|
|
|
|
|
|
来源: 发布日期: 点击量:
为了深刻揭示国内外信息安全事件的影响和发展规律,积极应对信息安全风险,我们组织上海市信息安全行业协会、上海安言信息技术有限公司等单位,整理汇编有关媒体公开信息,并通过组织网络投票,听取专家意见,从危及国家安全、重大社会影响、重大经济损失三个方面选录了22个重大事件,编写成本报告。希望通过对2012年国内外发生的重大信息安全事件进行全面回顾,更好地警示宣传有关信息安全问题,对新形势、新威胁和新风险有更加全面的认识,为信息安全管理和技术人员研究解决相关问题提供决策参考。
2012年,随着云计算、物联网、移动互联网等新技术、新应用的不断推广,以及智慧城市的不断建设发展,全球范围内对信息安全更加关注,信息安全形势正在发生更加深刻的变化。一方面,信息技术与现实世界的联系日益紧密,物联网、工控系统等在国家关键基础设施、经济命脉行业的普遍应用,使信息安全问题更加深刻和广泛地影响社会稳定、经济发展和国家安全。另一方面,信息安全风险也不断演化发展:黑客行动日渐组织化、规模化,从原来以单纯追求技术突破或经济利益为出发点的行为逐步向表达诉求、伸张政治观点演化;商业秘密及个人信息遭非法泄露、窃取、倒卖事件频发,网络信息保护问题日益突出。同时,伴随着互联网新技术、新商业模式的出现,现有的政策立法、管理模式、技术规范已经愈发难以满足安全监管需求,对于政府部门、企事业单位的信息安全管理提出新的挑战。
2012年,国家高度关注信息安全问题的新趋势、新发展。党的十八大报告中,明确提出“健全信息安全保障体系”,“加强网络社会管理,推进网络依法规范有序运行”,“高度关注海洋、太空、网络空间安全”,“粮食安全、能源资源安全、网络安全等全球性问题更加突出”等要求。国务院发布了《关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号),提出要健全安全防护和管理,保障重点领域信息安全:确保重要信息系统和基础信息网络安全、加强政府和涉密信息系统安全管理、保障工控系统安全、强化信息资源和个人信息保护。党和政府对信息安全问题的高度重视和对信息安全保障的工作部署,要求我们不断加强前瞻性研究,化解新技术、新应用带来的新风险;不断加强依法监管手段,应对日益严峻复杂的国际、国内安全形势;不断加强技术支撑手段建设,扭转关键信息技术产品和服务受制于人的不利局面;不断加强对于信息安全的认识和投入,切实担起责任、提升能力来保障信息安全。
首先,有组织的黑客攻击行为更加频繁。2012年度在全球范围内发生了多起针对政府、大型商业机构的黑客攻击行为,与传统的黑客行为相比,许多事件由“匿名者”等国际知名的黑客组织实施,体现了明显的组织化特征。同时针对政府组织的黑客攻击行为也从单纯展示技术能力、发泄不满等目的,逐步向宣扬政治理念扩展。
其次,针对工控系统的威胁持续增加。工控系统安全威胁进一步发酵,包含“火焰”、“毒区”等病毒在内的新型攻击手段不断演化,已可在工控环境中实现自身隐匿、信息搜集和攻击破坏等一整套完整的攻击路径,对工控系统安全极具威胁。同时,遭受病毒攻击的对象也从单个国家扩展到中东地区多个国家。
黑客本就是传统的信息安全威胁,“2011黑客行为主义年”虽然过去,但是世界范围内的黑客行动不减反增,黑客组织日益壮大,需要引起相关部门的高度重视,进一步加强国内、国际合作,共同打击此类违法犯罪行为,加强对互联网络的依法管理。
1.黑客攻击导致数百名英国官员信息泄漏
英国政府、电子邮箱、密码、黑客
持续时间:★★★☆☆
据外电1月8日报道,数百名英国政府要员的邮箱和密码遭到黑客组织的曝光,这些人员包括国防部、情报部门的官员,还有一些政客和北约顾问等。
据悉,这些信息可能是黑客组织在圣诞节前夕从美国防卫情报预测公司“Stratfor”窃取的,该公司的数据库将用户ID制成电子表格,记录85万个注册用户的加密密码。此次事件中,还有7.5万名付费订阅用户的信用卡帐号和地址被曝光,包括462个英国账户。
(4)分析启示
该事件发生的原因可以归结为政府要员的资料管理不善,以及缺乏针对客户数据的有效保护措施。针对该类事件,应从以下方面加强防护。
