信息安全的常见威胁

    [晴 October 24, 2008 11:15 | by !4p47hy ]
来源:谷安

计算机系统容易受到许多威胁从而造成各种各样损害导致严重损失。这些损害从由于错误而破坏数据库的安全性到火灾摧毁整个计算机中心。损害的原因是多种多样的,例如,看上去可信的员工欺骗系统的行为、外部黑客或粗心的数据录入员。由于很多损害永远也无法被发现,有些机构为了避免公众形象受损所以对损害情况加以掩盖,所以准确的评估计算机安全相关的损害是不可能的。不同的威胁其后果也有所不同:一些是影响数据的机密性或完整性而另一些则影响系统的可用性。这些威胁包括:
1、错误和遗漏
2、欺诈和盗窃
3、员工破坏
4、丧失物理和基础设施的支持
5、有害黑客
6、工业间谍
7、有害代码
8、外国政府间谍
9、对个人隐私的威胁
这里描述了如今系统运行环境中风险的基本情况。所提到的威胁和相关损害是基于其在当今计算环境中的普遍程度和严重程度以及其预期扩展形势而提出的。本清单并不详尽,有些威胁可以是不同领域的组合产物。这里描述的当前常见威胁概况可以为机构研究其自身的威胁环境提供帮助;但是由于这一话题涉及面比较广阔,所以特定系统所遭遇的威胁可能与这里讨论的有所不同 。
为了控制运行信息系统的风险,管理人和用户需要了解系统的缺陷和可能利用缺陷的威胁。对威胁环境的了解使系统管理人得以实施最具成本效益的安全措施。在有些情况下,管理人发现简单容忍预期损害更具有成本效益。这一决策应该基于风险分析的结果。

1. 错误和遗漏

错误和遗漏是数据和系统完整性的重要威胁。这些错误不仅由每天处理几百条交易的数据录入员造成,创建和编辑数据的任何类型的用户都可以造成。许多程序,特别是那些被设计用来供个人计算机用户使用的程序缺乏质量控制手段。但是,即使是最复杂的程序也不可能探测到所有类型的输入错误或遗漏。良好的意识和培训项目可以帮助机构减少错误和遗漏的数量和严重程度。

用户、数据录入员、系统操作员和程序员的工作中经常会出现直接或间接影响安全的错误。在有些情况下,错误是一种威胁,例如数据录入错误或编程错误会使系统崩溃。在另一些情况下,错误导致了缺陷。错误可以在系统生命周期的任何阶段发生。一项由计算机安全顾问、计算机系统安全和隐私咨询委员会的前成员Robert Courtney进行的关于计算机的经济损失的长期调查显示,机构百分之六十五的损失是错误和遗漏造成的。在私营和公共机构中,这种情况基本是一样的。
编程和开发的错误通常被称为“臭虫”,其严重程度从温和到灾难性不等。在1989年美国众议院科学、空间和技术委员会的研究报告《程序中的缺陷》中,调查和监督小组委员会成员对政府系统中此类问题的严重性作出了以下总结:
随着费用的不断增加,对于越来越大、越来越复杂的软件系统的稳定性、成本和准确性的关注也越来越多。随着计算机执行越来越关键的任务,其错误会导致经济混乱、事故,在极端的情况下会导致死亡,所以对此的关注也不断升温。
自从这份研究报告发表以来,软件工业发生了相当大的变化,软件质量有了可观的改善。但是关于软件的“恐怖故事“依然大量流传,报告中分析发现的基本根源和问题依然存在。虽然程序的质量有了很大的改善,减少了每1000行代码中包含的错误量,但是程序的规模同时也在扩大,这在很大程度上抵消了程序质量改进的好处。
安装和维护的错误是安全问题的另一个根源。例如,由美国正直和效率总统委员会(PCIE)在1988年进行的审计中发现,被调查的每十个大型计算机站点中就有一个存在会导致严重安全缺陷的安装和维护错误。

2. 欺诈和盗窃

计算机系统会受到欺诈和盗窃的伤害,这种伤害可以是通过“自动化“了的传统手段进行也可以是通过新的手段进行。例如,有人可能会使用计算机在大型帐户中稍微减少一小部分数量的金钱,期望这个微小的差异不会被调查。金融系统不是这种风险的唯一受害者。控制资源访问的系统(如时间和考勤系统、存货系统、学籍系统以及长途电话系统)都可能成为受害者。

