我国网络犯罪现状与内部网络安全管理模式探讨.docx

我国网络犯罪现状与内部网络安全管理模式探讨 来源：国土资源部信息中心 作者：张斌,王铭皓,王玮 发布时间：2006.11.17 一、前 言 目前，我国正处在互联网络的飞速发展的时代，主要如中国网通的骨干网络带宽已经达到，中国互联网骨干网接入带宽增至,国际互联网出口也达到了，由于网络规模不断扩大，复杂程度日益升高，加上不同的网络提供商所采用的技术不同，这些都为网络安全防范工作提出了新的挑战。 今天，网络攻击技术越来越完善，各种系统安全漏洞被恶意者广泛传播。因此，以前使用的简单加入防火墙的防范模式今天已经不能对网络提供安全的保护。世纪年代，找到一个安全漏洞的具体的说明非常困难。因为，能够追踪漏洞的人需要较高专业技术。而今天，在很多网站上泛滥着非常详尽的攻击漏洞库。所谓“高级技术”这里是指一个人在短时间很难一次掌握的攻击技术。以前，多数黑客组织对一些具体的高级技术讳莫如深，流传范围窄小。随着网络的日益普及，特别是黑客继承式的学习方式，经过相互讨论，他们可以对这些技术进行提炼、简化，弱化其中核心难点，经过网上肆意流传，已经使低层次的攻击成为一种“照方抓药”式的简单行为，高级攻击技术和工具的应用也成为尽人皆知的秘密。有组织的恶意网络攻击群体迅速壮大，特别是来自网络内部的攻击数量与日俱增。 从各种信息安全事件统计数字我们不难看出，国内外安全事件、安全漏洞的统计都是随着时间迅速增长的，并且已经呈现出一种愈演愈烈的趋势。二、我国的网络安全与网络犯罪现状网络安全现状 我国信息安全状况与几年前相比已经有了比较大的改观，但总体形势依然非常严峻。主要安全威胁除了传统的外部黑客的攻击破坏以及内部白领犯罪依然猖獗外，还有两个明显特点：一是网络“蠕虫”病毒日益泛滥；二是危害国家安全、社会稳定的针对性事件大幅增加。从年的“”病毒王、去年“冲击波”病毒、到如今刚刚爆发的“振荡波”病毒，都给我们留下了深刻印象。尤其要注意的是，从漏洞发现到利用该漏洞病毒爆发，时间越来越短，而有些不法分子利用国外服务器疯狂地向我国电子邮件用户发送反动邮件，这些都对我国的网络安全构成严重威胁。网络安全的相关法规 很多网络破坏行为已经构成了犯罪。为保障互联网运行和信息的安全，针对这些威胁，我国相继制定了多项行之有效的法律、法规。年对刑法进行重新修订时，在第二百八十五条、第二百八十六条、第二百八十七条加进了计算机犯罪的条款，作为判定构成计算机犯罪的主要依据。随后公安部、国家安全部、国家保密局又相继制定计算机信息网络国际联网安全保护管理办法、计算机病毒防治管理办法、计算机信息系统保密管理暂行规定、计算机信息系统国际联网保密管理规定和关于加强政府上网信息保密管理的通知等数十项有关计算机网络的法律法规。 年月日，全国人大常委会关于维护互联网安全的决定，详细阐释了对可能构成犯罪的种侵犯网络安全和信息安全的行为的处理方式，它将成为新的信息安全立法的基础。网络犯罪的主要类型 虽然在我国法律界对网络犯罪的界定还比较模糊，但网络犯罪类型，法律界权威人士认为主要有两种表现形式：一种是针对网络的犯罪，另一种是网络扶持的犯罪。 网络窃密：利用网络窃取科技、军事和商业情报。信息社会最珍贵的就是数据与信息。“硬件有价数据无价”。所以，窃取网络秘密信息的行为是最典型的针对网络型犯罪。 侵犯计算机信息系统的行为。网络资源也是一种重要的财富，出于对这种财富的渴求，容易诱发侵犯计算机信息系统的行为，也是一种针对网络的犯罪。 制作、传播网络病毒。网络扶持的犯罪通常意义上是一种传统犯罪形式在网络上的延伸。比如网上盗窃、网上诈骗、网上色情、网上赌博等等。 在实施具体的犯罪过程中，这两种网络犯罪形式又相互联系。特别是近几年，由于专职技术犯罪分子的出现，紧密融合了两种犯罪手段，即先通过攻击技术取得资源，再利用进行网络扶持型犯罪，从而衍生出一些高级的网络扶持型犯罪。例如网络恐吓、网上报复、网上盯梢甚至是网络恐怖主义。其中，网络恐怖主义离我们并不遥远。前几年的福州建行挤兑事件已经有了初步的征兆。可以想象，未来对机场和电力等基础设施网络的攻击都很容易演化成网络恐怖事件。有时，网络危机事件的破坏性不在于攻击事件的本身，而在于它所产生的连锁反应。对这种连锁反应的预测和应急都将成为专业信息安全机构重要的研究方向。三、网络犯罪主体的发展趋势 任何一种犯罪都离不开犯罪主体，也就是犯罪人。