元旦刚刚过完,医院信息中心老李就接到科室报告,一台工作站病毒检测系统提示发现病毒。运维人员立刻对该电脑做了断网处理,但次日早上全院有20多台电脑受感染。由于来不及查出源头,最后发展到半数电脑感染,无法正常工作。有的电脑恢复使用后又反复感染。
原来,由于员工并不知道当天病毒预报,没有及时升级杀毒软件,而且“逛”了不少网站,下载了一些软件,不小心感染了病毒。而医院有很多共享文件夹,病毒通过网上搜索找到共享资源并进行复制,最后导致了难以收拾的局面。
这次病毒危害程度不算太大,没有对医院服务器数据造成损害,但给医院工作造成了严重的影响,也给院领导、管理员、全院职工敲响了警钟。
如何加强网络病毒防御,建立一套行之有效、符合医院实际情况的网络防毒方案,成为老李思考的问题。
安全也可以外包
大多数企业用户采购了各种各样的网络安全产品,比如防病毒软件、防火墙、入侵检测等等,但他们却依然不能完全抵御包括病毒在内的各种安全威胁。
信息安全运维服务可以解决日常维护中企业系统管理人员在时间、安全信息和专业经验等方面的不足。
几乎没有一家企业用户的网络系统从未感染过计算机病毒,计算机病毒已经成为最主要、最常见的网络安全问题,也是企业系统管理员日常工作中面临最多的安全问题。大多数网络用户采购了各种各样的网络安全产品,比如防病毒软件、防火墙、入侵检测等等,但他们却依然不能完全抵御包括病毒在内的各种安全威胁。
企业防毒陷入困境
造成用户网络安全困境的原因有很多种,但主要是在实际运行中,企业系统管理人员未能及时发现企业的安全隐患,并及时调整安全防护策略,即缺乏适当的人员对产品和技术的有效管理。
从案例中我们可以看到企业防病毒管理中普遍存在以下几个问题:
1.虽然购买了防病毒软件,但安全管理策略设置不完善,不能发挥有效的防护作用。
案例中的医院虽然已安装了防病毒软件,但没有设置自动、统一的病毒库更新策略,升级不及时,从而导致病毒大面积感染。
目前,很多企业购买的网络安全产品都采用的是缺省或默认配置,并没有根据企业自身防护需要设置安全管理策略。但由于企业管理人员精力有限而管理的产品众多,管理人员很难全面掌握每个安全产品的有效配置及应用。如果安排专人负责单个产品必然带来投资费用的上升。
2.病毒是动态变化和发展的,信息安全管理人员没有及时掌握病毒的这种发展和变化,做好防护和补救工作。
案例中提到的病毒通过网络共享文件夹传播,这是病毒发展的一种新的传播途径,医院的系统管理人员未及时了解到病毒的新变化,并及时加以补救,从而导致了病毒的反复感染。但由于人员编制和财力的限制,一般的企业也难以安排专人每天负责关注安全问题,比如安全动态、安全漏洞、安全工具等等。
3.医院缺乏应急机制,病毒感染后,系统维护人员没有做出及时有效的处理。
安全事件具有突发性和不可预见性等特点,企业系统维护人员很难事先预测到潜在安全风险,一旦出现安全事件,应急响应和及时有效的处理可以减少破坏、降低损失。但企业系统维护人员很难从不经常发生的安全事件中积累经验,从而在安全事件出现时迅速做出反应和有效处理。
安全运维寻求外力
大多数安全事件的产生和发展是一个渐变的过程,如果系统维护得当,很多问题是可以避免的,至少其后果是可以减轻的。
但是从上述分析我们知道,单靠企业自身的系统维护人员,无法对其业务信息系统进行有效的安全维护。因此企业可以选择一种新的安全服务——信息安全运维服务。一些安全厂商如冠群金辰公司就提供这种服务。
运维服务解决的是一般单位和企业信息安全管理在人力、时间、实践、工具和信息等方面的不足,同时不改变其现有的安全责任职责和隶属关系。与那种专业的一次性安全服务相比,运维服务能给用户带来更为实际的安全效果,并大大减轻用户的投资费用、人员编制和管理的压力。