计算机欺诈和盗窃可以是内部人所为也可以是外部人所为。欺诈主要是内部人(如系统的受权用户)所为。1993年《信息周刊》/Ernst&Young公司研究发现百分之九十的首席信息官将“知道过多”信息的员工视为一种威胁 。美国司法部计算机犯罪调查部门指出“内部人构成了计算机系统的最大威胁” 。因为内部人既可以访问受害的计算机系统(包括其控制和流动的资源)又对系统比较熟悉,受权用户在进行计算机犯罪时处于有利的地位。内部人可以是普通用户(如职员)也可以是技术人员。了解机构运行情况的机构的前员工也可能是一种威胁,在其访问权限没有得到适当终止的时侯尤其如此。
另外,对于使用技术手段进行欺诈和盗窃,计算机硬件、和软件都容易被窃取。例如,由Safeware保险公司进行的一项研究发现,在1992年中由于盗窃损失的计算机的价值高达8亿8千2百万美金。

3. 员工破坏

员工最熟悉其雇主的计算机和应用,包括知道何种行为会导致最大的损害、故障或破坏。公共和私营机构中人员的不断缩减造成有一些人对整个机构都很熟悉,这些人可能会保留潜在的系统访问权(如系统帐户没有被及时删除) 。从数量上看,员工破坏事件比盗窃事件要少,但是这种事件造成的损失却很高。
《美国工作场所的破坏》的作者Martin Sprouse报告说,破坏的动机从利他主义到报复不等:
当员工在工作中感到受了欺骗、厌烦、疲倦、受到威胁或背叛的时侯,破坏将被当做获得工作满足感的直接手段,这种手段老板当然是不会同意的 。

4. 丧失物理和基础设施的支持

丧失基础设施的支持包括电力故障(中断、瞬间高压和电压不足)、丧失通信能力、水的中断和泄漏、下水管道问题、缺乏运输服务、火灾、洪水、国内混乱和罢工。这些损害包括如美国世贸中心爆炸和芝加哥隧道洪水这样的激烈事件,也包括像水管破裂这样的普通事件。基础设施的丧失通常导致系统停机,有时结果是在无法预料的。例如,在暴风雪的天气下员工无法上班,而计算机系统依然在工作。

5. 有害黑客

有害黑客这一术语,有时被称为黑客,是指未经授权侵入计算机的人。他们可以是外部人也可以是内部人。黑客行为的增加应该是与政府和企业联网数量的增长有关。1992年一项关于互联网站点(如一个计算机系统)的研究发现每隔几天就会有一次黑客的入侵尝试 。
黑客的威胁应该被认为是过去的或未来潜在的损害。虽然目前由黑客造成的损失远小于由内部盗窃和破坏造成的损失,但是黑客问题分布广泛而且情况严重。有害黑客行为的一个例子就是直接对公共电话系统的破坏。
美国科学院和国家安全电信咨询委员会的研究表明,黑客的行为不仅限于话费欺诈。也包括侵入电信系统(如交换机)的行为,这种行为造成了系统可用性的降低或中断。虽然还无法得到关于威胁或风险程度的结论,但是这些研究强调黑客的行为会造成严重的破坏 。
黑客威胁受到的关注通常会比其它更普遍更危险的威胁还要多。美国司法部计算机犯罪部门认为造成这种现象的原因有以下三种:
首先,黑客的威胁是最近才遭遇到的威胁。机构一直以来就关注内部员工的行为并能够采用惩戒手段减少这些威胁。但是,这些手段对于防止外部的不受员工规章约束的人来说是无效的。
其次,机构不知道黑客的目的,有些黑客只是浏览信息、有些盗窃信息、有些进行破坏。机构无法确定黑客的目的就会觉得其攻击会很严重。
第三,黑客的攻击会使人们觉得很脆弱,在不知道对方的身份的情况下尤其如此。例如,假如雇佣一名油漆工油漆房屋,有一次他偷窃了珠宝。邻居们不会因此感到威胁,也不会采取措施防备那个油漆工。但是,如果强盗闯入同一间房屋偷走了同样的珠宝,所有的邻居都会觉得自己是受害者并且感到很容易受到攻击。

