军事,教育站点和 NASA,另外,在日本,瑞典和英国各有一台这种服务器。
据 Excite@Home 的主任技术专家 Milo Medin 讲,对上述服务器采取同时、持续分布式拒绝服务(DDoS)的攻击,就像前几年对著名电子商务网站 Yahoo! 和 Amazon.com 的攻击一样,那么,整个网络的通信联络将全部终断。
当我们在域名系统中输入一个纯英文的网站地址的时候,一个叫作"quot;BIND"quot;的开放代码软件就会把这个英文名字转化成全部由数字构成的互联网协议地址,也就是我们通常所说的 IP 地址。组成 IP 地址的这些数字向网络发送信息包。"quot;根域名服务器被看作是技术基础设施中至关重要的部分。
而DDoS 攻击的作用并不会被马上察觉到。在遭受攻击后,那些著名的网站会比其它网站晚些受到影响,因为通常在电脑中有缓存支持。攻击所造成的损害会通过那些不是很出名的站点开始不工作显现出来。最后,那些没有根服务器的国家的网站,包括澳大利亚,中国等,将从整个网络世界中消失。
由于13台根服务器被分散在世界各地,所以,对单一根服务器的攻击只会造成很小的影响。但是,在奥林匹克运动会即将于北京2008开幕之际,谁也不知道网络恐怖主义者是否会同时对所有的根服务器采取攻击行动。一位澳大利亚的计算机故障快速反应小组的(AusCERT)发言人称,任何对根服务器的攻击都会造成严重的影响,对于澳大利亚来说,拥有自己的根服务器是明智之举。
攻击必须在数小时内完成并能保持最大破坏状态数十天,但是,大量的备份系统将使攻击变得十分困难。而恢复的时间可能需要数天,甚至数周,这期间世界上整个互联网服务将处于中断状态。网络之间的相互联系越是紧密,任何服务中断所造成的不可见连锁反应就越大。
中国目前也没有自己的根服务器提供域名管理服务,就像澳大利亚一样,所以在其它根服务器遭到攻击后,我们也将失去与世界上其它地方网络的联系。是否我们也要等到举办奥运会的时候才考虑设置自己的根服务器
美国:1997年7月,一次主根服务器停电造成了数据被损坏,使得网络运营受到了严重的影响。美国政府的商务部授权对该系统面临私有化进行讨论。最后,讨论的结果认为保证互联网的稳定性是任何 DNS 管理系统的首要任务。
二、脆弱性:银行网络存在严重的漏洞
来自CCID的网络安全市场报告:
信息产业部1999年对银行证券系统的1546个营业部门23万台计算机的检测中发现全部都有安全漏洞,留下了众多的网络安全隐患。近期的银行计算机信息系统的安全事件时有发生,并呈增加趋势,网络安全事件的损失呈扩大趋势。目前中国已有20多家银行的200多个分支机构拥有网址和主页,其中开展实质性网络银行业务的分支机构达50余家,客户数超过40万户。50多家银行发行银行卡两亿多张。随着网上银行的应用推广,银行业的网络安全问题将关系到银行新业务增长点的开发、银行的信誉乃至生存。中国人民银行现正在起草网络银行业务的管理办法和有关网络金融风险管理的指引,近期将会出台,将进一步增强银行业的网络安全意识。
目前,金融机构和银行信息网络系统存在的漏洞之综合分析:
1. 来自互联网风险
网上银行、电子商务、网上交易系统都是通过Internet公网并且都与银行发生关系,银行系统网络如果与Internet公网直接或间接互联,那么由于互联网自身的广泛性、自由性等特点,象银行这样的金融系统自然会被恶意的入侵者列入其攻击目标的前列。
2. 外单位风险
银行系统与电信局、水电部门、保险公司、证券交易所等单位网络互联。由于银行与这些单位之间不可能是完全任信关系,因此,它们之间的互联,也使得银行网络系统存在着来自外单位的安全威胁。
3. 来自不信任域风险
大部分银行系统都发展到全国联网。一个系统分布在全国各地,范围之广分布到乡镇乃至村镇,而且各级银行也都是独立核算单位,因此,对每一个区域银行来说,其它区域银行都可以说是不信任的。同样存在安全危胁。
4. 来自内部的风险
据调查统计,已发生的网络安全事件中,70%的攻击是来自内部。因此内部网的安全风险更严重。内部员工对自身企业网络结构、应用比较熟悉,自已攻击或泄露重要信息,内外勾结,都将可能成为导致系统受攻击的最致命安全威胁。