加强隐私数据保护。对于政府要员的资料,应该有更高的安全级别,如与普通用户分开管理,采取更严密的访问控制机制,数据用全加密的方式进行存储等;针对普通客户的重要资料,如信用卡账号等重要数据也应该加密存储,确保信息安全。
重视第三方合作风险。此次信息泄漏事件属于典型的第三方合作机构泄漏客户信息的事件。政府、企事业单位在业务开展过程中不可避免的需要与各类外部第三方开展合作,能接触到的敏感信息也不在少数。第三方有可能成为政府、企事业单位信息安全防护链上最薄弱的一环,谨慎选择、细致管理此类服务机构对于政府、企事业单位有着重要意义。
(5)信息来源
2.黑客组织攻击导致英国政府机构网站瘫痪
英国、“匿名者”、拒绝服务攻击
持续时间:★★★☆☆
“内务部网站成为了网络抗议活动的主要攻击对象。”英国内务部发言人说,“目前,尚无证据表明该网站遭到了黑客攻击,内务部的其他系统并未受到影响。该网站已采取了相应的保护措施,这意味着公众尚不能访问该网站。”
宣称来自于匿名者黑客组织的Twitter消息称,该组织对此次分布式拒绝服务攻击(Distributed Denial of Service Attack,DDoS)负责。在此次攻击活动中,黑客将大量请求信息导向该网站,导致其服务器瘫痪,从而让其他合法用户无法正常访问。
拒绝服务攻击仍是最难防范、最常见的攻击手段之一。对于此类攻击最直接的防范方法是在服务器前端添加防火墙,可以在一定程度上进行预防;对于政府机构来说,更有效的方法是联合网络运营商,在骨干路由器上进行源IP地址验证。政府机构也有必要从技术(防攻击的安全设备和合理的服务器、应用程序设置)、管理(如应急响应流程)和人员(内、外部运维保障及应急团队)等方面进行充分准备,才能将攻击消弭于无形。
3.黑客组织恶意攻击美国中央情报局网站
中央情报局、网站宕机、黑客攻击
持续时间:★★★☆☆
据国外媒体报道,4月23日当地时间下午四点,美国中情局网站遭到黑客攻击,被迫宕机数小时,据称一家名为UGNazi的黑客组织进行了这次袭击。黑客组织称,此次攻击是为了报复阿拉巴马州最近惩罚移民的举动。
到下午六点左右,中情局网站恢复上线。最初,知名黑客组织“匿名者”在Twitter网站报告中情局网站被黑,不过其稍后披露,实施攻击者名叫UGNazi。
在中情局官网受攻击期间,黑客有意曝光了有关阿拉巴马州一宗诉讼的法庭文件,以及来自墨西哥一家采矿公司的电子邮件记录。这些文件一共涉及到4.6万人的个人信息。
(4)分析启示
必须重视网站安全问题。虽然导致网站宕机的具体原因还不清楚,但本次黑客攻击事件暴露出中央情报局的网站在防范外部恶意攻击以及对内部敏感信息的保护存在明显的隐患。网站管理者、运营者应当高度重视网站信息安全,及时排查和封堵安全漏洞和潜在风险,并及时处置网站安全事件,同时也有必要对网站进行定期测评和渗透性检测,确保网站运行安全。
黑客有组织攻击日趋猖獗。近年来,以“匿名者”(Anonymous)、“卢尔兹安全”(Lulz Security)和“反安全”(AntiSec)等宣称代表自由、维护网络公正和正义的黑客组织异常活跃,不断对政府部门、大型商业机构发动互联网攻击。这些自诩为“正义代言人”的黑客所宣扬的理念颇能蛊惑人心,政府对他们的打击往往容易招致更多的抵触。面对日益猖獗的有组织黑客攻击行为,除了采取各类技术防范措施外,更有必要从政府立法、国际合作、宣传教育等角度出发,采用综合措施加强对网络空间的有序治理。
4.“火焰”病毒入侵多个中东国家
火焰病毒、工控系统
持续时间:★★★★☆
卡巴斯基实验室5月28日发布报告,确认新型电脑病毒“火焰”入侵伊朗等多个中东国家。病毒用于窃取信息,部分特征与先前攻击伊朗核设施电脑系统的“震网”(Stuxnet)蠕虫病毒相似,但结构更复杂、损害更大。
“火焰”之所以拥有如此强大的间谍功能,是因为它的程序构造十分复杂,“火焰”所包含的代码数量相当于之前发现的“震网”病毒或“毒区”病毒(Duqu)的20倍,此前从未有病毒能达到这种水平。它可以通过USB存储器以及互联网进行复制和传播,并能接受来自世界各地多个服务器的指令。一旦完成搜集数据任务,这些病毒还可自行毁灭,不留踪迹。
