十大網絡安全隱憂

正確的硬件、策略，以及對用戶正確的進行教育，會有助于你贏得這場戰斗

1間諜軟件

所謂間諜軟件，是指在不知會電腦主人、未獲得電腦主人(無論是您的公司還是系統的主要使用者)許可的情況下，就偷偷將自己安裝在系統中的軟件。根據反間諜軟件生產商webroot Software公司有關間諜軟件的統計報告，每10臺連到互聯網的電腦中，就有9臺受到過間諜軟件的侵染；而在公司電腦中，大約有87％感染過各種類型的間諜軟件。

間諜軟件侵入你的電腦有很多種方法，它可以通過電子郵件中的可執行附件，也可以通過網站上的“惡意代碼”，還可以通過其它軟件自身的安全漏洞，將自身埋藏到其他軟件的安裝盤上，或者是隱藏到其他軟件的下載程序中。此外，這些間諜軟件也很喜歡“搭”網絡熱門下載的“便車”，通過將自身偽裝成重要的安全更新或者是瀏覽器附件來吸引用戶主動下載。而某些時候，連白紙黑字的最終用戶許可協議(EULA)文件或網頁之中，都隱藏著某些“系統特權請求”。

一旦被安裝到用戶電腦上，間諜軟件通常都會偽裝成合法的文件或者程序。或者使用其他的欺騙手法，以避免自身被用戶發覺。某些間諜程序可能只是簡單的試圖修改你的瀏覽器首頁，或者不斷彈出一些廣告窗口。但是如果間諜程序太多——哪怕只是上述這種聽起來相當無害的類型——都會極大的降低系統性能，導致啟動和關機時間都大幅延長，將正常操作拖得像蝸牛爬，甚至會讓電腦完全死機，不過，現在越來越多的間諜軟件正開始進行蓄意破壞，通過監控記錄用戶的鍵盤輸入或者對用戶文件進行檢查，以偷取文件密碼、金融賬號信息，及其他敏感數據，并將這些信息發送到間諜軟件制造者的手里，而后者則可以利用這些信息冒充他人的合法身份。

間諜軟件本身相當難以被發現，而且也很難被清除。所以最好的解決方案是事先防范它侵襲你的電腦——在網關就對URL(網址)及訪問內容進行過濾；如果可能的話，在電腦上也進行類似的URL和內容過濾。此外，在用戶的電腦上運行反間諜軟件也同樣重要，這些軟件包括McAfee AntiSpyware，TrendMicro Anti-Spyware以及Webroot SpySweeper等。如果采用硬件解決方案的話，不妨考慮一下Barracuda Network公司的Barracuda網頁過濾器(以前叫Barracuda間諜軟件防火墻)。Barracuda網頁過濾器通過檢查所有試圖訪問互聯網的連接，來找出現存的間諜軟件，并通知管理員。

2混合攻擊

顧名思義，混合攻擊集合了多種不同類型的攻擊方式。它們集病毒，蠕蟲以及其他惡意代碼于一身，針對服務器或者互聯網的漏洞進行快速的攻擊、傳播、擴散，從而導致極大范圍內的破壞。

“其目的就是從你的系統中詐取機密信息”，Symantec的Martin說。“它可能是從一封電子郵件中的欺騙攻擊開始，也可能來自于你的即時通信軟件，或者是進行一次欺騙性電話呼叫來作為攻擊的起點，總之是想方設法引起你的注意”。然后，該攻擊就會試圖欺騙用戶進入它的網站空間，下載惡意代碼，即便用戶很小心沒有泄露自己的私人信息，他的系統也被攻陷了。

而阻擋這些“混合攻擊”的工具，則包括深度數據包探測(DPI)防火墻，入侵防護以及“行為阻擋”——一種用于對非正常的軟件活動進行告警的工具——以及，確保你的所有用戶都知道哪些東西該點，哪些東西不該點，

3繞道攻擊

雖然很多的攻擊都是“大張旗鼓”的“砸你家大門”——對你連接本地局域網到互聯網之間的網關進行攻擊——但也有很多的攻擊會繞道而行，有的甚至根本都不接觸連接電腦的網絡。

網關級別的安全防護無法保護電腦免遭來自CD、USB設備或者閃盤上的惡意軟件攻擊。同理，那些被拿到辦公室之外使用的員工電腦也無法得到有效的保護——假如你將電腦拿到一個無線熱點區域之中，那么竊聽者以及AP盜用者都有可能攔截到電腦的相關通訊——如果你的電腦并未采取足夠客戶端安全防護措施的話。而這些攻擊，我們就將其稱為“繞道攻擊”。

根據《網絡安全與入侵預防》——份由ESG(Enterprise Strategy Group)研究機構在2005年1月對250名北美專業安全人員所做的民意調查，顯示被感染的員工筆記本大約有39％將蠕蟲攻擊帶人了公司的局域網。而第二種最常見的風險來源，則是通過非雇員的筆記本，或者是連接到家庭的VPN虛擬專用網來穿越防火墻。“在四大頂級風險來源中，有3個都繞過了防火墻”，Jon Oltsik說(他是ESG研究機構的資深分析員)。“這就是為什么我們總說多層，深度防護的風險管理十分必要的緣故”。

某些威脅可能會穿越較老的網關級安全防護，是因為它們無法識別這些通過多個數據包進行交叉傳輸的行為，或者在它們的數據庫中沒有相符合的數據特征。而在對這種類型的威脅進行防護時，DPI及URL／內容過濾、阻擋，則擔當著十分重要的角色。人則可以堂堂正正的訪問數據庫、使用相關程序以及相應系統等。而那些丟失，修改或者被泄露出去的用戶名及密碼，一旦落入他人之手，就會將公司置于極大的風險之下，除了可能被處以監管罰款之外，還可能造成企業虧損，或者導致企業產生大筆的相關處理費用。

要防止資料盜用，除了需要加固自己的網絡，杜絕各種未經授權的用戶訪問之外，同時還要將各種未經授權的敏感信息獲取企圖擋在門外。解決方案包括有網關級別的防火墻，入侵防護系統，反病毒系統。反間諜軟件系統，垃圾郵件阻擋以及URL／內容過濾，以及對移動用戶或者遠程用戶使用VPN連接，網絡訪問控制(NAC)及終點防護措施等，從而確保客戶端設備得到妥善的安全防護。(此外，不要忘記，對你的設備以及相關文件進行物理防護，保護好電腦的存儲介質以及硬盤等)

4強盜AP

強盜AP——那些既不屬于IT部門，也并非由IT部門根據公司安全策略進行配置的AP——一代表著一種主要的網絡安全風險來源。它們可以允許未經授權的人對網絡通訊進行監聽，并嘗試注入風險。一旦某個強盜AP連接到了網絡上——只需簡單的將一個Wi-Fi適配器插入一個USB端口，或者將一臺AP連到一個被人忽略的以太網端口上，又或者使用一臺配備了Wi-Fi的筆記本電腦以及掌上電腦——那么未經授權的用戶就可以在公司建筑的外面(甚至可能是更遠一些的地方)訪問你的網絡了。

在很多新型的無線交換機中，已經提供了關于檢測強盜AP，并阻止其進行網絡訪問的功能，而類似Cisco，Jniper，SonicWALL，watchGurad這樣的制造商，則有了網關級別的統一威脅管理(UTM)。UTM設備的應用，取代了以前那些單一功能的安全設備，降低了成本和管理難度。其功能包括防火墻，VPN，入侵檢測，反病

