企业管理层的安全保障手段和技术

　终端安全方面的信息是什么？它是否可以代替防病毒软件？或者说，它属于安全的一个附加层面？

 

    迈克菲、赛门铁克、TrustDefender以及其它防病毒软件开发商也同意分析师情况不会很快变得好转的预测。因此，它们建议选择应用终端安全技术。

 

    回到恶意软件攻击领域，广大安全专家的意见是一致的。新的一年还是会象虎年一样凶险。他们预计恶意威胁、身份盗窃和银行账户破坏类案件将出现爆发性增长。

 

    “请问，你是怎么看待终端安全的？”

 

    “该死的市场营销策略而已；它只不过是换了一个名称的防病毒软件。”

 

    我的思绪如飞，这真是一个好机会。在接下来的提问中，我就拿出了是压箱底的煽动性问题。

 

    “你的意思是终端安全就是防病毒软件厂商最新的炒作行为？”

 

    现场交谈变得激烈起来的说法仅仅是实际情况的轻描淡写。在尽力沟通但发现没有可能就终端安全话题进行有意义的交流后，我找借口离开了现场。

 

    真正的答案

 

    在采访完常规来源后；我得到了尽管不那么热情但看上去更有意义的答案。它们包括了：

 

    ◆在涉及安全的演讲中，计算机被当作终端。

 

    ◆终端安全是一种概念，意味着每台计算机或者终端都需要为自身安全负责。

 

    好吧，先这么认识，但它与传统防病毒应用的区别在哪里呢？实际上，两者之间的区别是非常大的。而且，这就是为什么反病毒开发商将其称作终端安全，而不是防病毒软件的原因。

 

    为了进一步确认该观点的可靠性，我采访了NSS实验室的总裁里克·莫伊。我已经多次采访过里克；最早是关于防病毒软件的话题，后来则是关于漏洞中心的内容。为了进一步了解这一概念，我询问里克终端安全对于他来说意味着什么：

 

    莫伊：通常情况下，终端安全或者说终端保护这一术语用于指代可以提供企业级安全保护功能的产品。它们通常包括了：

 

    ◆利用现有数字签名文件和启发式算法清除恶意软件的工具

 

    ◆内置的反间谍软件保护工具

 

    ◆入口和出口防火墙

 

    ◆入侵检测系统和入侵防御系统的传感器和报警工具

 

    ◆应用控制和用户管理工具

 

    ◆包括便携设备在内的数据输入输出控制工具

 

    通常情况下，具备类似功能的消费类软件产品被称作互联网安全套装。与网络安全产品的不同之处在于，对于终端安全的应用公司信息经理也需要负责。

 

[page]    在这里，终端可以是台式计算机、笔记本计算机、移动电话或者数据中心里的服务器。终端安全产品也会包含一些附加功能，就象：

 

    ◆全盘加密功能

 

    ◆信息泄漏检测和控制功能

 

    ◆白名单技术

 

    由于属于相对较新的技术，所以，这些附加功能目前还没有被集成到产品内部。

 

    消费者与企业的不同情况

 

    对于消费者来说，与企业相比有一点重要的不同。这就是应用程序的管理方式。由于大部分家庭网络中只有数台计算机，所以单独进行管理并不是很麻烦的事情。由于不存在集中管理工具：

 

    ◆数字签名和应用程序的更新都是通过互联网直接访问开发商的控制服务器来完成的。

 

    ◆每台计算机上都需要对终端安全应用进行设置。

 

    ◆只有在受到攻击的计算机上才会应用到报警和日志条目。

 

    而对于公司来说，软件是通过集中模式的服务器应用进行管理的。对于大规模部署来说，这是唯一合乎逻辑的管理方式。集中管理模式可以容许：

 

    ◆利用统一的网络界面来对终端进行配置。

 

    ◆所有的日志条目和报警信息都可以被发送到控制服务器的专门位置。

 

    ◆只需要下载一次数字签名文件和应用更新补丁，就可以利用服务器工具将其部署到所有终端上。

 

