周鵬程

摘要：隨著網(wǎng)絡(luò)技術(shù)與通訊科技不斷地推陳出新，無(wú)論是公營(yíng)機(jī)關(guān)或私人企業(yè)，均有可能面臨信息安全的沖擊，不僅是機(jī)關(guān)的正常運(yùn)作、企業(yè)的正常經(jīng)營(yíng)受到影響，甚至國(guó)家的安全亦受到威脅，如何加強(qiáng)信息安全工作，尤其是網(wǎng)絡(luò)安全管理，為當(dāng)前重要課題。面對(duì)惡意軟件攻擊威脅，我們應(yīng)該更須具備高度警覺(jué)性，妥善采取措施。

關(guān)鍵詞：風(fēng)險(xiǎn)分析；信息安全；網(wǎng)絡(luò)管理；惡意代碼攻擊；計(jì)算機(jī)緊急應(yīng)變。

1概述

隨著科技的發(fā)展，藉由網(wǎng)際網(wǎng)絡(luò)世界各地的計(jì)算機(jī)主機(jī)透過(guò)網(wǎng)際網(wǎng)絡(luò)連接成為一個(gè)巨大的信息網(wǎng)，但在其中所衍生出來(lái)的網(wǎng)際網(wǎng)絡(luò)系統(tǒng)安全漏洞的問(wèn)題卻使得信息的安全傳遞承受了相當(dāng)大的威脅。網(wǎng)際網(wǎng)絡(luò)已經(jīng)變成生活的一部分，各個(gè)公司及政府部門更是依賴網(wǎng)絡(luò)的運(yùn)作，此時(shí)如果攻擊者惡意程序攻擊對(duì)于組織或是政府單位使其癱瘓的話，其所造成的損失將不亞于傳統(tǒng)戰(zhàn)爭(zhēng)，因此我們不得不小心謹(jǐn)慎。隨著信息科技日新月異，信息化愈發(fā)深入公司組織與民間，信息安全與風(fēng)險(xiǎn)管理儼然成為不容忽視的重要議題。在享受信息化便利性的同時(shí)，必須注意相關(guān)信息資產(chǎn)是否受到妥善保護(hù)，并深思背后可能引發(fā)的風(fēng)險(xiǎn)問(wèn)題。如何善用有限資源與有效落實(shí)信息安全管理，是現(xiàn)代科技的重大挑戰(zhàn)。信息安全機(jī)制必須妥善保護(hù)信息相關(guān)處理設(shè)備、系統(tǒng)與網(wǎng)絡(luò)的機(jī)密性、完整性與可用性，不受各種威脅的影響，并將可能的沖擊與損害降至最低，以確保單位組織正常營(yíng)運(yùn)與發(fā)展。

2信息安全管理與網(wǎng)絡(luò)安全風(fēng)險(xiǎn)威脅

2010年1月12日Google報(bào)道了公司遭到網(wǎng)絡(luò)攻擊，該文報(bào)導(dǎo)更指出，極光行動(dòng)（Operation Aurora）是2009年12月中旬可能源自中國(guó)的一場(chǎng)網(wǎng)絡(luò)攻擊，遭受攻擊的除了Google外，還有20多家公司；其中包括雅虎、賽門鐵克、諾斯洛普·格魯門、英特爾、摩根史坦利和陶氏化工，調(diào)查人員發(fā)現(xiàn)，網(wǎng)絡(luò)黑客們最初是利用廣為應(yīng)用的IE6.0瀏覽器中一個(gè)未被發(fā)現(xiàn)的漏洞，對(duì)受害者進(jìn)行攻擊的。事實(shí)上，風(fēng)險(xiǎn)是特定威脅事件發(fā)生的可能性與后果的結(jié)合，風(fēng)險(xiǎn)管理是以可接受的費(fèi)用識(shí)別、控制、降低或消除可能影響信息系統(tǒng)的安全風(fēng)險(xiǎn)的過(guò)程。安全控制是指降低安全風(fēng)險(xiǎn)的慣例、程序或機(jī)制。

