3.造成巨大经济损失
早在2000年,美国商业杂志《信息周刊》公布的一项调查报告曾报道说,计算机病毒和黑客攻击在该年将使全球公司蒙受15万亿美元以上的经济损失。报告说,北美地区计算机系统有3.24%在2000年发生过停工,全球这一比例为3.28%。在被调查的大约5万家大企业中,据统计因病毒和攻击所受的损失估计将达2660亿美元,相当于美国国内生产总值的2.5%,如果把众多的中小企业计算在内,病毒和黑客入侵造成的损失还要大得多。
上述统计数据仅仅是7年以前作出的。进入21世纪之后,仅冲击波蠕虫和SoBig.F电子邮件型病毒等恶意代码就给全球经济造成了130亿美元的损失。美国商务部则表示软件缺陷一年给美国造成的经济损失有596亿美元,其中包括因软件漏洞受到攻击的损失。据美国联邦调查局《2005年计算机犯罪调查》报告显示,仅身份欺诈一项每年给美国造成的损失便达到526亿美元。
黑客攻击对中国企业造成的经济损失也在逐年上升。2007年4月开始,一股黑客攻击狂潮席卷国内多家大型网络游戏公司,造成的经济损失达到上千万元。该案后被北京海淀警方成功破获。令人咋舌的是,犯罪嫌疑人仅有区区数人,其目的竟是为了推销防火墙设备(一种保护网络安全的设备)。
4.引发公共安全灾难
与病毒和黑客攻击动辄造成数十亿美元经济损失相比,有时基础设施所依赖的各类重要信息系统被攻击后引发的公共安全灾难更为可怕。
2000年,澳大利亚人威泰克·波顿攻击了该国昆士兰州马鲁奇郡的污水管理系统,致使数百万升未经处理的污水倾泻到当地的公园和河流中,甚至还流淌到附近的酒店里。据澳大利亚环保局的工作人员称,恶意攻击导致水生动物大量死亡,河流散发阵阵臭气,令当地居民无法忍受。该名黑客后被判刑2年,据悉他曾向污水管理部门求职,但遭到拒绝,因而怀恨在心,伺机报复。当时他在负责安装这套污水管理系统的公司任职,于2000年3月至4月间至少向污水管理系统实施了46次攻击,其中前45次攻击没有成功,但也一直没有被发现。
以美国著名信息安全专家斯奈尔为代表的一些人认为,信息恐怖主义在现实中并不存在,迄今也只是发生了上述一起造成公共灾难的人为信息安全事件而已。这些观点源于斯奈尔等专家对“信息恐怖主义”理解的不同。事实上,信息安全事件并不都以“将人炸成碎片”为危害公共安全的最极端表现形式。当前越来越多的行业采用数字控制系统(DCS)以及监督控制和数据采集系统(SCADA)来管理和监控各种设备,其中以电力系统为典型代表。DCS/SCADA系统与互联网和电信网的技术原理完全不同,并且安全防护有很多特殊性,例如DCS/SCADA系统通常是需要少量供电的小型的独立系统,在其体积和供电量的限制下,很多安全措施很难应用,且这些系统是以实时模式运行的,采用安全措施可能会降低其性能并对整个大的系统的同步造成影响。DCS/SCADA系统的安全直接决定了很多工业控制系统的运行状况,将污水和净化水的输入方向互换、将城市供热系统的温度值修改为极高或极低,对公共安全以及公众心理造成的后果要远远超过一次常规的恐怖袭击事件。正是这一原因,使美国政府将DCS/SCADA安全列为国家信息安全战略的优先对象,其国会也在2006年间组织了数次听证会,专门研究安全现状和对策。
五事件的突发性
各类信息安全威胁往往具有潜伏性和不可预测性,使得信息安全事件对被攻击一方而言呈现出极强的突发性,被攻击者往往因此丧失了宝贵的防御时间,为信息安全事件处置带来了极大挑战——事实上很多事件最终也没有被察觉,损失评估更无从谈起,例如敏感信息的泄密,这是更加可怕的事情。
信息安全防御及攻击技术极为多样和微妙,用户通常很难知道已经受到攻击以及谁在攻击、怎样攻击。信息安全攻击行为完全发生在网上虚拟世界,源头完全无法在事前判定,攻击后一般不对物理设施造成破坏,攻击行为可以不留痕迹,被攻击者甚至丝毫察觉不到系统被攻击后的异样。尤其是国家层面的信息战,往往攻击于无形之中,难以发现和防备。一条攻击指令,从发出到到达千里之外的目标计算机,也仅仅是瞬间而已。
由于现代网络与信息系统的复杂度很高,有些事故可能是由于误操作、偶然故障或系统设计错误引起的,如何将有意攻击与偶发故障相区别是件极其困难的事情。近年来,信息安全攻击工具和手段不断进步,其隐藏攻击踪迹的能力越来越高。
例如2005年以来,Rootkit已成为众多恶意软件的藏身工具,在其掩护下恶意软件可轻易逃脱反病毒及反间谍软件的监控而不被发觉。有安全公司表示,到2008年,上述情况将大肆泛滥,形成前所未有的安全风险。
另外,在长达数年的“攻击准备”过程中,系统完全有可能已经被渗透或损害——攻击者可以在对方软件或硬件中设置“逻辑炸弹”,平时表现完全正常,到关键时刻只需一个特殊指令便会启动。例如,有些军火商在出口的飞机、坦克、军舰、导弹发射架或超级计算机上植入一些暗藏的芯片,在适当的时候启用这些芯片,整个系统便可以被摧毁,而要发现这些芯片,几乎是不可能的事情。
为有效扭转信息安全事件突发性带来的被动局面,目前各方都在加强信息安全预警和检测能力。预警的核心目标就是在可能危及网络与信息系统的安全事件发生之前,依据对某些迹象的分析判断,提出其可能造成的危害估计,提前采取防范警告和措施,从而将事件的危害程度控制在网络与信息系统可以接受的范围内。安全检测的目的则是发现系统的漏洞,加强系统安全功能,提高系统安全防护性能和抗破坏能力,为评估已运行系统的安全性能提供依据,并提供有针对性的安全建议。
与传统安全预警不同,信息安全预警是一个很困难的问题,运用什么机制、办法来进行预警也正在探索之中。它需要面对不确定事件,在事件尚未发生前,事先寻找迹象,进行分析判断的工作。但这不能无中生有,需要有根有据。因此,在大量积累经验的基础上总结规律,应该成为预警的基础性工作。美国在其国家战略中提出要提高三方面的能力来加强预警工作。
(1)战术分析。
通过分析安全事件相关的事实,找出脆弱性并提出预警。
战术分析的例子包括:分析计算机病毒的传播原理以及时找到保护或减轻破坏的方法,研究一次特定的计算机入侵事件或一组入侵事件,以判断攻击者的意图和攻击方法。
(2)战略分析。
不是分析特定的事件,而是更广泛地研究大量的事件及其背后的含义,判断事件对整个国家可能造成的影响。例如分析威胁和脆弱性的长期发展趋势,并据此对新的攻击方法等发出预警。战略分析同时还可为决策人员提供信息,使其能够对未来的攻击进行预测并做好准备,由此可以减少攻击造成的破坏。
(3)脆弱性评估。
对信息系统进行详细的检查,以发现并研究其弱点。脆弱性评估可使规划人员能够预测经济部门或政府部门的特定设施可能遭受的攻击后果,使得基础设施拥有者和运营者能够增强其对各种威胁的抵抗能力。
