EC百科

信息安全问题


信息安全(informationsecurity)是指保护信息系统、数据和程序免受破坏、修改或攻击的各种活动和方法。因为信息安全与EC电子商务和IT产业密切相关,本章我们将系统介绍常见的信息安全问题和解决方案。本节我们学习信息安全问题的性质、信息安全问题的严重性.并介绍与信息安全相关的一些专业术语。

EC电子商务安全的定义

计算机安全(computersecurity)是指对数据、网络、电脑程序、电脑电源和其他计算机信息系统组成部分的安全保护。由于网络攻击方式和防护方式多种多样,计算机安全涉及的内容也很广泛。网络攻击和计算机安全防御可能影响到个人、机构、国家甚至是整个网络。计算机安全目标是阻止或减小网络攻击的影响。本书把计算机安全分为两类:广义的计算机安全涉及所有信息系统,狭义的计算机安全仅指EC电子商务安全,例如买方安全保护。本章还将介绍针对EC电子商务网站的网络攻击、个人和机构身份信息的窃取,以及多种欺诈手段,例如网络钓鱼等。

在美国和其他许多国家,信息安全已经成为几个最受关注的管理问题之一。图10.1列出了各种研究中涉及的最主要的信息安全问题。

美国计算机安全现状

多家私人和官方机构每年都会评估美国的计算机安全状况。比较出名的就是每年的CSI报告.下面我们将对其进行详细介绍。

信息安全问题(图1)

图10.1     2011年EC电子商务安全热点问题

没有人真正知道网络安全漏洞的实际影响,因为根据计算机安全协会(computerSecurityIn-stitute,CSI;官网是gocsi.com)2010/2011年计算机犯罪和安全调查,仅有27.5%的企业向司法机关报告受到了网络攻击(请浏览scadahacker.com/library/Documents/Insider_Threats/CSI%20-%202010-2011%20computer//o20Crirne%20and%20Security%20Survey.pdf)。IBM公司、总部位于美国加利福尼亚州的赛门铁克公司(Symantec),以及其他一些机构也会定期公布全面的年度安全调查报告。

不仅企业面临安全问题,个人也同样面临安全问题。

个人安全

大部分网络欺诈都是针对个人的。此外.性侵犯罪人员往往通过网络寻找到侵害目标,所以安全防范意识不强.可能就意味着增加了个人的安全风险。

国家安全

美国国土安全部(DeparimentofHomelandSecurity,DHS)负责保护美国的计算机网络安全。DHS采用的安全方案主要有如下几种:

•  网络安全防备和国家网络警报系统(CyberSecurityPreparednessandtheNationalCyberAlertSystem)。计算机用户通过该系统可了解最新的安全威胁。

•  美国计算机应急准备小组(UnitedStatescomputerEmergencyReadinessTeam,简称U.S.-CERToperations)。提供有关漏洞和威胁的信息,主动管理国家面临的网络风险,并运行一个数据库以提供有关漏洞的技术说明。

•  国家计算机应急协调小组(NationalCyberResponseCoordinationGroup,NCRCG)。由来自13个联邦机构的代表组成的综合组织,对威胁评估进行审查,并为事件行动计划(包括联邦资源分配)提供决策参考。

•  网络警察平台(CyberCopPortal)。专为执法人员和政府部门建立的网络平台,在安全环境中通过互联网与其他人协作和共享敏感信息。

根据Goldman(2013)的研究报告,美国最重要的基础设施正受到越来越多的黑客攻击(如电力、核电和供水设施)。2012年,一伙不明身份的黑客侵入了一些天然气管道公司的企业系统,偷走了它们系统控制的数据。高盛(Goldman)还指出行业研究员发现,很多企业选择不向当局报告网络攻击事件。

2013年2月17日.美国总统奥巴马颁布行政命令打响网络战争。这份命令授予“联邦机构更大的权力与公共部门共享'网络威胁'的信息”。

2014年和2015年信息安全风险

据IBM(2014)和EMC/RSAC2014),以及其他网络安全供应商的报告,近期主要存在以下安全风险:

