有关网络安全的问题
有关数据显示,网上银行的用户已有近千万,每年通过网上银行流通的资金超过千亿。
美国 Ponemon Institute 于当地时间 2004 年 9 月 29 日公布了以美国消费者为对象实施的关于网
页仿冒(Phishing)的调查结果。76%的消费者感觉欺骗(Spoofing)和网页仿冒行为在增加,
其中的 35%每星期至少收到一封假冒电子邮件。该公司推测,整个美国这方面的经济损失大 约为 5 亿美元。该调查是由从事在线隐私业务的 TRUSTe 和从事电子结算业务的 NACHA 赞 助实施的。
该调查以 1335 名美国因特网用户为对象实施,结果每 10 人中有 7 人回答曾经受骗访问 过假冒网站。另外,15%以上的用户提供了包括信用卡号码、活期存款账户以及社会保险号码 在内的个人信息。占总数 2%的回答者由于网页仿冒攻击受到经济损失。大部分受害的回答者 是在网页仿冒行为发生后两个星期内遭受实际损失的。
因特网用户在遭遇不愉快的经验后对电子邮件和网站产生怀疑,他们希望针对这些问题 采取某种措施。64%的回答者表示,企业及其他团体对于欺骗及网页仿冒行为没有采取任何措 施,这是令人无法接受的。96%的回答者希望企业研究出能够认证电子邮件和网站的新技术。
针对商业网站的一系列恶性攻击已经打击了消费者对网络的信心。网络安全专家指出,
大量迹象表明网络黑客行为逐渐趋于攫取利益,如对银行的袭击等。Deloite Touche 的一份调 查报告显示,100 家顶极金融机构中 83%的机构遭受过黑客袭击,而前一年这一比例仅为 39%。
其中遭到黑客攻击的机构中有 40%蒙受了经济损失。
微软的 Hotmail 免费服务系统每天都接手 35 亿封垃圾邮件,约占其邮件总数的 80%。而 且,用户反映大部分邮件被邮件病毒和能够自动传播的蠕虫病毒感染。
网络安全公司 Cyota 说:“网络用户对网上交易日趋警惕。”针对 650 个网上银行用户的一 项最新调查显示,74%的用户担心被欺骗而不愿进行网上购物。Cyota 营销副总裁阿米尔·奥 拉德(Amir-Orad)说:“最大的损失不是金钱,而是顾客对网络的信心。”
微软的 Windows 操作系统不断曝出新的安全漏洞,而目前高达 90%的网络用户都使用微 软的操作系统,这就更加令人担忧。技术精湛的黑客现在可以在数周内,甚至数日内就能发现 Windows 系统的新漏洞,而一年前,黑客需要几个月才能做到这一点。尽管微软每月都发布 安全补丁,但是公司和家庭用户却做不到及时更新。
安全公司 NCircle 的首席执行官阿贝·克莱恩菲尔德(Abe Kleinfeld)表示:“对一家大公 司而言,及时更新安全补丁是一个非常繁冗的过程。”
以上原因导致各种网络病毒和蠕虫病毒得以继续感染那些联网的公司和家庭电脑。一旦 一台 PC 成了黑客们为所欲为的天堂,黑客们就可以任意传输垃圾邮件,侵入私人网络,以及 盗窃他人身份谋取暴利。
防毒公司赛门铁克最近发布 2004 上半年“网络安全威胁研究报告”(注),对全球企业及 家庭、个人电脑做了半年度的回顾,电子商务及小型企业成为主要攻击目标。根据这份报告,
2004 年上半年电子商务(e-commerce)及小型企业分别以 16%及 10%分居网络攻击目标产业 的一、二名。在 2003 年下半年两者分别只有 4%及 3%。
全球电子商务日趋成熟的结果,为电子商务公司,大至 eBay、小至个人在雅虎奇摩开设 的拍卖专区等,都有可能成为攻击的受害者,尤其是后者数量众多,一旦被入侵网站服务器
(Web Server),一切交易记录及信息将显露无疑。
小型企业之所以成为攻击对象,部分原因和过去最大的攻击目标——金融业强化防护有 关。如银行、证券、保险业等大型企业,开始注重电子交易及网站安全,导致黑客转而攻击较 不设防的小型企业。小型企业往往也是安全意识较薄弱的一群,因此也没有足够的安全预算。