信息安全运维服务,是通过专业的信息安全团体,为用户提供日常的信息安全维护服务。服务内容包括反病毒产品的日常维护、安全策略的设置、系统补丁的安装、病毒等安全事件的预警、用户安全培训、安全事件应急等等。
我们以上述案例为例来说明信息安全运维服务。服务人员是信息安全服务供应商的安全运维工程师;服务时间为每两周一次,每次一天。服务内容包括三个方面。
1.检查防病毒产品的配置策略。
检查发现每个客户端病毒库升级时间和不同频率。工程师可与用户管理员协商,将安全策略调整为所有客户端每天开机时自动升级病毒库。
2.检查操作系统是否存在已知安全漏洞、系统补丁安装情况。
案例中的医院部分PC机有可完全访问的共享文件夹,也许还有部分客户端管理员账户未设置口令。工程师就应该建议管理员给所有客户端管理员设置强口令;尽量关闭所有网络共享文件夹。同时,帮助系统管理员实施上述操作。
3.定期通过电子邮件、手机短信等方式给系统管理员发送病毒、安全漏洞等预警消息,帮助用户做好预防工作。
信息安全运维服务不是简单的产品售后服务,也不是突发安全事件的应急响应服务。它解决的是安全产品日常维护中企业系统管理人员在时间、安全信息和专业经验等方面的不足。
提供安全运维服务的工程师,一般来说都具备丰富的安全专业知识和实战经验,所以,在服务中很容易发现用户存在的安全隐患和产品配置方面存在的错误。
“防患于未然”而非“亡羊补牢”
启明星辰积极防御实验室
2004年末的东南亚海啸,以其沉重的代价告诉我们,预警机制的先知先觉、防患于未然是多么重要。网络安全也是如此。
案例中发生在医院系统的网络安全事故提出了这样一个问题:网络安全是“亡羊补牢”还是“防患于未然”?可以看到,在由病毒引发的网络安全事故发生后,尽管医院“亡羊补牢”,但损失依然难以避免。
由此,我们联想到最近发生的东南亚海啸。这一史无前例的地震海啸,造成数以十万计的人员伤亡,损失更是无以计算。在积极赈灾之余,人们痛定思痛,一致认为灾难之所以如此惨重,重要原因之一在于受灾国严重缺乏灾难预警机制。
专家们指出,印尼地震引发的海啸,到达斯里兰卡和印度海岸大约需要1个多小时,倘若两国拥有健全的预警机制,完全可以做到人员疏散,避免伤亡。由此可见,预警机制的先知先觉、防患于未然是多么重要。
预警为核心
从网络安全技术本质上讲,就是“攻”与“防”的技术,甚至可以说是“战争的艺术”。我国著名的《孙子兵法》中写到“知彼知己者,百战不殆;不知彼而知己,一胜一负;不知彼,不知己,每战必殆”。中国古代光辉的军事哲学思想所揭示的真理,在现代网络安全建设中仍然闪烁着智慧的光芒。
只有清楚了解攻击方法,才能实施有效的防御。现代网络安全的核心就是要做到在很多重大漏洞之前的提前预警发现,防患于未然。
面对纷繁复杂,变化无形的各类病毒,如何预警发现?传统的防病毒厂商尽管不断升级防病毒程序,但这种马后炮式的事后病毒查杀,因为编写方式的局限,从原理上就不可能与病毒同步,总是慢“毒”一步,更无法谈提前预警了。
事实上,入侵检测系统(IDS)与漏洞扫描产品可以担此重任。比如,启明星辰公司的新一代入侵检测系统,将入侵检测与漏洞扫描技术相融合,在降低误警和漏警率方面获得重大突破,同时提高了入侵检测系统的目标事件检测能力,以及未知事件的验证发现能力。
以“震荡波”蠕虫病毒的预警发现为例,这一病毒从2004年4月30日凌晨首次出现以来,变幻无形,分别于5月2日至11日出现B、C、D、E、F、“清除者”等多个变种。尽管病毒72变,但万变不离其宗,蠕虫病毒诞生根源是微软Windows系统的LSASS漏洞。如果用户使用漏洞扫描系统对网络和主机进行检查,就可以预先得知网络系统中是否存在这种漏洞。如果存在,及时为系统打上补丁便可以避免损害。
在蠕虫病毒事件中,对于已经使用启明星辰公司“天阗”入侵检测系统的用户而言,他们又多了一种安全砝码。4月30日夜,当利用微软Windows系统的LSASS漏洞的蠕虫病毒入侵时(此时这一蠕虫病毒尚未被命名为“震荡波”),入侵检测系统就已报出“多蠕虫攻击事件”;而当“震荡波”蠕虫占领某台主机并以其为宿主发动新的攻击时,入侵检测系统报出了更为准确的“LSASS蠕虫事件”。