毒／反間諜軟件，以及內容／URL過濾等。而且，目前UTM設備中都內置了一系列安全引擎的措施。IT部門可以根據需要選擇具體購買哪些引擎，以及啟動哪些引擎。

5網頁及瀏覽器攻擊

網頁漏洞攻擊試圖通過web服務器來破壞安全防護，比如微軟的IISApache，Sunday的JavaWeb服務器，以及IBM的WebSphere。成功的攻擊者可以完全控制系統，不經授權就可以訪問目錄列表，并可以建立新的賬號，或者對數據進行讀取、修改或者刪除。根據MITRE公司(一家非盈利的技術研究與開發組織)對常見漏洞列表的統計，從1999年到2005年，大約有四分之一的安全漏洞都來自于網頁漏洞。

瀏覽器漏洞攻擊，與之類似，試圖利用用戶的網頁瀏覽器自身的漏洞進行攻擊，尤其是在用戶的網頁瀏覽器沒有打上最新補丁，或者沒有進行相關安全配置的時候。而惡意的Java腳本，AcfiveX以及Java小程序，則可以癱瘓用戶的電腦，下載“后門程序”或者其他惡意代碼，讓入侵者獲得對電腦的完全訪問權限。成功的攻擊可以偷取用戶的登錄信息，以及其他敏感數據，并危及用戶的電腦。

解決方案包括在網關、路由器以及用戶客戶端上，執行URL／內容過濾，并運行漏洞掃描程序，對web服務器及客戶端進行檢查，從而發現那些潛在的漏洞，然后打上相應的安全補丁，或對web服務器以及瀏覽器進行更加安全化的配置。

6蠕蟲及病毒

感染現有計算機程序的病毒，以及那些本身就是可執行文件的蠕蟲，是最古老，也最廣為人知的計算機安全威脅。病毒一般傾向于棲身在文檔、表格或者其他文件之中，然后通過電子郵件進行傳播，而蠕蟲通常是直接通過網絡對自身進行傳播。一旦病毒或者蠕蟲感染了一臺電腦，它不僅會試圖感染其他系統，同時還會對現有系統大搞破壞。

要想免遭蠕蟲以及病毒的毒手，你應該在網關以及電腦上都運行反病毒軟件。同時，考慮在你的局域網中使用安全交換機。最重要的是。時刻注意保持你的反病毒軟件的病毒庫是最新的。

7資料盜用

在你們公司的敏感信息中，有著各種用戶名和密碼，而得到該信息的

8網絡欺詐(釣魚)

網絡釣龜只是企圖欺騙用戶相信那些虛假的電子郵件、電話或網站——這些網站往往和網上銀行或支付服務相關——讓你認為它們是合法的，而其意圖則是讓用戶提交自己的私人信息，或是下載惡意程序來感染用戶的計算機。根據Sonic-WALL公司統計，全世界每個月有超過六百萬封的“電子郵件誘餌”被發往全球。

“網絡欺詐是一種較難防護的行為，因為它更多的是利用了人類自身的行為習慣”，SaniayBeri說(JuniperNetworks公司安全產品組的產品管理總監)。“網頁過濾，可以阻止訪問任何已經被確認為網絡欺詐的站點。從而提供極大的幫助。如果一個職員試圖訪問這里，他們會看到一條信息，告知該網址是一個網絡欺詐站點，或者直接就會被禁止訪問該站點。”

要想阻擋網絡欺詐，可以找找看網關級的防護措施，對進來的電子郵件以及網頁代碼進行相應檢查。你還可以考慮添加一下外出方向的阻擋一一阻止向任何已知或者有嫌疑的網絡欺詐地址發送郵件或者進行訪問。

9擊鍵記錄

擊鍵記錄，或者輸入記錄，指的都是那些對用戶鍵盤輸入(可能還有鼠標移動)進行記錄的程序，那些程序以此來獲取用戶的用戶名、密碼、電子郵件地址，即時通信相關信息，以及其他員工的活動等。擊鍵記錄程序一般會將這些信息保存到某個文件中，然后悄悄的將這些文件轉發出去，供記錄者進行不法活動。

