信息安全频繁攻击篇
为什么被病毒偷袭
一场意外足以摧毁整座大楼，但意外不是每天都有；一次病毒的攻击可以让公司整个局域网瘫痪，这样的事情却时有发生。不管制造病毒的动机是有意破坏还是无心之过，给企业造成的影响都是极具破坏性的。
“震荡波”5月3日入侵欧盟委员会电脑系统。据欧盟发言人说，截至3日，在总部设于比利时布鲁塞尔的欧委会2.5万台电脑中，至少有1200台已经遭“震荡波”入侵。同一天，台湾全省邮局上午遭到入侵，一千三百个邮局中近三分之一因为死机而瘫痪，所有作业改成人工操作。德国邮政系统、英国海岸警卫系统、澳大利亚铁路系统以及高盛投资银行都无一幸免，全球超过1800万台的电脑受到“震荡波”病毒的攻击。
国内企业同样也遭遇到巨大的打击。一家新闻单位仅在5月8日一天就受到病毒及变种的1700次攻击。而根据瑞星市场部总监马钢给出的第一手资料，5月1日截止到5月10日16时，仅瑞星一厂家接到的用户求助电话就已超过4万，许多企业的局域网已经完全瘫痪。
而现实情况是，许多企业在明知道其他企业已中毒，而且媒体已经广泛宣传如何防毒的情况下，却仍然麻痹大意，步入其他企业的后尘，这种状况着实让人遗憾。诺基亚中国区企业解决方案部技术部经理王磊说：“中国企业缺乏的不是技术和产品，而是意识和管理。”对于企业来说，防范病毒攻击最重要方法不是装什么杀毒软件、到哪里下载补丁，而是如何加强意识并完善企业的安全制度，保证遇到问题时能在第一时间做出反应。
病毒反击实战录
2004年2月的某天深夜，麦格劳希尔公司的HEPDEX系统正高速运转，正在进行检测工作。零时刚过，系统便检测到异样情况，发现不正常的信息标题大量涌入，而且正从一台服务器向另一台服务器移动。后来证实，这是当时给全球造成巨大损失的Mydoom病毒。
当时值班的工作人员立即判断可能是信息安全问题，于是立刻打电话通知信息安全负责人，应急响应小组也立刻开始进入备战状态，开始检查状况、隔离受攻击服务器、下载补丁、进行修复等。从发现状态，紧急集合队伍，到软件公司下载补丁，到最后一切恢复正常，整个过程不过几小时。第二天早晨8点，公司已经可以控制住所有网络端口。当病毒再次进入时，系统已经可以自动删除含病毒的附件，邮件收发一切正常，业务也不会受到干扰。而且麦格劳希尔公司在公关反应上也很迅速，第二天早晨，公司已经通过大众媒体向16000名用户宣布已成功击败病毒，用户自可以放心与公司继续进行业务往来，没有任何问题。接下来几天，公司的监测工作一直在继续进行，直到确信问题彻底解决。
ISS公司中国区总经理周凯在3月8日晚11：30突然接到总部电话，得知自己系统的一个漏洞可能会被利用传播病毒。作为信息安全服务提供商，ISS一面要保证自己安全，另一方面更需要在第一时间通知所有用户，而且病毒如果利用安全产品的漏洞，后果更加可怕。周凯首先把总部传来的资料翻译成中文，同时负责联系相关人员出解决方案，应急小组所有人员以及联系方式都在一张名单上，就放在离他最近的抽屉里，很快，所有人员聚集完毕，而关于漏洞的消息也在第二天一早8：00就发布给Sina、Sohu、Tom等媒体。3月20日，蠕虫病毒“维迪”发作，影响甚微。
我们需要应急响应小组
麦格劳希尔公司首席信息官Mostafa Mehrabani说：“一旦你的公司遭遇某种袭击，事先都会有个预兆，这种征兆成百上千，所以你必须做出判断，什么时候应该严肃对待。而且大多数时候，这些征兆都不是物化的，所以你必须积极主动地观察一切动向，不能有丝毫懈怠。病毒开始袭击某个点，然后从一个服务器跳到另一台，又跳到另一台，你的反应速度必须快之又快。时间，是绝对重要的。最重要的是，如果你没有一个合适的标准，没有完善的程序，或者没有这样一个优秀的团队来执行，那么在你意识到病毒的存在时，你的整个网络已经崩溃了。”
“我们的应急小组是一个虚拟的团队，我们不知道他们在哪，他们散布在世界各地，但都在同一个制度和政策下活动，一旦有状况发生，他们能在最短时间内集合起来。我们还对他们定期进行培训，以确保他们拥有准确的知识以应对最新的挑战。我的下属首席信息安全官是这个小组的直接领导。”
在强调保护信息安全的今天，国内企业除了重视加大对安全产品的投入之外，更重要的是完善这样一种应急机制以保证对付突发事件。ISS公司的周凯说：“我们从美国总部到各个地区的分部，每个国家都有应急名单，除了必须包括的资料如手机、家庭电话等，更重要的是，我们还规定一旦通过各种途径暂时找不到这个人，那么谁可以代替他担负责任，而这一切都要固化在名单上。”
可是国内很多企业包括大型企业的内部，都没有首席信息官（CIO）的职位设置，更别提首席信息安全官（CISO或CSO）了，应急响应小组更是无从谈起。那么一旦出现意外，根本找不到相关负责人，整个企业的安全防线其实非常脆弱，崩溃就在一瞬间。
浪费了100亿
根据研究机构MessageLabs今年的调查数字显示，垃圾信占全球电子邮件的36％，其中58.4％都在美国。
研究机构Ferris Research今年一项调查也发现，全球企业因垃圾邮件浪费的金额，竟已高达100亿美元！这些浪费包括计算机资源、管理人员与收件者的时间成本，以及因而降低的员工生产力。这项研究指出，光是北美地区，企业内的使用者，每个人每天到办公室一打开计算机，平均就会收到10封垃圾邮件。