    ◆可以针对全网设置和执行应用策略。

 

    为什么是现在？

　　当前很多大型企业的安全问题无不在管理层上有所体现，管理安全无力导致员工没有安全概念，部署和贯彻安全技术和安全理念的观念淡薄，导致出现很多不应该出现的“马其诺防线”。本文将从企业信息安全标准化和在管理层面抵御“社会工程”攻击两方面来介绍企业管理层的安全防护手段和技术。

 

    1、企业信息安全标准化

 

    信息安全评估是信息安全生命周期中的一个重要环节，是对企业的网络拓扑结构、重要服务器的位置、带宽、协议、硬件、与Internet的接口、防火墙的配置、安全管理措施及应用流程等进行全面的安全分析，并提出安全风险分析报告和改进建议书。它主要可以发挥如下三方面的作用：

 

    （1）明确企业信息系统的安全现状。进行信息安全评估后，可以让企业准确地了解自身的网络、各种应用系统以及管理制度规范的安全现状，从而明晰企业的安全需求。

 

    （2）确定企业信息系统的主要安全风险。在对网络和应用系统进行信息安全评估并进行风险分级后，可以确定企业信息系统的主要安全风险，并让企业选择避免、降低、接受等风险处置措施。

 

    （3）指导企业信息系统安全技术体系与管理体系的建设。对企业进行信息安全评估后，可以制定企业网络和系统的安全策略及安全解决方案，从而指导企业信息系统安全技术体系（如部署防火墙、入侵检测与漏洞扫描系统、防病毒系统、数据备份系统、建立公钥基础设施PKI等）与管理体系（安全组织保证、安全管理制度及安全培训机制等）的建设。

 

    在当今全球一体化的商业环境中，信息的重要性被广泛接受，信息系统在商业和政府组织中得到了真正的广泛的应用。许多组织对其信息系统不断增长的依赖性，加上在信息系统上运作业务的风险、收益和机会，使得信息安全管理成为企业管理越来越关键的一部分。管理高层需要确保信息技术适应企业战略，企业战略也恰当利用信息技术的优势。但现实世界的任何系统都是一串复杂的环节，安全措施必须渗透到系统的所有地方，其中一些甚至连系统的设计者、实现者和使用者都不知道。因此，不安全因素总是存在。没有一个系统是完美的，没有一项技术是灵丹妙药。

 

    网络与信息安全标准化工作是国家信息安全保障体系建设的重要组成。网络与信息安全标准研究与制定为国家主管部门管理信息安全设备提供了有效的技术依据，这对于保证安全设备的正常运行，并在此基础上保证我国国民经济和社会管理等领域中网络信息系统的运行安全和信息安全具有非常重要的意义。

 

    国际上信息安全标准化工作兴起于20世纪70年代中期，80年代有了较快的发展，90年代引起了世界各国的普遍关注。目前世界上有近300个国际和区域性组织制定标准或技术规则，与信息安全标准化有关的组织主要有以下4个：

 

    ◆ISO（国际标准化组织）。ISO/IEC JTC1（信息技术标准化委员会）所属SC27（安全技术分委员会）的前身是SC20（数据加密技术分委员会），主要从事信息技术安全的一般方法和技术的标准化工作。而ISO/TC68负责银行业务应用范围内有关信息安全标准的制定，主要制定行业应用标准，与SC27有着密切的联系。ISO/IEC JTC1负责制定的标准主要是开放系统互连、密钥管理、数字签名、安全评估等方面的内容。

 

    ◆IEC（国际电工委员会）。IEC在信息安全标准化方面除了与ISO联合成立了JTC1下分委员会外，还在电信、电子系统、信息技术和电磁兼容等方面成立技术委员会（如TC56可靠性、TC74 IT设备安全和功效、TC77电磁兼容、TC 108音频/视频、信息技术和通信技术电子设备的安全等），并且制定相关国际标准（如信息技术设备安全IEC60950等）。

 