5. 管理安全风险
银行内部员工的安全意识薄弱,企业的安全管理体制不健全也是网络存在安全风险的重要因素之一,健全的安全管理体制是一个企业网络安全得以保障及维系的关键因素。
安全威胁可能引发的结果有非法使用资源、恶意破坏数据、数据窃取、数据篡改、假冒、伪造、欺骗、敲诈勒索等。种种结果对银行这样特殊性的行业来说,其损失都是不可估量的。
案例:网上银行似乎成了黑客关注的焦点
(《计算机世界》2005-03-30讯)
去年6月初,有人盗用网上银行网管员信箱,假借“网络银行系统升级”名义,给网上银行客户发送电子邮件,索要网上银行注册客户的用户名(登录卡号)和密码。目前,该行已经在自己官方网站的显著位置刊发了“重要提示”,对其网上银行客户预警。巧合的是,几乎是在同时,在全球范围内,1200多家欧洲和美国的银行和保险公司称,其客户密码和信用卡号码等重要信息有可能已经被黑客窃取,6月4日发作的“怪物”病毒变种,已经开始在因特网上呈现出蔓延势头,波及到100多个国家,而据反病毒专家称,这种“怪物”病毒会不断变换形式,并能对付反病毒或防火墙软件。更值得警惕的是,这种病毒会在受到感染的电脑中安装“木马”程序,使黑客能将银行用户的信用卡号和密码秘密传送至某一特定邮箱地址,从而达到非法窃取他人资金的目的。
三、电信部门的轻视和网络安全意识的淡漠
案例1:
2002年7月25日上午,警方接到报案,湖北教育网站连续受到黑客攻击,致使全省28万考生无法及时查询高考成绩。
警方发现黑客上网的IP地址属监利范围,并很快查得黑客使用的电话。由于此号多次移机转户,资料断层,一时难以找到其确切位置。干警们在监利县电信局积极协助下,冒着大雨走街串巷,经过5个小时排查,终于在监利大市场一门店前发现了该号码。一部电话放在店内墙角小凳上,却不见电脑及上网工具。正在犯疑之际,细心的侦查员小潘发现有一根电话线牵上阁楼。干警们爬上阁楼,果见这根线上连着一部电脑及上网设备,旁边有一堆光盘。经查,其中有9张黑客工具光盘。侦查人员现场开机,发现该电脑装有多种黑客软件,并且有使用过的迹象。警方将店主彭某的儿子小彭控制。
经对该机硬盘的数据解读和对黑客软件的成果记录判读,7月24日,该台计算机的确登录扫描过省教育网的服务器。省教育网传来的被攻击记录显示与该台计算机使用软件的时间及IP地址相吻合。在事实面前,21岁的荆州某高校计算机大三学生小彭不得不承认,其妹妹高考只有317分,他心理极不平衡,便于23日、24日两天攻击省教育网站。
案例2:
2000年 7月23日17时48分,重庆永川市电信局“永川热线”网站突遭“袭击”,24日“黑客”再次袭击,“永川热线”不堪重负,整个网络陷入瘫痪。据统计,在连续四天时间里,“永川热线”先后五次遭“黑客”数据“炸弹”的狂轰滥炸,网站服务器数据被大量破坏,累计中断服务23小时,直接经济损失上万元。重庆市公安局科技通信处侦查人员很快查到了“黑客”用来攻击的电话号码,并查此电话属于上海东石软件公司。据该公司介绍,公司的软件程序员张勇23日至26日夜一直在上网。
以上2例案件都说明电信局工作的失误,至少是网络安全意识的淡漠而导致了黑客的入侵或破坏。假如,电信部门在网络链路上主动添加防护设备(如:入侵检测系统IDS)是完全可以避免事故或事件发生的。因为,大部分服务器都寄存在电信局,入侵检测方面应当是电信部门的本职业务范围,邮电技术部门完全应当意识到本地网络的漏洞或问题,在现有技术条件下,本应当避免的上述事故的发生,可见电信部门的轻视和网络安全意识的淡漠。(电信部门不是没有钱改造网络环境和防范黑客入侵,根本就是不负责任和轻视网络安全造成的)。事后配合警方破案仅仅是例行公事罢了。
四、信息安全产业和产品令人担忧
目前,中国网络安全技术和产品有如下九大类产品:
防火墙、VPN(VirtualPrivateNetworks虚拟专用网)、信息加密、访问控制、身份认证、日志审核、安全评估、入侵检测、存储安全等。
安全产业的缺陷和不足(吹毛求疵,尖刻但实在,希望安全厂商别在意啊!)