到底是哪些人在发送广告邮件？效益到底有多大？他们手上的名单是哪里来的？

Kevin（化名），一位常帮某家传销公司发送线上广告邮件的人员，可以说是这些垃圾邮件的「幕后黑手」之一。从他的身上，可以一窥背后哪些惊人内幕？

发信2小时，月入5万！
学美工出身、本身从事网络拍卖的Kevin，每天只要兼差2小时发送广告邮件，就可以带来每个月4～5千元的额外收入。

这一切的过程都很「e」。一年多前，Kevin从电子信箱中一封广告邮件，看到某家传销公司征求兼职人员。它的工作内容是用网络发送广告信，强调可「在家工作，无须上班」，薪水则依广告信的回复率而定。Kevin在线上填写了资料，不久就收到email通知面试。

录取之后，上过1小时的新人训练课程，公司会提供广告网页，还有可以抓到网友电子信箱的搜寻软件「Advanced Email Estractor」、发信软件「Dmailer」，就能工作了。

Kevin表示，由于他本身另外有在做生意，所以每天只发送1～2万封邮件。然而，有的同事是做全职的，每天连续发送10小时的广告信，数量可高达数10万封以上！

至于寄送名单到底是怎么来的？Kevin表示，来源有两种：

1.运用搜索软件：到各求职、交友以及新浪、网易等大型门户网站，就可以搜到网友在上面登录的电子信箱。

2.上网买名单：有人会在网络上发广告信卖名单光盘，价格从200～600元到数千元不等。只要在线上先填写订购单，对方会用邮局寄送，采「货到付款」方式，不用碰面。Kevin就曾花数百元买过一次这样的名单光盘，里面有600万笔资料，「效果相当不错，」他说。
至于回收率，Kevin指出，以他自己的经验来说，网友回复率大约有2～3成。「当然，也有人写信来骂，说收到广告信很烦！」他不好意思地笑着说。
发信的、防堵的都有钱赚
把这些回信整理好之后，回传给公司，就可以依回信数量来领钱；据Kevin透露，他每个月在这方面的收入是4～5千元。
不晓得这样的数字有没有夸大。因为研究机构Vertis调查发现，高达8成的美国成人表示厌恶pop-up（弹出式网络广告）、垃圾邮件、当面行销；比较能接受邮寄到家的实体广告信件、报纸广告、邮购目录。
不过，无论大多数人多么讨厌广告邮件，只要有极少比例的人愿意回复，业者就可在其中挖掘商机。
从事这项副业之后，Kevin对广告邮件的态度也有转变。以前，他一看到垃圾信就删掉；如今，他会欣赏别人的广告页面设计得如何，作为自己发送邮件的参考。
此外，广告邮件虽惹人厌，防治垃圾邮件却也带来庞大商机。研究机构Ferris估计，2003年全球防治垃圾邮件服务的产值已达1.2亿美元，2008年更将成长到10亿美元。既然发信的、防毒的都有钱赚，想让广告邮件销声匿迹，看来是很难！