虽然这种病毒是在最近才被发现的,但很多专家认为它可能已经存在了5年之久,包括伊朗、以色列、黎巴嫩、沙特和埃及在内的成千上万台电脑都已感染了这种病毒。而且这种病毒的攻击活动不具规律性,个人电脑、教育机构、各类民间组织和国家机关都曾被其光顾过。电子邮件、文件、消息、内部讨论等等都是其搜集的对象。
高持续性威胁不断升级。高持续性威胁 (Advanced Persistent Threat,APT)无疑成为2012信息安全界最热和最火的词汇,“火焰”病毒的出现更是将对于APT的关注推向了一个新的高度。病毒程序已经实现了隐蔽、间谍、破坏到自我销毁的一整套复杂的攻击过程,让人对于APT的防范头疼不已。从2011年的“震网”,到2012年的“火焰”、“毒区”,针对工控系统的威胁不断涌现,受害对象也从伊朗核电站逐步扩展到了中东地区的其它国家。针对此类现象,除了国家层面出台相关要求,提升工控系统管理企业的重视程度外,还需要从技术防范角度出发,开展针对工控系统的专项评估工作,确保工控系统的安全。
5.黑客攻击导致澳安全情报局网站瘫痪半小时
澳大利亚、安全情报局、网站瘫痪、黑客攻击
持续时间:★★★☆☆
澳大利亚安全情报局8月10日在官网上证实,该组织下属的一个对公众开放的网站服务器当天遭到黑客袭击。据报道,也是在这一天,名为“匿名者”的国际黑客组织声称对这起事件负责,表示这次网络攻击主要是由几个澳大利亚籍的黑客发起,并直接导致澳安全局公共主页瘫痪长达三十分钟。
澳安全局很快恢复网页服务,承认公共主页先前出现了网站崩溃的现象。澳大利亚分析人士认为,这一名为“匿名者”的黑客组织发动此次网络袭击主要缘于近期在澳大利亚一个极具争议的网络安全计划。根据这一计划,鉴于日益严峻的跨国网络安全形势,澳政府有关安全部门建议保存和监控每个澳大利亚人近两年来的所有个人上网记录。有声音指责这是对个人隐私的彻底侵犯,也有人将这归咎于澳国内负责安全的政客之间内斗的结果。
防范有组织黑客攻击需各界共同努力。“匿名者”黑客组织已经开展了多次针对政府以及大型企业的黑客攻击,与传统的炫耀自身技术能力的黑客攻击行为不同,“匿名者”的黑客攻击具有更强的针对性和更大的危害性。对于这类目的明确的有组织黑客攻击行为。除了加强技术防护和应急措施之外,还应当针对此类特殊黑客行为加大打击力度,从立法和国际合作角度出发,完善对于此类有组织黑客行为的防范机制。
(5)信息来源
6.电脑病毒攻击全球最大天然气生产商
天然气公司、邮件服务瘫痪、黑客攻击
持续时间:★★★★☆
8月15日,全球最大天然气生产商之一卡塔尔拉斯天然气公司(RasGas)成为最近几周遭受严重电脑病毒攻击的第二家中东大型能源公司。
此前,全球最大原油生产商、政府支持的沙特阿美石油公司(Saudi Aramco)也遭到了电脑病毒攻击。沙特阿美8月26日表示,在8月15日遭到攻击以后,该公司的服务已恢复。但休斯顿、日内瓦和伦敦的石油交易员昨日表示,他们在通过传真和电传与沙特阿美沟通,该公司的对外电邮服务仍然瘫痪。一名交易员表示:“这就好像是回到了20年前。”沙特阿美昨日表示,为以防万一,该公司“限制”了一些外部系统的访问。
国有企业拉斯天然气公司和沙特阿美表示,病毒仅影响到办公室电脑,未影响到运行油气生产的孤立系统。两家公司都表示,生产和出口未受影响。
重视安全域划分和网络边界安全防护。对于重要机构或企业网络来说,办公区域和生产区域(或涉密区域)必须实施严格的物理隔离,且后者不能连接到Internet,才能实现对重要数据、资产的保护。而在办公区域,应该从安全软件、安全设备、管理制度等方面采取多重防护措施,如按需限制访问,在网络中设置防火墙和入侵保护,在个人电脑和服务器中安装杀毒软件和准入软件等措施,可以在病毒爆发前预防病毒,在爆发后限制病毒的扩散。
工控系统安全威胁持续发酵。从2011年的“震网”病毒开始,针对工控企业的攻击也从工控系统扩展到了企业的其它网络和信息系统,企业有必要将信息安全保护工作范围从传统的网络和信息系统扩展到与工控关联的网络和系统,通过开展业务影响分析、采取有效隔离等措施加强对自身网络和系统的保护。
相关知识: