|
|
|
|
|
|
來源: 發布日期: 點擊量:
為了深刻揭示國內外信息安全事件的影響和發展規律,積極應對信息安全風險,我們組織上海市信息安全行業協會、上海安言信息技術有限公司等單位,整理匯編有關媒體公開信息,并通過組織網絡投票,聽取專家意見,從危及國家安全、重大社會影響、重大經濟損失三個方面選錄了22個重大事件,編寫成本報告。希望通過對2012年國內外發生的重大信息安全事件進行全面回顧,更好地警示宣傳有關信息安全問題,對新形勢、新威脅和新風險有更加全面的認識,為信息安全管理和技術人員研究解決相關問題提供決策參考。
2012年,隨著云計算、物聯網、移動互聯網等新技術、新應用的不斷推廣,以及智慧城市的不斷建設發展,全球范圍內對信息安全更加關注,信息安全形勢正在發生更加深刻的變化。一方面,信息技術與現實世界的聯系日益緊密,物聯網、工控系統等在國家關鍵基礎設施、經濟命脈行業的普遍應用,使信息安全問題更加深刻和廣泛地影響社會穩定、經濟發展和國家安全。另一方面,信息安全風險也不斷演化發展:黑客行動日漸組織化、規模化,從原來以單純追求技術突破或經濟利益為出發點的行為逐步向表達訴求、伸張政治觀點演化;商業秘密及個人信息遭非法泄露、竊取、倒賣事件頻發,網絡信息保護問題日益突出。同時,伴隨著互聯網新技術、新商業模式的出現,現有的政策立法、管理模式、技術規范已經愈發難以滿足安全監管需求,對于政府部門、企事業單位的信息安全管理提出新的挑戰。
2012年,國家高度關注信息安全問題的新趨勢、新發展。黨的十八大報告中,明確提出“健全信息安全保障體系”,“加強網絡社會管理,推進網絡依法規范有序運行”,“高度關注海洋、太空、網絡空間安全”,“糧食安全、能源資源安全、網絡安全等全球性問題更加突出”等要求。國務院發布了《關于大力推進信息化發展和切實保障信息安全的若干意見》(國發〔2012〕23號),提出要健全安全防護和管理,保障重點領域信息安全:確保重要信息系統和基礎信息網絡安全、加強政府和涉密信息系統安全管理、保障工控系統安全、強化信息資源和個人信息保護。黨和政府對信息安全問題的高度重視和對信息安全保障的工作部署,要求我們不斷加強前瞻性研究,化解新技術、新應用帶來的新風險;不斷加強依法監管手段,應對日益嚴峻復雜的國際、國內安全形勢;不斷加強技術支撐手段建設,扭轉關鍵信息技術產品和服務受制于人的不利局面;不斷加強對于信息安全的認識和投入,切實擔起責任、提升能力來保障信息安全。
首先,有組織的黑客攻擊行為更加頻繁。2012年度在全球范圍內發生了多起針對政府、大型商業機構的黑客攻擊行為,與傳統的黑客行為相比,許多事件由“匿名者”等國際知名的黑客組織實施,體現了明顯的組織化特征。同時針對政府組織的黑客攻擊行為也從單純展示技術能力、發泄不滿等目的,逐步向宣揚政治理念擴展。
其次,針對工控系統的威脅持續增加。工控系統安全威脅進一步發酵,包含“火焰”、“毒區”等病毒在內的新型攻擊手段不斷演化,已可在工控環境中實現自身隱匿、信息搜集和攻擊破壞等一整套完整的攻擊路徑,對工控系統安全極具威脅。同時,遭受病毒攻擊的對象也從單個國家擴展到中東地區多個國家。
黑客本就是傳統的信息安全威脅,“2011黑客行為主義年”雖然過去,但是世界范圍內的黑客行動不減反增,黑客組織日益壯大,需要引起相關部門的高度重視,進一步加強國內、國際合作,共同打擊此類違法犯罪行為,加強對互聯網絡的依法管理。
1.黑客攻擊導致數百名英國官員信息泄漏
英國政府、電子郵箱、密碼、黑客
持續時間:★★★☆☆
據外電1月8日報道,數百名英國政府要員的郵箱和密碼遭到黑客組織的曝光,這些人員包括國防部、情報部門的官員,還有一些政客和北約顧問等。
據悉,這些信息可能是黑客組織在圣誕節前夕從美國防衛情報預測公司“Stratfor”竊取的,該公司的數據庫將用戶ID制成電子表格,記錄85萬個注冊用戶的加密密碼。此次事件中,還有7.5萬名付費訂閱用戶的信用卡帳號和地址被曝光,包括462個英國賬戶。
(4)分析啟示
該事件發生的原因可以歸結為政府要員的資料管理不善,以及缺乏針對客戶數據的有效保護措施。針對該類事件,應從以下方面加強防護。
