周鹏程

摘要：随着网络技术与通讯科技不断地推陈出新，无论是公营机关或私人企业，均有可能面临信息安全的冲击，不仅是机关的正常运作、企业的正常经营受到影响，甚至国家的安全亦受到威胁，如何加强信息安全工作，尤其是网络安全管理，为当前重要课题。面对恶意软件攻击威胁，我们应该更须具备高度警觉性，妥善采取措施。

关键词：风险分析；信息安全；网络管理；恶意代码攻击；计算机紧急应变。

1概述

随着科技的发展，藉由网际网络世界各地的计算机主机透过网际网络连接成为一个巨大的信息网，但在其中所衍生出来的网际网络系统安全漏洞的问题却使得信息的安全传递承受了相当大的威胁。网际网络已经变成生活的一部分，各个公司及政府部门更是依赖网络的运作，此时如果攻击者恶意程序攻击对于组织或是政府单位使其瘫痪的话，其所造成的损失将不亚于传统战争，因此我们不得不小心谨慎。随着信息科技日新月异，信息化愈发深入公司组织与民间，信息安全与风险管理俨然成为不容忽视的重要议题。在享受信息化便利性的同时，必须注意相关信息资产是否受到妥善保护，并深思背后可能引发的风险问题。如何善用有限资源与有效落实信息安全管理，是现代科技的重大挑战。信息安全机制必须妥善保护信息相关处理设备、系统与网络的机密性、完整性与可用性，不受各种威胁的影响，并将可能的冲击与损害降至最低，以确保单位组织正常营运与发展。

2信息安全管理与网络安全风险威胁

2010年1月12日Google报道了公司遭到网络攻击，该文报导更指出，极光行动（Operation Aurora）是2009年12月中旬可能源自中国的一场网络攻击，遭受攻击的除了Google外，还有20多家公司；其中包括雅虎、赛门铁克、诺斯洛普·格鲁门、英特尔、摩根史坦利和陶氏化工，调查人员发现，网络黑客们最初是利用广为应用的IE6.0浏览器中一个未被发现的漏洞，对受害者进行攻击的。事实上，风险是特定威胁事件发生的可能性与后果的结合，风险管理是以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程。安全控制是指降低安全风险的惯例、程序或机制。

Trend Labs趋势科技全球技术支持与研发中心指出，黑客再度翻新作案手法，使得原本熟悉的信息安全挑战变得更加棘手。例如，数据外泄的后续效应已不再局限于数据外流而已，歹徒还会利用外流的数据来从事进一步的诈骗。此外，零时差漏洞攻击的数量依然居高不下，再加上漏洞攻击套件的不断强化，也让黑客的网络间谍行动不断得逞。未来驱使着黑客激进份子藉由窃取信息来从事更具破坏力的攻击，进而彻底摧毁其锁定目标的信誉和名声。歹徒可利用外泄数据来进行数据采矿，但其目标未必是为了牟利，而是为揭发企业某些作为，或者取得机密信息。随着智能联网家用装置的不断成长，将促使网络黑客利用一些未修补的漏洞来发动一场全面性攻击。在移动领域，新一代支付机制将吸引歹徒的觊觎，进而将目标从信用卡移转至电子钱包。

Trend Labs趋势科技全球技术支持与研发中心研究发现，随着的科技发展，黑客的攻击面也更加扩大，其中最主要的因素之一就是物联网的加速普及。智能装置的安全性从一开始就是企业头痛的问题。过去几个月来，黑客成功入侵智能装置的案例更是屡见不鲜，照这样下去，黑客迟早会找出利用这些漏洞发动大规模攻击的方法。对于恶意软件和黑客入侵所引起的问题，则需仰赖入侵检测和网络防护解决方案的指纹记录。企业若想妥善保护自己的网络和数据，就应该考虑采用虚拟修补技术来当成一种暂时性的漏洞防堵机制。虚拟修补技术可让企业在厂商正式释出修补程序之前，避免含有漏洞的系统遭到攻击，这对一些厂商已经终止支持的操作系统和应用程序特别有用。

3因特网恶意软件趋势分析

TrendLabs趋势科技全球技术支援与研发中心2013年8月发表Blackhole漏洞攻击会侵人金融账户破解系统安全机制。这一波垃圾邮件所监测到的变种名称为TSPY_FARElT.AFM，它不仅会在感染的系统上窃取FTP客户端程序账户信息，还会窃取电子邮件账号密码、浏览器储存的登入信息，而且还会利用一份预先准备的密码列表，试图以暴力方式破解Windows登人密码。这波垃圾邮件（sPAM）行动的垃圾信息数量高达同时期所有垃圾邮件数量0.8%左右，相较于其他行动，此比例偏高，基本上，它会盗取感染计算机上的个人信息，然后侵入用户的金融账户，窃取个人数据，甚至破解系统安全机制。

W32.Ramnit是赛门铁克安全回应中心2010年监测到的一种新蠕虫。它能够感染使用者电脑系统中的.exe、.dll和.html文件。该病毒主要通过移动储存装置进行传播。传播时，它会把自己复制到移动存放装置根目录下面的RecycleBin目录中，同时新增autorun档以达到自动启动的目的。根据SmokeLoader木马恶意软件可以对感染主机做远程遥控执行一系列包括下载到受骇主机地缘关系计算机恶意软件安装、偷取其他远程访问主机（包括浏览器、实时通与电子邮件用户）密码等攻击活动，最新攻击PROCMON模块可下载及执行档案可将计算机执行程序自动删除并将计算机重新启动。

TrendLabs趋势科技全球技术支持与研发中心研究分析，联网的装置也可能成为数据外泄的途径。这些装置的设计大多以功能为优先，安全通常是次要考虑。为了防范装置遭到黑客入侵，开发人员必须要定期为装置释出更新及修补程序，来修正黑客可能攻击的任何漏洞。随着组织及政府逐渐重视数据外泄防护后，整个防护重点与方案取向，也从一开始只以加解密机制来因应外部威胁的做法，逐步藉由权限控管机制来防止内部有心员工非法窃取机密的行为。

4信息安全理论与风险管理技术探讨

每个信息系統可能存在其脆弱性，但若是无威胁可以利用该脆弱性，将不构成风险；但是如果威胁利用该信息系统所存在的脆弱性，则可能对政府机关造成冲击。因此政府机关必须采取适当的控制保护措施，藉以消弭脆弱性或者阻止威胁的利用，以降低风险；风险很难完全消除，务必讲求成本效益，使剩余风险降低至机关可接受的水平。作业风险管理必须配合组织目标的达成，管理阶层首先必须确立组织使命，据以设定策略性目标，进而选择策略订定目标，而目标制定则是一种由上而下的历程。endprint

风险评估的方式可应用在整个组织或部分，不但单独的信息系统，特定的系统的一部分均可以应用。进而通过有效控制措施在有限的资源下节约控制措施的成本，优先针对具重要性及时效性的冲击施以控制措施，其余者接受或转移风险。

风险评估包括评量分析每一弱点可能有多个威胁项目，且同一威胁项目可能针对不同的弱点。在此，信息安全威胁特别强调利用信息资产既有存在的脆弱性，以便成功地造成信息资产的伤害或者损失。威胁可能是环境（天然）或人为因素，而人为因素中可分为意外或故意两种状况。

一般而言，控制措施的性质可分为三种：预防性措施、监测性措施及矫正性措施；预防性措施是预防问题发生，监测性措施是发现问题就通知，矫正性措施则是发现问题就改正。值得注意的是，随着大环境的改变，加上各种推陈出新技术的推波助澜，使得信息安全不论攻与防都出现了极大的变动。如果存在于信息系统中的脆弱性遭暴露后将会导致风险的增加，同时如果威胁可以利用已遭暴露的脆弱性，也会增加机关的风险。由于现代科技发展快速，网络基本带宽的增加，及WebMail与网络硬盘储存空间的愈来愈大，随即敏感性与个体信息机密数据也可方便迅速地被有心员工外泄而出，若缺乏完善的日志追踪与稽核机制，将无法追查出泄密人员与相关信息，也将造成单位组织莫大损失。因为外泄管道如此多元，所以完备的数据外泄防护机制须分别部署在网络网关端、邮件端、Web端、端点设备与数据库端等各个面向。随着云端运算兴起与手持装置大行其道，让信息安全管理更加艰困，因为许多云端应用与移动App可将数据储存在云端上。许多单位组织及政府部门为了节省成本，采用云端运算及GoogleDrive、Dropbox等云端储存服务，这类服务强调可以同时在PC、笔电、智能型手机或平板计算机之间进行文件数据的同步与分享，虽然极其方便且效率十足，但也成为让数据外泄问题愈益严重的温床。当前有愈来愈多内部及外部的网络罪犯，会通过SSL联机加密来规避监测并散布恶意程序。

5结束语与未来工作

国际计算机安全协会（ICSA）报告指出，60%的泄密事件，是来自组织内部，只有15%是来自外部入侵，在科技设备不断精进的现代，信息不断地更新与网络蓬勃的发展，导致信息的传递速度与容量远远超越我们的想象，虽然带给我们便利与生活质量提升，也因而衍生许多新的社会与国家安全问题。针对于信息系统管理与安全防护应视信息系统重要性、系统架构与网络架构选择适当的安全防护措施（如防火墙、入侵检测/防御系统、防毒软件等）来提升信息安全防御能力。存放系统使用者申请或注册的数据文件，应采用适当授权管理措施或加密方式处理，以防数据外流。为保护重要档案及信息，应实行适当的措施，以防止数据遗失、毁坏及被伪造或竄改。信息系统应检测与修补系统漏洞或弱点。于安装相关修补程序前，建议可先经过评估与测试，以确认不会对系统运作造成负面影响。系统重要信息，宜依照需求与相关规范来进行备份作业，并确认备份作业结果有效性。endprint