企业网络安全已经不仅仅是安全技术层面上的问题,管理问题也在越来越凸现其在企业网络安全方面的重要地位。当前很多大型企业的安全问题无不在管理层上有所体现,管理安全无力导致员工没有安全概念,部署和贯彻安全技术和安全理念的观念淡薄,导致出现很多不应该出现的"马其诺防线"。本文将从企业信息安全标准化和在管理层面抵御"社会工程"攻击两方面来介绍企业管理层的安全防护手段和技术。
1、企业信息安全标准化
信息安全评估是信息安全生命周期中的一个重要环节,是对企业的网络拓扑结构、重要服务器的位置、带宽、协议、硬件、与Internet的接口、防火墙的配置、安全管理措施及应用流程等进行全面的安全分析,并提出安全风险分析报告和改进建议书。它主要可以发挥如下三方面的作用:
(1)明确企业信息系统的安全现状。进行信息安全评估后,可以让企业准确地了解自身的网络、各种应用系统以及管理制度规范的安全现状,从而明晰企业的安全需求。
(2)确定企业信息系统的主要安全风险。在对网络和应用系统进行信息安全评估并进行风险分级后,可以确定企业信息系统的主要安全风险,并让企业选择避免、降低、接受等风险处置措施。
(3)指导企业信息系统安全技术体系与管理体系的建设。对企业进行信息安全评估后,可以制定企业网络和系统的安全策略及安全解决方案,从而指导企业信息系统安全技术体系(如部署防火墙、入侵检测与漏洞扫描系统、防病毒系统、数据备份系统、建立公钥基础设施PKI等)与管理体系(安全组织保证、安全管理制度及安全培训机制等)的建设。
在当今全球一体化的商业环境中,信息的重要性被广泛接受,信息系统在商业和政府组织中得到了真正的广泛的应用。许多组织对其信息系统不断增长的依赖性,加上在信息系统上运作业务的风险、收益和机会,使得信息安全管理成为企业管理越来越关键的一部分。管理高层需要确保信息技术适应企业战略,企业战略也恰当利用信息技术的优势。但现实世界的任何系统都是一串复杂的环节,安全措施必须渗透到系统的所有地方,其中一些甚至连系统的设计者、实现者和使用者都不知道。因此,不安全因素总是存在。没有一个系统是完美的,没有一项技术是灵丹妙药。
网络与信息安全标准化工作是国家信息安全保障体系建设的重要组成。网络与信息安全标准研究与制定为国家主管部门管理信息安全设备提供了有效的技术依据,这对于保证安全设备的正常运行,并在此基础上保证我国国民经济和社会管理等领域中网络信息系统的运行安全和信息安全具有非常重要的意义。
国际上信息安全标准化工作兴起于20世纪70年代中期,80年代有了较快的发展,90年代引起了世界各国的普遍关注。目前世界上有近300个国际和区域性组织制定标准或技术规则,与信息安全标准化有关的组织主要有以下4个:
◆ISO(国际标准化组织)。ISO/IEC JTC1(信息技术标准化委员会)所属SC27(安全技术分委员会)的前身是SC20(数据加密技术分委员会),主要从事信息技术安全的一般方法和技术的标准化工作。而ISO/TC68负责银行业务应用范围内有关信息安全标准的制定,主要制定行业应用标准,与SC27有着密切的联系。ISO/IEC JTC1负责制定的标准主要是开放系统互连、密钥管理、数字签名、安全评估等方面的内容。
◆IEC(国际电工委员会)。IEC在信息安全标准化方面除了与ISO联合成立了JTC1下分委员会外,还在电信、电子系统、信息技术和电磁兼容等方面成立技术委员会(如TC56可靠性、TC74 IT设备安全和功效、TC77电磁兼容、TC 108音频/视频、信息技术和通信技术电子设备的安全等),并且制定相关国际标准(如信息技术设备安全IEC60950等)。
◆ITU(国际电信联盟)。ITU SG17组负责研究网络安全标准,包括通信安全项目、安全架构和框架、计算安全、安全管理、用于安全的生物测定、安全通信服务。此外SG16和下一代网络核心组也在通信安全、H.323网络安全、下一代网络安全等标准方面进行研究。
◆IETF(Internet工程任务组)等。IETF标准制定的具体工作由各个工作组承担。Internet工程任务组分成8个工作组,分别负责Internet路由、传输、应用等8个领域,其著名的IKE和IPSec都在RFC系列之中,还有电子邮件、网络认证和密码及其他安全协议标准。
