0引言
信息系统安全管理并不是一个很新的概念,很多信息系统业务平台的管理人员对其的认识可能还简单停留在防火墙和杀毒软件上,认为威胁主要来自于互联网和外部的威胁。随着近年来移动互联网技术的革命性发展,智能移动终端的普及,虚拟化云存储技术的大规模应用,安全威胁也从原先的单一方式外部攻击模式转变为APT攻击模式,如果再使用传统的方法和理念来应对新模式的安全威胁显然远远不够,必须要从人防、技防和管理制度上进行相适应的变化。
1管理系统本身存在的安全威胁
每一个信息系统管理平台需要有一个运行环境,都离不开运行程序或代码,读写数据库存储的数据,因此,如果编写的系统代码中有漏洞,承载信息管理平台的运行环境有漏洞,都可能导致信息泄露,如果存放敏感信息的数据不被加密则有可能导致更为严重的后果。
1.1管理系统代码的漏洞
无论是自行开发,还是使用现成代码二次开发的信息系统管理平台都可能在其代码上存在漏洞。比如,joomla是一个开源的CMS系统,其本身也会存在一些漏洞。而某网站是使用joomla系统二次开发的,那么该网站也会有类似的漏洞出现,需要及时使用补丁修补。针对信息管理系统的代码漏洞要在系统上线之前请有资质的专业公司进行代码监测,以防止开发或二次开发中产生的漏洞被攻击者利用导致信息泄露,有条件的情况下对一些重要的系统要根据公安部关于信息安全等级保护制度的相关要求对信息系统分等级进行安全保护和监管。信息安全等级保护制度的主要工作包括:定级、备案、建设整改、等级评测和监督检查。
1.2系统管理权限设置的问题
在信息系统管理中,会为不同的用户设置不同等级的管理权限,权限设置应力求精确,避免对用户设置高于使用需求的权限,对一些权限最大的系统管理员用户(如admin等)应修改其默认的名称。实际工作中有时为了工作和维护方便会存在一些为用户过度设置权限的情况,一个比较常见的案例是在Apache服务器的配置中,如果启用了FTP服务,为了维护方便,一些管理员会为FTP用户账号开设root权限,一旦FTP服务出现漏洞被攻击者加以利用,即可获得对整个服务器系统的控制权,造成非常严重的后果。对此,应使用系统的ACLs功能进行权限控制,而不是对一些易受攻击服务的用户赋予不必要的权限。
1.3数据库敏感信息的泄漏
近年来网络攻击的类型由单纯的瘫痪服务式攻击形式转向了以入侵系统窃取信息为主要目的的形式,一些企业和政府机关的信息系统和电商系统多次发生用户信息疑似泄露的情况,如2013年汉廷、如家等酒店开房记录(包括客户的身份证号等大量隐私信息)因第三方存储漏洞疑似遭泄露。2015年4-5月间全国多地社保系统爆出漏洞,数百万人的敏感信息疑似遭到泄露。这些事件充分表明除了做好对系统漏洞特别是对数据库常用的SQL注入漏洞的修补工作外,还必须对数据库中的敏感信息字段进行加密处理,数据库对用户的password字段使用SHA-1算法进行加密。
2密码使用和管理的安全威胁
信息系统管理的身份认证核心是密码,密码的作用是保证合法用户使用管理系统,对密码的设置要遵循严格的规范,防止被他人破解,对使用密码的人员也要严格遵循使用权限进行分配,对密码使用的环境也要有安全意识。使用密码与多重认证技术相结合进行身份识别会大大提高系统的安全性。
2.1未按规定设置密码
实际使用中由于管理人员经常需要登录信息系统各个模块,对信息系统的内容进行管理和维护,包括对数据库的操作和对系统的修改和升级等,因此,一些维护人员为了使用方便常常使用弱密码甚至是空密码,严重威胁信息系统管理的安全。2015年2月一名初中生利用漏洞入侵天河一号的事件是典型的案例,通过分析,主要问题是天河的一个企业用户没有进行严格的网络隔离,其办公室的无线网络的认证策略设置为不使用密码,而且该企业用户在天河的登录节点使用弱口令,这些隐患都会直接导致信息泄露和系统被攻击者利用,如果是一些存有敏感信息的系统,则会造成严重的后果。作为管理人员实际在使用可采取如下手段加强密码管理:(1)密码的长度必须在6位以上,密码由大、小写字母、数字和特殊符号组成。(2)不要使用连续数字和字母的组合,不要使用相同的数字和字母组合。(3)严禁使用经常出现在暴力破解软件词典中的一些密码(如123456|111|1|password等)。(4)定期更换密码。(5)按密码所对应的权限大小实施分级管理,工作人员只掌握其工作中需要使用的密码。(6)禁止使用电子邮件和即时通讯工具发送密码,密码存根应使用纸质介质由专人保管。(7)人员离岗或调动,以及发生密码泄露要及时修改密码。