这些入侵事件的定义是基于蠕虫病毒的先期特征来确定的,虽然人们在此时还未能了解这种新型蠕虫病毒的详细特征,但依靠一些基本的入侵特点,就可以起到提早防范的作用。安全厂商的相关入侵检测和漏洞扫描产品,在病毒诞生前,就根据病毒特征发现即将出现的潜在危险,能够真正做到预警监测。
紧密跟踪最新病毒
为了更有效的保护计算机系统、消除安全风险,系统管理员必须对系统本身有深入了解。
一般来说,安全厂商一直在研究计算机以及网络系统中存在的各种安全缺陷,这些缺陷可能被攻击者利用来破坏正常的工作。
系统管理员可以根据安全厂商公开发布的公告或文档,及时了解安全缺陷发生的原因、找到解决问题的方法,从而避免病毒攻击。
另外,系统管理员应紧密跟踪最新安全漏洞和病毒预报,选择好的安全产品与服务,这也是保障网络安全的一个重要手段。
与一般性的网络产品不同,网络安全产品与服务要求有精湛的专业技术水平、迅速的应急反应能力、丰富的解决问题经验。例如,启明星辰公司积极防御实验室一直与国际CVE组织、国际CSI组织、国际ICSA组织、国际FIRST组织保持着密切的合作关系。
在国内网络安全领域,积极防御实验室也同国家计算机安全管理中心、国家计算机安全产品测评认证中心、国家计算机病毒应急处理中心、国家计算机网络应急处理协调中心(CNCERT/CC)保持着良好的合作关系。
安全厂商紧密跟踪最新病毒,也能使企业防患于未然。
没有绝对安全 但求相安无事
如何使自己的计算机变得安全呢?其实安全都是有限度的,而且计算机安全是与计算机中所存放的信息以及所进行的服务相关的。对于负责一个网络的安全管理人员,制定网络安全管理策略尤为重要。
实践一再告诉人们,仅有安全技术防范,而无严格的安全管理体系相配套,是难以保障网络系统安全的。必须制定一系列安全管理制度,对安全技术和安全设施进行管理。
从全局管理角度来看,要制定全局的安全管理策略;从技术管理角度来看,要实现安全的配置和管理;从人员管理角度来看,要实现统一的用户角色划分策略,制定一系列的管理规范。实现安全管理应遵循以下几个原则:可操作性原则;全局性原则;动态性原则;管理与技术的有机结合;责权分明原则;分权制约原则;安全管理的制度化。
1、管理规范与制度——制定相应的管理制度或采用相应的规范,包括两个层次的工作:
网络应该有一个统一的安全管理中心,担负起集中式的安全管理中心的作用来,负责制定整个网络的全局安全管理制度,并且负责协调各个部门之间的关系。安全管理中心要负责制定一批合理可行的安全管理制度,督促并保障制度的实施。
为保证各项安全措施的实施并真正发挥作用,针对每个安全层次,分别制定相应的可实施的规章制度。包括:环境安全管理制度;组织安全管理制度;文档管理制度;系统操作规范;系统维护规范;系统安全运营管理制度;应急响应规范;教育与培训制度等。安全管理还包括对信息安全构架、第三方访问的安全、外包服务的管理。具体管理规则的制定请遵照各行业颁布的相关规范。
2、部门与人员的组织规则——根据安全防范体系中的各种安全技术所需的技术管理工作,设定安全管理的部门与人员,如业务系统管理员、网络系统管理员、安全管理员、系统审计分析员等职位。根据不同的职能,定义不同部门和不同角色的责任和权利,制定相应的管理规范。
部门与人事包括岗位定义及资源分配的安全,用户培训,人事安全事件及失常的反应措施等。
3、技术管理——严格的安全管理制度可以在很大程度上防止人为因素对安全体系防范能力的破坏。技术的管理主要是公钥证书管理和PKI建设,监控与跟踪审计管理,授权管理,备份与恢复,通讯及操作管理,访问控制管理,应用系统开发及维护管理,业务持续管理等。