6. 工业间谍

工业间谍是指从私营企业或政府收集专有数据以达到协助其它公司的目的的行为。工业间谍行为可能是公司为了提高自身的竞争力或政府为了帮助其国内企业所为。由政府派出的外国工业间谍通常被称为经济间谍。因为信息通常在计算机系统中进行处理和存储,所以计算机安全可以帮助防范这种威胁;但是,这无法减少由于受权的员工出卖信息而造成的威胁。
工业间谍在不断增加。1992年一项由美国工业安全学会(ASIS)资助的研究发现,对商业专有信息的盗窃自1985年以来上升了260%。数据指出,在1991年和1992年中所报告的损失有30%涉及到外国的参与。研究还发现,58%的盗窃是现有的正式员工所为。三种危害最大的被盗信息类型是价格信息、制造过程信息和产品开发及规格说明信息。其它被盗信息类型有客户清单、基础研究、销售数据、人事数据、补偿数据、成本数据、建议和战略计划 。
美国中央情报局指出,经济间谍领域中的主要目的是获取与技术相关的信息,但是美国的对外政策以及商品、利益和其它经济信息也是其目标。美国联邦调查局也发现,技术相关信息是主要目标,但是目标还包括企业的专有信息,如谈判地位和其它合同数据。

7. 有害代码

有害代码是指病毒、蠕虫、特洛伊木马、逻辑炸弹和其它“不受欢迎的软件”。有时人们会错误的认为这些只与个人计算机有关,事实上有害代码可以攻击其它平台。
1993年的一项病毒研究发现,已知病毒的数量呈指数速度增长,病毒事件的数量不是这样 。研究断定,病毒已经变得相当普遍,但是这仅仅是“逐步的”。北美商业领域中等到严重的PC-DOS病毒事件接近于每个季度每1000台PC发生一件,假设大多数这样的企业都有基本的防病毒保护,那么受感染的机器将是这个数字的3或4倍 。
有害代码所造成的实际损失主要来自系统的中断和修复系统所花费的人力资源。无论如何,费用是巨大的。

8. 外国政府间谍

在有些场合,可能会出现外国政府情报部门造成的威胁。除了可能的经济间谍之外,外国情报部门可能会为了进一步的情报工作而瞄准非保密系统。有些非保密信息可能对其有价值,如高官的旅行计划、国内防卫和应急准备情况、制造技术、卫星数据、人事和工资数据以及执法、调查和安全文件。具有管辖权的安全官员可以提供有关处理此类威胁的指导。

9. 对个人隐私的威胁

政府、信用局和私人公司积累了大量的关于个人的电子信息,结合计算机监控、处理和聚集大量关于个人信息的能力形成了对个人隐私的威胁。这些信息和技术结合的可能性越来越成为现代信息时代的隐忧。这通常被称为“独裁大哥”。为了防范此类侵害,在过去的很多年中,美国国会颁布了法律,如1974年隐私法案、1988年计算机匹配和隐私法案,它定义了政府所收集的个人信息的合法使用界限。
对个人隐私的威胁来自多个方面。在一些案件中,美国联邦和州雇员将个人信息出售给私人侦探或其它“信息掮客”。1992年发现了一桩类似的案件,美国司法部宣布逮捕了二十多人,他们涉嫌买卖美国社会保障总署(SSA)计算机文件中的信息。在调查中,审计员发现SSA 的雇员没有限制地访问了超过1.3亿条就业记录。另一项调查发现在一个IRS区域中有5%的员工浏览过朋友、亲属和名人的税收记录。有些员工使用这些信息骗取退税,但大多数只是出于好奇。

随着诸多此类案件的曝光,越来越多的人开始关注针对个人隐私的威胁。1993年七月在《MacWorld》杂志中一项特别报告中公布了Louis Harris&Associates公司的民意调查数据,数据显示在1970年有33%的回答者关心个人隐私问题。到了1990年这个数字跃升至79% 。
虽然对个人隐私威胁的程度和及其造成的社会成本难以测量,但是很明显,强大的信息技术有理由使人们担心政府和公司变成“独裁大哥”。增强此类意识是必要的。
InfoSecurity | Comments(0) | Trackbacks(0) | Reads(7234)
Add a comment
Emots
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
Enable HTML
Enable UBB
Enable Emots
Hidden
Nickname   Password   Optional
Site URI   Email   [Register]
               

Security code Case insensitive