《2006年度中国网络安全分析报告》之全球简析篇
《2006年度中国网络安全分析报告》(简称《报告》)是中国民间组织——黑客联盟,针对中国互联网安全现状发布的分析报告。该报告从全球网络及中国网络安全简析、国内网络安全现状、国内计算机病毒现状、国内黑客攻击事件分析、国内网络安全产品以及、网络安全服务等方面,就目前信息安全状况进行了详尽分析和解读。从中我们可以看出,生产的安全与稳定,风险的控制与防范,是CIO目前最关注的问题。
此次刊登的是《报告》的第一部分——全球简析篇。全球简析篇的的主要结论是:
?两部法规正式实施对于信息安全产业产生了标志性的影响;
?流氓软件的数量成倍翻番,基本上形成了完整的黑色产业链;
?“僵尸网络”通过宽带影响着中国五分之一的台式电脑系统;
?内容安全产品水平参差不齐,阻碍相关市场健康形成;
?垃圾邮件呈现出愈演愈烈之势。
2006年10月,《InformationWeek》研究部和埃森哲咨询公司(Accenture,下称埃森哲)合作进行了第九年度“全球安全调查”,调查全面揭示了商业计算环境所面临的各种威胁。在受访者当中,有57%的美国公司表示在过去一年中曾遭受病毒攻击,34%曾受到蠕虫的攻击,18%经历了拒绝服务(Denial-of-Service, DoS)攻击。另外,
网络攻击和身份窃取发生的比例分别为9%和8%;而中国的情形更差一些,有23%的公司表示其客户数据安全受到威胁,另有27%的公司遭受了身份窃取形式的攻击。
因此,受访的2193名安全专家和商业科技经理中有48%的人表示:对安全的复杂性进行管理已成为当务之急。国际商业机器公司(IBM)2005 年和2006年对全球首席信息官(CIO)的两次调查都显示,信息安全始终在CIO关心的问题中排名首位。IBM全球信息科技服务部企业信息系统基础架构业务大中华区技术总监周国祥分析说:“调查结果表明,生产的安全与稳定,风险的控制与防范,是CIO目前最关注的问题。”
事实上,企业面对的信息安全问题正在变得复杂化。从便携设备到可移动存储,再到基于Web的协作应用,乃至基于IP的语音技术(VoIP),每一类新产品都有新的安全问题与之相伴而生。系统在面临着日趋复杂的威胁的同时,遭受攻击的次数也日益增多。对此,安全专家和业务技术人员列出了企业所面临的一长串挑战,按比例依次为:提高用户意识(41%)、加强安全策略(36%)、加强对系统访问的控制(26%)、以及获取更多的资源(23%)。
超过半数的业务技术专家表示,当企业现有和以前的雇员企图危及系统安全时,安全技术、政策和培训在阻止其制造安全漏洞方面几乎起不到什么作用。与其他国家相比,内部威胁对美国公司来说更成问题。去年,将近四分之一的美国公司表示,授权用户和雇员是
引起攻击的原因之一,印度公司、中国公司和欧洲公司的相应比例为22%、15%和11%。
其实完全依靠金钱堆砌出来的信息安全防线看似固若金汤,但可能只是外强中干的“马其诺防线”。
信息产业部电信研究院信息管理中心主任武骏说:“企业应该有信息安全的规划,按年度逐步实施。安全更多的是管理层面的问题,不是软件技术所能够全部解决的。”安全堡垒最容易从内部攻破,因此与花费昂贵的硬件产品相比,对内部员工进行良好的安全教育和风险管理事半功倍。
美讯智网络安全有限公司中国区销售总监谢旭东说:“安全教育的手段非常多样,没有一个定式,不同的企业可以根据不同的情况发挥创新思维。”比如,在入职培训时进行系统访问安全、密码安全、电子邮件使用、上网指南、软件安装、防病毒、加密、备份等基本安全知识培训;编写员工安全指南和安全期刊等。
谢旭东说:“事实上,最大的安全元素还是人,企业要激励员工参与到整体安全策略当中。”
2006年的信息安全领域,看上去波澜不惊。某种程度上说,今年的安全行业延续了去年的沉默,不过在这种看似平静得外表之下,还是有许多事件和现象值得我们关注和思考,例如:僵尸网络大行其道、恶意软件标准艰难出台、内容安全浮出水面、图片垃圾邮件
大行其道、网络安全等级保护开始试点以及萨班斯法案的出台等,这些算不上标志性的安全事件,或许正在不经意间,为将来的安全行业发展写下了伏笔。