最常見的按鍵記錄方法，是利用間諜軟件，或者是在用戶電腦上使用其他未經授權的相關軟件。其他方式則包括在鍵盤中，或者在電腦的USB端口中安裝電子竊聽的硬件設備。要對此保持警惕的話，DPI及URL／內容過濾是很關鍵的防御措施。

10即時通信軟件漏洞

和電子郵件一樣，即時通信也是病毒和間諜軟件肆虐傳播橫行的一個常見因素，主要是通過用戶之間傳遞文件時進行傳播。“當職員們使用IM軟件或者其他點對點工具時，他們很容易會下載到間諜軟件，而他們根本不會意識到這一點”，Tones Kuhn說(sonicWaU公司的產品管理總監)。“通常，一旦他們打開了這些文件，那么即時軟件病毒立刻就會將自身轉發給用戶好友列表上的每個人，同時在系統中安裝間諜軟件。”

為了防范即時通信軟件所帶來的各種威脅，你需要好好利用網絡、交換機，以及客戶端的防毒／反間諜軟件工具，并保證計算機操作系統和應用程序都打上了最新的補丁——此外，還要教導你的員工，不要點擊來歷不明的文件。

微軟IE7 Oday漏洞首遭黑客瘋狂攻擊

12月9日，金山毒霸全球反病毒監測中心接到網友反饋，該網友在訪問某網站時IE出現“假死”問題。經過金山毒霸反病毒專家分析，發現該網站被掛馬，而除了flash漏洞、realpoav漏洞之外發現一段未知的惡意腳本。

經過金山毒霸反病毒專家進一步分析，確認這是微軟IE7的Oday漏洞。而且目前已經已經發現‘IE7Oday漏洞生成工具，而且已經截獲兩個利用該漏洞的惡意掛馬網站。目前掛馬的網站都是通過這一類型的工具自動生成的，可以預料這個漏洞攻擊將會馬上流行起來。

金山毒霸反病毒專家表示，該Oday漏洞將影響windows xp/sp2/sp3 IE7以及windows2003 IE7等，而Vista系統尚未驗證。該漏洞目前未有公開資料及補丁，已經確認為ODav漏洞。也就是說，即使用戶打上所有補丁，都有可能在上網時不知不覺中毒。

為了讓廣大讀者免遭該漏洞的威脅，金山毒霸反病毒專家第一時間公布了預防以及查殺方案：

1、防御方案：升級金山毒霸或金山系統清理專家(www.duba.net)到最新版本。確保防掛馬功能開啟。金山防掛馬基于“云安全”技術，可以防范大部分針對未知漏洞的攻擊。

2、查殺方案：此次掛馬的幾個網站下載的病毒中包含有目前最毒的下載器“超級AV終結者”，中毒后很難清除干凈，金山毒霸反病毒專家建議用戶使用金山系統急救箱(http://bbs.duba.net/thread-21988813-1-1.html)掃描并重啟，然后再使用金山毒霸全面查殺清除殘留病毒文件。

賽門鐵克提示：地下交易系統大行其道

2008年12月2日，賽門鐵克公司發布最新的地下交易報告。該報告顯示，目前在線地下交易系統發展十分成熟，能夠高效地竊取商品、提供詐欺服務，并在全球市場進行倒賣，其中，由個體交易者提供的商品價值已然高達上百萬美元。該報告是賽門鐵克安全技術與響

應團隊針對地下交易系統進行的研究，本期報告的監測時間為2007年7月1日至今2008年6月30日。

根據賽門鐵克的監測，在本期報告階段，地下交易系統中所售商品的潛在總價值已經超過2.76億美元。這一結果是根據商品與服務的宣傳定價以及參與兜售的人員分成計算得來。

信用卡信息是地下交易中最常出售的商品，占總量的31％。根據賽門鐵克的監測，被竊取的信用卡帳號每個售價從0.1美元到25美元不等，而被竊取的信用卡透支限額平均達到4千美元以上。另外，賽門鐵克還推算得出，本期報告階段地下交易出售的信用卡信息總價值高達53億美元。