1. 防火墙越砌越高,入侵检测越做越复杂,病毒库也越来越庞大,却依然无法应对层出不穷的恶意攻击和病毒,尤其是无法禁止已经在电脑硬盘中驻存的一些恶意程序向网络上肆意传播。根子肯定是出在“信息安全产品的薄弱性和不稳定性”(中国信息安全产业分会常务副理事长屈延文 教授语)
2. 中国信息安全状况存在日趋复杂和混乱的趋向:
产品或安全系统的误报率增多、企业安全投入不断增加、维护与管理成本日益加大,更加复杂和难以实施、信息系统的使用效率大大降低、对新的攻击入侵毫无防御能力(如冲击波),尤其是对内部没有任何防范。
3.根据“木桶理论”,加固安全的木版本来应对最薄弱的环节实施强化技术,设防要突出些,警惕性和强度理应更加强化或深化。但是,国内的安全产品是否都能投入很多的技术来加固自身的强度和硬度呢?我们感觉目前略显不足。其次,从组成信息系统的服务器、网络、终端三个层面上来看,现有的保护手段是逐层递减的。人们往往把过多的注意力放在对服务器和网络设备的保护上,而忽略了对终端的保护。事实上,认定终端是安全原点的中国企业也并不少,例如,2003年10月,深圳市微处理器开发研究院推出自主知识产权的安全芯片,但这一技术离成熟的工业产品还有相当大的距离。
4.在安全存储方面,人们早就提出了“安全存储”“安全数据库”的概念。但是10年来至少很多安全企业对于安全技术的积累和沉淀过于“市场化”。可以用一句话概括:“中国网络安全产业既没有全面的防范意识,更没有整体的安全概念和阻止黑客攻击的能力”。到是黑客们往往给信息安全厂商“一次次地上课和补课”。
5.中国的信息安全问题,有组织管理的缺陷,更有产品的缺陷和局限性,更有“先天不足”的缺陷。头疼医头,脚疼医脚的现象今天还有很大的市场。谁让我们是“发展中国家呢?”。国家必须花大力气医治“网络安全漏洞”,企业也应当为国分忧,把自身的“内功”练好。这方面中联绿盟信息技术的沈总经理作出了很好的榜样,至少他的〈绿盟月刊〉今天已经有了名气(拥有每日超过万人次的访问流量)和被业内多数人所接受。
五、当前十分严峻的安全问题
1.防火墙能够防止住内外“汉奸”吗?特别是那些“内奸”我们的体制能否防止他们做案吗?防火墙对于内部人员是不起作用的。需要加强内部防控机制。(最近,北京北信源作出一个举动,值得业界三思!)。
2.身份认证、数字签名都是权益之计,真正的黑客是防不住的,因此这一环节上,目前可能是网络安全的大忌。
3.安全数据库——网络安全的基础防线,黑洞还有多少呢?真正的安全数据库究竟是什么样您能说清楚吗?
4.国内入侵检测产品过关吗?(入侵行为数据库大部分抄袭或拷贝的)难于阻止真正黑客的实质性侵入和破坏。如何抵挡网络黑客的恶意入侵攻击,特别是带有恐怖袭击性质的“恶意入侵”,我们有准备吗?
5. 异地数据备份,您准备好了吗?并非是一个“银子少,难于顾及”的问题。
6. 电子商务依赖安全产品和技术的全力支撑和稳定性保障(担忧的事件诸多,目前是制肘电子商务的瓶径)
7. 发展的看问题,中国信息安全需要走的路还很远。“可信计算”刚刚起步,沈昌祥院士的路还很漫长,不是他一个院士就能够把住中国安全门户的。需要全体安全界人士的共同关注和义无返顾的行动。
8. 1982年被提出的“拜占廷将军问题”在今天被许多学者看好。“拜占廷将军”问题应用于信息安全就是入侵容忍体系的重要技术基础之一,入侵容忍技术作为网络生存的重要技术,是保证网络和系统安全的一个新的概念和思路,有待于我国安全界的不懈努力。