•  网络间谍和网络战争的威胁越来越大。

•  现在也有针对包括智能手机、平板电脑和其他移动设备在内的移动资产的攻击。企业移动设备是一个特定目标。

•  针对社交网络和社交软件工具的攻击。用户参与互动是恶意软件的一种主要来源。

•  针对自带设备的攻击(BringYourownDevice,BYOD)。

•  身份信息盗窃爆发式增长,导致越来越多的被盗身份信息被用于犯罪。

•  盈利动机——只要网络犯罪分子能够赚钱,安全威胁和网络钓鱼攻击就会继续增长。

•  社交工程工具快速增加,例如通过电子邮件进行的网络钓鱼。

•  形成网络黑帮——地下组织日益增多,规模越来越大,尤其是在互联网欺诈和网络战争中。

•  商业垃圾邮件(包括图片垃圾邮件)。

•  间谍软件攻击(例如,使用拒绝服务方法)。

•  针对新技术的攻击,例如去计算和虚拟化的攻击。

•  针对Web和移动应用程序(App)的攻击。

在本章接下来的内容中,我们将讨论上面所列出的各种风险。根据Lawinski(2012),对企业的攻击主要集中于管理人员(25%)、共享邮箱(23%)和销售人员(12%)。虽然大部分攻击的目标都是大型企业(50%),黑客同样也会攻击中型企业(32%)和小型企业(48%)。此外,受到攻击的企业中医疗保健和IT行业企业占93%。我们认为2014-2015年的数据与此类似(请浏览sans,org,baselinemag.com/security,enisa.europa.eu/activities/risk-management,isc2.org)。

移动设备的安全风险g根据Davis(2012b),移动设备也面临着诸多安全问题,例如:丢失存有敏感信息的移动设备(66%);移动设备感染恶意软件(60%);从移动设备中盗取信息(44%);用户下载了恶意应用程序(33%);身份盗用;其他用户个人损失(30%)。

跨国网络战争和网络间谍

以计算机为工具攻击信息系统和计算机的事件越来越多,其危害也变得越来越大。

网络战

根据联合国犯罪和司法研究所(UNCrimeandJusticeResearchInstitute,简称Unicri)的定义,网络战争或“网络战”是指一个国家或国际组织以造成损坏或破坏为目的,侵入另一个国家的计算机网络的任何行动。然而,在更广义的定义中,网络战还包括“网络流氓”、网络破坏和网络恐怖主义等行为。这种攻击通常是借助于病毒、DoS(DenialofService,拒绝服务)攻击或僵尸网络进行的。

•  网络战在大多数国家都是非法的,其主要有以下几种威胁:网络间谍行为和安全漏洞.主要是指利用网络漏洞来获取属于敏感或机密性质的国家材料或信息(例如.通过恶意软件利用网

络漏洞)。

•  破坏活动一一指以造成损害为目的,利用互联网来破坏网络通信。

•  针对监控和数据采集网络的攻击(SupervisoryControlandDataAcquisition,SCADA),以及针对国家计算基础设施(NationalcomputationalInfrastructure,NCIs)的攻击。

网络间谍活动。网络间谍是指利用计算机系统进行非法侵入。间谍活动就是在没有得到信息主人(个人、群体或是组织)允许的情况下获取秘密信息和情报。网络间谍活动在绝大多数国家都是非法的。

信息系统攻击

前面提到的幽灵网络攻击并非跨境网络攻击的一个孤立事件。2011年2月,美国迈克菲公司(McAfee)报告称外国的黑客窃取了美国和其他几个国家石油公司的敏感数据。这类攻击开始于2009年11月,直到2011年仍在持续发生中。这种攻击的手法就是向成千上万人发送含有病毒的邮件(请浏览csmonitor.com/USA/2011/0210/Report-Chinese-hackers-targeted-big-oil-companies-stole-data)。美国国会正立法保护其国家免遭所谓的“网络珍珠港偷袭”(也有人认为这种事不会发生)或“网络事件"(Cowley,2012)。

