第8章信息系统安全开篇案例:波士顿凯尔特人大败间谍软件波士顿凯尔特人在篮球场上争夺季后赛席位的同时,球队后方也打起了信息战。信息主管Wessel试图帮助球队摆脱间谍软件的困扰。Wessel带领他的团队管理约100台笔记本电脑,分属于教练、球探及销售、市场和财务部门的员工,他们的计算机被植入了许多恶意软件。Wessel认为“宾馆的网络是间谍软件活动的温床”。在外面受间谍软件侵害的计算机再带回波士顿球队总部使用,这样就造成网络阻塞。此外,间谍软件也会影响凯尔特人专用统计数据库的进入和使用。凯尔特人队标使用Mi5Webgate阻止间谍软件入侵计算机网络,同时阻止已被植入间谍软件的计算机连接外部网络使用SurfControl过滤电子邮件和网页浏览使用TrendMicro杀毒使用SonicWALL防火墙和入侵探测系统使用AladdineSafe阻止其他恶意软件凯尔特人队的技术解决方案:凯尔特人夺得过17次NBA总冠军,年份分别是1957、1959、1960、1961、1962、1963、1964、1965、1966、1968、1969、1974、1976、1981、1984、1986、20088.1系统脆弱性与滥用8.1.1为什么系统容易遭到破坏1、互联网的脆弱性左图为谷歌公布的被攻破网站的数量分布图,从多到少依次为:红色橙色、黄色、绿色、2、无线网络的安全挑战如果和其他用户处在同一个Wifi区域内,则其他用户就有了直接攻击本机的能力注:Wifi是WirelessFidelity(无线保真)的缩写案例:最恶劣的数据盗窃案在国外网站,单凭信用卡号及少数资料即可消费,没有密码。因此,如果购物网站没有妥善保管好用户的信用卡信息而被黑客窃取,将会给用户带来很大的损失。2008年8月初,美国联邦检察官指控5个国家的11名犯罪嫌疑人盗取4100多万个信用卡和借记卡号码。这是迄今为止历史上最大的信用卡号码盗窃案。他们的作案目标集中在大型零售连锁店,如OT.J.Maxx等。通过这些企业的网络漏洞,入侵其系统,截获客户的信用卡号并出售,非信用卡则直接去ATM机提取现金。8.1.2恶意软件:病毒、蠕虫、木马、间谍软件恶意软件(malware)是指对计算机造成威胁的软件,如计算机病毒、蠕虫和木马。计算机病毒(computervirus)是指在用户不知晓或未允许的情况下,在计算机程序或数据文件中插入的可执行的一组计算机指令或者程序代码。大多数计算机病毒都会造成一定后果。蠕虫(worms):不需要依赖其他程序,可独立存在,能通过网络在计算机之间实现自我复制和传播。木马(Trojanhorse)表面上没有什么破坏性,但是它所造成的后果会出乎意料。木马不会自我复制,从这个角度来看,它不是病毒,不过它经常把病毒或其他恶意代码带入计算机系统。间谍软件(spyware)也是恶意软件。这些小程序自动安装在计算机上,监控用户的上网记录并为广告服务。2006年12月初,我国互联网上大规模爆发“熊猫烧香”病毒及其变种。一只憨态可掬、颔首敬香的“熊猫”在互联网上疯狂“作案”。在病毒卡通化的外表下,隐藏着巨大的传染潜力,短短三四个月,“烧香”潮波及上千万个人用户、网吧及企业局域网用户,造成直接和间接损失超过1亿元。2007年2月3日,“熊猫烧香”病毒的制造者李俊落网。随着案情的揭露,一个制“毒”、卖“毒”、传“毒”、盗账号、倒装备、换钱币的全新地下产业链浮出了水面。中了“熊猫烧香”病毒的电脑内部会生成带有熊猫图案的文件,盗号者追寻这些图案,利用木马等盗号软件,盗取电脑里的游戏账号密码,取得虚拟货币进行买卖。“熊猫烧香”案主犯李俊最终被判处有期徒刑4年8.1.3黑客与计算机犯罪1、电子欺骗和窃听黑客经常伪装成其他用户,以开展非法行为,这属于网络欺骗。例如,伪造虚假的邮件地址,冒用他人IP地址等……电子欺骗(spoofing)还可能涉及将网页链接重定向至与本来的地址不同的地址,该地址被伪装成目的地。