研究犯罪主体的发展趋势对我们选择采取抑制犯罪的措施有着重要的意义。 网络犯罪主体的特殊性一般为个数量庞大的潜在犯罪群体。在网络中通常被定义为入侵者。而可能成为入侵者的人就是我们通常所说的“黑客”了。我们对黑客这个特殊的群体做了一些分析，发现近年黑客群体有以下九种发展趋势：群体联盟化 这是一个让网络安全执法部门比较头痛的问题，因为近期黑客的活动和行为，已不再局限于“个人主义”的信息盗窃和破坏，正在加速演变成一种社会模式，甚至形成具有政治化倾向的集团联盟。研究统计数字我们发现，年总体攻击事件下降了，但网络犯罪造成的损失却持续增加。究其原因，正是普通的入侵攻击在执法部门的打击之下，开始从无序向有序发展，呈现群体联盟、分布协作的趋势。构成社会化 黑客技术从一种所谓的精英文化正逐渐转向平民化。我国的黑客包括社会各个阶层的人，从无业“网民”到白领阶层，文化程度包括从初中生到研究生的几乎各个学历层次。 阵容年轻化 这一点我们的感受有时是令人震惊的。举一个最近的例子，我们曾经接到一个政府网络的报警，他们一台重要服务器被入侵，数据被完全毁坏。黑客同时留下邮件地址进行敲诈。我们在最初的分析中，认为这应该是一个能力很强，胆大妄为、经验老道的黑客，因为他所留下的邮件是虚假的，入侵留下的也是经过肉鸡跳转的，犯罪步骤有较强的逻辑性。然而最后真正抓住他时发现，他还只是一个高中的学生。在国外这类例子就更多。这里要提醒各位读者的是，年轻化只是的一个表面现象。实际上，随着技术的简化，利用计算机犯罪的群体的年龄覆盖面越来越宽。技术智能化 未来黑客程序都在开始向隐身、智能和可控化方向发展，其攻击力和潜在危害越来越大。一些狡猾的所谓“黑客高手”们开始成为武器制造和提供者。很多的自动攻击机、脚本化攻击程序，包括我们前面所说到的网络“蠕虫”病毒，从应运而生到迅速大规模泛滥，也正是由于这个原因。一些稚气的“脚本黑客”拿着这些武器将网络砸开缺口，而一些高级黑客在后面坐享其成。手段多样化 黑客攻击手段和方法经历了由低到高的发展过程，并不断形成新的变种。在已掌握的多种黑客攻击手段中，新出现的黑客变种技术已增加到多种。动机“商业化” 黑客及其群体的类型和作案动机可以划分为多种。目前，该群体的作案动机一改往日那种以恶作剧、蓄意破坏、群体对抗和控制占有为主要目的，开始运用更高超的技术手段，采取更为隐蔽和欺骗的方法，通过因特网“窃取”具有“卖点”的软件专利产品，并将“盗窃”来的软件产品改头换面，用以商业目的，牟取暴利。据报道，近期美国及西欧有关机构，相继破获黑客以赢利为目的的网上“盗窃”案例，已查获黑客及其群体用以“盗窃”的电脑余台（套），据估算有关商家和公司因此所造成的经济损失高达亿美元。 身份“合法”化 目前，在西方甚至已有完全合法化的黑客组织、黑客学会等。在因特网上，黑客组织有公开的网站、信道和杂志，这些黑客经常召开黑客技术交流会。从年月开始，每年在纽约召开世界黑客大会。在我国，由于专业安全技术人员稀缺，很多职业入侵者也加入到这个队伍，使黑客身份合法化，呈现出“黑白不分”的状况。“未来”军事化 世界各国试图招募和培养自己的网络战队伍。在有些国家，许多以前高级的网络罪犯摇身一变，成为炽热可手的安全顾问，通过运用“以毒攻毒”的方式，采用了一系列黑客技术手段，来达到国家政治和军事目的。因此，有军事专家预言，“利用国家支持的黑客组织，将是未来战场上不可忽视的重要军事力量。”内部作案 内部作案问题尤其需要我们高度重视，也就是所谓的“家贼难防”，我们对此进行了详细分析。对这类犯罪主体特点的认识，对我们进行相关的安全防护设置以及网络案件的侦破，都具有特殊的意义。内部网络犯罪有其自身特点，主要表现为个方面。 危害性大：网络内部作案具有更大的危害性。据统计，美国每年由于内部人员作案造成亿美元的商业损失。在我国，虽然还没有建立严格的网络估损手段，但是作为一个要害部门，一份机密文件的失窃，所造成的损失是商业利益所不能相比的。我们也可以想象，在银行和证券等重要金融系统内的内部作案所造成的损失是巨大的。 便捷性好：对于每个职业入侵者来说，最大难点不是突破网络边界的安全防范设备。真正困难的是面对成串的路由器、交换机、海量的数据、集群化的服务器农场，在这样一个复杂如迷宫般的网络环境中找到所需的信息。但是，作为内部作案者甚至有可能就是某个信息管理者，他们知道网络的风险点和关键性信息的位置，所以他们被称作“掌握迷宫钥匙的人”，有着外部黑客不能比拟的便捷性。 欺骗性强：内部作案者具有很强的欺骗性。这种欺骗性固然欺骗了别人，有时也在欺骗自己。欺骗别人容易理解，因为一般人很难想象身边衣冠楚楚的同事竟然是一个信息盗窃者。而欺骗自己则由于信息盗窃犯罪的过程让人产生的负罪感很少，有时甚至让他有一种技术上的满足感，有些犯罪者几乎没有意识到自身的犯罪。 隐蔽期长：从以往的经验来看，内部人员犯罪是很难被发现的，隐蔽的时间比较长。而这就关系到长期的安全性，时间越长，所造成的损失越大。这主要是由于信息管理者缺乏对内部安全的掌控造成的。四、内部网络安全的监管和存在的问题 为了改变信息安全管理的现况，做到有效的内部安全掌控，内部网络安全监管就显得非常重要。首先我们应认识三种典型的传统安全防护的不足之处。传统安全防护的漏洞 只注重网络边界防护 尽管我们的外网安装了防火墙、以及等防护设备，但是外部黑客依然可以通过在等开放端口上建立通道连接进入系统。然后，通过跳转攻击进入内网中，查找网络中存在的可用信息(图）。 绕过既定的安全策略 例如，内部人员利用代理突破防火墙通信，职员在上班期间通过和等工具突破防火墙的限制在网上聊天，商业间谍采用的形式去套取竞争公司的商业机密，网管人员出于某些考虑在部门网络中安装核心后门以便在私有网络地址中直接反向连接公共网络，单位内部人员采用笔记本内置调制解调器拨号上网等等，这些都属于基础安全策略被绕过的情况(图)。 内部防火墙后端扫描 第三种最为简单、也是威胁最大的?熏即内部人员直接进行防火墙后端的扫描，很多部门内网安全防护通常非常薄弱。这种没有技术防范措施的网络往往成为信息犯罪的主要通道（图?雪。实施内网安全防护中存在的问题 以上的分析可以看出，缺乏内部网络监管，会直接导致网络内部犯罪。许多信息安全管理者虽然对这一点有清晰的认识，但在真正实施起来仍然困难重重。其主要的原因就是，法律依据不够充分，监控管理和惩治等法律手段滞后。在现行信息系统法律、法规文件中，对于很多具体的安全防范事项并没有做出详细的规定。特别在触及到隐私权等一些敏感问题上，现行的法律还有一定的滞后性。所以，应加快信息安全立法进程，尽快出台专门的信息安全法。五、现阶段内网安全防范的管理模式 在现阶段，采取技术与管理相结合，依法实施有效的监督管理，才是内网安全防范应遵循的管理模式。技术上遵循深度防护原则 深度防御是在高度网络化环境情况下达到信息安全保障目的的最实际的战略。它通过一个综合的安全平台，统一调度各种安全资源，建立一个纵深的防护体系，将防火墙这种平面的保护转化成为立体防御。自身网络的防护与国家应急保障体系相结合 在深度防护实施过程中，可以对攻击的来源、动机、类型进行分类审计，按照出现的问题去求助相关的应急保障机构。其中，商业性的如防灾、防病毒等问题可以求助专业的安全公司。而对可能构成犯罪的可疑行为，应立即向负责信息安全的主管部门或相关执法机关报警。信息安全主管部门或执法机关应按照一定的法律程序且根据相关技术手段及管理方法，进行计算机信息系统安全调查，对遭受攻击的系统进行跟踪调查分析，从而找出作案嫌疑人、恢复重建系统并追回损失。建立安全网管系统 深度防御与应急保障体系相结合模式中有两个关键环节：一个是对实时的安全事件的掌控，另一个是后期的安全记录审计。在具体实施内部网络监管的问题上，最直接的方式是安装安全网管系统。 那么，如何评价安全网管设备的优劣呢？我们认为一个比较好的安全网管系统应该包括对对四种网络事件的控制：网络安全事故控制：迅速实现对总体安全事故的定位。包括物理运行的事故和软件安全的事故；用户成员情况的掌握：对信息系统服务对象分析，随时掌握用户成员的情况；网络风险控制：通过在实时的对入侵事件的检测和记录，掌握因网络非法访问、内部资料窃取及其他安全违规事件而产生的网络风险；威胁对象控制：通过对入侵事件的后期审计，对可能的危险对象进行信息收集和调查。 第四点非常重要，它可以为以后的安全取证提供详实的依据。举一个最近发生的案例：在我国某军工企业里，一个企业职员在该领导的计算机中安装了特殊的后门程序，分析下载最新的文档程序。我们前面分析过，这种情况通常难以发现。但在这个案例中，通过取证工具，对网管记录分析后及时发现了案情并迅速予以侦破。六、结 论 通过以上分析，我们可以得出这样的结论：不论微软的网络操作系统还是其他系统，都有一定的安全管理功能，但是配置的过程比较繁琐。例如，去年的“冲击波”病毒爆发之前，我们已