Trend Labs趨勢(shì)科技全球技術(shù)支持與研發(fā)中心指出，黑客再度翻新作案手法，使得原本熟悉的信息安全挑戰(zhàn)變得更加棘手。例如，數(shù)據(jù)外泄的后續(xù)效應(yīng)已不再局限于數(shù)據(jù)外流而已，歹徒還會(huì)利用外流的數(shù)據(jù)來(lái)從事進(jìn)一步的詐騙。此外，零時(shí)差漏洞攻擊的數(shù)量依然居高不下，再加上漏洞攻擊套件的不斷強(qiáng)化，也讓黑客的網(wǎng)絡(luò)間諜行動(dòng)不斷得逞。未來(lái)驅(qū)使著黑客激進(jìn)份子藉由竊取信息來(lái)從事更具破壞力的攻擊，進(jìn)而徹底摧毀其鎖定目標(biāo)的信譽(yù)和名聲。歹徒可利用外泄數(shù)據(jù)來(lái)進(jìn)行數(shù)據(jù)采礦，但其目標(biāo)未必是為了牟利，而是為揭發(fā)企業(yè)某些作為，或者取得機(jī)密信息。隨著智能聯(lián)網(wǎng)家用裝置的不斷成長(zhǎng)，將促使網(wǎng)絡(luò)黑客利用一些未修補(bǔ)的漏洞來(lái)發(fā)動(dòng)一場(chǎng)全面性攻擊。在移動(dòng)領(lǐng)域，新一代支付機(jī)制將吸引歹徒的覬覦，進(jìn)而將目標(biāo)從信用卡移轉(zhuǎn)至電子錢包。

Trend Labs趨勢(shì)科技全球技術(shù)支持與研發(fā)中心研究發(fā)現(xiàn)，隨著的科技發(fā)展，黑客的攻擊面也更加擴(kuò)大，其中最主要的因素之一就是物聯(lián)網(wǎng)的加速普及。智能裝置的安全性從一開始就是企業(yè)頭痛的問(wèn)題。過(guò)去幾個(gè)月來(lái)，黑客成功入侵智能裝置的案例更是屢見不鮮，照這樣下去，黑客遲早會(huì)找出利用這些漏洞發(fā)動(dòng)大規(guī)模攻擊的方法。對(duì)于惡意軟件和黑客入侵所引起的問(wèn)題，則需仰賴入侵檢測(cè)和網(wǎng)絡(luò)防護(hù)解決方案的指紋記錄。企業(yè)若想妥善保護(hù)自己的網(wǎng)絡(luò)和數(shù)據(jù)，就應(yīng)該考慮采用虛擬修補(bǔ)技術(shù)來(lái)當(dāng)成一種暫時(shí)性的漏洞防堵機(jī)制。虛擬修補(bǔ)技術(shù)可讓企業(yè)在廠商正式釋出修補(bǔ)程序之前，避免含有漏洞的系統(tǒng)遭到攻擊，這對(duì)一些廠商已經(jīng)終止支持的操作系統(tǒng)和應(yīng)用程序特別有用。

3因特網(wǎng)惡意軟件趨勢(shì)分析

TrendLabs趨勢(shì)科技全球技術(shù)支援與研發(fā)中心2013年8月發(fā)表Blackhole漏洞攻擊會(huì)侵人金融賬戶破解系統(tǒng)安全機(jī)制。這一波垃圾郵件所監(jiān)測(cè)到的變種名稱為TSPY_FARElT.AFM，它不僅會(huì)在感染的系統(tǒng)上竊取FTP客戶端程序賬戶信息，還會(huì)竊取電子郵件賬號(hào)密碼、瀏覽器儲(chǔ)存的登入信息，而且還會(huì)利用一份預(yù)先準(zhǔn)備的密碼列表，試圖以暴力方式破解Windows登人密碼。這波垃圾郵件（sPAM）行動(dòng)的垃圾信息數(shù)量高達(dá)同時(shí)期所有垃圾郵件數(shù)量0.8%左右，相較于其他行動(dòng)，此比例偏高，基本上，它會(huì)盜取感染計(jì)算機(jī)上的個(gè)人信息，然后侵入用戶的金融賬戶，竊取個(gè)人數(shù)據(jù)，甚至破解系統(tǒng)安全機(jī)制。