2.2在不安全的网络使用非加密方式登录管理系统
远程管理和移动管理已经十分普遍地被应用,但实际上近年来很多信息系统管理平台为节约费用并没有设计专门的安全管理模块,在一些场合远程登录管理系统会有安全隐患。比如当管理人员连接到“钓鱼”wifi,进行远程管理时就可能泄露管理员密码等信息,常见的“钓鱼”wifi站点案例,攻击者先使用类似ChinaNet或CMCC等SSID,不设置密码诱使使用者连接,通过在交换机使用端口镜像技术,让pc或工作站能利用数据报监听过滤软件截取使用者的用户名或密码。还可以使用攻击者设置DNS服务器对特定域名进行DNS劫持。对此,系统设计之初就要考虑使用安全的方式进行远程登录管理,如使用VPN技术等,对使用web方式进行管理的系统要使用SSL方式登录。
2.3未使用多重认证机制
在信息系统管理中使用多重认证机制是一种行之有效的手段,可以解决单重认证被瓦解后整个信息系统管理平台安全机制全线崩溃的局面。比如,如果信息管理系统使用web方式管理,使用ssl方式连接,可是如果密码被别人得知了怎么办呢?这里比较有效的方法是使用短信二次认证技术,将有管理权的人员的手机号码加入认证系统,登录时不但要求输入系统用户名和密码,还要输入本人对应手机相应的短信验证码。以下是一段使用.net技术编写的短信认证程序关键部分的案例:hostIP=″XXX.XXX.XXX.XXX″
port=″XXX″
Account=″XXX″’Trim(row(″uid″))
Password=″XXX″’Trim(row(″pwd″))
result=msgCtrl.connection.connect(hostIP,port,Account,Password)
以上部分为使用运营商提供的短信平台的ip地址、端口号、用户名以及密码连接其短信平台。
mobiles.Add(str_tel)
msg.content=Trim(TextBox2.Text)
msg.needStatus=False
msg.ServiceID=Account
msg.SendNow=True
msg.srcID=msgCtrl.cn.AccountID
msg.SequenceID=msgCtrl.cn.SequenceID。。以上部分为发送短信验证码到指定手机,其中TextBox2.Text为系统数据库生成的验证码,可在一定时间内使用,mobiles为登录管理人员的手机号码。
3移动管理终端的安全威胁
随着移动支付系统的发展,手机短信验证技术已经被广泛采用,在信息系统管理平台中使用此类技术进行身份验证也已不是新鲜事物,但是这并不等于说使用了这种技术就能保证信息管理系统的绝对安全,短信方式的APT攻击和木马APP就对移动管理终端构成现实的威胁。
3.1使用短信方式植入木马
攻击者会使用APT攻击的方式即针对特定用户(信息系统的管理人员)的业务流程和目标系统进行精确攻击以获取被攻击用户的受信系统的信息。攻击过程是首先发送一个欺诈性的短信,短信的号码可能是一些公共服务号(如,10086等),这些短信的共性是带有一个链接,目的是诱使用户连接到一个含有木马的网页并将木马安装到用户手机,一旦信息系统管理人员的手机被植入了木马,木马可以截取手机短信并发给攻击者,这样攻击者就可能获取信息系统管理平台的短信验证码。由于此类攻击方式使用的木马基本都是针对智能手机,除了常规的安装手机杀毒软件查杀木马外,系统管理人员用于接收短信验证码的终端可使用非智能手机,为了加强安全性还可以使用一个专用的手机号码用于接收短信验证码而不是管理人员日常使用的号码。
3.2植入木马的手机APP
这种攻击方法与使用短信植入木马的原理基本类似,只是植入木马的媒介换成了手机APP,将木马预先植入正常手机APP,引诱特定用户安装,一些手机木马还可以监听手机通话,比较著名的木马有“X卧底”和“窃听大盗”等,应对的方法和短信植入木马方式相同。
4结语
信息系统业务平台中面向服务对象的安全是历来被重视的,而其系统管理平台的安全却常常不被重视,本文通过一些实际工作中的典型案例,从整体上分析了信息系统管理平台所面临的安全威胁,并给出了一些相应的对策。随着人们对信息安全的不断重视,未来将有更多新技术在此领域加以应用,如生物特征识别技术等,但也不是说就能使信息系统的安全做到万无一失,还需要靠人防技防结合,管理人员的安全意识是信息安全城墙不可缺少的部分。
作者:潘威华 单位:新华通讯社上海分社