比病毒更常见的是垃圾信息，虽然它并不能像偷窃和灾难一样给您一个“立竿见影”的损失。但是它确实是普遍存在的，而且正在不断的消耗股东的投资，威胁着公司的正常运作。
对于那些为员工支付薪水的管理者来说，他们应该尽量减少员工处理琐碎事情的时间，避免员工每天被泛滥成灾的色情邮件，或是股市的暴跌而痛苦不堪。
目前，影响员工集中精神处理公司事务从而降低工作效率主要有两种因素：垃圾信息和来自网上的美女，音乐，电影，球赛，股市的诱惑。
垃圾信息分散了员工的注意力
内部垃圾信息让员工心神不宁
我们之所以用“垃圾信息”而没有使用“垃圾邮件”这个词汇，是因为在即时通讯风行的现在，干扰员工工作的不仅仅是定期收取的“垃圾邮件”，更多的是员工自己无法控制的“即时信息”，而这些无用的“即时信息”大多是由公司的内部员工制造。
一些小型企业购买了RTX后，并没有及时对每一个员工进行权限设置，造成每一个员工都可以向全体员工同时发送消息，而大部分消息对某一个具体的员工来讲是不必要的。QQ也会给员工造成同样的麻烦。据统计，在一个使用RTX的小企业中，一个员工所收取的即时消息中，有一小时是无用的，而且员工在收到这些垃圾消息是会感到烦恼。
与通信相关的安全性服务商美国FaceTime Communications和美国IDC合作于当地时间2004年4月26日公布了关于企业利用即时信息（IM）情况的调查结果。他们发现90％不许使用即时信息软件的企业担心“生产效率下降”、“威胁到信息和网络的安全”以及“难以遵守法规及公司内部规定”等。
对于那些习惯使用邮件通知员工的企业来讲，内部员工的垃圾邮件已经成为员工头疼的事情。“公司里总是有莫名其妙的不认识的人给我发送邮件，看上去是一个群发的通知，我还不能把他当成垃圾邮件扔在一边，但看了之后，发现和我没有任何关系。”某咨询公司的公关经理抱怨道。
“到目前为止，还没有什么技术是针对企业内部垃圾邮件过滤的。只能从公司的规定中控制”许教授说。
充斥互联网的色情广告邮件降低员工的工作效率
“外部垃圾信息”主要指的是垃圾邮件，在互联网上传输的垃圾邮件占用大量的资源，不但造成企业网络资源的浪费，而且一旦垃圾邮件占到企业互联网总流量的三分之一，就会造成巨大的存储需求，直接降低了计算机的运作速度。
据市场研究公司Gartner公司估计，一家10000名员工的公司因为垃圾邮件问题而造成的生产力损失要超过1300万美元。欧盟的一项调查表明，垃圾邮件每年为欧洲造成超过60亿欧元的经济损失。
虽然企业可以运用各种垃圾邮件过滤器来减少垃圾邮件对员工的骚扰，但到目前为止，没有任何一个处理方法是完美的。名单删除法，即不在名单列表上的都被视为垃圾邮件是目前比较普遍的做法。但是，伴随着垃圾邮件的删除，一些新客户的邮件也会被视为垃圾邮件，而且七天以后自动删除，造成的损失很大。
ISS（Internet security system）全球公司德国**公司之后，引进了**垃圾邮件处理系统，这个系统不采用列表删除法，而是可以查看到邮件中是否包含不健康图片，这就很大程度上缓解了垃圾邮件对员工的干扰，因为现在大部分的广告垃圾邮件是包含色情图片的。
跟踪足球赛浪费了公司的带宽
员工利用公司资源处理私人事物同样会严重影响工作效率。据调查，在2002年世界杯期间，欧洲有5000万以上的员工违反公司规定在办公电脑上跟踪比赛，这给欧洲企业带来了巨大的麻烦。由于太多人在线收看比赛，导致过渡占用公司网络带宽，影响了正常交易。
公司员工在工作时间不遵守公司规定，随意的下载音乐和电影甚至，上网炒股，收看在线比赛甚至搜索色情网站，导致网络堵塞的现象在中国的企业中也时有发生。而更糟糕的是，许多企业领导仍然没有意识到员工随意占用公司带宽是公司安全的一部分。
“我们公司没有任何政策规定员工不许占用公司带宽下载电影音乐，直到有一天我们的总裁无法收取他的邮件为止。”某大型企业的职员透漏说。
目前，多数大型跨国公司采取的是路由器监控，也就是严格监控员工曾经链接过的网站。虽然中国企业现在也慢慢的开始引进这项技术，但有所不同的是，一旦员工违反公司规定，利用公司的网络资源处理私人问题，跨国公司会立刻 “逮捕”这名员工，并且进行严厉的惩罚，而且这种惩罚是实实在在的现金罚款。
麦格劳希尔公司也正是通过这种严格的政策来保证公司职员不会浪费公司的网络资源。正如中国科学院高能物理研究所计算中心许教授所说：“有了技术，有了制度，没有执行，企业信息安全保障体系仍然等于零。而公司管理者能够做的就是制定严格的易于执行的游戏规则。”