除信用卡外，金融帳戶也是地下交易中最為常見的商品之一，占總量的20％。被竊取的銀行帳戶信息售價從10美元到1000美元不等，而被竊取的銀行帳戶平均余額約為4萬美元。在本期報告階段，地下交易系統中出售的銀行帳戶總價值高達17億美元，這一結果是根據此類銀行帳戶的平均余額以及被竊取的銀行帳戶平均售價計算得來。金融帳戶信息廣受歡迎，主要由于其經常進行高額的現金支出，并且支出過程十分便捷而導致。個別情況下，金融帳戶可通過網絡將現金在線支出到無法跟蹤的位置，而用時還不到15分鐘。

在本期報告階段，賽門鐵克共監測到69,130個不同的宣傳銷售人員，正在積極地進行倒賣，并發現在地下交易論壇上登載的44,321,095條信息。排名前十的宣傳銷售人員可獲得的潛在價值包括1630萬美元的信用卡以及200萬美元的銀行帳戶。另外，根據賽門鐵克的監測，在本期報告階段，活動最為積極的獨立宣傳銷售人員所售商品的潛在價值高達640萬美元。

地下交易系統遍布全球，無論是無組織的個人還是有組織的犯罪團伙均可通過其實現收益。在本期報告階段，北美地區的地下交易服務器最多，占總量的45％；歐洲、中東以及非洲地區占38％，隨后便是亞太地區占12％，以及拉美地區占5％。地下交易服務器通過不斷變換地理位置來逃避安全檢測。

CFCA發布2008中國網上銀行調查報告

11月28日，我國金融行業統一的第三方安全認證機構——中國金融認證中心(簡稱CFCA)正式對外發布了最新的《2008中國網上銀行調查報告》，以第三方的視角對2008年中國網銀發展現狀進行了深度解析和全面回顧，并給出了一系列具有指導性的建議。

據《2008中國網上銀行調查報告》顯示：中國網上銀行總體發展繼續保持快速增長的勢頭，用戶量及交易量同期高速增長。此外，網上銀行對于傳統柜臺業務的替代性也進一步提升。全國范圍內，個人網銀用戶比例為19.9％。在10個經濟發達城市中，2008年使用個人網上銀行的用戶比例達到44.9％，比2007年高出7.1％。而在企業用戶市場，這一趨勢則更為明顯：2008年全國企業網銀用戶的比例達到42.8％：在2008年10個經濟發達城市調查結果中，使用企業網上銀行的用戶比例繼續增長，比2007年增長了10.3個百分點。從不同規模企業網銀用戶總體發展情況看，企業規模越大，使用網銀的比例越高。

Web2.0監測最新評比

2008年12月5日，在美國TollyGroup實驗室公布的“Web2.0挑戰：Web安全網關選購指南”(2008年11月208326號文件)中，Websense WebSecuri1ty Gateway以98.9分的Web2.0內容監測的準確度與效率成績，遠遠甩開同類產品。排在第二、第三位的McAfeeSecure Computing和B0ueCoat則分別取得了40.2分和11.1分。而在惡意內容攔截方面，相對于競爭對手而言，WebsenseWeb Securitv 6atewaV可攔截更多的基于網絡的威脅，提供更為簡單易用的管理界面、更強大的可擴展性。實際上，分數最接近的競爭對手所漏檢的Web應用比Websense高達8倍，同時，在對未知網絡分類方面，Websense比僅次于它的競爭對手多了30％以上。此外，在數據泄露防護，Websense也是第一家完成TollyGroup實驗室工程師關于數據泄露防護審查的廠商，他們許可Websense提供競爭對手所無法與之相提并論的數據泄露防護解決方案。