W32.Ramnit是賽門鐵克安全回應(yīng)中心2010年監(jiān)測(cè)到的一種新蠕蟲。它能夠感染使用者電腦系統(tǒng)中的.exe、.dll和.html文件。該病毒主要通過(guò)移動(dòng)儲(chǔ)存裝置進(jìn)行傳播。傳播時(shí)，它會(huì)把自己復(fù)制到移動(dòng)存放裝置根目錄下面的RecycleBin目錄中，同時(shí)新增autorun檔以達(dá)到自動(dòng)啟動(dòng)的目的。根據(jù)SmokeLoader木馬惡意軟件可以對(duì)感染主機(jī)做遠(yuǎn)程遙控執(zhí)行一系列包括下載到受駭主機(jī)地緣關(guān)系計(jì)算機(jī)惡意軟件安裝、偷取其他遠(yuǎn)程訪問(wèn)主機(jī)（包括瀏覽器、實(shí)時(shí)通與電子郵件用戶）密碼等攻擊活動(dòng)，最新攻擊PROCMON模塊可下載及執(zhí)行檔案可將計(jì)算機(jī)執(zhí)行程序自動(dòng)刪除并將計(jì)算機(jī)重新啟動(dòng)。

TrendLabs趨勢(shì)科技全球技術(shù)支持與研發(fā)中心研究分析，聯(lián)網(wǎng)的裝置也可能成為數(shù)據(jù)外泄的途徑。這些裝置的設(shè)計(jì)大多以功能為優(yōu)先，安全通常是次要考慮。為了防范裝置遭到黑客入侵，開發(fā)人員必須要定期為裝置釋出更新及修補(bǔ)程序，來(lái)修正黑客可能攻擊的任何漏洞。隨著組織及政府逐漸重視數(shù)據(jù)外泄防護(hù)后，整個(gè)防護(hù)重點(diǎn)與方案取向，也從一開始只以加解密機(jī)制來(lái)因應(yīng)外部威脅的做法，逐步藉由權(quán)限控管機(jī)制來(lái)防止內(nèi)部有心員工非法竊取機(jī)密的行為。

4信息安全理論與風(fēng)險(xiǎn)管理技術(shù)探討

每個(gè)信息系統(tǒng)可能存在其脆弱性，但若是無(wú)威脅可以利用該脆弱性，將不構(gòu)成風(fēng)險(xiǎn)；但是如果威脅利用該信息系統(tǒng)所存在的脆弱性，則可能對(duì)政府機(jī)關(guān)造成沖擊。因此政府機(jī)關(guān)必須采取適當(dāng)?shù)目刂票Ｗo(hù)措施，藉以消弭脆弱性或者阻止威脅的利用，以降低風(fēng)險(xiǎn)；風(fēng)險(xiǎn)很難完全消除，務(wù)必講求成本效益，使剩余風(fēng)險(xiǎn)降低至機(jī)關(guān)可接受的水平。作業(yè)風(fēng)險(xiǎn)管理必須配合組織目標(biāo)的達(dá)成，管理階層首先必須確立組織使命，據(jù)以設(shè)定策略性目標(biāo)，進(jìn)而選擇策略訂定目標(biāo)，而目標(biāo)制定則是一種由上而下的歷程。endprint

風(fēng)險(xiǎn)評(píng)估的方式可應(yīng)用在整個(gè)組織或部分，不但單獨(dú)的信息系統(tǒng)，特定的系統(tǒng)的一部分均可以應(yīng)用。進(jìn)而通過(guò)有效控制措施在有限的資源下節(jié)約控制措施的成本，優(yōu)先針對(duì)具重要性及時(shí)效性的沖擊施以控制措施，其余者接受或轉(zhuǎn)移風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)評(píng)估包括評(píng)量分析每一弱點(diǎn)可能有多個(gè)威脅項(xiàng)目，且同一威脅項(xiàng)目可能針對(duì)不同的弱點(diǎn)。在此，信息安全威脅特別強(qiáng)調(diào)利用信息資產(chǎn)既有存在的脆弱性，以便成功地造成信息資產(chǎn)的傷害或者損失。威脅可能是環(huán)境（天然）或人為因素，而人為因素中可分為意外或故意兩種狀況。