嗅探器(sniffer)是一种可以监控网络中信息传输的窃听程序。嗅探器合法使用时,有助于发现潜在的网络故障点或网络犯罪活动,但在非法使用的情况下,它们的危害巨大并非常难以察觉。黑客可以利用嗅探器在网络上任何位置窃取专有信息,包括电子邮件、公司文件和机密报告。2、拒绝服务攻击拒绝服务(denial-of-service,DoS)攻击是指黑客向网络服务器或Web服务器发送大量请求,使服务器来不及响应,从而无法正常工作。分布式拒绝服务(DDoS)攻击利用大量计算机从众多发射点发送请求,使网络崩溃。3、计算机犯罪美国司法部对计算机犯罪(computercrime)的定义是“任何利用计算机技术,可以构成犯罪、审查或起诉的违法行为”根据2007年SCI对近500家企业有关计算机犯罪和安全的调查显示,它们因计算机犯罪和安全攻击年均损失350,424美元(Richardson,2007)。许多公司都不愿举报计算机犯罪,因为可能有本公司的员工涉案,或者担心暴露系统漏洞可能损害公司声誉。计算机犯罪中造成经济损失最大的是DoS攻击、植入病毒、窃取服务和破坏计算机系统。4、身份盗用身份盗用(identitytheft)是一种犯罪行为,冒名者利用所获得的他人的重要个人信息,如社会安全号码、驾驶执照号码或信用卡号码,冒充他人身份。该信息可能被用于以受害人的身份获得信贷、商品或服务,或者提供虚假证明。网络钓鱼(phishing)是指建立虚假网站或发送看似来自合法企业的电子邮件或文本消息。双子星病毒(eviltwins)是一种假装提供可信的Wi-Fi以连接互联网的无线网络,比如机场大厅、旅馆里的无线网络。5、点击欺诈当你点击搜索引擎上所显示的广告时,广告商通常要为每次点击支付一定费用,因为你被视为其产品的潜在买家。点击欺诈(clickfraud)是指个人或计算机程序点击网络广告,但不想了解广告商所发布的信息或无购买意向。6、全球性威胁:网络恐怖主义和网络战互联网或其他网络存在的漏洞使数字网络更易受到恐怖分子、外国情报机构或希望造成大范围破坏和损害的其他群体的攻击。这种网络攻击可能针对电网运行所用的软件、空中交通控制系统或主要银行和金融机构的网络。至少有20个国家被认为是有能力发展进攻型和防御型网络战的国家。2007年,美国共有12,986项政府单位网络系统受袭的报告,其中美国军用网络被入侵的次数与上年同期相比增加了55%。美国国防部的承包公司也受到了攻击。8.1.4内部威胁:员工人们总是认为,系统安全威胁都来自企业外部。实际上公司内部员工也会威胁系统安全。员工知晓公司安全系统的运作机制,可以收集机密信息且不留痕迹。研究发现,用户缺乏相关知识是导致网络安全遭到破坏的最主要原因。许多员工忘记他们进入计算机系统的密码或允许同事使用自己的密码,这些行为均会为系统带来威胁。有些恶意入侵者冒充企业内部员工,以工作需要为由让真实员工提供密码等信息,从而进入企业网络。8.1.5软件漏洞软件的主要问题是存在隐藏错误(bugs)或程序代码缺陷。研究发现,对于大型软件而言,实际上无法完全消除所有程序错误。8.2信息系统安全与控制的商业价值8.2.1电子记录管理的法规与制度要求8.2.2电子证据与计算机取证计算机取证(computerforensics)是指科学地收集、审查、认证、保存和分析数据,该数据可从计算机存储媒介中获取或恢复,且可在法庭上作为有效证据使用。电子证据可能以文件的形式存留在计算机存储介质中,即环境数据,普通用户无法看见这些数据,例如已从计算机硬盘中删除的文件。人们可能通过各种技术恢复已被用户删除的数据。计算机取证专家可试图恢复该类隐藏数据作为证据提交。8.3建立安全与控制的管理框架8.3.1信息系统的控制类型一般控制(generalcontrols)指的是贯穿整个组织信息技术基础设施,为管理计算机程序的设计、安全和使用,以及数据文件安全而进行的总体控制活动。应用控制(applicationcontrols)是针对特定计算机应用(比如薪资结算或订单处理程序)的特殊控制活动。