不可忽视的信息安全
2015-09-10杨德全
杨德全
生活在信息社会,你是否想对信息安全有个全面的认识?你又是否想揭开愈来愈多发的信息安全事件的面纱?熟悉《骇客追缉令》和《疑犯追踪》的读者想必还会记得,电影中主人公是如何通过高超的技术入侵来控制计算机信息系统的。那么,在现实生活中,如何应对黑客的入侵,使得信息系统尽量安全可信?让我们从硬件终端安全、网络安全、软件定义安全三个方面去看看问题的究竟。
信息技术安全评价通用准则
当前,越来越多的国家和组织认识到信息安全是关乎国民经济的支撑性关键技术,其重要性不言而喻。我们知道信息科学是用来支撑传统业务运行的一门科学,而信息安全是利用安全技术支撑信息流的安全流转。
为了应对层出不穷的信息安全问题,国内外都进行了有关的研究。1996年,美国、加拿大、英国、法国、德国、荷兰等国家共同提出了“信息技术安全评估通用准则”(The Common Criteria for Information Technology Security Evaluation,简称CC),目前CC已经被采纳为国际标准ISO15408,通过CC标准可以客观地评价信息系统的安全等级。我国也相应地提出了《计算机信息系统安全保护等级划分准则》,对国内的信息系统安全工作进行指导以及考核。
硬件终端安全
硬件终端安全涉及电磁辐射安全、系统硬件的安全等方面。这里举一个关于内存信息泄露方面的例子,早在2012年希腊学者就指出在电脑关机后,利用内存的工作方式可以获取用户的账号、密码以及一些敏感数据。该学者所在的团队对邮件、Skype等软件进行了测试,对已经关闭后的计算机内存进行处理。从中提取和分析数据碎片并应用专业的工具去修复,可以成功地恢复之前浏览器中登录过的邮件登录信息以及压缩文件的压缩数据。由此可见,即使关掉电源,关键的数据也是能被获取的。
网络安全
现在我们几乎每天都离不开网络,而黑客正是“游走”在网络中的一个特殊群体,他们用高超的技术威胁着网络安全。
黑客的常见攻击手段
黑客可以用这些方法来破解所有有漏洞的联网设备。
报警
拒绝服务攻击,黑客通过控制很多僵尸机器对目标系统进行持续大量的访问,造成被访问系统因处理能力不足而导致系统瘫痪,触发防护系统的预警开关,中断服务。
破解攻击
通过监听网络传输的数据包,对所监听的数据进行分析和解密,获得关键系统的用户名和口令,获得系统管理权限。也可以将修改过的文件传入信息系统,进行数据篡改,对服务提供者进行攻击。
扫描
对所有的能物理连接的设备进行漏洞扫描,对软件系统的弱口令进行破解,从而取得系统的控制权,成功入侵。
病毒
采用给指定的目标机器感染病毒的方法,使得目标系统因病毒传播而瘫痪,或者在软件中隐藏木马病毒,通过合法的软件安装隐蔽地进入目标系统,将系统的关键数据非法传送至指定的邮箱或者服务器上。
窃取
利用系统的漏洞对数据库的资料进行窃取,或者直接窃取存放数据磁盘,将数据占为己有。
“无处不在”的黑客
下面的几个行业案例中均有黑客破解、入侵的身影。
黑客破解车联网
安全研究人员查理·米勒(Charlie Miller)和劳埃德·瓦尔塞克(Chris Valasek)针对智能汽车进行了试验性的攻击。结果表明,使用技术手段可以入侵汽车并且操纵方向盘、仪表盘以及安全传感器等设施。攻击者可以采用汽车电子系统的漏洞入侵综合控制中心,然后通过综合控制中心发布指令。若是此时车在高速路上行驶,攻击者远程关闭发动机,就会造成极大的安全隐患。
智能家居威胁
攻击者通过对智能家居系统的漏洞扫描,针对其弱口令、脆弱性以及针对安全规则进行试探,若是用户系统存在漏洞,攻击者就可以入侵智能家居系统,设定冰箱的温度、空调的温度,甚至打开房门。
智能医疗威胁
迈克菲公司(McAfee)的安全工程师杰伊·拉德克利夫(Jay Radcliffe)做了一个实验,通过无线网络入侵已经联网的控制糖尿病患者的传感器,进而控制注射泵。拥有注射泵的控制权限即可控制胰岛素的供给量,可导致患者因为血糖低而昏迷甚至死亡。
智能手机威胁
近日,安卓(Android)系统漏洞又被披露出来,黑客可以通过篡改短信的收发状态监视信息以及将信息转发至高额的吸费号码上,从而让使用者遭受损失。由于Android平台的普及率比较高,针对该平台的恶意软件层出不穷。有数据表明,约500万的Android用户已经被感染。
如今很多人为了便利,使用手机充话费,有时候却忽略了辨认WIFI是否可靠。据报道,湖北的一位李女士在商场逛街时连接了一个免费WIFI,并在此环境下充话费,结果当她去银行取钱时发现银行卡内1万多元现金不翼而飞。事后李女士表示,自己的银行密码从未向他人透露过,在存款消失后也未收到余额变动提醒。后来公安机关和银行通过查询其账户的流水明细发现,自从她当天使用过不明WIFI充值后,其关联的银行卡内的余额就被分批多次地转走,就连李女士开通的余额变动短信提醒也被屏蔽掉了。
