機(jī)構(gòu)網(wǎng)絡(luò)安全重在風(fēng)險(xiǎn)管理

責(zé)任編輯:fmeng

2012-03-11 05:05:20

摘自:中國(guó)科學(xué)報(bào)

病毒、木馬、蠕蟲等惡意代碼的傳播也對(duì)網(wǎng)站安全帶來(lái)威脅?!斑@類攻擊實(shí)現(xiàn)的目標(biāo)差異較大,可用來(lái)竊取用戶賬戶、搜集數(shù)據(jù)和遠(yuǎn)程控制等。”

近日,兩名大學(xué)生黑客侵入沈陽(yáng)某高校的教學(xué)管理系統(tǒng)篡改考試成績(jī),幫助16名掛科學(xué)生順利“及格”,并以此手段賺取了13.7萬(wàn)元。
 
對(duì)這一罕見(jiàn)的黑客入侵案,遼寧省沈陽(yáng)經(jīng)濟(jì)技術(shù)開(kāi)發(fā)區(qū)人民法院一審以破壞計(jì)算機(jī)信息系統(tǒng)罪,對(duì)兩名被告人判處緩刑。
 
近年來(lái),隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展,網(wǎng)絡(luò)安全預(yù)防力度在不斷增加,但學(xué)校、機(jī)關(guān)、公司等單位的網(wǎng)絡(luò)防護(hù)系統(tǒng)似乎仍極為薄弱,很容易受到黑客的攻擊。
 
對(duì)此,中科院軟件研究所信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室研究員林東岱對(duì)表示:“機(jī)構(gòu)網(wǎng)絡(luò)系統(tǒng)安全的核心是風(fēng)險(xiǎn)管理。”
 
黑客和反黑客間的較量
 
該實(shí)驗(yàn)室主任馮登國(guó)告訴記者,在沈陽(yáng)高校教學(xué)管理系統(tǒng)被入侵一案中,最突出的問(wèn)題應(yīng)是網(wǎng)站安全,這也是目前關(guān)注度較高的問(wèn)題。
 
據(jù)了解,針對(duì)網(wǎng)站的攻擊種類繁多,包括拒絕服務(wù)攻擊、網(wǎng)頁(yè)掛馬、網(wǎng)頁(yè)篡改等。其中,網(wǎng)頁(yè)篡改是一種最為常見(jiàn)的攻擊。數(shù)據(jù)顯示,僅2010年,中國(guó)內(nèi)地共有近3.5萬(wàn)家網(wǎng)站被黑客篡改。
 
同時(shí),由僵尸主機(jī)消耗目標(biāo)網(wǎng)站帶寬實(shí)現(xiàn)的拒絕服務(wù)攻擊也可造成目標(biāo)網(wǎng)站癱瘓,網(wǎng)頁(yè)掛馬則能在所有訪問(wèn)目標(biāo)網(wǎng)站的機(jī)器中植入木馬。
 
另外,病毒、木馬、蠕蟲等惡意代碼的傳播也對(duì)網(wǎng)站安全帶來(lái)威脅。“這類攻擊實(shí)現(xiàn)的目標(biāo)差異較大,可用來(lái)竊取用戶賬戶、搜集數(shù)據(jù)和遠(yuǎn)程控制等。”馮登國(guó)說(shuō)。
 
“魔高一尺,道高一丈”常被用于形容黑客技術(shù)和反黑客技術(shù)之間的較量。
 
為對(duì)付各種網(wǎng)絡(luò)攻擊,殺毒軟件、入侵檢測(cè)系統(tǒng)、防火墻、漏洞掃描系統(tǒng)等防范措施每天都在更新。
 
但是,林東岱指出,所有防守手段都不能從根本上杜絕網(wǎng)絡(luò)攻擊。
 
馮登國(guó)也表示:“由于攻擊技術(shù)不斷發(fā)展,目前仍沒(méi)有一個(gè)萬(wàn)全之策。”
 
對(duì)于從技術(shù)上保障機(jī)構(gòu)網(wǎng)絡(luò)安全,馮登國(guó)建議,應(yīng)對(duì)網(wǎng)站的實(shí)現(xiàn)代碼進(jìn)行相關(guān)的安全測(cè)評(píng)并加強(qiáng)日常維護(hù)。“比如,檢測(cè)是否存在典型的跨站腳本、SQL注入等安全漏洞,及時(shí)對(duì)相關(guān)系統(tǒng)和軟件打補(bǔ)丁。”
 
代價(jià)巨大的安全
 
去年12月, CSDN、多玩、世紀(jì)佳緣、走秀等多家網(wǎng)站的用戶數(shù)據(jù)庫(kù)被曝光在網(wǎng)絡(luò)上。
 
這一被稱作“密碼泄密門”的事件再次引發(fā)公眾對(duì)網(wǎng)絡(luò)安全的擔(dān)憂,許多網(wǎng)民不得不更改密碼來(lái)保證個(gè)人隱私的安全。
 
一直以來(lái),涉及個(gè)人隱私的網(wǎng)絡(luò)安全事件成為公眾關(guān)注的焦點(diǎn)。與之相比,機(jī)構(gòu)網(wǎng)絡(luò)安全似乎坐在“冷板凳”上。
 
不過(guò),隨著網(wǎng)絡(luò)技術(shù)應(yīng)用越來(lái)越廣泛,類似侵入學(xué)校教學(xué)管理系統(tǒng)篡改成績(jī)的案例也越來(lái)越多。
 
那么,對(duì)于機(jī)構(gòu)管理者而言,是否應(yīng)為保證信息安全采用更為先進(jìn)的技術(shù)?
 
林東岱說(shuō),對(duì)于機(jī)構(gòu)網(wǎng)絡(luò)系統(tǒng)而言,并非采取越高級(jí)的技術(shù)越好。“安全技術(shù)都是有代價(jià)的,涉及國(guó)家機(jī)密、銀行金融數(shù)據(jù)等信息價(jià)值較高的安全防護(hù),往往受到管理者的重視。”
 
他認(rèn)為,花10塊錢保證1塊錢安全的做法是不劃算的。顯然,沈陽(yáng)大學(xué)生黑客的涉案金額遠(yuǎn)遠(yuǎn)小于金融機(jī)構(gòu)被攻擊帶來(lái)的損失。
 
而就在今年1月,高達(dá)670萬(wàn)美元的金額在南非郵政銀行遭入侵后丟失。
 
對(duì)此,林東岱認(rèn)為,應(yīng)當(dāng)用風(fēng)險(xiǎn)管理的思路來(lái)處理機(jī)構(gòu)網(wǎng)絡(luò)安全的問(wèn)題。“主要應(yīng)當(dāng)從管理方面提高安全。”他說(shuō)。
 
馮登國(guó)也建議:“管理上應(yīng)做到權(quán)責(zé)清晰,對(duì)網(wǎng)絡(luò)管理人員、網(wǎng)絡(luò)用戶、不同設(shè)備的使用者、不同應(yīng)用系統(tǒng)的訪問(wèn)都要做到權(quán)限最小化。同時(shí),用戶的安全意識(shí)也應(yīng)不斷加強(qiáng)。”

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)