一般而言，控制措施的性質(zhì)可分為三種：預(yù)防性措施、監(jiān)測(cè)性措施及矯正性措施；預(yù)防性措施是預(yù)防問(wèn)題發(fā)生，監(jiān)測(cè)性措施是發(fā)現(xiàn)問(wèn)題就通知，矯正性措施則是發(fā)現(xiàn)問(wèn)題就改正。值得注意的是，隨著大環(huán)境的改變，加上各種推陳出新技術(shù)的推波助瀾，使得信息安全不論攻與防都出現(xiàn)了極大的變動(dòng)。如果存在于信息系統(tǒng)中的脆弱性遭暴露后將會(huì)導(dǎo)致風(fēng)險(xiǎn)的增加，同時(shí)如果威脅可以利用已遭暴露的脆弱性，也會(huì)增加機(jī)關(guān)的風(fēng)險(xiǎn)。由于現(xiàn)代科技發(fā)展快速，網(wǎng)絡(luò)基本帶寬的增加，及WebMail與網(wǎng)絡(luò)硬盤儲(chǔ)存空間的愈來(lái)愈大，隨即敏感性與個(gè)體信息機(jī)密數(shù)據(jù)也可方便迅速地被有心員工外泄而出，若缺乏完善的日志追蹤與稽核機(jī)制，將無(wú)法追查出泄密人員與相關(guān)信息，也將造成單位組織莫大損失。因?yàn)橥庑构艿廊绱硕嘣酝陚涞臄?shù)據(jù)外泄防護(hù)機(jī)制須分別部署在網(wǎng)絡(luò)網(wǎng)關(guān)端、郵件端、Web端、端點(diǎn)設(shè)備與數(shù)據(jù)庫(kù)端等各個(gè)面向。隨著云端運(yùn)算興起與手持裝置大行其道，讓信息安全管理更加艱困，因?yàn)樵S多云端應(yīng)用與移動(dòng)App可將數(shù)據(jù)儲(chǔ)存在云端上。許多單位組織及政府部門為了節(jié)省成本，采用云端運(yùn)算及GoogleDrive、Dropbox等云端儲(chǔ)存服務(wù)，這類服務(wù)強(qiáng)調(diào)可以同時(shí)在PC、筆電、智能型手機(jī)或平板計(jì)算機(jī)之間進(jìn)行文件數(shù)據(jù)的同步與分享，雖然極其方便且效率十足，但也成為讓數(shù)據(jù)外泄問(wèn)題愈益嚴(yán)重的溫床。當(dāng)前有愈來(lái)愈多內(nèi)部及外部的網(wǎng)絡(luò)罪犯，會(huì)通過(guò)SSL聯(lián)機(jī)加密來(lái)規(guī)避監(jiān)測(cè)并散布惡意程序。

5結(jié)束語(yǔ)與未來(lái)工作

國(guó)際計(jì)算機(jī)安全協(xié)會(huì)（ICSA）報(bào)告指出，60%的泄密事件，是來(lái)自組織內(nèi)部，只有15%是來(lái)自外部入侵，在科技設(shè)備不斷精進(jìn)的現(xiàn)代，信息不斷地更新與網(wǎng)絡(luò)蓬勃的發(fā)展，導(dǎo)致信息的傳遞速度與容量遠(yuǎn)遠(yuǎn)超越我們的想象，雖然帶給我們便利與生活質(zhì)量提升，也因而衍生許多新的社會(huì)與國(guó)家安全問(wèn)題。針對(duì)于信息系統(tǒng)管理與安全防護(hù)應(yīng)視信息系統(tǒng)重要性、系統(tǒng)架構(gòu)與網(wǎng)絡(luò)架構(gòu)選擇適當(dāng)?shù)陌踩雷o(hù)措施（如防火墻、入侵檢測(cè)/防御系統(tǒng)、防毒軟件等）來(lái)提升信息安全防御能力。存放系統(tǒng)使用者申請(qǐng)或注冊(cè)的數(shù)據(jù)文件，應(yīng)采用適當(dāng)授權(quán)管理措施或加密方式處理，以防數(shù)據(jù)外流。為保護(hù)重要檔案及信息，應(yīng)實(shí)行適當(dāng)?shù)拇胧苑乐箶?shù)據(jù)遺失、毀壞及被偽造或竄改。信息系統(tǒng)應(yīng)檢測(cè)與修補(bǔ)系統(tǒng)漏洞或弱點(diǎn)。于安裝相關(guān)修補(bǔ)程序前，建議可先經(jīng)過(guò)評(píng)估與測(cè)試，以確認(rèn)不會(huì)對(duì)系統(tǒng)運(yùn)作造成負(fù)面影響。系統(tǒng)重要信息，宜依照需求與相關(guān)規(guī)范來(lái)進(jìn)行備份作業(yè)，并確認(rèn)備份作業(yè)結(jié)果有效性。endprint