◆国内的安全标准组织主要有信息技术安全标准化技术委员会(CITS)以及中国通信标准化协会(CCSA)下辖的网络与信息安全技术工作委员会。CITS成立于1984年,在国家标准化管理委员会和信息产业部的共同领导下负责全国信息技术领域以及与ISO/IEC JTC1相对应的标准化工作,目前下设24个分技术委员会和特别工作组,是国内最大的标准化技术委员会,也是具有广泛代表性、权威性和军民结合的信息安全标准化组织。
CITS主要负责信息安全的通用框架、方法、技术和机制的标准化及归口国内外对应的标准化工作,其中技术安全包括开放式安全体系结构、各种安全信息交换的语义规则、有关的应用程序接口和协议引用安全功能的接口等。CCSA成立于2002年12月18日,是国内企事业单位自愿联合组织起来经业务主管部门批准的开展通信技术领域标准化活动的组织。CCSA下设了有线网络信息安全、无线网络信息安全、安全管理和安全基础设施4个工作组负责研究:有线网络中电话网、互联网、传输网、接入网等在内所有电信网络相关的安全标准;无线网络中接入、核心网、业务等相关的安全标准以及安全管理工作组;安全基础设施工作组中网管安全以及安全基础设施相关的标准。
当前,国际上著名的信息安全评估标准有如下几种,可以为企业借鉴:
◆可信的计算机系统安全评估标准(TCSEC,从橘皮书到彩虹系列)由美国国防部于1985年公布的,是计算机系统信息安全评估的第一个正式标准。它把计算机系统的安全分为4类、7个级别,对用户登录、授权管理、访问控制、审计跟踪、隐蔽通道分析、可信通道建立、安全检测、生命周期保障、文档写作、用户指南等内容提出了规范性要求。
◆信息技术安全评估标准(ITSEC,欧洲百皮书)是由法、英、荷、德欧洲四国90年代初联合发布的,它提出了信息安全的机密性、完整性、可用性的安全属性。机密性就是保证没有经过授权的用户、实体或进程无法窃取信息;完整性就是保证没有经过授权的用户不能改变或者删除信息,从而信息在传送的过程中不会被偶然或故意破坏,保持信息的完整、统一;可用性是指合法用户的正常请求能及时、正确、安全地得到服务或回应。ITSEC把可信计算机的概念提高到可信信息技术的高度上来认识,对国际信息安全的研究、实施产生了深刻的影响。
◆信息技术安全评价的通用标准(CC)由六个国家(美、加、英、法、德、荷)于1996年联合提出的,并逐渐形成国际标准ISO15408。该标准定义了评价信息技术产品和系统安全性的基本准则,提出了目前国际上公认的表述信息技术安全性的结构,即把安全要求分为规范产品和系统安全行为的功能要求以及解决如何正确有效地实施这些功能的保证要求。CC标准是第一个信息技术安全评价国际标准,它的发布对信息安全具有重要意义,是信息技术安全评价标准以及信息安全技术发展的一个重要里程碑。
◆ISO13335标准首次给出了关于IT安全的保密性、完整性、可用性、审计性、认证性、可靠性6个方面含义,并提出了以风险为核心的安全模型:企业的资产面临很多威胁(包括来自内部的威胁和来自外部的威胁);威胁利用信息系统存在的各种漏洞(如:物理环境、网络服务、主机系统、应用系统、相关人员、安全策略等),对信息系统进行渗透和攻击。如果渗透和攻击成功,将导致企业资产的暴露;资产的暴露(如系统高级管理人员由于不小心而导致重要机密信息的泄露),会对资产的价值产生影响(包括直接和间接的影响);风险就是威胁利用漏洞使资产暴露而产生的影响的大小,这可以为资产的重要性和价值所决定;对企业信息系统安全风险的分析,就得出了系统的防护需求;根据防护需求的不同制定系统的安全解决方案,选择适当的防护措施,进而降低安全风险,并抗击威胁。该模型阐述了信息安全评估的思路,对企业的信息安全评估工作具有指导意义。
◆AS/NZS 4360:1999是澳大利亚和新西兰联合开发的风险管理标准,第一版于1995年发布。在AS/NZS 4360:1999中,风险管理分为建立环境、风险识别、风险分析、风险评价、风险处置、风险监控与回顾、通信和咨询七个步骤。AS/NZS 4360:1999是风险管理的通用指南,它给出了一整套风险管理的流程,对信息安全风险评估具有指导作用。目前该标准已广泛应用于新南威尔士洲、澳大利亚政府、英联邦卫生组织等机构。