攻击类型

攻击主要分为以下两种主要的相关类型:

1.商业间谍。很多攻击都是针对能源企业及相关行业的企业,因为它们的内部信息较有价值(McAfee,2011)。根据迈克菲公司2010年的一份报告,接近一半接受调查的发电厂和其他基础部门都曾遭到“复杂的对手”的侵入,敲诈是他们普遍的动机。例如,Nakashima(2011)指出,2011年9月,有国外黑客袭击了位于伊利诺伊州的水厂控制系统,导致其水泵出现故障。攻击者还取得了未经授权的访问系统数据库的权限。追踪显示黑客所使用的互联网地址指向俄罗斯。据2012年4月23日的《华尔街日报》报道,伊朗的石油生产和精炼厂也遭受了疑似网络攻击。2012年网络攻击者侵入了沙特阿美公司的30000台电脑,重创了国家石油公司的网络,但未对天然气和石油输出造成破坏(Constatin,2012)。

2013年底,举报人爱德华•斯诺登泄露的文件显示,比利时电信(一家比利时电信公司)也遭到英国间谍机构黑客的侵入(请浏览spiegel.de/international/europe/britishspy-agency-gchq-hacked-belgian-telecomsfirm-a-923406.html)。

根据EspositoandFerran(2011),东欧地区的网络窃贼(也被称作“罗夫集团")在他们被抓获之前已经劫持100多个国家至少400万台电脑。这些攻击者非法使用恶意软件,将网络用户引导到他们设定的路径上去。在被抓获之前,这些网络窃贼的盗取金额已经达到1400万美元。该黑客团伙还攻击了一些美国政府机构和大型企业。

2.政治间谍和政治战争。政治间谍活动和政治战争正在大幅增加。有时,这些与商业间谍是密切相关的。2014年,美国黑客在伊利诺伊州用DDOS恶意软件攻击克里米亚全民公决的官方网站。几天后,俄罗斯主要的政府网络资源和官方媒体网站也遭受了DDOS恶意软件的攻击(请浏览rt.com/news/crimea-re£erendum-attack-website-194)。

实际案例1

2010年12月,传言伊朗的核计划遭到了美国和以色列的黑客攻击。此次攻击成功地破坏了伊朗核计划的实体设施,可能导致伊朗核计划延迟数月甚至数年。这次攻击是通过一种很隐蔽的蠕虫病毒Stuknet进行的。这是一个鲜明的案例,黑客创造了一种以前必须由现实武器起到类似作用的新武器。作为艮复,伊朗和亲巴勒斯坦黑客攻击以色列国家航空公司和该国的证券交易所。伊朗被认为是2012年11月美国银行遭到的一次袭击的幕后支持者(Goldman,2012)。

实际案例2

2014年曾经出现过的一个最复杂的网络间谍事件是疑似俄罗斯间谍软件Turla,它被用来攻击美国和西欧数以百计的政府计算机。

上面几个案例也反映出一些信息安全系统效果不佳。想要对网络战有一个全面的了解,请浏览forbes.com/sites/quora/2013/07/18/how-does-cyber-warfare-work。

对于这些政治战争的后果,参见Dickeyetal.(2010)。对于美国参议院国土安全部的立法提案,参见ReskeandBachmann(2012)。

电子商务安全问题的成因

很多驱动因素和抑制因素都可能导致EC电子商务领域的安全问题。这里,我们介绍几种主要的因素:容易受到攻击的网络架构设计、利益驱动的计算机犯罪行为、无线革命、互联网地下经济、EC电子商务的不断演变和内部人的参与以及攻击的复杂性。

