2004年9月到2005年5月,美国在评估了政府各个部门在信息安全方面执行政策法规的全面性、有效性后,出台了《信息安全年度报告》。
报告指出,联邦政府各个分支机构以及众多事关国计民生的部门,他们的日常工作已经广泛依赖计算机信息系统以及电子数据。这些信息系统、数据的安全非常重要。因此需要信息安全措施要能够起到防止数据篡改,保证核心业务连续性,预防数据欺骗以及阻止敏感信息泄漏的作用。报告中显示,美国政务存在的安全隐患有:访问控制并未有效实施;软件变更控制并非有效;系统管理和系统安全管理没有很好地分清;没有测试、检验、演习应急计划,从而无法避免计算机相关业务会在紧急情况下出现中断等。其中最严重的隐患是:有的部门用户可以在系统中添加并不存在的账号并获得很高的权限,使用这个账号从事的活动却无人监管。由此可见美国政务的内部安全防范存在很大问题和隐患。
而上述问题的存在,主要是因为各个部门没有强有力的信息安全管理规划,尤其是面对新型的安全威胁方面,包括,垃圾邮件、间谍程序、信息泄漏等,缺乏立体防护的解决方案及其相关监控技术配合。这些隐患的曝光,对中国的电子政务建设而言同样起到了警示作用。
权威市场调查机构Gartner Group曾经进行调查,在全球损失金额在5万美元以上的攻击中,70%都涉及网络内部攻击者。2002年,FBI和CSI对全球484家公司的信息系统进行调查,发现有超过85%的安全威胁来自企业内部;有16%来自内部未授权的存取;有14%来自专利信息被窃取;有12%来自内部人员的财务欺骗;而只有5%是来自黑客的攻击。可见,内部计算机犯罪已经到达多么泛滥的程度。
针对以上问题,近年我国安全产品供应商已经自行研制开发了信息安全审计产品。审计产品的功能,就是利用日志对网络上的行为、踪迹进行监控,并能对违反安全策略的行为做出事中报警和事后取证。强审计的日志是不能随便删除、修改的。如果要修改或删除,必须要系统管理员、审计员以及单位领导同时进入系统才能删除,从而对“内鬼”起到了极大的威慑作用,有效地保护了内网安全。审计产品也可以叫做‘网络黑匣子’,它能记录内网中人们的上网行为,一旦发现问题,就可调出日志随时取证。此外,电子签名法的出台,使得强审计的日志可以作为给犯罪份子定罪的法律依据,更使“内鬼”无处藏身!
在过去的几年里,信息安全技术研究和信息安全产品供应都是以节点产品为主的。例如防火墙、防杀毒都是以某一局域网的节点控制为主的,限制了系统的纵向发展。特别是在电子政务等纵向大型网络规划建设以后,难以实现全网的深度动态监控。目前“老三样”的安全产品还存在二个方面的问题:一是安全产品很难与光驱、软驱、USB接口、打印机等外设之间无缝衔接,二是各种安全产品之间很难实现协同工作,不能形成横向协同体系。但是要对内网进行高效的立体防护,就需要实现纵向和横向的有机结合,共同维护信息安全。而审计产品的特点就是能够进行多级审计,从而实现了全网横向与纵向的策略统一。日志数据的统一管理与分级查询,能够实现纵向深度的动态监控;提供标准化的接口,可以与防火墙、入侵检测、防杀毒等安全产品的无缝衔接,起到横向联合、协同工作的作用;提供自主定制的应用审计策略,则有效保障了应用系统的责任认定和信息安全,这样就构建了一个立体的安全保障管理体系。
在信息安全技术方面,美国的领先优势主要集中在防火墙、入侵监测、漏洞扫描、防杀毒、身份认证等传统的安全产品上。而在注重防内兼顾防外的信息安全综合强审计上,国内的意识理念早于国外,产品开发早于国外,目前在技术上有一定的领先优势。中国第一个采用强审计系统的用户是上海公务网,这是2002年由国内最早介入强审计领域的汉邦软科集团提供的。
虽然我国早已具备自行研发的审计产品,但具相关资料显示:中国只有11% 的网络注重对内部网络行为的监控与审计,并且多为制度监管。而在美国这一数值达到了23% ,并多为技术监管。这说明国内在强审计产品的应用上还有一定差距。审计产品具有完整的责任认定体系和绝大部分授权功能,在控制“内部人”风险方面起到了有效的防范作用,这正是未来保护信息安全产品的技术发展方向。
今年国内对信息安全综合强审计的应用状况已经有所改观,从年初开始,国内的一些重要的信息系统,包括电子政务、军队、金融、电信等行业,都将强审计系统作为主要的信息安全系统加以考虑,以至于年初时,一位主管信息安全的处长这样表示,今年信息安全领域有四大热点:等级保护、风险评估、可信计算和强审计。因为在电子政务系统中,有内网的地方就应有强审计产品,审计产品和防火墙同样重要。所以审计产品被列入四大热点中。这说明国内对审计产品的应用需求在逐步提升。
面对日益复杂的网络环境,和新型的信息安全威胁。作为电子政务的决策者都应该考虑如何建立内网的立体防护体系。因此“你的内网审计了吗?”这一问题,将是未来内网安全的关键问题。对这一问题的肯定回答将表明,你的内网已初步具备立体的信息安全防护体系。