据调查显示,2006年我国网络信息安全形势依然严峻,病毒危害正在不断加剧,同时,隐藏和逃避技术更加高级、金钱利益成为更大的驱动力、隐私和机密数据面临风险提高。而且,安全威胁已经不限于删除数据,更多的是以金钱为目标的犯罪行为;安全攻击也不再一味追求大规模、大范围,而是向小型化发展,且大多是钓鱼欺骗、数据窃取和犯罪行为。尤其需要强调的是僵尸网络,因为这已经成为散布垃圾邮件和钓鱼信息、传播间谍软件和广告软件、集体攻击组织团体、盗取机密信息的重要手段。
1、等级保护与萨班斯法案
在2006年,两部法规的正式实施对于信息安全产业产生了标志性的影响,一部是国内的《信息安全等级保护管理办法》,另一部是美国的《萨班斯—奥克斯利法案》。它们都以法规的形式敦促企业加强内部控制,增强抵御风险的能力。
《萨班斯—奥克斯利法案》对在美国上市的公司提供了合规性要求,使上市公司不得不考虑控制IT风险在内的各种风险。国内众多在美国上市的公司都纷纷动了起来,其中最为突出的就是各大电信运营商对人、财、物的投入都非常巨大。
今年,国家积极推动信息安全等级保护制度,以最大限度避免系统安全漏洞和低级庸俗内容带来的信息安全风险。这一强制性的安全要求,形成了一种合规性要求,必将逐步带动实际需求并形成持续投入的动力。
作为“十一五”计划的开局年,2006年是国家各机关部委及企事业单位规划五年发展计划的第一年,又适逢国家“等级保护”法案实施、萨班斯(SOX)法案的推行,无论从产业发展阶段、国家政策、外部环境来看,还是借鉴国外的发展规律,都预示着我国的信息安全产业将由此迈入一个快速发展的新阶段。
2、流氓软件
2006年,流氓软件的数量成倍翻番,并且越来越多地采用电脑病毒的技术,从入侵手段到危害方式上,几乎和恶性电脑病毒无异,其危害也几乎可以和病毒相提并论。并且,绝大多数流氓软件厂商,采用更为恶劣和隐蔽的办法,大量采用电脑病毒的技术,甚至直接利用病毒来传播、隐藏自己,形成了完整的黑色产业链。
流氓软件已经成为业界打击清理的重点。9月初,奇虎360
安全卫士曾联合其公开征集的“督导委员会”,正式对外公布了一个“恶意软件标准”以及“恶意软件的退出及加入机制”。该标准定义了恶意软件的两大底线“强制安装”和“无法卸载或者卸载后仍然
活动”。11月,互联网协会组织了30余家公司与机构的代表,对恶
意软件的标准进行了商讨,随后颁布了在恶意软件标准草案。这些都为有效治理和打击流氓软件,提供了理论依据。
3、僵尸网络
2006年,“僵尸网络”开始扎根于中国的宽带网络中,影响着中国五分之一的台式电脑系统,威胁着政府、金融机构以及其他行业的计算机安全。这不是危言耸听。据全球著名反病毒软件商赛门铁克公司日前发布的《第10期互联网安全威胁报告》显示,根据今年上半年监测的数据,中国拥有的“僵尸网络”电脑数目最多,全世界共有470万台,而中国就占到了近 20%。而据国内不完全统计,中国拥有的“僵尸网络”电脑数量达到120万台。
由于僵尸网络特有的“隐蔽”特性,对传统的防病毒软件业提出了挑战。随着我国在诸如“僵尸网络”等内容安全方面威胁的不断加剧,也给与其相关的安全市场带来了巨大的发展机会,众多安全厂商纷纷加大了在内容防护、Web过滤、身份管理等方面的投入。
4、内容安全
网络内容安全开始成为继防火墙、IDS、网络防病毒之后,安全领域的另一个重要领域。甚至有人认为内容安全已经成为第二代网络安全产品,其代表的是使用性安全,与其相对的是防火墙等可用性安全产品。
网络内容安全的持续升温让很多软件厂商趋之若鹜,相关产品层出不穷。但是内容安全产品有相当高的技术门槛,需要较长时间的技术积累,所以有些临时加入该阵营的产品无论从功能上、性能上或是稳定性上都存在相当大的缺憾。这些产品的存在打击了一些用户对网络内容安全产品的信心,阻碍健康的内容安全产品市场的形成。
5、垃圾邮件
自从SMTP协定制定以来,垃圾邮件(Spam)就一直紧跟着电子邮件,成为令全球用户头痛不已的问题,尽管各国政府、组织与IT 厂商,长年致力于立法治理反垃圾邮件、垃圾邮件过滤、身分认证拦劫等法律与技术的设立开发,为此,大家对前景都看好,甚至比尔.盖茨亦乐观地预测,2006年会是垃圾邮件威胁最小的1年,但是,在强大的商业利益,以及僵尸网络攻击的强力灌顶下,不但不会有任何减弱的倾向,甚至还有愈演愈烈之势。
随着AOLSPF(SenderPolicyFramework)、YahooDomainKeys、微软SenderID等身分认证过滤技术的提出,以及当红的行为特征侦测技术,带动反垃圾邮件由静态走向动态过滤的发展趋势,再加上各国政府致力于制定反垃圾邮件法,致使反垃圾邮件的声势不但因此大盛,甚至许多厂商与专家都对打击垃圾邮件的成效,抱持极度乐观的看法。