网络的设计缺陷

互联网及其网络协议在设计之初就没有考虑如何防范网络罪犯。它们是基于一个诚信社会而设计和建立的计算机之间的交流沟通工具。然而,如今互联网已经成为一种全球性的通信、搜索和贸易载体。此外,互联网的设计初衷就是发挥最大效率,而没有考虑安全问题。尽管已经有所改进,但互联网从根本上来说还是不安全的。

利益驱动网络犯罪

计算机犯罪行为的性质有一个很明显的转变(参见IBM公司2012年的报告)。在早期的EC电子商务中,很多黑客只是想通过破坏网站或窃取高级管理权限来出名。在在线补充读物W10.1里的一个案例中,犯罪分子分工攻击系统的目的并不是为了赚钱。今天很多犯罪分子都是经验丰富的技术专家。最常见的被窃取的个人信息是银行卡账号、银行账户号码、网络用户名和密码等。隐私权信息交流中心(privacyrights,org)的报告称在2005年4月到2008年4月的三年时间内,安全漏洞问题涉及大约2.5亿条包含个人信息的数据记录(Palgon,2008)。今天,这一数字远远不止这么多。如今,甚至还有犯罪分子利用掌握的数据信息来敲诈勒索他们的受害者。2012年10月8日发布的一段CNN视频(时长2分30秒)就是这样一个案例,标题是"HackersAreHoldingDataforRansom,,(《黑客用数据进行勒索》),请浏览money,cnn.com/video/1echno1ogy/2012/10/08/t-ransomware-hackers.cnnmoneyoCryptoLocker是一种新的用于此类犯罪的勒索软件木马病毒(请浏览usatoday.com/story/news/nation/2014/05/14/ransom-ware-computerdark-web-crimi-nal/8843633)。

需要引起注意的是,笔记本电脑被盗主要是出于两个目的:第一是卖出去(例如通过典当行、易趣进行转卖);第二是获取机主的个人信息(例如社保账号、驾照的详细信息等)»2014年1月.

一位前员工窃取了可口可乐公司的一台笔记本电脑,在这台电脑中存储了74000条公司现职或离职员工的个人信息。而可口可乐公司并没有一个预防数据丢失的应对方案,笔记本电脑也没有进行加密(请浏览infosecurity-magazine,com/view/36627/74000-data-records-breached-on-stolen-co-cacolalaptops)。

数据盗窃等犯罪行为的主要驱动因素就是从盗窃行为中获利。如今,被盗数据会在黑市上被出售,相关内容我们将在下面介绍。

各种无线活动和移动设备数量的剧增

相比于有线网络,无线网络的安全防护困难更大。例如,许多智能电话都配有移动支付所必需的近场通信(NFC)芯片。此外,第六章中提到的自带设备(BYOD)也可能产生安全问题。黑客可以更加容易地在智能手机和相关设备(例如蓝牙)上做文章,详情参见Drew(2012)。

攻击者的全球化

很多国家都有网络攻击者(例如,中国、俄罗斯、尼日利亚和印度)。FowlerandValentino-DeVries(2013)中有关于源于印度的网络攻击的内容。

地下网络

地下网络(darknet)可以看作是一种独立的网络,它可以通过常规网络和T。R连接进行访问(T。R网络是虚拟专用网络的一种,它可以保护互联网上的隐私和安全)。通过非标准协议(不显示IP地址),地下网络只允许受信任人(“朋友”)进行受到严格限制的访问。地下网络允许匿名上网冲浪。地下网络的内容通过谷歌或其他各种搜索引擎都是无法获取的。TOR技术也被用于文件共享(请参阅第十五章中的海盗湾案例)。地下网络常常还会被不同政见者用于非法交易,如贩卖毒品和通过文件分享盗取的知识产权。后者也被称为互联网地下经济。

2014年11月,欧洲和美国执行部门关闭了大批TOR网站。但它们似乎并没有完全摧毁T。R加密网络(DaltonandGr。ssman,2014).

