到底是什么让1.2亿元投资的信息安全体系也不堪一击?是人与技术的搏斗,还是人与机制之战?
到底是什么让1.2亿元投资的信息安全体系也不堪一击?是人与技术的搏斗,还是人与机制之战?
■ 案例回放
2月27日,中央电视台报道了全国最大的网上盗窃通讯资费案,31岁的程稚瀚是UT斯达康(中国)有限公司深圳分公司资深软件研发工程师,主要工作是帮助公司解决网络安全问题。
此前任华为技术有限公司工程师,负责西藏移动等公司的设备安装。他做的事情是,从2005年2月,从西藏移动公司系统进入北京移动公司的充值中心数据库,获得最高系统权限,根据“已充值”的充值卡显示的18位密码破解出对应的34位密钥,然后把“已充值”状态改为“未充值”,并修改其有效日期,激活了已经使用过的充值卡。
在随后的4个多月中他在充值数据库中如此操作,并复制出了14000个充值密码。他把面值300元的充值密码以281.5到285元面值不等价格在网上售出,获利380万元。
2005年7月,程稚瀚在窃取最后一批密码时,忘记了修改有效日期,他的这个“疏忽”让买卡的客户向北京移动投诉。7月16日,北京移动接到用户投诉说购买的充值卡无法充值,这才发现密码被人盗窃并报警。
事实上,在上述案例的作案过程中, 程稚瀚使用的大多都是些没有技术含量的攻击手段,但是,偏偏没有技术含量的攻击事件,使得亿元网络安全投入不堪一击。
这类信息安全事件也曾在信息化领先的电信、银行、证券、保险业屡有发生,如近日又惊悉两位大学生利用网通ADSL用户升级系统的漏洞,在一个月内盗取了价值70余万元的网易“一卡通”虚拟游戏点卡。这些信息安全事件,不能不令人们深思。
人技大战,还是人“机”大战?
到底是什么让1.2亿元投资的信息安全体系也不堪一击?是人与技术的搏斗,还是人与机制之战?
针对此次事件,一些人在技术上寻找原因。依照“技术路线的惯性思维方式”,他们认为,一定有更先进的技术可以杜绝此类信息安全问题。
多年来,人们对保障信息安全的手段偏重于依靠技术,从早期的加密技术、数据备份、防病毒到近年来网络环境下的防火墙、入侵检测、身份认证等。厂商在安全技术和产品的研发上大力投入,新的技术和产品层出不穷,以为技术可以推动产业进步;厂商在某种程度上主导着信息安全建设的发展方向,客户也更加相信安全产品,把仅有的预算也都投入到安全产品的采购上。
但是,现实严峻地告诉我们,仅仅依靠技术和产品保障信息安全的愿望,往往难尽人意,许多复杂、多变的安全威胁和隐患,仅靠产品是无法消除的。
“三分技术,七分管理”,这个在其他领域总结出来的实践经验和原则,在信息安全领域也同样适用。
据有关部门统计,在所有的计算机安全事件中,约有52%是人为因素造成的,25%由火灾、水灾等自然灾害引起,技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部不法人员的攻击造成。
简单归类,属于管理方面的原因比重高达70%以上, 而这些安全问题中的95%是可以通过科学的信息安全管理来避免。因此,管理已成为信息安全保障能力的重要基础。
该案例中的安全问题,不仅仅是技术问题,更重要的是内部控制体系上的问题。
四个IT管控缺陷
从这次事件中被媒体公开的信息,足以看到,北京移动公司的信息系统管理机制存在如下四个缺陷。
缺陷之一:西藏移动公司对设备/服务提供商的管控缺陷
西藏移动公司对华为的管控体系存在重大缺陷,这表现为没有冻结或清理厂商遗留的管理员账户。如果实际需要授予厂商较高权限,应加强相应的补偿控制,如启用系统/数据库日志,对于关键的操作日志定期审核、签订保密协议等。
西藏移动在华为完成设备集成后,没有强制立即修改提供商原先设置的初始密码(共享密码的情况或密码为空的情况,导致厂商拥有访问和维护生产数据权限的情况,在我国企业中,这可以说是普遍存在的)。
目前在我国企业中,内审部门普遍不具备完善的信息系统审计职能,本来很简单的一项必修功课----定期复核,却是导致该事件发生的直接原因。据悉,中国移动作为在美上市公司,在今年必须符合更为严厉的萨班斯法案的要求,该法案明确要求IT总控体系必须延伸到外包服务商。
缺陷之二:北京移动公司的密码管理缺乏有效控制
生产环境系统密码是逻辑安全的重要控制点,一般要求定期更改密码或制度健全。如果制度健全却没有得到有效执行,具有超级权限的密码更应该进行严格管理,并对其拥有所有权限的必要性进行复核。
北京移动关键系统的超级用户密码如果做到了定期更换,这项补偿性控制能够大大降低入侵风险, 程稚瀚可能不会在长达4个多月的时间里如入无人之境。
缺陷之三:北京移动对已过期账号的风险管控缺陷
已经过期的密码应及时从密码列表中删除,而不是简单的通过状态不同来区分。定期清理无效密码可以降低上述风险,同时也能提高系统的运行效率。从目前得到的信息看,笔者不能推测出移动公司到底有没有相应的控制存在,如果有,那么就是清理无效密码程序运行的频率太低或执行不到位。尽管中国移动是国内最早进行大规模信息安全风险评估的单位,但仍然任重道远。
缺陷之四:没有异常数据变更的检查报告机制
事前预防控制没有,事后的检查控制也没有。按说,修改密码状态和过期日期这种业务性质的操作应是很少执行的,这类特定数据的异常更改应该有报告机制,管理层会通过审查此报告来发现未授权的数据更改。
而此案中长达4个多月异常的数据变更居然没有引起应有的注意,究其原因,或者是控制缺失,或者是职责缺失,或者是执行不到位。
另外,根据职责分离原则,就算是真正的系统管理员,也不应具有“修改密码状态和过期日期”这种业务性质的操作。但是,有14000条记录被异常更新并且长时间不被发现,同样也是前面提到的检查或审计职能和机制的缺失。
网友评论