    ◆ITU（国际电信联盟）。ITU SG17组负责研究网络安全标准，包括通信安全项目、安全架构和框架、计算安全、安全管理、用于安全的生物测定、安全通信服务。此外SG16和下一代网络核心组也在通信安全、H.323网络安全、下一代网络安全等标准方面进行研究。

 

    ◆IETF（Internet工程任务组）等。IETF标准制定的具体工作由各个工作组承担。Internet工程任务组分成8个工作组，分别负责Internet路由、传输、应用等8个领域，其著名的IKE和IPSec都在RFC系列之中，还有电子邮件、网络认证和密码及其他安全协议标准。

 

[page]    ◆国内的安全标准组织主要有信息技术安全标准化技术委员会（CITS）以及中国通信标准化协会（CCSA）下辖的网络与信息安全技术工作委员会。CITS成立于1984年，在国家标准化管理委员会和信息产业部的共同领导下负责全国信息技术领域以及与ISO/IEC JTC1相对应的标准化工作，目前下设24个分技术委员会和特别工作组，是国内最大的标准化技术委员会，也是具有广泛代表性、权威性和军民结合的信息安全标准化组织。

 

    CITS主要负责信息安全的通用框架、方法、技术和机制的标准化及归口国内外对应的标准化工作，其中技术安全包括开放式安全体系结构、各种安全信息交换的语义规则、有关的应用程序接口和协议引用安全功能的接口等。CCSA成立于2002年12月18日，是国内企事业单位自愿联合组织起来经业务主管部门批准的开展通信技术领域标准化活动的组织。CCSA下设了有线网络信息安全、无线网络信息安全、安全管理和安全基础设施4个工作组负责研究：有线网络中电话网、互联网、传输网、接入网等在内所有电信网络相关的安全标准；无线网络中接入、核心网、业务等相关的安全标准以及安全管理工作组；安全基础设施工作组中网管安全以及安全基础设施相关的标准。

 

    当前，国际上著名的信息安全评估标准有如下几种，可以为企业借鉴：

 

    ◆可信的计算机系统安全评估标准（TCSEC，从橘皮书到彩虹系列）由美国国防部于1985年公布的，是计算机系统信息安全评估的第一个正式标准。它把计算机系统的安全分为4类、7个级别，对用户登录、授权管理、访问控制、审计跟踪、隐蔽通道分析、可信通道建立、安全检测、生命周期保障、文档写作、用户指南等内容提出了规范性要求。

 

    ◆信息技术安全评估标准（ITSEC，欧洲百皮书）是由法、英、荷、德欧洲四国90年代初联合发布的，它提出了信息安全的机密性、完整性、可用性的安全属性。机密性就是保证没有经过授权的用户、实体或进程无法窃取信息；完整性就是保证没有经过授权的用户不能改变或者删除信息，从而信息在传送的过程中不会被偶然或故意破坏，保持信息的完整、统一；可用性是指合法用户的正常请求能及时、正确、安全地得到服务或回应。ITSEC把可信计算机的概念提高到可信信息技术的高度上来认识，对国际信息安全的研究、实施产生了深刻的影响。

 

    ◆信息技术安全评价的通用标准（CC）由六个国家（美、加、英、法、德、荷）于1996年联合提出的，并逐渐形成国际标准ISO15408。该标准定义了评价信息技术产品和系统安全性的基本准则，提出了目前国际上公认的表述信息技术安全性的结构，即把安全要求分为规范产品和系统安全行为的功能要求以及解决如何正确有效地实施这些功能的保证要求。CC标准是第一个信息技术安全评价国际标准，它的发布对信息安全具有重要意义，是信息技术安全评价标准以及信息安全技术发展的一个重要里程碑。

 