互联网地下经济

互联网地下经济(Internetundergroundeconomy)是指由成千上万售卖信用卡账号、社会安全账号、电子邮箱地址、银行账号、社交网络账号、密码等非法获取的信息的网站构成的网络电子市场。赛门铁克公司曾经就地下经济写过一份报告(请浏览symantec.com/threatreport/top-ic.jsp?id=fraud_activity_trends&aid=imderground_economy_servers)。垃圾邮件发送者或犯罪分子从黑市上以不足一美元到几百美元不等的价格购买非法获取的信息,以发送垃圾邮件或进行转账和盗用信用卡等非法金融交易。报告称这类地下市场大约30%的交易都是贩卖盗窃的信用卡。赛门铁克估计仅仅是待售的信用卡和银行信息的潜在价值就超过70亿美元°41%的地下经济在美国,13%的地下经济在罗马尼亚。报告还涉及了盗版软件问题,称每年盗版软件造成的损失超过1亿美元。犯罪分子通过多种方式盗取信息进行出售,其中最普遍的一种方式就是按键记录方法。

网络黑市“丝绸之路”

网络黑市“丝绸之路”是一家地下网站。有数以百计的毒贩和其他黑市商人在这个网站上开展他们的业务。2013年10月,美国执法当局关闭了该网站,并逮捕了其创始人。然而,此后不久,“丝绸之路”又复活为“丝绸之路2.0"。

在“丝绸之路”上进行的交易是用比特币进行支付的(详见第十一章)。2014年2月,黑客盗走了由第三方(在买方和卖方之间)托管的4400比特币,造成价值270万美元的比特币永远消失。“丝绸之路”网站的所有者宣告破产。然而,到2014年5月,该网站又再次恢复运营。

按键记录

按键记录(keystrokelogging)是指在用户不知情或未授权的情况下,使用一种设备或软件程序实时追踪并记录他们敲击键盘的活动的过程。由于密码和用户等个人信息都是通过键盘输入的,所以按键记录能通过按键敲击情况来获取这些信息。按键记录软件也可能是一种恶意木马程序,利用计算机病毒感染用户的计算机并窃取机密信息。按键记录的方法和相关教程在网络上都可以免费获取(请浏览pctools.com/securitynews/what-is-a-keylogger)。地下经济越复杂,越有更多的犯罪分子使用键盘记录来盗取用户的个人信息,并在地下市场进行售卖。

社交网络的爆发式增长

社交网络以及扩散平台和工具的飞速增长,使防范黑客攻击变得更加困难。社交网络很容易成为网络钓鱼和其他社会工程攻击的目标。

电商系统和内部人行为的不断演变

由于持续的创新,EC电子商务系统始终不断变化。安全问题也随之发生改变。近年来.在社交网络和无线系统等一些新的领域,我们都遇到了很多安全问题。需要引起重视的是,接近一半的安全问题都与内部人有关(受到攻击的组织的内部工作人员)。频繁招募的新员工也可能带来安全问题。

攻击的复杂化

网络犯罪分子利用新的技术发明,不断改进他们的攻击武器。此外,这些犯罪分子逐渐演变为组织严密的犯罪组织,例如LulzSec和AnonymousoIBM公司2012年的报告显示,网络犯罪分子会根据某一领域安全性的提升•调整他们的相应策略(例如,他们可以迅速地适应环境的变化)。

网络犯罪成本

目前我们还不清楚网络犯罪的成本究竟有多大。很多公司并没有公布网络攻击给它们造成的损失。然而,惠普公司网络安全部门的“2013年网络犯罪成本研究全球报告”[由波尼蒙研究所(PonemonInstitute)独立进行的调查]显示,受调查企业每年由于网络犯罪造成的损失高达720万美元,这一数字较上一年的全球网络成本调查研究上升了30%。数据泄露可能给企业造成巨大的损失,也有专家对网络攻击是怎样摧毁企业的进行了详细的研究。



再一次了解: 信息安全问题