结语：解读信息安全公式


加强意识 防患未然
《中国财富》所指向的信息威胁远远超过黑客攻击、病毒肆虐的范畴，信息安全也远不是“技术”二字可以解决的问题。我们自己的安全自然要加倍保护，而首先即是加强防患意识，不要在技术上已近乎完美，却因一时疏忽而满盘皆输。不要像有些公司的总裁，严格规定不允许任何员工随意进入自己的办公室，但却忘了防范清洁工；不要像有些银行完全有能力向NEC购买故障率为千万分之一的服务器，但是却使监控带子轻易流入二手市场；不要等到某一天公司的一个普通员工捧着一叠董事会的协议交给你，说是从他身旁的打印机取出来的；也不要等到竞争对手对自己第二年的战略规划已了如指掌，只因花几百元买通普通员工轻易取走了你上一年的人事变动情况表。
金诺网安总裁金波说：“国内许多企业缺乏的是一种安全意识的培养。举个很简单的例子，黑客攻击往往利用的是最古老的漏洞。可以看出，这种安全问题绝不是技术层面上的。”而那些购买了瑞星、金山的杀毒软件后从不升级的企业，在遇到最新病毒时无法应对则是缺乏意识的另一个印证。危机总是在你意识最薄弱的时候发生，不要等到中毒后才开始寻找解药。
规范制度 确保实施
意识之后，就是制度和执行的问题。
本刊记者专访首次来华的麦格劳希尔公司CIO Mostafa Mehrabani时，这位曾被评为全球百名信息技术最佳领导者，带领全球队伍为公司以及所有客户提供信息解决方案的CIO一开始就提出保卫信息安全的四大要素：技术、制度、流程和人。
“合适的标准、完善的程序、优秀的执行团队，是一个企业信息化安全的重要保障。技术只是基础保障，技术不等于全部，很多问题不是一个装一个防火墙或者一个IDS就能解决的。在组织架构上，我们有两个小组，一是专门制定安全政策和规则的小部分人，另外一组是大部分负责执行的员工，在软件、硬件以及网络等相应部门。而制度很重要，如何执行这个制度更为重要，没有执行一切都为零。我们能保证一旦遇到紧急情况，散落在各地的应急响应小组能在最短时间内集合起来。一旦有成员违反规定，我们将有十分严格的惩罚措施。”
保证制度的执行非常重要，安氏××说：“给企业提供的安全服务再周到，如果企业的执行力度不够，只能发挥其中的一小部分功能，1＋1不一定等于2。” 任何问题归根到底都是人的因素，加强对员工的管理，对企业管理者来说比单纯购买产品或者制定规则重要得多，像我们国家许多保密部门信息化安全部署得很全面，但只要一个员工不按规定办事，上班时偷偷连上外网，机密很有可能就这样流出。“本来以为规定就足够了，但是人的心理是没办法监控的。所以对人的管理应该是信息安全最为重要的问题。”许教授说。
电子取证 法律结合技术解决安全问题
而对人的管理还需要通过法律来约束，前提又是技术做保障。
安然公司为了销毁证据，公司里的碎纸机整天不停地高速运转，大量文件资料被销毁，还不能公然焚烧，他们就把这些碎纸装进麻袋里，放在卡车上，装了好几辆卡车，装上卡车又不知道往哪儿开。于是公司高层下达命令，让这些满载碎纸的卡车在高速公路上开下去，一直开了一两个星期……
另一方面，公司电脑存有大量重要资料，包括财务报表等，他们必须销毁这些证据。FBI预料他们要进行大规模的破坏，卡车是找不到了，但电脑跑不了。他们就以最快速度赶到公司，一个早晨便将100台电脑全部封锁。当场运用取证技术，电脑有无口令都无所谓，因为可以直接把硬盘镜像过来。这种技术原理不复杂，相当于照一张相，而现场不加任何改动。镜像后加自己的软件，对磁盘结构进行专门分析，研究删除的文件怎么恢复，最终获得大量辅助证据。
电子取证技术已经在辅助公安部侦破犯罪方面发挥了很大的功效，在我国，中科院高能物理所的许榕生教授和他的学生们正在研究这个课题并计划投入生产。许教授说：“这种取证技术可以记录黑客入侵的每个行为，时间精确到秒，而且还可以恢复已被删除的文件。”许教授目前正在研究“白匣子”，与“黑匣子”记录黑客入侵行为不同，“白匣子”专门记录知识产权。“如果你的文件在这个匣子上拷贝一次，就留下证据，后面的人如果拿不出其他证据证明在之前拷贝过，就足以证明它的产权是你的。”对员工的每一次拷贝行为都有记录，那么再处理员工偷盗问题时，就有技术和法律做保障，加之一些制度的制定以及对员工价值观的培训，企业信息安全防线会更加稳固。
我们终究不能像电影《黑衣人》或者《记忆的裂痕》那样，通过消除员工的记忆来保证企业机密不被泄露，我们也永远无法阻止地震或火灾的发生，但是我们有办法让我们的企业更安全。

扩展阅读

版权声明：