《2006年度中国网络安全分析报告》之全球简析篇.doc

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

《2006年度中国网络安全分析报告》之全球简析篇

《2006年度中国网络安全分析报告》(简称《报告》)是中国民间组织——黑客联盟,针对中国互联网安全现状发布的分析报告。该报告从全球网络及中国网络安全简析、国内网络安全现状、国内计算机病毒现状、国内黑客攻击事件分析、国内网络安全产品以及、网络安全服务等方面,就目前信息安全状况进行了详尽分析和解读。从中我们可以看出,生产的安全与稳定,风险的控制与防范,是CIO目前最关注的问题。

此次刊登的是《报告》的第一部分——全球简析篇。全球简析篇的的主要结论是:

•两部法规正式实施对于信息安全产业产生了标志性的影响;

•流氓软件的数量成倍翻番,基本上形成了完整的黑色产业链;

•“僵尸网络”通过宽带影响着中国五分之一的台式电脑系统;

•内容安全产品水平参差不齐,阻碍相关市场健康形成;

•垃圾邮件呈现出愈演愈烈之势。

2006年10月,《InformationWeek》研究部和埃森哲咨询公司(Accenture,下称埃森哲)合作进行了第九年度“全球安全调查”,调查全面揭示了商业计算环境所面临的各种威胁。在受访者当中,有57%的美国公司表示在过去一年中曾遭受病毒攻击,34%曾受到蠕虫的攻击,18%经历了拒绝服务(Denial-of-Service, DoS)攻击。另外,

网络攻击和身份窃取发生的比例分别为9%和8%;而中国的情形更差一些,有23%的公司表示其客户数据安全受到威胁,另有27%的公司遭受了身份窃取形式的攻击。

因此,受访的2193名安全专家和商业科技经理中有48%的人表示:对安全的复杂性进行管理已成为当务之急。国际商业机器公司(IBM)2005 年和2006年对全球首席信息官(CIO)的两次调查都显示,信息安全始终在CIO关心的问题中排名首位。IBM全球信息科技服务部企业信息系统基础架构业务大中华区技术总监周国祥分析说:“调查结果表明,生产的安全与稳定,风险的控制与防范,是CIO目前最关注的问题。”

事实上,企业面对的信息安全问题正在变得复杂化。从便携设备到可移动存储,再到基于Web的协作应用,乃至基于IP的语音技术(VoIP),每一类新产品都有新的安全问题与之相伴而生。系统在面临着日趋复杂的威胁的同时,遭受攻击的次数也日益增多。对此,安全专家和业务技术人员列出了企业所面临的一长串挑战,按比例依次为:提高用户意识(41%)、加强安全策略(36%)、加强对系统访问的控制(26%)、以及获取更多的资源(23%)。

超过半数的业务技术专家表示,当企业现有和以前的雇员企图危及系统安全时,安全技术、政策和培训在阻止其制造安全漏洞方面几乎起不到什么作用。与其他国家相比,内部威胁对美国公司来说更成问题。去年,将近四分之一的美国公司表示,授权用户和雇员是

引起攻击的原因之一,印度公司、中国公司和欧洲公司的相应比例为22%、15%和11%。

其实完全依靠金钱堆砌出来的信息安全防线看似固若金汤,但可能只是外强中干的“马其诺防线”。

信息产业部电信研究院信息管理中心主任武骏说:“企业应该有信息安全的规划,按年度逐步实施。安全更多的是管理层面的问题,不是软件技术所能够全部解决的。”安全堡垒最容易从内部攻破,因此与花费昂贵的硬件产品相比,对内部员工进行良好的安全教育和风险管理事半功倍。

美讯智网络安全有限公司中国区销售总监谢旭东说:“安全教育的手段非常多样,没有一个定式,不同的企业可以根据不同的情况发挥创新思维。”比如,在入职培训时进行系统访问安全、密码安全、电子邮件使用、上网指南、软件安装、防病毒、加密、备份等基本安全知识培训;编写员工安全指南和安全期刊等。

谢旭东说:“事实上,最大的安全元素还是人,企业要激励员工参与到整体安全策略当中。”

2006年的信息安全领域,看上去波澜不惊。某种程度上说,今年的安全行业延续了去年的沉默,不过在这种看似平静得外表之下,还是有许多事件和现象值得我们关注和思考,例如:僵尸网络大行其道、恶意软件标准艰难出台、内容安全浮出水面、图片垃圾邮件

大行其道、网络安全等级保护开始试点以及萨班斯法案的出台等,这些算不上标志性的安全事件,或许正在不经意间,为将来的安全行业发展写下了伏笔。

据调查显示,2006年我国网络信息安全形势依然严峻,病毒危害正在不断加剧,同时,隐藏和逃避技术更加高级、金钱利益成为更大的驱动力、隐私和机密数据面临风险提高。而且,安全威胁已经不限于删除数据,更多的是以金钱为目标的犯罪行为;安全攻击也不再一味追求大规模、大范围,而是向小型化发展,且大多是钓鱼欺骗、数据窃取和犯罪行为。尤其需要强调的是僵尸网络,因为这已经成为散布垃圾邮件和钓鱼信息、传播间谍软件和广告软件、集体攻击组织团体、盗取机密信息的重要手段。

1、等级保护与萨班斯法案

在2006年,两部法规的正式实施对于信息安全产业产生了标志性的影响,一部是国内的《信息安全等级保护管理办法》,另一部是美国的《萨班斯—奥克斯利法案》。它们都以法规的形式敦促企业加强内部控制,增强抵御风险的能力。

《萨班斯—奥克斯利法案》对在美国上市的公司提供了合规性要求,使上市公司不得不考虑控制IT风险在内的各种风险。国内众多在美国上市的公司都纷纷动了起来,其中最为突出的就是各大电信运营商对人、财、物的投入都非常巨大。

今年,国家积极推动信息安全等级保护制度,以最大限度避免系统安全漏洞和低级庸俗内容带来的信息安全风险。这一强制性的安全要求,形成了一种合规性要求,必将逐步带动实际需求并形成持续投入的动力。

作为“十一五”计划的开局年,2006年是国家各机关部委及企事业单位规划五年发展计划的第一年,又适逢国家“等级保护”法案实施、萨班斯(SOX)法案的推行,无论从产业发展阶段、国家政策、外部环境来看,还是借鉴国外的发展规律,都预示着我国的信息安全产业将由此迈入一个快速发展的新阶段。

2、流氓软件

2006年,流氓软件的数量成倍翻番,并且越来越多地采用电脑病毒的技术,从入侵手段到危害方式上,几乎和恶性电脑病毒无异,其危害也几乎可以和病毒相提并论。并且,绝大多数流氓软件厂商,采用更为恶劣和隐蔽的办法,大量采用电脑病毒的技术,甚至直接利用病毒来传播、隐藏自己,形成了完整的黑色产业链。

流氓软件已经成为业界打击清理的重点。9月初,奇虎360

安全卫士曾联合其公开征集的“督导委员会”,正式对外公布了一个“恶意软件标准”以及“恶意软件的退出及加入机制”。该标准定义了恶意软件的两大底线“强制安装”和“无法卸载或者卸载后仍然

活动”。11月,互联网协会组织了30余家公司与机构的代表,对恶

相关文档
最新文档