• 電話:0571-88994238/39/40
  • 傳真:0571-88994238-809
  • 地址:浙江省杭州市文三路259號 昌地火炬大廈 2號樓 1101
新聞詳細頁您當前位置:主頁 > 案例展示 > 專題文章 >

警惕內賊

作者:趙戰生、左曉棟  發布日期:2007-07-06

  有關黑客入侵的大量報道,把人們的注意力導向到信息的外部。但是,對于信息安全保障的威脅,從來就是來自于“內”、“外”兩個方面,而且通常是“外因通過內因起作用”,因為80%的安全威脅來自于內部。因此我們要大聲疾呼:警惕內部威脅(Insider Threat)!

  一.80%的威脅來自于Insider

  據報道,今年2月19日,美國聯邦調查局(FBI)一名高級反情報人員被逮捕,這名FBI特工被指控,從1985年至今,為俄羅斯充當間諜,泄漏了多達6000頁的核心機密文件,其中包括美國國家最高機密。FBI局長認為,這起事件是FBI歷史上最嚴重的內部人員充當間諜的案件。

  FBI和美國很多IT安全專家把這次事看作是內部人員威脅的一次嚴重教訓。斯坦福Gartner集團公司的安全分析員理查得•亨特認為:“我們從這次事件中得到的最重要的教訓是,大多數安全缺口是來自于內部,而非外部。”

  在國內,那些造成巨大損失的安全事件,總是與內部人員聯系在一起的,從早期的揚州兩兄弟事件,到近期(2001年3月上旬)的江蘇徐州某銀行軟件維護員孫某案(他因設計自動在存款上加錢的程序而被判刑)。這些案件都是因為作案者與受害銀行有直接關系,甚至是他們的程序員。內部人員這一信息安全的威脅源,已經成為令國內信息安全界頭疼的大問題。

  二.為什么Insider的威脅如此巨大

  內部威脅風險巨大,這主要是有如下一些原因造成的:

  ● 內部人員對一個機構的運作、結構、文化等情況非常熟悉,導致他們行動時不易被發覺,事后難以被發現。

  ● 內部人員最容易接觸敏感信息,并且他們的行動非常具有針對性,危害的往往是機構最核心的數據、資源等。

  ● 一般說來,各機構的信息安全保護措施都是“防外不防內”,比如防火墻對內部人員攻擊毫無作用,形同虛設。

  這種來自內部人員的威脅,國外稱其為“Insider threat(來自于內部的威脅)”,已經成為信息安全專業部門的一個重要的研究專題。其實,早在美國DOD(國防部)提出可信計算機系統評價準則TCSEC(橘皮書)的80年代,利用訪問控制機制來實施保密性功能,就是一種對內部人員的一種分權制衡的手段。近年來信息安全的概念已經大大擴充,從數據保密延拓到了信息保障,“Insider”問題在更高層次上再次得到了關注。

  表 內部人員犯罪中的心理描述

  性格內向IT從業人士的普遍特征,這對機構的管理帶來了巨大的挑戰。

  飽受打擊受家庭和社會的雙重問題所擾,藐視權威,玩世不恭。

  網絡癖社會生活主要在網上度過。

  倫理缺陷黑白不分,沒有正確的真理觀、價值觀。

  權力欲總想成為特殊的雇員,獲得特權,在要求得不到滿足時有可能引發報復。

  忠誠不夠心懷二心,缺乏忠誠。

  冷漠處在網絡空間中,導致了“事不關己 高高掛起”的心態。

  三.定義Insider

  清楚地定義“內部人員”確實相當困難。一般說,“內部人員” 的范疇除了固定人員外,還包括非全時人員、臨時人員、外出人員、以前的內部人員和系統開發者等等。

  內部人員犯罪有其必然的心理取向和偶然的作案機遇。美國政治心理聯合會對內部人員犯罪進行了如表所示的心理描述。

  四.如何阻止Insider

  1.創建一個認證部件集

  這個部件集必須適用于多級處理環境,必須和使用者的密鑰和令牌捆綁,其性能和操作標準必須達到每秒1000次事務處理,它必須包括實用的撤消和恢復,并且必須和系統中使用的各種應用集成。這里需要特別提到的是,從1997年以來,美國聯邦政府一直大力推動聯邦公開密鑰基礎設施(FPKI)的建設,并且提出了要以此為基礎,在2003年實現電子政府的目標。有人提出,政府和軍隊不需要證書授權這一套技術,只有電子商務環境中才需要這樣的技術,我們認為這種看法值得商榷,認證是一切負責任的信息化行為的基礎,不論是電子商務、電子政務還是電子軍務,只有通過認證才能比較有效地落實責任。

  2.開發訪問控制部件

  由什么人負責訪問控制是內部安全的首要問題,其關鍵是,如何減輕來自惡意系統或安全管理員以及其他特權用戶的風險。其中的一個重要問題就是對惡意代碼的遏制,因此,對于重要系統部件的訪問要著力限制惡意代碼的傳入。

  3.為安全系統開發可信路徑

  惡意使用者可選擇的手段是設法獲得系統特權,例如利用偽造的圖形用戶界面來竊取用戶的口令。一種解決方案是,使用戶得到通往這個安全系統的確實的可信路徑。著名的RAND會議給了我們很多這方面的啟迪,但是僅從系統的保護(P)、檢測(D)、響應(R)來考慮防范內部人員威脅似有局限。我們認為,為了更好地組織實施信息安全保障,應該把PDR模型進一步細化為:預警(W)、保護(P)、檢測(D)、反應(R)、恢復(R)和反擊(C)六個環節,即綜合的WPDRRC信息安全保障體系。這個體系應該兼顧攘外和安內的功能。包含政策、管理、技術和人員等多種因素。

    • 售前咨詢
    • 售后服務
    • 渠道管理
    亚洲无吗|男女黄段视频高清|ten1819第一次处|在线观看视频亚洲电影