01
数据不会骗人,勒索软件很猖狂
根据中国信息安全的报道,来自360互联网安全中心《2017勒索软件威胁形势分析报告》显示,2017年1-11月,安全中心共截获电脑端新增勒索软件变种183种。全国至少有472.5万多台电脑遭到了勒索软件攻击,平均每天约有1.4万台国内电脑遭到勒索软件攻击。
勒索软件的五大传播方式主要是通过电子邮件、入侵服务器、攻击供应链、挂马网页及系统漏洞传播。从被攻击者所在行业分类中可分析,IT/互联网行业的受害者最多,占比为27.0%;其次是制造业和教育行业。
而感染勒索软件后,对于受害者说,最重要的是能否恢复被加密的文件。数据显示,5.8%的受害者支付赎金并成功恢复了被加密文件;仅有5.4%的用户提前对重要文件备份,及时恢复了加密文件。
2018年机构的网络安全形势将面临更加严峻的挑战。报告指出,从发展态势分析,今年勒索软件的质量和数量将不断提升,自我传播能力将越来越强,静默期也会不断延长;从攻击目标来看,勒索软件攻击的操作系统类型将越来越多,同时定向攻击能力也将更加突出。此外,勒索软件造成的经济损失会越来越大,受害者支付赎金的数量也会越来越多,2019年的勒索软件攻击损失可能升至115亿美元。但“标价”越来越高的同时,由于种种原因,支付赎金恢复文件成功率却将大幅下降。
02
“两会”上的网络安全提案
信息网络安全关乎民生经济和国家安全,在今年的“两会”上,各领域的代表也对网络安全提了很多的提案,反映了网络安全的热度在持续上升,同时也预示着守护网络安全,不仅是专业网络安全软件厂商的责任,而且需要从上到下的全民参与。下面摘取今年“两会”3个代表们提到的网络安全的提案。
全国政协委员、南京大学地球科学与工程学院院长王汝成:更精准地打击电信网络诈骗犯罪行为。
全国政协委员、启明星辰董事长严望佳:关于加强智慧城市网络安全测评及监管工作、在推进IPv6应用中做好安全保障工作、加强工业互联网信息安全建设、加快推进军工行业工业控制系统与涉密信息系统安全互联的4个提案。
周鸿祎提交了关于鼓励政企单位上报网络攻击事件的提案,他认为网络攻击具有极强的隐蔽性和突发性。政企单位及时上报网络攻击事件对于早期发现、追踪溯源和防止攻击范围及危害进一步扩大,保障国家网络安全具有重大价值和意义。
03
无100%的网络安全软件,灾备建设很重要
信息化领域,网络安全软件作为防护勒索软件的第一道核心防线,自身也存在着安全漏洞的可能。所以企业如果将用户隐私和数据安全全盘托付网络安全软件,一旦网络安全防范措施被攻破,就有可能造成信息数据的丢失或损坏。
没有任何企业敢保证自己的软件产品是100%的安全,而当用户的信息数据被勒索软件锁定时,要么交付赎金换取数据恢复的可能,要么利用灾备软件恢复数据。
而灾备软件作为企业信息安全的最后一道防线,如果自身没有科学严谨的质量安全管理体系,那么自身的漏洞也可能被利用。对此,我们常说打铁还需自身硬,灾备软件的网络安全从研发到测试,最后“修炼”成能够放心交付给用户的合格产品,也需要灾备厂商加强产品关于杜绝网络漏洞的工作。
以英方安全稳定的系列产品为例,在产品推向市场前,质量安全部门会通过一套科学严谨的质量安全管理体系对各个环节进行审核,涉及的软件安全科目就包括了“人员管理、安全体系、安全测试、第三方软件安全、漏洞预警及应急响应”等多项内容,在安全合规性方面建立了严格从内部组织运作和产品高质量管理开始,到专业安全软件测试的一系列规则制度。
根据这些科目,英方会有不同的详细规定,以保证产品中“网络安全及用户隐私”的安全性,需要通过下面的项目内容进行严格的审查。
1)安全协议:审查是否与其关键安全岗位员工签署“安全协议”或“安全承诺书”。
2)安全体系:审查产品研发流程是否包含产品安全管理活动,如:安全需求分析、安全设计、安全开发、安全测试、安全生命周期管理等。
3)产品开发:审查是否建立安全编程规范,如C/C++、JAVA等安全编程规范。审查产品管理层面的所有用户活动、操作指令是否记录日志,日志要有访问控制,任何情况下不得更改或删除日志,确保可追溯性。
4)安全测试:审查在研发流程中,有明确的安全测试要求和测试策略;并执行软件包扫描、端口扫描、漏洞扫描、代码静态分析、恶意代码扫描等过程。
5)第三方软件安全:审查产品是否含有第三方软件(如:开源软件、采购软件、免费软件),是否建立第三方软件清单,并进行安全检测。
6)交付安全:审查交付产品的功能特性、安全特性是否与客户订单要求一致,禁止未知功能及隐藏端口; 通过其官网发布软件版本时,是否提供数字签名,以保障软件完整性和一致性。
7)产品服务安全:审查在提供产品服务的过程中,是否遵守所在国关于保护个人数据和隐私、通信自由及保障网络安全运行等方面的法律、法规,以及客户的安全要求,确保服务过程不存在安全隐患或问题、制定《英方工程师现场服务行为规范》的文档。
8)可追溯性:审查产品需求、设计、开发、测试、发布等环节对研发文档、工具、源码、变更、产品版本等进行清晰的记录和管理,以确保可追溯性。
9)人员管理:审查是否对关键安全岗位人员进行安全意识、安全规范、安全技能、安全法规等培训;审查是否在招聘关键安全岗位人员时,对人员背景调查并备案,禁止招聘有犯罪记录及被开除记录的人员;审查是否对关键安全岗位的离职人员安全管理,包括但不限于及时收回关键信息、停掉相应权限以及脱密期管理、签署必要的离职保密承诺书等。
没有100%的安全,就要100%地努力加强信息安全的建设。当然,不同规模的企业,策略应当有所不同,但是对于灾备建设,却应该是任何信息化企业必须面对的课题。如果很多企业还未明白灾备该如何建设,或者最新的灾备建设方案该如何规划,英方全国各地的工程师会是你可以信任的灾备规划建设顾问(需求邮件可发送到support@info2soft.com)。
推荐阅读