    ◆ISO13335标准首次给出了关于IT安全的保密性、完整性、可用性、审计性、认证性、可靠性6个方面含义，并提出了以风险为核心的安全模型：企业的资产面临很多威胁（包括来自内部的威胁和来自外部的威胁）；威胁利用信息系统存在的各种漏洞（如：物理环境、网络服务、主机系统、应用系统、相关人员、安全策略等），对信息系统进行渗透和攻击。如果渗透和攻击成功，将导致企业资产的暴露；资产的暴露（如系统高级管理人员由于不小心而导致重要机密信息的泄露），会对资产的价值产生影响（包括直接和间接的影响）；风险就是威胁利用漏洞使资产暴露而产生的影响的大小，这可以为资产的重要性和价值所决定；对企业信息系统安全风险的分析，就得出了系统的防护需求；根据防护需求的不同制定系统的安全解决方案，选择适当的防护措施，进而降低安全风险，并抗击威胁。该模型阐述了信息安全评估的思路，对企业的信息安全评估工作具有指导意义。

 

    ◆AS/NZS 4360：1999是澳大利亚和新西兰联合开发的风险管理标准，第一版于1995年发布。在AS/NZS 4360:1999中，风险管理分为建立环境、风险识别、风险分析、风险评价、风险处置、风险监控与回顾、通信和咨询七个步骤。AS/NZS 4360:1999是风险管理的通用指南，它给出了一整套风险管理的流程，对信息安全风险评估具有指导作用。目前该标准已广泛应用于新南威尔士洲、澳大利亚政府、英联邦卫生组织等机构。

 

    ◆BS7799是英国的工业、政府和商业共同需求而发展的一个标准，它分两部分：第一部分为“信息安全管理事务准则”；第二部分为“信息安全管理系统的规范”。目前此标准已经被很多国家采用，并已成为国际标准ISO17799。 BS7799包含10个控制大项、36个控制目标和127个控制措施。BS7799/ISO17799主要提供了有效地实施信息系统风险管理的建议，并介绍了风险管理的方法和过程。企业可以参照该标准制定出自己的安全策略和风险评估实施步骤。

 

    国内主要是等同采用国际标准。公安部主持制定、国家质量技术监督局发布的中华人民共和国国家标准GB17895-1999《计算机信息系统安全保护等级划分准则》已正式颁布并实施。该准则将信息系统安全分为5个等级：自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。主要的安全考核指标有身份认证、自主访问控制、数据完整性、审计等，这些指标涵盖了不同级别的安全要求。GB18336也是等同采用ISO 15408标准。在制定的过程中，主要可以参照如下的方法进行：

 

    ◆定制个性化的评估方法

 

    虽然已经有许多标准评估方法和流程，但在实践过程中，不应只是这些方法的套用和拷贝，而是以他们作为参考，根据企业的特点及安全风险评估的能力，进行“基因”重组，定制个性化的评估方法，使得评估服务具有可裁剪性和灵活性。评估种类一般有整体评估、IT安全评估、渗透测试、边界评估、网络结构评估、脆弱性扫描、策略评估、应用风险评估等。

 

    ◆安全整体框架的设计

 

    风险评估的目的，不仅在于明确风险，更重要的是为管理风险提供基础和依据。作为评估直接输出，用于进行风险管理的安全整体框架，至少应该明确。但是由于不同企业环境差异、需求差异，加上在操作层面可参考的模板很少，使得整体框架应用较少。但是，企业至少应该完成近期1～2年内框架，这样才能做到有律可依。

 

    ◆多用户决策评估

 

    不同层面的用户能看到不同的问题，要全面了解风险，必须进行多用户沟通评估。将评估过程作为多用户“决策”过程，对于了解风险、理解风险、管理风险、落实行动，具有极大的意义。事实证明，多用户参与的效果非常明显。多用户“决策”评估，也需要一个具体的流程和方法。

 

    ◆敏感性分析

 

    由于企业的系统越发复杂且互相关联，使得风险越来越隐蔽。要提高评估效果，必须进行深入关联分析，比如对一个老漏洞，不是简单地分析它的影响和解决措施，而是要推断出可能相关的其他技术和管理漏洞，找出病“根”，开出有效的“处方”。这需要强大的评估经验知识库支撑，同时要求评估者具有敏锐的分析能力。

 

    ◆集中化决策管理

 

