网络服务的应用为企业节省成本与提高升生产力是最显而易见的,因为公司不必再去烦恼彼此系统间如何沟通的问题。沟通程序越简化,就越能提高生产力。生产力一旦提升,成本自然降低。但也由于网络系统比以前更加便利,计算机性能与运算能力越来越强,越来越好用,也提高非法入侵的频率。由种种关于计算机网络的发展显示,未来破坏安全的入侵行为只会越来越多。 便利之下的隐忧
人
司外部的黑客:近几年来小至个人用户大至政府机关都无不使用网络,也由于它的便利,入侵事件也逐年成倍数成长,去年十一月至今年七月长达八个月间,我国政府网站爆发有史以来首宗规模最大、系统遭大陆黑客入侵窃取大批数据事件;遭大陆黑客入侵网站高达四十二个、计算机多达二百一十六台;行政院长游锡指示相关单位建立整体性的国家信息通信安全防护机制,定期对政府网站侦测扫描、补强漏洞。
公司内部怀有恶意的员工:防了外来的入侵,却忽略了公司内部员工所可能带来的伤害,之前美国某高科技公司离职员工入侵该公司计算机系统重要档案。根据国际计算机安全协会(ICSA Security Report)指出,六十%的泄密事件来自企业内部,十五%来自外部入侵。
操作上的疏失:公司内部人员对网络不了解与管理不当造成威胁与损失,像是账号密码管理疏失及一些不当设定造成的安全漏洞,让黑客有机可趁。微软曾经传出总部遭黑客入侵,窃走了包括Windows XP、Office XP的软件原始码。据传闻,黑客藉由连上微软公司员工的家用计算机,透过迂回方式,成功地躲过层层防护措施,进入微软内部网络,搜集部份密码后,再将这些资料转寄到俄罗斯的一个邮件账号。
病毒
不断改良的病毒,由2001 年 Code Red 与 Nimda 计算机病毒利用微软IIS服务器的漏洞,不但能避开网络的管制大门 - 防火墙,还会在系统上建立后门,2003年初SQL Slammer Worm 病毒,则是利用SQL 的漏洞入侵系统,在系统中取得网址,并开始找寻网络互联有弱点的主机系统再进行感染。Slammer病毒在2003年1月25日发作,借着SQL Server数据库当中的漏洞,在发作的前五天,就造成10亿美元的损失,同时也以极快的速度散布到全球各地。现今复合式的病毒,单靠防毒软件与防火墙防御是不够的,因为防毒软件,只能防的了病毒,却无法防的了弱点,防火墙,只能对特定的port 进行限制,却无法过滤掉,存在 e-mail 传送所含带的复合式病毒中的弱点。
弱点
软件弱点:软件的弱点存在于操作系统和应用程序软件中的错误,黑客就经由这些弱点对计算机进行入侵,取得、更改、破坏计算机中的数据或造成当机,而它所造成的损失,常常是无法估算的
管理弱点:由于管理上的疏失,因而导致被入侵,如系统设罝不当或是账号密码过度于简单而容易猜测。
安全问题永远层出不穷,病毒、入侵型态也不断翻新,黑客越来越精明,入侵软件只需找一下,就可下载一堆黑客工具,这些当然是不合法的,但不管怎样,入侵的类型只会越来越多。
§ 黑客入侵流程:了解黑客的入侵流程,管理者可以更加清楚知道,黑客从何而来?
(如图一)
网络应用快速普及,网络的应用程序也大幅成长,大部份的公司因为人力编制有限,而且未善用适当的工具加以管理,难免会产生疏忽而导致黑客入侵。美国联邦调查局 ( FBI ) 和旧金山计算机安全机构在去年公布一项调查,受访的500家企业和政府机构中,约有90%在过去一年中有遭受攻击的经验,损失总额逾4.5亿美元。
倍数成长的弱点
美国计算机紧急事件反应小组协调中心(CERT/CC)
美国计算机紧急事件反应小组协调中心(CERT/CC)公布的数字显示,2002 年该中心接到的计算机安全事故报告中指出,2002年发现弱点数为4,129个是2000年发现弱点数1,090个的4倍,2002年发生的资安事件为82,094件是2000年发生资安事件21,756件的4倍,由此我们可得知,弱点数量与资安事件是成正比的,且99%的黑客是利用既有的漏洞入侵。
1995-2002 弱点统计报告 | Year | 1995 | 1996 | 1997 | 1998 | 1999 | 2000 | 2001 | 2002 |
| Vulnerabilities | 171 | 345 | 311 | 262 | 417 | 1,090 | 2,437 | 4,129 |
1996-2002 安全事故统计报告 | Year | | | | | | | 1996 | 1997 | 1998 | 1999 | 2000 | 2001 | 2002 |
| Incidents | | | | | | | 2,573 | 2,134 | 3,734 | 9,859 | 21,756 | 52,658 | 82,094 |
公开的已知安全漏洞
CERT/CC是报告漏洞的一个主要Internet安全问题报告中心,偶尔发布一些报告,提供某个严重安全问题的描述及其影响,并提供修补的建议或变通办法的细节。除了CERT以外,CIAC (Computer Incident Advisory Capability) 也报告漏洞,许多不同的组织可能会用不同的名称来报告同样的漏洞,为了解决这个问题,MITRE支持常见漏洞揭露(CVE, Common Vulnerabilityies and Exposures)列表来对所有公开的已知安全漏洞建立单一的独有名称以相互区别,例如造成SQL Slammer Worm 病毒的安全漏洞,CVE 编号为 CAN-2002-064,可由 http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0649 )获得安全漏洞的描述。NIST的ICAT( http://icat.nist.gov/ ) 则是CVE弱点搜寻引擎,把每个CVE弱点分类并提供查询与比较。
风险评估->风险管理
什么时候才能阻止网络黑客入侵?人类文明已有四千年历史,何时才能让犯罪成为绝响?答案是:永远不会。网络世界也是一样的道理,我们最多能做的就是尽可能管理风险,将风险降到最低,一如在实体世界的做法。
风险评估
信息资产、威胁、弱点是风险评估的三大要素,经由企业内部信息资产所面临的潜在威胁与弱点,在由资产价值与潜在威胁与弱点发生的机率或强度,决定该资产的风险值(Risk Value)(如图二)
风险管理
企业走进e化,数字化数据比例日亦加重,重要数字资产除了网络快速发展之脚步促使、并应促使组织重新
减小字体
增大字体
