动态与法规
内部网遭遇内部人人侵

内部网遭遇内部人人侵
  2003年上半年,地处中原腹地的军工企业虹光集团连续发生了几宗针对内部网络的“入侵事件”,引起了集团领导的不安和焦虑。
  4 月29日下午2 点,集团旗下飞虹厂网管大林发现本厂网站的主页被修改。原来漂亮的页面是大林一手设计的。红日当空,一道七色彩虹横跨在天,取意“气势如虹”,很抢眼,颇得好评。现在却换上一幅夜景:一轮满月挂在东天,两只夜鸟上下翻飞,不时的还“嘎!嘎!”地叫上几声。
  大林被这幅“月光曲”弄得又好气又好笑。集团的内部局域网除了一个出口与总公司连接外,与互联网是隔离的,只有集团内部的人才上得了这个涉密网。他一边想着“能是谁干的”,一边将服务器重新启动,迅速将网页内容恢复了。从“月光曲”出现到“气势如虹”复现在显示屏上,前后用了6 分钟。过一会儿他忙起来,就把这事儿忘了。
  当天快下班的时候,集团下属剑虹厂的网管小刘也遭遇了相似的一幕,原来的主页被一个故事所代替。小刘没敢大意,赶快用原来的主页覆盖异常主页。3 分钟后主页恢复正常。小刘又迅速地检查了本厂的其他计算机,通过修改IE浏览器属性,将所有客户机主页恢复到正常状态。他也把这件事当作一般情况,未向上报告。
  但纸包不住火,好多在内网上看到这一幕的人却纷纷议论开了。下班后,集团计财部CIMS办公室得知两单位网站遭黑客攻击,遂打电话追问此事。在集团领导看来,这不是一个简单的恶作剧,而是一个涉密网络遭到攻击的“入侵事件”。
  集团领导之所以如此重视“入侵事件”,是因为仅在半个月前,集团设计所曾发生过类似问题。
  网友交易
  4 月14日,设计所i0室副主任谢宇发现本所服务器有异常情况,他马上查看服务器日志,通过综合分析,确认非法操作者为4 室员工王云飞,随即向所领导报告。当日上午,所领导询问了王云飞,并检查了他的电脑,发现其中有黑客软件和资料。在事实面前,王云飞只得承认自己未经授权访问本所的服务器和计算机的行为。王云飞还讲出了一个情况:有一个网名叫“棍子”
  的人也参与了此事,但不知其姓名和单位。按照王云飞的描述,设计所立即指示网管搜寻‘’棍子“的蛛丝马迹,终于锁定”棍子“为彩虹厂网管许小兵。
  王云飞的网名是“不知名”,半年前,他与许小兵在集团某单位开设的网络聊天室里结识。在聊天室里,两人一见如故,J}l=后就经常通过网络讨论一些技术问题,互相推荐、交换一些软件。王云飞曾用“流光”软件扫描本设计所服务器,获取了同事某网管的账号和密码。事发前的4 月11日,他通过FreelCQ 将这一账号和密码以及设计所网络域名、服务器地址告诉许小兵。
  当天13点,许小兵应“不知名”的要求,利用这些信息在设计所服务器上安装了远程控制软件。此后的几天,王云飞利用这些软件登录了设计所主服务器其他研究室等6 台电脑,浏览了这些电脑的屏幕信息,但没敢打开和复制这些文件。调查显示。许小兵也没有用这些软件非法访问设计所的电脑。
  处理
  连续发生网络安全事件,让集团领导坐不住了,要求计财部召开现场会议,研究解决整改防范措施。5 月7 日,集团在飞虹厂召开了由各单位计算机网络管理部门负责人和网管员参加的“网络安全事件调查会”,分析问题、总结教训。会后,CIMS办组织技术人员到两单位现场进行检查,发现两单位的服务器日志均未能记录发生的事件,网络防病毒系统日志虽然记录了用户名,但却无法据此追溯事件发生的源地址,因此也无法查明非法攻击者。线索中断,“4-29入侵事件”遂成无头案。
  集团领导却不依不饶,涉密阿内连续发生违规事件非同小可。5 月28日集团党委发出通报,指出上述几起网络安全保密事件严重违反了总公司涉密计算机系统安全管理办法及集团保密规定,给国家秘密的安全带来了严重的威胁。为了严肃网络安全保密纪律,集团保密委研究决定:对设计所、飞虹厂、剑虹厂、彩虹厂通报批评,对设计所和彩虹厂党政主要领导及主管计算机络数据库室,罚款300 元;设计所给于王云飞行政警告处分并岗3 个月。罚款2000元的处理。
  集团部分单位连续发生的计算机网络安全保密事件,引起了集团领导、各单位的普遍重视和神经的高度紧张。然而,正在集团着手调查处理,各有关单位开展重点整治的过程中,5 月28日,也就是集团党委发出《关于对有关单位网络安全保密管理l 司题的通报》的当天,又发生了一起新的入侵事件。这使得大家本已绷得很紧的弦又拉得更紧了。
  顶风“作案”
  5 月28日,集团下属的启虹厂发现内部局域网的部分客户端被非法用户入侵的迹象。经调查证实,访问者为彩虹厂网管张张建军为了与启虹厂一女职工建立朋友关系,从今年年初起,曾经三次利用“流光”软件扫描了启虹厂一个网段的电脑,发现其中3 台电脑有空口令,随即进入了其中的一台电脑,获取了启虹厂的手机电话号码表,然后,他还进入了另一台电脑“浏览”了启虹厂的工作计划。调查中还发现张建军本人的电脑内安装了其他的黑客软件工具,同时,相关证据显示他不仅非法访问了兄弟厂的电脑,也非法进入本厂的部分电脑。
  在集团和两厂进行调查时,张建军本人据实作了陈述。
  集团领导大为震怒。这是在彩虹厂网管违规访问设计所服务器后,再次发生入侵事件,且是在集团刚刚发出通报进行处罚、彩虹厂正在采取整改措施的过程中发生的,其震撼力可想而知。
  彩虹厂不敢怠慢,对事件主要责任人张建军进行全厂通报批评,待岗留岗察看3 个月,待岗留岗期间发基本生活费;对负有管理责任的厂CIMS办、保密处领导在厂月度经济考核中进行处罚。
  为严肃保密纪律,举一反三,切实引起各单位对网络安全保密工作的高度重视,集团保密委决定:对彩虹厂、启虹厂通报批评,对彩虹厂党政主要领导及主管计算机网络和保密工作的领导各罚款1000元。
  7 月中旬,总公司在全系统内对虹光集团发生的入侵事件进行了通报。至此,“入侵事件”尘埃落定。
  态度、违规以及机制
  一连串的入侵事件由“4.29”起,开始像一段开绽线头,岂知越拉越长,拉出了一片触目惊心的安全保密管理的漏洞。几个事件虽不是造成了严重泄密后果的惊天大案,却不能不使人对网络安全保密管理的现状担忧,不能不让集团的领导心惊肉跳。
  集团领导对“4.29”和“4.14”事件的处理上,不可谓不重视,总公司和集团对网络安全保密管理规定可谓是三令五申,甚至在处罚上也使用了保密管理中较少见的“重典”,但仍未引起个别单位领导和网管员的真正重视,可见在一些管理者的思想深处,保密意识、敌情观念仍然淡薄,保密管理的状态与保密管理的需要差距极大。
  纵观入侵事件发生,明显的原因是态度不端正,深层的原因是机制不健全。集团党委事后总结认为,在态度上,部分单位的领导对网络安全保密重视不够,只注重网络的管用、好用,忽视管理上的安全性、保密性,事件发生后反应迟钝,且不按规定及时上报;部分网管员把“主页被篡改事件”当成一般技术问题处理。没有认识到这一事件的必然给网络安全保密带来严重损害,导致处置失当,既未按规定做出日志,又未及时报告情况,集团制定、转发过多个相关保密规定,极个别网管员仍明知故犯,恣意进行违规操作,其保密观念、纪律观念、法制观念可见一斑。
  在机制上,事件反映出缺乏一支安全事件快速反应技术队伍。由于计算机网络安全固有的复杂性,具有被攻击的不确定性和攻防的不对称性,因此;,集团认为迫切需要建立起一支能对安全事件做出快速反应、技术全面的队伍,以求最大限度地减少损失。在对事件的处理上,集团除重申保密规定和相关要求外,不护短、不手软,没有因为未发生泄密就从轻发落,而是坚决地按制度规定对相关责任人进行严厉处罚,收到了相当大的震撼效应。事实证明,对违规责任的追究制度,是保密管理机制建设的必有之义,也是保密管理按规定要求正常运转非常关键的一环。
北京军信安科信息科技研究所 © 2009-2013 版权所有
Beijing Junxin Anke Research Institute Of Information Technology
京ICP备09046015号