    安全风险评估需要具有多种知识和能力的人参与，对这些能力和知识的管理，有助于提高评估的效果。集中化决策管理，是评估项目成功的保障条件之一，它不仅是项目管理问题，而且是知识、能力等“基因”的组合运用。必须选用具有特殊技能的人，去执行相应的关键任务。如控制台审计和渗透性测试，由不具备攻防经验和知识的人执行，就达不到任何效果。

 

    ◆评估结果管理

 

[page]    安全风险评估的输出，不应是文档的堆砌，而是一套能够进行记录、管理的系统。它可能不是一个完整的风险管理系统，但至少是一个非常重要的可管理的风险表述系统。企业需要这样的评估管理系统，使用它来指导评估过程，管理评估结果，以便在管理层面提高评估效果。

 

　    2、“社会工程”攻击防范

 

    社会工程学（Social Engineering）是一种利用人的弱点：如人的本能反应、好奇心、信任、贪婪等进行诸如欺骗、伤害等危害手段，获取自身利益的手法。近年来，由于信息安全厂商不断开发出更先进的安全产品，系统安全防范在技术上越来越严密，使得攻击者利用技术上的漏洞变得越来越困难。于是，更多的人转向利用人为因素的手段--社会工程学来进行攻击。

 

    许多信息技术从业者都普遍存在着类似的一种观念：他们认为自己的系统部署了先进、周密的安全设备，包括防火墙、IDS、IPS、漏洞扫描、防病毒网关、内容过滤、安全审计、身份认证和访问控制系统，甚至于最新的UTM和防水墙，以为靠这些安全设施即可保证系统的安全。事实上，很多安全行为出现在骗取内部人员（信息系统管理、使用、维护人员等）的信任，从而轻松绕过所有技术上的保护。信任是一切安全的基础，对于保护与审核的信任，通常被认为是整个安全链条中最薄弱的一环。为规避安全风险，技术专家精心设计的安全解决方案，却很少重视和解决最大的安全漏洞，那就是人为因素。因此，对于当前的企业来说，缺乏对社会工程学防范的信息系统，不管其安全技术多么先进完善，很可能会成为一种自我安慰的摆设，其投入大笔资金购置的最先进的安全设备，很可能成为一种浪费。

 

    社会工程学攻击基本上可以分为两个层次：物理的和心理的。与以往的入侵行为相类似，社会工程学在实施之前要完成很多相关的前期工作的，这些工作甚至要比后续的入侵行为本身更为繁重和更具技巧。这些工作包括：社会工程学的实施者（一般称为社会工程师）必须掌握心理学、人际关系学、行为学等知识与技能，以便收集和掌握实施入侵行为所需要的相关资料与信息。通常为了达到预期目的，社会工程学攻击都要将心理的和行为的攻击两者结合运用。其常见形式包括如下几种：

 

    第一，伪装。从早期的求职信病毒、爱虫病毒、圣诞节贺卡到目前流行的网络钓鱼，都是利用电子邮件和伪造的Web站点来进行诈骗活动的。有调查显示，在所有接触诈骗信息的用户中，有高达5%的人都会对这些骗局做出响应。攻击者越来越喜欢玩弄社会工程学的手段，把恶件、间谍软件、勒索软件（ransom-ware）、流氓软件等网络陷阱伪装起来欺骗被害者。

 

    第二，引诱。社会工程学是现在多数蠕虫病毒进行传播时所使用的技术，它使计算机用户本能地去打开邮件，执行具有诱惑性同时具有危害的附件。例如，用一些关于某些型号的处理器存在运算瑕疵的“瑕疵声明”或更能引起人的兴趣的“幸运中奖”、“最新反病毒软件”等说辞，并给出一个页面连接，诱惑你进入该页面运行下载程序或在线注册个人相关信息，利用人们疏于防范的心理引诱你上钩。

 

    第三，恐吓。利用人们对安全、漏洞、病毒、木马、黑客等内容会特别敏感，以权威机构的面目出现，散布诸如安全警告、系统风险之类的信息，使用危言耸听的伎俩恐吓欺骗计算机用户，声称如果不及时按照他们的要求去做就会造成致命的危害或遭受严重损失。