◆BS7799是英国的工业、政府和商业共同需求而发展的一个标准,它分两部分:第一部分为"信息安全管理事务准则";第二部分为"信息安全管理系统的规范"。目前此标准已经被很多国家采用,并已成为国际标准ISO17799。 BS7799包含10个控制大项、36个控制目标和127个控制措施。BS7799/ISO17799主要提供了有效地实施信息系统风险管理的建议,并介绍了风险管理的方法和过程。企业可以参照该标准制定出自己的安全策略和风险评估实施步骤。
国内主要是等同采用国际标准。公安部主持制定、国家质量技术监督局发布的中华人民共和国国家标准GB17895-1999《计算机信息系统安全保护等级划分准则》已正式颁布并实施。该准则将信息系统安全分为5个等级:自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。主要的安全考核指标有身份认证、自主访问控制、数据完整性、审计等,这些指标涵盖了不同级别的安全要求。GB18336也是等同采用ISO 15408标准。在制定的过程中,主要可以参照如下的方法进行:
◆定制个性化的评估方法
虽然已经有许多标准评估方法和流程,但在实践过程中,不应只是这些方法的套用和拷贝,而是以他们作为参考,根据企业的特点及安全风险评估的能力,进行"基因"重组,定制个性化的评估方法,使得评估服务具有可裁剪性和灵活性。评估种类一般有整体评估、IT安全评估、渗透测试、边界评估、网络结构评估、脆弱性扫描、策略评估、应用风险评估等。
◆安全整体框架的设计
风险评估的目的,不仅在于明确风险,更重要的是为管理风险提供基础和依据。作为评估直接输出,用于进行风险管理的安全整体框架,至少应该明确。但是由于不同企业环境差异、需求差异,加上在操作层面可参考的模板很少,使得整体框架应用较少。但是,企业至少应该完成近期1~2年内框架,这样才能做到有律可依。
◆多用户决策评估
不同层面的用户能看到不同的问题,要全面了解风险,必须进行多用户沟通评估。将评估过程作为多用户"决策"过程,对于了解风险、理解风险、管理风险、落实行动,具有极大的意义。事实证明,多用户参与的效果非常明显。多用户"决策"评估,也需要一个具体的流程和方法。
◆敏感性分析
由于企业的系统越发复杂且互相关联,使得风险越来越隐蔽。要提高评估效果,必须进行深入关联分析,比如对一个老漏洞,不是简单地分析它的影响和解决措施,而是要推断出可能相关的其他技术和管理漏洞,找出病"根",开出有效的"处方"。这需要强大的评估经验知识库支撑,同时要求评估者具有敏锐的分析能力。
◆集中化决策管理
安全风险评估需要具有多种知识和能力的人参与,对这些能力和知识的管理,有助于提高评估的效果。集中化决策管理,是评估项目成功的保障条件之一,它不仅是项目管理问题,而且是知识、能力等"基因"的组合运用。必须选用具有特殊技能的人,去执行相应的关键任务。如控制台审计和渗透性测试,由不具备攻防经验和知识的人执行,就达不到任何效果。
◆评估结果管理
安全风险评估的输出,不应是文档的堆砌,而是一套能够进行记录、管理的系统。它可能不是一个完整的风险管理系统,但至少是一个非常重要的可管理的风险表述系统。企业需要这样的评估管理系统,使用它来指导评估过程,管理评估结果,以便在管理层面提高评估效果。
2、"社会工程"攻击防范
社会工程学(Social Engineering)是一种利用人的弱点:如人的本能反应、好奇心、信任、贪婪等进行诸如欺骗、伤害等危害手段,获取自身利益的手法。近年来,由于信息安全厂商不断开发出更先进的安全产品,系统安全防范在技术上越来越严密,使得攻击者利用技术上的漏洞变得越来越困难。于是,更多的人转向利用人为因素的手段--社会工程学来进行攻击。
许多信息技术从业者都普遍存在着类似的一种观念:他们认为自己的系统部署了先进、周密的安全设备,包括防火墙、IDS、IPS、漏洞扫描、防病毒网关、内容过滤、安全审计、身份认证和访问控制系统,甚至于最新的UTM和防水墙,以为靠这些安全设施即可保证系统的安全。事实上,很多安全行为出现在骗取内部人员(信息系统管理、使用、维护人员等)的信任,从而轻松绕过所有技术上的保护。信任是一切安全的基础,对于保护与审核的信任,通常被认为是整个安全链条中最薄弱的一环。为规避安全风险,技术专家精心设计的安全解决方案,却很少重视和解决最大的安全漏洞,那就是人为因素。因此,对于当前的企业来说,缺乏对社会工程学防范的信息系统,不管其安全技术多么先进完善,很可能会成为一种自我安慰的摆设,其投入大笔资金购置的最先进的安全设备,很可能成为一种浪费。
