信息系统访问控制漏洞案例分析
财会信报 日期:2015-06-18
财会信报 日期:2015-06-18
案例
2013年7月,北京一家软件公司的工程技术人员在维护内部服务器时发现,该公司研发的一套“会议管理系统”有被黑客入侵的痕迹,因怀疑相关程序及信息遭到盗窃,于是立即报警。最终,警方锁定了在北京某高校任职的教师张某。随后警方在张某的私人电脑中发现了该软件公司会议管理系统的源代码,及该公司多条客户公司经销商的身份认证信息和详细个人资料。
张某在某高校从事计算机信息系统的研发。案发前,他也在开发一套与受害公司类似的系统,由于在开发中遇到了技术困难,便设法搞到受害公司的源代码用于抄袭。该套系统的主要功能是为举办会议的公司做参会登记签到。张某冒充客户要体验受害公司的这款系统,得到了一个系统测试账号。在使用时张某发现该系统有漏洞,于是他向服务器中植入木马,窃取了会议管理系统的源代码及受害公司的客户信息。
2014年1月,张某因犯非法获取计算机信息系统数据罪被判处有期徒刑三年,缓刑三年。
评述
随着互联网和信息技术的飞速发展,企业的信息系统安全也受到了来自各方面的威胁。信息系统安全工作的重点逐渐从运行环境、基础设施的安全转向应用系统、信息内容本身的安全保护和访问控制。
从案例来看,张某之所以能从受害公司获取信息系统的源代码,关键在于公司授予张某的系统测试账号。在信息系统的风险管理中,很重要的一点便是权限管理。根据系统设置的安全规则或策略,用户可以访问且只能访问自己被授权的资源。
通常,信息系统的安全管理员会按照经过审批的规则或权限清单来设置系统用户的访问及操作权限。一旦权限管理不合理,必然会留下系统漏洞,给信息系统舞弊大开方便之门。那要如何防止类似案例事件的发生呢?信息系统访问控制是关键,可以基于逻辑方式或物理方式进行控制。
(一)逻辑访问控制
逻辑访问控制是企业采取的主要控制措施之一,不充分的逻辑访问控制会增加暴露风险并带来损失的机率,包括技术性暴露风险和计算机犯罪。
身份识别与验证。身份识别与验证是一切逻辑访问控制的前提,系统用户通过向系统提交有效的身份证明,系统验证身份证明后向用户授予访问系统特定资源的权力。在日常生活中最常见的就是账号和密码。此外,还有一些其他身份识别与验证的方法,如令牌设备(比如银行U盾)、声音、指纹等。身份识别与验证是实现信息系统安全的重要基础,同时也是绝大数类型的访问控制采取的方法。
逻辑访问路径。系统可以通过设置不同路径来进行逻辑访问,而每种路径都应该有适当的访问安全级别,通过对系统进入端口的管理可以控制用户对信息资源的访问能力。如一些特定的信息系统,需要在特定的系统端口(电脑等)或通过特定服务器才能进行访问,而远程访问模式则需要确认远程用户的个人账号和密码。通过对访问路径的控制,可以更加有效地补充由身份识别与验证带来的不足。
逻辑访问授权。逻辑访问控制在正确识别用户身份后,要通过授权过程赋予用户对系统逻辑访问的能力,并把授权内容正式记录在案,以便于在系统中执行及日后检查审核。一般情况下,逻辑访问控制基于最小授权原则,只对因工作需要访问信息系统的人员进行必要的授权。如本案中的软件公司授予张某系统测试账号,其实是给予他过高的访问权限。如果受害公司更严谨一点的话,应在张某使用完账户后就对系统和内部服务器进行检测,以确认系统没有被进行篡改或者破坏。
信息系统的访问有多种级别控制,在逻辑访问授权时,应该清楚系统用户在某一级别的访问能做什么,不能做什么。如果系统用户在企业中变换工作角色或是离职时,安全管理人员就应该及时地更新授权。
(二)物理访问控制
信息系统用户或者相关人员出入系统的关键区域,需要采用适当的物理访问控制。物理访问控制如果管理不善,其中存在的风险可能引发财务损失、法律诉讼、信誉受损甚至丧失竞争优势。物理访问风险可能来自对安全规定的违反,包括未经授权进入信息处理场所,毁损、破坏或窃取设备、财产或文件,复制或偷看敏感的信息等。
信息系统的相关处理场所和实施都要纳入物理访问控制范围。通用的物理访问控制包括门锁或是组合门锁、摄像监控、出入陪同、访问日志登记、自动报警系统等。企业需要针对不同的物理访问控制区域,选择合适的安保措施,利用有效的物理访问控制技术,保障物理访问的安全。所谓“道高一尺,魔高一丈”,企业对于信息系统安全风险的控制永远不能松懈,而是应该随着技术的发展,不断地提高自身的管理水平,守护好企业信息系统的大门。
汇韬科索企业咨询(北京)有限公司(www.gscoso.com)是国内知名企业管理咨询公司之一,咨询团队来自于国内知名企业管理咨询公司、全球四大会计师事务所以及国际知名行业研究机构,服务于跨国公司、中央企业、混合所有制等各类型企业,开展落地、合规的咨询服务和企业内部培训,具有丰富相关经验。欢迎与我们联系沟通,我们将免费提供专业、可行的咨询建议。
风险导向内部控制网(www.china-rmic.com)由汇韬科索联合多家咨询机构、会计师事务所、学术团体共同发起创办,专注于风险管理与内部控制。本网主要为访问者提供线上、线下免费专业资料,内部控制体系与风险管理体系的有效性自我评测,以及无偿专业诊断咨询建议。
【联系方式】
电话:010-68827610
电子邮箱:gsc@gscoso.com
咨询QQ:421183643
地址:北京市石景山区实兴大街科技园3号楼
2013年7月,北京一家软件公司的工程技术人员在维护内部服务器时发现,该公司研发的一套“会议管理系统”有被黑客入侵的痕迹,因怀疑相关程序及信息遭到盗窃,于是立即报警。最终,警方锁定了在北京某高校任职的教师张某。随后警方在张某的私人电脑中发现了该软件公司会议管理系统的源代码,及该公司多条客户公司经销商的身份认证信息和详细个人资料。
张某在某高校从事计算机信息系统的研发。案发前,他也在开发一套与受害公司类似的系统,由于在开发中遇到了技术困难,便设法搞到受害公司的源代码用于抄袭。该套系统的主要功能是为举办会议的公司做参会登记签到。张某冒充客户要体验受害公司的这款系统,得到了一个系统测试账号。在使用时张某发现该系统有漏洞,于是他向服务器中植入木马,窃取了会议管理系统的源代码及受害公司的客户信息。
2014年1月,张某因犯非法获取计算机信息系统数据罪被判处有期徒刑三年,缓刑三年。
评述
随着互联网和信息技术的飞速发展,企业的信息系统安全也受到了来自各方面的威胁。信息系统安全工作的重点逐渐从运行环境、基础设施的安全转向应用系统、信息内容本身的安全保护和访问控制。
从案例来看,张某之所以能从受害公司获取信息系统的源代码,关键在于公司授予张某的系统测试账号。在信息系统的风险管理中,很重要的一点便是权限管理。根据系统设置的安全规则或策略,用户可以访问且只能访问自己被授权的资源。
通常,信息系统的安全管理员会按照经过审批的规则或权限清单来设置系统用户的访问及操作权限。一旦权限管理不合理,必然会留下系统漏洞,给信息系统舞弊大开方便之门。那要如何防止类似案例事件的发生呢?信息系统访问控制是关键,可以基于逻辑方式或物理方式进行控制。
(一)逻辑访问控制
逻辑访问控制是企业采取的主要控制措施之一,不充分的逻辑访问控制会增加暴露风险并带来损失的机率,包括技术性暴露风险和计算机犯罪。
身份识别与验证。身份识别与验证是一切逻辑访问控制的前提,系统用户通过向系统提交有效的身份证明,系统验证身份证明后向用户授予访问系统特定资源的权力。在日常生活中最常见的就是账号和密码。此外,还有一些其他身份识别与验证的方法,如令牌设备(比如银行U盾)、声音、指纹等。身份识别与验证是实现信息系统安全的重要基础,同时也是绝大数类型的访问控制采取的方法。
逻辑访问路径。系统可以通过设置不同路径来进行逻辑访问,而每种路径都应该有适当的访问安全级别,通过对系统进入端口的管理可以控制用户对信息资源的访问能力。如一些特定的信息系统,需要在特定的系统端口(电脑等)或通过特定服务器才能进行访问,而远程访问模式则需要确认远程用户的个人账号和密码。通过对访问路径的控制,可以更加有效地补充由身份识别与验证带来的不足。
逻辑访问授权。逻辑访问控制在正确识别用户身份后,要通过授权过程赋予用户对系统逻辑访问的能力,并把授权内容正式记录在案,以便于在系统中执行及日后检查审核。一般情况下,逻辑访问控制基于最小授权原则,只对因工作需要访问信息系统的人员进行必要的授权。如本案中的软件公司授予张某系统测试账号,其实是给予他过高的访问权限。如果受害公司更严谨一点的话,应在张某使用完账户后就对系统和内部服务器进行检测,以确认系统没有被进行篡改或者破坏。
信息系统的访问有多种级别控制,在逻辑访问授权时,应该清楚系统用户在某一级别的访问能做什么,不能做什么。如果系统用户在企业中变换工作角色或是离职时,安全管理人员就应该及时地更新授权。
(二)物理访问控制
信息系统用户或者相关人员出入系统的关键区域,需要采用适当的物理访问控制。物理访问控制如果管理不善,其中存在的风险可能引发财务损失、法律诉讼、信誉受损甚至丧失竞争优势。物理访问风险可能来自对安全规定的违反,包括未经授权进入信息处理场所,毁损、破坏或窃取设备、财产或文件,复制或偷看敏感的信息等。
信息系统的相关处理场所和实施都要纳入物理访问控制范围。通用的物理访问控制包括门锁或是组合门锁、摄像监控、出入陪同、访问日志登记、自动报警系统等。企业需要针对不同的物理访问控制区域,选择合适的安保措施,利用有效的物理访问控制技术,保障物理访问的安全。所谓“道高一尺,魔高一丈”,企业对于信息系统安全风险的控制永远不能松懈,而是应该随着技术的发展,不断地提高自身的管理水平,守护好企业信息系统的大门。
汇韬科索企业咨询(北京)有限公司(www.gscoso.com)是国内知名企业管理咨询公司之一,咨询团队来自于国内知名企业管理咨询公司、全球四大会计师事务所以及国际知名行业研究机构,服务于跨国公司、中央企业、混合所有制等各类型企业,开展落地、合规的咨询服务和企业内部培训,具有丰富相关经验。欢迎与我们联系沟通,我们将免费提供专业、可行的咨询建议。
风险导向内部控制网(www.china-rmic.com)由汇韬科索联合多家咨询机构、会计师事务所、学术团体共同发起创办,专注于风险管理与内部控制。本网主要为访问者提供线上、线下免费专业资料,内部控制体系与风险管理体系的有效性自我评测,以及无偿专业诊断咨询建议。
【联系方式】
电话:010-68827610
电子邮箱:gsc@gscoso.com
咨询QQ:421183643
地址:北京市石景山区实兴大街科技园3号楼