应用控制可分为:(1)输入控制;(2)处理控制;(3)输出控制。8.3.2风险评估风险评估(riskassessment)能够确定当某一活动或流程没有得到适当控制时公司面临的风险程度8.3.3安全策略安全策略(securitypolicy)包括信息风险分级、确定可接受的安全目标以及实现安全目标的机制。8.3.4灾难恢复计划和业务持续计划灾难恢复计划(disasterrecoveryplanning)是指在计算和通信服务遭到破坏后,为将其恢复所制定的计划。业务持续计划(businesscontinuityplanning)关注企业在遭受灾难后如何恢复业务运营。8.3.5审计的作用管理信息系统审计(MISaudit)要审查公司的整体安全环境以及个人使用信息系统的控制情况。8.4保护信息资源的技术与工具8.4.1访问控制访问控制(accesscontrol)是企业用来防止未经授权的内部访问和外部访问的所有政策和程序。用户须在授权和认证后才可访问系统中的信息。认证(authentication)用于确认用户的真实身份。访问控制软件只允许经过认证的授权用户使用系统或访问数据。通常情况下,用户可通过密码完成认证。终端用户可输入密码登录计算机系统,访问特定的系统和文件。然而,用户有时会忘记密码,与他人共用一个密码,或者密码设置过于简单,这些都会影响系统的安全性。8.4.2防火墙、入侵探测系统与杀毒软件防火墙是由软件和硬件设备组合而成,控制进出网络的通信。防火墙一般设置在组织专用的内部网络和外部网络(如互联网)之间,也可用于内部网络,把某个部分与其他部分分隔开来。防火墙如同看门人,在允许访问之前,检查每个用户的凭证。防火墙可识别名称、IP地址、应用程序和进入网络通信的其他特征。它根据网络管理员事先设定的访问规则,检查相应信息。防火墙阻止未经授权的通信进出网络。入侵探测系统入侵探测系统(intrusiondetectionsystems)对公司网络最脆弱的点或“热点”实施不间断的实时监控,及时发现和阻止入侵者。如果系统发现可疑或异常事件,就会生成警报。病毒扫描软件检查是否有与已知攻击类型相似的攻击,如错误口令,也检查重要文件是否已被删除或修改,并发送破坏警告或系统管理错误。监控软件检查正在运行的进程,即时发现安全攻击。入侵检测工具也可在收到未经授权的通信时,自行关闭网络中非常敏感的部分。常见的杀毒软件和反间谍软件统一威胁管理系统安全软件生产商为帮助企业降低成本,提高企业可管理性,把多种安全工具整合到一起,包括防火墙、虚拟专用网络、入侵探测系统、Web内容过滤和反垃圾邮件软件。整合的安全管理产品被称为统一威胁管理(unifiedthreatmanagement,UTM)系统。8.4.3保障无线网络的安全尽管WEP有缺陷,但如果Wi-Fi用户激活WEP,它能提供一定程度的安全保障。阻止黑客最简单的方法是给SSID选择一个安全的名字,并隐藏路由器名字以免广播。企业可以在访问内部网络的数据时,同时使用Wi-Fi和虚拟专用网络(VPN)连接,进一步保证Wi-Fi的安全。8.4.4加密和公共密钥基础架构许多企业在存储、传输或通过互联网发送数字信息时,将数字信息加密以保护其安全。加密(encryption)即将文本或数据转换成密码文本的过程,除发送方和接收方,其他人无法阅读。数据可通过数字代码进行加密,即密钥,密钥把普通数据转换为密文。信息必须由接收方解密。加密有两种方法:对称密钥加密和公共密钥加密。对称密钥加密要求发送方和接收方在安全会话之前,商定一个密钥,在会话中双方使用同一密钥。这种密钥的位长越长,安全性越高。所有对称加密方案的问题在于发送方和接收方须共享同一密钥,入侵者可能在密钥传输途中拦截和解密该密钥。公共密钥加密(publickeyencryption)更加安全,它采用两个密钥:一个是公钥,一个是私钥,这两个密钥之间在数学上有关联,因此由一个密钥加密