 

    第四，说服。社会工程师说服目标的目的是增强他们主动完成所指派的任务的顺从意识，从而变为一个可以被信任并由此获得敏感信息的人。大多数企业咨询帮助台人员一般接受的训练都是要求他（她）们热情待人并尽可能地为来人来电提供帮助，所以这里就成了社会工程学实施者获取有价值信息的“金矿”。

 

    第五，恭维。社会工程师通常十分友善，很讲究说话的艺术，知道如何借助机会去迎合人，投其所好，使多数人会友善地作出回应，恭维和虚荣心的对接会让目标乐意继续合作。

 

    第六，渗透。通常社会工程学攻击者都擅长刺探信息，很多表面上看起来豪无用处的信息都会被他们利用来进行系统渗透。通过观察目标对电子邮件的响应速度、重视程度以及可能提供的相关资料，比如一个人的姓名、生日、ID、电话号码、管理员的IP地址、邮箱等都可能被利用起来，通过这些收集信息来判断目标的网络架构或系统密码的大致内容，从而用口令心理学来分析口令，而不仅仅是使用暴力破解。

 

    除了以上的攻击手段，一些比较另类的行为也开始在社会工程学中出现，其中包括像翻垃圾（dumpster diving）、背后偷窥（shoulder surfing）、反向社会工程学等都是窃取信息的捷径办法。

 

    面对社会工程学带来的安全挑战，企业必须采用新的防御方法，其实这些工作更多的偏向于管理层面，主要包括：

 

    第一，加强内部安全管理。尽可能把系统管理工作职责时进行分离，合理分配每个系统管理员所拥有的权力，避免权限过分集中。为防止外部人员混入内部，员工应佩戴胸卡标示，设置门禁和视频监控系统；严格办公垃圾和设备维修报废处理程序；杜绝为贪图方便，将密码粘贴或通过QQ等方式进行系统维护工作的日常联系。

 

    第二，开展安全防范训练。安全意识比安全措施重要的多。防范社会工程学攻击，指导和教育是关键。直接明确地给予容易受到攻击的员工一些案例教育和警示，让他们知道这些方法是如何运用和得逞的，学会辨认社会工程攻击。在这方面，要注意培养和训练企业和员工的几种能力，包括：辨别判断能力、防欺诈能力、信息隐藏能力、自我保护能力、应急处理能力等。

 

    第三，对企业有涉外业务的人员进行强化管理。“社会工程”攻击很多都是针对企业中负责对外业务的人员，如接待、咨询人员等，由于他们需要频繁地与外员打交道，所以久而久之更加容易掉以轻心，误入“社会工程”的圈套和陷阱，所以企业要着重对他们进行培训和教育，以提高他们的防范能力。这是一个非常好的问题。终端安全模式应运而生的原因是网络使用方式的转变。越来越多的人开始选择使用远程访问模式从其它位置来连接位于办公室或者家里的计算机。

 

    这种情况让网络的边界变得无法确定。因此，对于采用集中安全保护模式的计算机来说，保障安全变成无法实现的目标。而终端安全技术，就可以帮助计算机为自身提供安全保护。

 

    应该如何进行选择？

 

    尽管我撰写本文的目的不是如何选择恰当的产品，而是了解什么是终端安全。不过，里克还是就如何进行选择恰当的产品进行了简单的说明：

 

    莫伊：对于消费者来说，不要忘记终端安全的主要作用就是防止攻击。产品与产品之间的差别是非常大的，所以，应该选择可以有效防御现有恶意软件和漏洞的保护工具。

 

    一个例子将说明终端安全工具在防范来自恶意网站的攻击方面的实际效果如何。NSS实验室就很多产品的防范能力进行了测试。新的研究报告将于本星期的晚些时间发布。

 

    最后的思考

 

    现在，大家已经了解了基本情况。所以，终端安全到底是不是属于不同的技术？我的答案是肯定的。它是不是非常重要？答案也是肯定的，尤其是对于移动或者容许远程计算机访问内部网络的用户来说。