国内著名的安全厂商瑞星日前在京正式对外发布了《2010中国企业安全报告》,报告指出2010年国内有250120个网站被植入了病毒或者木马,9成国内企业曾被入侵,政府、军队、教育科研等机关单位已成为黑客攻击重要对象。
报告指出,在所有的重要单位都实现了机密资料无纸化储存的同时,储存的重要资料和信息被黑客窥测,外泄的风险也越来越大。
以下是详细报告摘录:
在企业级用户当中,有一类用户对安全要求极其严苛,他们一旦出问题将会关系到国计民生,这就是国内的涉密单位。在用户分类中,瑞星把政府机关、军队、军工、与军事研究相关的科研院校、金融、基础公用设施单位等,列为涉密网络,为其提供最高等级的安全产品和安全服务。
目前,在京部委级别以上的单位中,有70多家使用瑞星的产品,其中包括国务院、中组部、中联部、国税总局、北京市政府等重量级单位。瑞星在关系到国计民生的重要行业中实现了全覆盖,例如金盾工程、金审工程、中国海关等。
根据中央国家机关政府采购中心发布的消息,2007年—2010年中央国家机关各部门及其下属各级行政事业单位通过协议供货采购的通用软件中,防病毒软件占通用软件采购总金额的5.10%,其中国产瑞星防病毒软件的采购量最大,占比57.41%。
(注:本章列举的涉密网络安全问题,均不涉及具体案例,仅为相关网络管理员参考之用)
1、 涉密网络安全威胁概况
目前,几乎所有的重要单位都实现了机密资料的无纸化储存,对内网用户实行了严格的身份与权限控制,大大提高了办公效率。与此同时,其中储存的重要资料和信息也被黑客窥测,存在外泄和不当应用的风险。
从实际经验来看,黑客和病毒手段已经成为获取情报、制造混乱的最佳工具。2010年9月,“超级工厂(Stuxnet)”病毒在全球引起轩然大波。这是全球第一个能真正破坏工业自动化系统的病毒,有美国媒体报道说,该病毒是由美国情报部门协助以色列制造的,在伊朗散播后造成极其严重的后果,遭病毒攻击的核电站有数千台离心机运行异常,使得伊朗核计划遭到挫败。
国内个人用户感染“超级工厂(Stuxnet)”病毒的趋势图(关于企业的数据涉及机密不能公布)
同时,在对一些重要企业的安全检查中,瑞星也曾经发现过存在类似安全问题,比如在自动化控制系统中存在有意留下的漏洞,内网中存在编写精巧的“特种木马”等,由于中方对很多软硬件设备不掌握自主知识产权,无法查看底层代码,导致遭攻击的风险在逐渐增加。
在针对涉密网络的攻击中,有大约10%比例的攻击从编程风格、操作精细程度、利用的漏洞质量等多方面观察,个人黑客无法做到如此水平,很可能是国外有组织有目的的情报收集和破坏活动。
2、 涉密网络比较常见的攻击手法
与普通企业网络不同,涉密网络通常与互联网进行了物理隔绝,因此,针对涉密网络的攻击也有着自身的独特特点:
① 利用U盘等设备进行跳板攻击
以“超级工厂”病毒为例,它采用的就是跳板攻击的方法,病毒会感染个人电脑上使用的U盘,当带毒U盘被拿到内网中使用的时候,病毒随之进入内网。有美国媒体猜测说,该病毒是美国特工投放到在伊朗核电站工作的俄国专家电脑里的,从技术角度讲,这种猜测有一定道理。
② 利用未公开的0day漏洞
所有水平比较高的黑客攻击,几乎都利用了不为人所知的系统、应用软件和数据库漏洞,业内把这些漏洞称为“0day漏洞”。利用的未知漏洞越多,感染攻击能力越强,越难被阻止。以“超级工厂”病毒为例,其利用的7个漏洞中,只有1个是微软曾经公布并发布补丁的,其余的都属于“0day漏洞”。
值得一提的是,目前在互联网上存在着“0day漏洞”的灰色交易,有人专门挖掘各种漏洞,将其进行出售而获利。有的黑客组织就从地下市场购买这些漏洞,将其用于自己编写的木马中
③ 针对特定对象编写,普通杀毒软件很难查杀
本质上讲,杀毒软件仅是用来应对感染规模大、数量多的普通型病毒攻击,如果单独针对特殊的用户编写,严格控制感染人数,普通杀毒软件的效力就会大大下降。
2005年6月,以色列爆发了历史上最大的商业间谍案,涉案人包括以色列国家安全总局的前特工。他们编写木马植入受害人公司,窃取商业机密、市场计划等,他们的雇主包括一些最著名的公司。
在此案中,涉案人通过编写特殊的木马程序,仅植入少数的几家公司。由于这些木马运行并没有任何异常,而且有的木马在完成任务后会自行销毁,抹掉自己存在的痕迹,导致丢失商业秘密的受害者在竞争中处于劣势。
由于这些木马在植入前都会通过主流杀毒软件的扫描测试,普通杀毒软件无法扫描出异常;而且在当时,多数杀毒软件通常不具有“主动防御”功能,导致杀毒公司无法获取样本,无法将其加入病毒库,从而无法将其查杀。
本文来源:华军资讯 作者:佚名