加強隱私數據保護。對于政府要員的資料,應該有更高的安全級別,如與普通用戶分開管理,采取更嚴密的訪問控制機制,數據用全加密的方式進行存儲等;針對普通客戶的重要資料,如信用卡賬號等重要數據也應該加密存儲,確保信息安全。
重視第三方合作風險。此次信息泄漏事件屬于典型的第三方合作機構泄漏客戶信息的事件。政府、企事業單位在業務開展過程中不可避免的需要與各類外部第三方開展合作,能接觸到的敏感信息也不在少數。第三方有可能成為政府、企事業單位信息安全防護鏈上最薄弱的一環,謹慎選擇、細致管理此類服務機構對于政府、企事業單位有著重要意義。
(5)信息來源
2.黑客組織攻擊導致英國政府機構網站癱瘓
英國、“匿名者”、拒絕服務攻擊
持續時間:★★★☆☆
“內務部網站成為了網絡抗議活動的主要攻擊對象。”英國內務部發言人說,“目前,尚無證據表明該網站遭到了黑客攻擊,內務部的其他系統并未受到影響。該網站已采取了相應的保護措施,這意味著公眾尚不能訪問該網站。”
宣稱來自于匿名者黑客組織的Twitter消息稱,該組織對此次分布式拒絕服務攻擊(Distributed Denial of Service Attack,DDoS)負責。在此次攻擊活動中,黑客將大量請求信息導向該網站,導致其服務器癱瘓,從而讓其他合法用戶無法正常訪問。
拒絕服務攻擊仍是最難防范、最常見的攻擊手段之一。對于此類攻擊最直接的防范方法是在服務器前端添加防火墻,可以在一定程度上進行預防;對于政府機構來說,更有效的方法是聯合網絡運營商,在骨干路由器上進行源IP地址驗證。政府機構也有必要從技術(防攻擊的安全設備和合理的服務器、應用程序設置)、管理(如應急響應流程)和人員(內、外部運維保障及應急團隊)等方面進行充分準備,才能將攻擊消弭于無形。
3.黑客組織惡意攻擊美國中央情報局網站
中央情報局、網站宕機、黑客攻擊
持續時間:★★★☆☆
據國外媒體報道,4月23日當地時間下午四點,美國中情局網站遭到黑客攻擊,被迫宕機數小時,據稱一家名為UGNazi的黑客組織進行了這次襲擊。黑客組織稱,此次攻擊是為了報復阿拉巴馬州最近懲罰移民的舉動。
到下午六點左右,中情局網站恢復上線。最初,知名黑客組織“匿名者”在Twitter網站報告中情局網站被黑,不過其稍后披露,實施攻擊者名叫UGNazi。
在中情局官網受攻擊期間,黑客有意曝光了有關阿拉巴馬州一宗訴訟的法庭文件,以及來自墨西哥一家采礦公司的電子郵件記錄。這些文件一共涉及到4.6萬人的個人信息。
(4)分析啟示
必須重視網站安全問題。雖然導致網站宕機的具體原因還不清楚,但本次黑客攻擊事件暴露出中央情報局的網站在防范外部惡意攻擊以及對內部敏感信息的保護存在明顯的隱患。網站管理者、運營者應當高度重視網站信息安全,及時排查和封堵安全漏洞和潛在風險,并及時處置網站安全事件,同時也有必要對網站進行定期測評和滲透性檢測,確保網站運行安全。
黑客有組織攻擊日趨猖獗。近年來,以“匿名者”(Anonymous)、“盧爾茲安全”(Lulz Security)和“反安全”(AntiSec)等宣稱代表自由、維護網絡公正和正義的黑客組織異常活躍,不斷對政府部門、大型商業機構發動互聯網攻擊。這些自詡為“正義代言人”的黑客所宣揚的理念頗能蠱惑人心,政府對他們的打擊往往容易招致更多的抵觸。面對日益猖獗的有組織黑客攻擊行為,除了采取各類技術防范措施外,更有必要從政府立法、國際合作、宣傳教育等角度出發,采用綜合措施加強對網絡空間的有序治理。
4.“火焰”病毒入侵多個中東國家
火焰病毒、工控系統
持續時間:★★★★☆
卡巴斯基實驗室5月28日發布報告,確認新型電腦病毒“火焰”入侵伊朗等多個中東國家。病毒用于竊取信息,部分特征與先前攻擊伊朗核設施電腦系統的“震網”(Stuxnet)蠕蟲病毒相似,但結構更復雜、損害更大。
“火焰”之所以擁有如此強大的間諜功能,是因為它的程序構造十分復雜,“火焰”所包含的代碼數量相當于之前發現的“震網”病毒或“毒區”病毒(Duqu)的20倍,此前從未有病毒能達到這種水平。它可以通過USB存儲器以及互聯網進行復制和傳播,并能接受來自世界各地多個服務器的指令。一旦完成搜集數據任務,這些病毒還可自行毀滅,不留蹤跡。