在2004年年初,比尔.盖茨甚至预测指出,2006年,垃圾邮件将不再成为令人头痛的可怕威胁。事实果真如此吗?垃圾邮件对于人们所造成的威胁,远比恶意程序来得更加直接,频率也更高,所以,面对已然来临的2006年,垃圾邮件问题到底严不严重?相信每个人心中都有非常明确的答案。
商业与金钱利益诱惑不断垃圾邮件问题依旧严重就积极面来看,人们对于反垃圾邮件的意识与觉醒程度的确高涨,反垃圾邮件也成为各国政府与各产业一致努力的目标,而垃圾邮件过滤技术的拦劫率,也不负期望地大幅增长,美国联邦贸易委员会(FederalTradeCommission;FTC)近期的研究报告甚至指出,当前垃圾邮件过滤技术的拦劫率,已可达到96%的极高水准。
但是,反垃圾邮件的发展仍有其悲观的一面,前不久Sophos 公司提出的一份垃圾邮件统计报告,即可看出,垃圾邮件仍然是人们日常生活上最常见的一大困扰。该报告指出,网络用户每天收到30封以下垃圾邮件的比例达39%,30~60封有32%,100封以上,也有15%之多。报告指出,每位用户平均1年至少要耗费30小时,来进行垃圾邮件的删除工作。
再来就当前垃圾邮件的内容性质来看,根据调查统计指出,其中以情色类最高(87%),其次依序为网路购物类、投资理财类、瘦身美容类;而就Sophos公司2005年年度安全威胁报告的内容来看,药品推销(40%)成为2005年垃圾邮件之冠,情色类邮件则居次。
此外,股票投资类邮件则是增长最快的垃圾邮件类别,其中,尤以股票诈骗邮件最具威胁性,证据显示,骇客借由这类邮件来炒作哄抬股票,并从中获利成为一大趋势。
由此看来,不论药品、色情或诈骗,都与商业与金钱利益有着纠葛不清的利害关系,而这也是当前垃圾邮件持续危害的最大动力来源之一,绝非藉由过滤技术就能完成根除。
邮件过滤技术仅能治标降低误判率才是重点即使垃圾邮件过滤技术的侦测率愈来愈高,但仍属于治标而非治本的方法,但是无论如何,仍能稍稍纾缓垃圾邮件问题对人们所带来的困扰。不过,当前安全专家与学者皆一致认为,垃圾邮件过滤技术的瓶颈并不完全在拦劫率有多高,最主要的发展重点,应在降低误判率上,尤其当前横行网络上、有着诈欺性质的网络钓鱼邮件,由于其内容经常模仿政府单位或金融机构的正式官方样式,诱骗一般使用者,所以很难透过过滤技术加以正确辨识,因而导致有着强大金钱利益驱使的网络钓鱼事件一直非常猖獗。
如今,反垃圾邮件产品制造商为了防止误判,多半搭配隔离的方法来解决,虽然如此可降低误删的机率,但是用户仍需要花费许多时间,进入隔离区中自行判断是否真的是垃圾邮件,说穿了,此法不过是由厂商先帮忙进行初步的分类,但是整体判断与删除邮件的“工作量”并没有降低多少。
最新的调查结果显示从2006年6月,到06年10月,中国互联网用户收到垃圾邮件的比例由60.99%下降到59.49%,比例再次下降2.5个百分点,首次跌破60%的大关。用户每周收到垃圾邮件数量为18.96封。用户平行每周收到垃圾邮数量为19.94封,用户每周收到正常邮件(不包括垃圾邮件)为12.94封。
中国被屏蔽的垃圾服务器的IP地址段
由中国互联网协会反垃圾邮件中心自主开发的反垃圾邮件黑名单自动监测软件Spamget自2004年开始运行监测以来至9月上旬,经统计中国被国外反垃圾邮件组织列入黑名单的IP地址段共计3979个。而自2006年7月至2006年9月,中国被国外反垃圾邮件组织列入黑名单的IP地址段共计298个,以上是排名前十的省份比较情况。
截止2006年12月25日,中国地区发送垃圾邮件近4500亿封,垃圾广告数量达1200万亿,软件及压缩包中传播广告有13亿,伪装成按钮及其他软件特征的广告达7500万。
2006年度中国大陆SPA发送数量
“病毒型”垃圾邮件成为最糟用户讨厌垃圾邮件。调查发现,用户最讨厌垃圾邮件中,病毒垃圾邮件上升46.80%,上升到47.28%,占据第一位,色情暴力的下降了两个百分点,占46.19%,由此可以看出病毒型垃圾邮件,由于攻击性越来越引起人们的反感。
此外,图片垃圾邮件开始盛行。一年以前,图片垃圾电子邮件在所有垃圾电子邮件中只占1%,而现在它在垃圾电子邮件中所占比例已经上升到30%。图片垃圾电子邮件的增长为垃圾电子邮件的再次泛滥起到了推波助澜的作用。