而和电子商务相关的是 Web 应用的安全。IE 或 IIS 的漏洞以及 Web 应用的瑕庇导致电子 商务网站交易信息被任意存取。例如,信息隐码攻击(SQL Injection)就是可以在输入任意字 串的 Web 应用中搞鬼,一旦不幸中标,就可让有心人士存取该网站服务器甚至数据库。
漏洞安全日益严重。2004 年上半年,赛门铁克报告有 1237 个新漏洞,平均每周有 48 个 新漏洞被发现。其中 96% 是属于中度到高度风险,其中有 46% 被列为高度风险。而在所有 漏洞中,超过一半不用撰写程序就可以发动攻击。前述的 Web 应用漏洞,也从去年下半年占 总漏洞数量的 31% 提升为 38.7%。
另一个骇人的趋势是,漏洞公诸于世到该漏洞的相关攻击时间差平均只差 5.8 天,比前半 年的报告天数(7 天)更为缩短。这显示黑客撰写攻击源代码的速度不断加快,相对地,一个 未加修补的漏洞的风险更高。
赛门铁克也提出未来可能的信息安全忧患:
(1)首先,网络钓鱼(Fishing)是未来数月最重大的威胁之一。网络钓鱼的研究统计、自 保方法、商业解决方案,以及各国政府应对方法,CNET 新闻网站有多次报道,在此不在赘述。
(2)间谍程序也会在未来攻击上扮演重要角色。特别是对允许 HTTP 的流量进出的公司 网络而言,这意味着众多间谍程序可能借此渠道发送。因为有些封包包含能够自我更新的源代 码,所以间谍程序越来越难卸载。
(3)恶意程序变种。今年的 Netsky、MyDoom 及 Bagle 等被认为背后具有组织性的支持,
不断撰写变种。恶意源代码变种会改变蠕虫本身,并通过不断复制,导致各代蠕虫之间产生着 不同的形式,而且许多传统的扫描技术可能无法侦测出这些进化的蠕虫变种。
(4)宽带分享器及网络装置。2004 年上半年,赛门铁克安全漏洞数据库发现 20 多个周 边设备的漏洞,种类从允许远端破坏、重新设定到远端黑客甚至可以拥有系统管理者的权限。
这也打破硬件装置“非常”安全的看法;虽然硬件装置的嵌入式操作系统不用担心 Windows 的安全问题,但是它们仍然有漏洞让黑客乘虚而入,一些本来协助防护网络安全的产品,像防 火墙、入侵侦测产品,也不能免于这个隐忧。
国内随着 ISP 调降费用,宽带网络将会日渐普及。未来家庭甚至都会购买宽带分享器,同 时提供 PC 及机上盒、PS2 等信息家电联网。相对于思科、Checkpoint 等大厂会定期公布弱点 及修补程序,国内联网设备厂商往往都还没有注意到这件事,这也让国内产品的用户,特别是 家庭用户可能陷于攻击的风险之中而不知。
这个趋势可能会促使用户开始重视硬件韧体更新,以便修补漏洞,进一步迫使国内厂商重 视弱点及修补程序的更新服务。
(5)移动装置成为攻击目标。曾有分析师预测,掌上设备甚至 VoIP 电话都可能成为病 毒制造者的攻击目标。这个预言最终实现。一只名为 Cabir 的病毒是专门针对 Symbian 智能 手机的病毒。这是一只“概念验证”(Proof of Concept)病毒,证明蓝牙装置也会有安全疑虑,
不过却没有造成什么损害。
它会通过蓝牙传输协议传给另一只手机。不过前提是对方使用者同意接收、执行程序,
因此主要还是利用人性的弱点。但王岳忠指出蓝牙是一种短距离的传输装置,在办公室内通常 用于同事之间,未来出现造成有重大灾害的病毒后果可能不堪设想。“同事之间往往是相互信 任的,因此不太会去质疑对方传来的文件是有问题的。”
(6)P2P/IM(Instant Messenging)。同样愈来愈普及的 P2P/IM(即时通讯)/IRC/CIFS(文
件分享)等,将成为新兴的传染对象及途径。
(7)互联网相关的 IE、Web 应用,则已是最受欢迎的攻击对象。
【资料来源】:新浪科技讯 时间:2004-08-04
随着网络的发展,一系列侵犯网络安全和信息安全的恶性事件不断地给人们敲响警钟。
根据上述资料谈谈你对网络安全诸多要素的认识。如网络的安全标准及实施、网络受到 侵犯及受害程度、识别和过滤不良信息、确保重要信息的私密性和完整性、防止外界有害信息 的入侵和传播、防止黑客入侵、保护个人隐私或企业的商业秘密、防治病毒的传染、保证电子 商务的安全性、合法性和确认网络上交易双方的身份等十个方面。