雖然這種病毒是在最近才被發現的,但很多專家認為它可能已經存在了5年之久,包括伊朗、以色列、黎巴嫩、沙特和埃及在內的成千上萬臺電腦都已感染了這種病毒。而且這種病毒的攻擊活動不具規律性,個人電腦、教育機構、各類民間組織和國家機關都曾被其光顧過。電子郵件、文件、消息、內部討論等等都是其搜集的對象。
高持續性威脅不斷升級。高持續性威脅 (Advanced Persistent Threat,APT)無疑成為2012信息安全界最熱和最火的詞匯,“火焰”病毒的出現更是將對于APT的關注推向了一個新的高度。病毒程序已經實現了隱蔽、間諜、破壞到自我銷毀的一整套復雜的攻擊過程,讓人對于APT的防范頭疼不已。從2011年的“震網”,到2012年的“火焰”、“毒區”,針對工控系統的威脅不斷涌現,受害對象也從伊朗核電站逐步擴展到了中東地區的其它國家。針對此類現象,除了國家層面出臺相關要求,提升工控系統管理企業的重視程度外,還需要從技術防范角度出發,開展針對工控系統的專項評估工作,確保工控系統的安全。
5.黑客攻擊導致澳安全情報局網站癱瘓半小時
澳大利亞、安全情報局、網站癱瘓、黑客攻擊
持續時間:★★★☆☆
澳大利亞安全情報局8月10日在官網上證實,該組織下屬的一個對公眾開放的網站服務器當天遭到黑客襲擊。據報道,也是在這一天,名為“匿名者”的國際黑客組織聲稱對這起事件負責,表示這次網絡攻擊主要是由幾個澳大利亞籍的黑客發起,并直接導致澳安全局公共主頁癱瘓長達三十分鐘。
澳安全局很快恢復網頁服務,承認公共主頁先前出現了網站崩潰的現象。澳大利亞分析人士認為,這一名為“匿名者”的黑客組織發動此次網絡襲擊主要緣于近期在澳大利亞一個極具爭議的網絡安全計劃。根據這一計劃,鑒于日益嚴峻的跨國網絡安全形勢,澳政府有關安全部門建議保存和監控每個澳大利亞人近兩年來的所有個人上網記錄。有聲音指責這是對個人隱私的徹底侵犯,也有人將這歸咎于澳國內負責安全的政客之間內斗的結果。
防范有組織黑客攻擊需各界共同努力。“匿名者”黑客組織已經開展了多次針對政府以及大型企業的黑客攻擊,與傳統的炫耀自身技術能力的黑客攻擊行為不同,“匿名者”的黑客攻擊具有更強的針對性和更大的危害性。對于這類目的明確的有組織黑客攻擊行為。除了加強技術防護和應急措施之外,還應當針對此類特殊黑客行為加大打擊力度,從立法和國際合作角度出發,完善對于此類有組織黑客行為的防范機制。
(5)信息來源
6.電腦病毒攻擊全球最大天然氣生產商
天然氣公司、郵件服務癱瘓、黑客攻擊
持續時間:★★★★☆
8月15日,全球最大天然氣生產商之一卡塔爾拉斯天然氣公司(RasGas)成為最近幾周遭受嚴重電腦病毒攻擊的第二家中東大型能源公司。
此前,全球最大原油生產商、政府支持的沙特阿美石油公司(Saudi Aramco)也遭到了電腦病毒攻擊。沙特阿美8月26日表示,在8月15日遭到攻擊以后,該公司的服務已恢復。但休斯頓、日內瓦和倫敦的石油交易員昨日表示,他們在通過傳真和電傳與沙特阿美溝通,該公司的對外電郵服務仍然癱瘓。一名交易員表示:“這就好像是回到了20年前。”沙特阿美昨日表示,為以防萬一,該公司“限制”了一些外部系統的訪問。
國有企業拉斯天然氣公司和沙特阿美表示,病毒僅影響到辦公室電腦,未影響到運行油氣生產的孤立系統。兩家公司都表示,生產和出口未受影響。
重視安全域劃分和網絡邊界安全防護。對于重要機構或企業網絡來說,辦公區域和生產區域(或涉密區域)必須實施嚴格的物理隔離,且后者不能連接到Internet,才能實現對重要數據、資產的保護。而在辦公區域,應該從安全軟件、安全設備、管理制度等方面采取多重防護措施,如按需限制訪問,在網絡中設置防火墻和入侵保護,在個人電腦和服務器中安裝殺毒軟件和準入軟件等措施,可以在病毒爆發前預防病毒,在爆發后限制病毒的擴散。
工控系統安全威脅持續發酵。從2011年的“震網”病毒開始,針對工控企業的攻擊也從工控系統擴展到了企業的其它網絡和信息系統,企業有必要將信息安全保護工作范圍從傳統的網絡和信息系統擴展到與工控關聯的網絡和系統,通過開展業務影響分析、采取有效隔離等措施加強對自身網絡和系統的保護。
相關知識: