网络保安问题祸延传媒 业者宜作好准备迎硬仗

2000-06-15

  对全球互联网业者而言,二零零零年二月七日不过是假期后的第一个工作天,但大型入门网站Yahoo!的技术人员,却万料不到他们的系统会在员工还未恢复工作心情的时候,经历有史以来最严峻的考验。在这惊涛骇浪的一天,Yahoo!的系统受到来自网上四面八方的分散式拒绝服务袭击(Distributed Denial of Service或简称DDOS),令网站服务中断数小时,影响数以十万计的用户。第二天,传媒网站CNN Interactive,以及Amazon.com,eBay等大型网站也难逃劫数,遭受同样攻击,其中CNN网站瘫痪近两小时。

  五月初,「ILOVEYOU」电邮病毒爆发,迅速横扫全球。正如一年前的Melissa和CIH病毒一样,问题殃及普罗用户,电脑网络恐慌加剧。其后接踵而来几个不同电邮病毒的消息,更令用户和网络业者成为惊弓之鸟。

  有关二月发生的大型网站受袭事件,不少人原先以为是涉及多名黑客经过精心安排的有组织罪行。令人惊讶的是涉嫌攻击CNN网站化名Mafiaboy的黑客只得十五岁,被协助缉捕他的电脑保安专家形容为道行不高,绝对称不上专业。他的「知识」只是来自网上其他人士和坊间随手可得的资料和软件,破坏网上电脑系统并不再是深奥技术。

  值得担忧的是纯粹恶作剧的小黑客,也足以对资源雄厚的集团产生威胁。面对看来危机四伏的互联网,一向强调信息服务无间的传媒业不禁产生连串疑问:网络保安的问题是否无药可救?利用互联网作为大众传播管道的时刻是否仍未到临?过份依赖互联网发放信息会否弄巧成拙?

忽视保安监督不足

  互联网所采用的网络规程TCP/IP,原先发展的目标并非着眼于安全度高的通讯和商业应用,因而缺乏严谨的保安功能,固然是问题的一个根源。但不少从事网上事业的机构,忽视保安工作的重要性,却也是责无旁贷的。这个疏忽由以下几个原因造成:

(一)网络事业发展顾此失彼:由于网业发展急速,管理人员只着眼于尽快把概念落实,令投资得到回报,但却忽略了系统保安和提供合理的后备设施。此外,资讯科技业内人手短缺,员工流动性大,主管宁可集中力量开发应用系统,将保安问题无限期搁置。

(二)企业缺乏资讯保安认识:不少管理人员以为系统、网络和应用程式的保安是高度技术性的工作,因而只交由技术人员处理,自己从不过问。在遇上突发情况时,便将责任完全推到技术人员身上。事实上,完整的资讯保安工作并不止于万维网站的互联网出口,还须企业全体员工的配合,很多肩负保安责任的资讯技术人员在推动安全守则时均感到力不从心。

(三)管理监督保安力度不足:相比维系投资者和客户关系、开拓商务模式,和提高企业知名度等,加强资讯保安管理通常只属次要目标。无论从投放的资源和管理层的支持力度而言,保安工作明显未受到应有的重视。大部分企业不但缺乏一套内部资讯保安守则,也未有制订当一旦系统遭受破坏时的紧急应变措施。

针对传媒的网上袭击

  大众传媒无不期望互联网能让它们接触更多的受众,并将两者间距离进一步缩短。不少敢于创新的媒体,更完全摆脱传统的传播形式,将整个业务在互联网上运作,纷纷作网上报刊和网上电台等新尝试。但愈是依赖资讯科技的媒体,便愈有必要把资讯保安工作和有关的风险管理意识提上企业的管理层。

  将传播服务连入互联网,便等同于把媒体的声誉和公信力押在不可预知的环境。这当中充斥着喜欢恶作剧的黑客、希望测试自己技术的电脑爱好者、满怀敌意的持不同意见人士和团体、不幸沾上的电脑病毒,以至本身员工有意和无意的错误。而更令业者感到两难的是愈强调网站的保安功能强大,愈有机会变成「众矢之的」,惹来各方欲挑战高难度的黑客入侵。

  针对大众传媒的网上袭击,从破坏手法上,可分为下列几个类别:

──主系统未被入侵的网上攻击:由于目标网站保安严密,破坏者并不向它直接入侵,而改为通过网上其他系统配合攻击。二月的DDOS即属此类,黑客同时发动大批已被非法入侵的电脑,并以虚假的来源地址,向目标网站发出大量信息,令网站服务器应接不暇。在无法进行堵截的情况下,正常访问大受影响。另外,袭击个别受众的网域名字服务器(domain name server),也可将受众从知名网站误导(IP spoofing)至预先布置的系统,发放虚假的消息。大型网络服务商用户众多,网域名字服务器的保安工作尤为重要。

──受袭系统上信息被窜改:若网站系统被破坏者攻入,它将面对最恶劣的后果。影响相对短暂但显著的破坏,是被黑客更改主网页的内容,插入不雅或令媒体尴尬的文字和图像。较难发现但影响深远的,则可能是经过精心布局的内容窜改,如改动股票价格、更改评论文章的立场等,以达到个人的目的。此外,遭入侵系统更可被操控成为下一阶段攻击其他网上系统的傀儡。

──无中生有的冒名讯息:破坏者也会冒公信力良好的媒体之名,发出电邮愚弄公众,或诱使目标对象访问预先布置的网站,骗取他们的账号和口令、个人资料,以及信用卡号码等资料。若收信人是有关媒体的登记用户,则更容易成为受害者。

──机密资料外泄:表面上,大众传媒没有太多机密资料,但媒体机构服务器往往储存着新闻摘要等的订阅者数据库。这些数据库通常录有姓名、地址、年龄、信用卡号码、喜爱资讯类别选项,以及访问纪录等敏感个人资料。而若被入侵的为内部系统,更可能将尚未正式发出的消息,或个别记者编辑正在跟进的材料曝光,令媒体蒙受损失。

部署应战资讯硬仗

  Computer Security Institute与美国联邦调查局于二零零零年三月发表的调查显示,九成美国大企业和政府机关在过去十二个月内遇上某程度保安问题,七成机构的个案情节严重,如机密资料失窃、财务欺诈、黑客入侵、破坏,以及拒绝服务袭击等。但实情是大部份保安事故从未被发现;而碍于技术人员面子原因,大部份被发现个案均没有向上级报告;也因为企业声誉问题,大部份上级知晓的事件,也没有向公众透露。

  传媒事业要在互联网上有一番作为,就得作好准备。管理层必须对资讯保安加深了解、摒弃一些错误观念,以及多加一些关注和支持。资讯科技和其他岗位的员工,亦必须同时加强保安的意识,做好危机应变和风险管理。

  一些超级大国政府已经部署应付新一代的资讯战争(information warfare)。尽管个别媒体企业营运并不涉及重大经济利益,但基于大众媒介的重要价值,已注定它无法摆脱成为资讯战争中的重要棋子。对网上传媒业者而言,一场结结实实的硬仗看来是势所难免的。

相关文章 / Related Articles

香港学生反修例运动中网络关系解体的实证调查

宋昭勋、吴静、胡欣立
2021-01-11

中国传媒上的「奉劝」

钱钢
2020-05-15