社会工程学攻击基本上可以分为两个层次:物理的和心理的。与以往的入侵行为相类似,社会工程学在实施之前要完成很多相关的前期工作的,这些工作甚至要比后续的入侵行为本身更为繁重和更具技巧。这些工作包括:社会工程学的实施者(一般称为社会工程师)必须掌握心理学、人际关系学、行为学等知识与技能,以便收集和掌握实施入侵行为所需要的相关资料与信息。通常为了达到预期目的,社会工程学攻击都要将心理的和行为的攻击两者结合运用。其常见形式包括如下几种:
第一,伪装。从早期的求职信病毒、爱虫病毒、圣诞节贺卡到目前流行的网络钓鱼,都是利用电子邮件和伪造的Web站点来进行诈骗活动的。有调查显示,在所有接触诈骗信息的用户中,有高达5%的人都会对这些骗局做出响应。攻击者越来越喜欢玩弄社会工程学的手段,把恶件、间谍软件、勒索软件(ransom-ware)、流氓软件等网络陷阱伪装起来欺骗被害者。
第二,引诱。社会工程学是现在多数蠕虫病毒进行传播时所使用的技术,它使计算机用户本能地去打开邮件,执行具有诱惑性同时具有危害的附件。例如,用一些关于某些型号的处理器存在运算瑕疵的"瑕疵声明"或更能引起人的兴趣的"幸运中奖"、"最新反病毒软件"等说辞,并给出一个页面连接,诱惑你进入该页面运行下载程序或在线注册个人相关信息,利用人们疏于防范的心理引诱你上钩。
第三,恐吓。利用人们对安全、漏洞、病毒、木马、黑客等内容会特别敏感,以权威机构的面目出现,散布诸如安全警告、系统风险之类的信息,使用危言耸听的伎俩恐吓欺骗计算机用户,声称如果不及时按照他们的要求去做就会造成致命的危害或遭受严重损失。
第四,说服。社会工程师说服目标的目的是增强他们主动完成所指派的任务的顺从意识,从而变为一个可以被信任并由此获得敏感信息的人。大多数企业咨询帮助台人员一般接受的训练都是要求他(她)们热情待人并尽可能地为来人来电提供帮助,所以这里就成了社会工程学实施者获取有价值信息的"金矿"。
第五,恭维。社会工程师通常十分友善,很讲究说话的艺术,知道如何借助机会去迎合人,投其所好,使多数人会友善地作出回应,恭维和虚荣心的对接会让目标乐意继续合作。
第六,渗透。通常社会工程学攻击者都擅长刺探信息,很多表面上看起来豪无用处的信息都会被他们利用来进行系统渗透。通过观察目标对电子邮件的响应速度、重视程度以及可能提供的相关资料,比如一个人的姓名、生日、ID、电话号码、管理员的IP地址、邮箱等都可能被利用起来,通过这些收集信息来判断目标的网络架构或系统密码的大致内容,从而用口令心理学来分析口令,而不仅仅是使用暴力破解。
除了以上的攻击手段,一些比较另类的行为也开始在社会工程学中出现,其中包括像翻垃圾(dumpster diving)、背后偷窥(shoulder surfing)、反向社会工程学等都是窃取信息的捷径办法。
面对社会工程学带来的安全挑战,企业必须采用新的防御方法,其实这些工作更多的偏向于管理层面,主要包括:
第一,加强内部安全管理。尽可能把系统管理工作职责时进行分离,合理分配每个系统管理员所拥有的权力,避免权限过分集中。为防止外部人员混入内部,员工应佩戴胸卡标示,设置门禁和视频监控系统;严格办公垃圾和设备维修报废处理程序;杜绝为贪图方便,将密码粘贴或通过QQ等方式进行系统维护工作的日常联系。
第二,开展安全防范训练。安全意识比安全措施重要的多。防范社会工程学攻击,指导和教育是关键。直接明确地给予容易受到攻击的员工一些案例教育和警示,让他们知道这些方法是如何运用和得逞的,学会辨认社会工程攻击。在这方面,要注意培养和训练企业和员工的几种能力,包括:辨别判断能力、防欺诈能力、信息隐藏能力、自我保护能力、应急处理能力等。
第三,对企业有涉外业务的人员进行强化管理。"社会工程"攻击很多都是针对企业中负责对外业务的人员,如接待、咨询人员等,由于他们需要频繁地与外员打交道,所以久而久之更加容易掉以轻心,误入"社会工程"的圈套和陷阱,所以企业要着重对他们进行培训和教育,以提高他们的防范能力。
本文出自 “卓越始于足下” 博客,谢绝转载!