中国信息安全大会上东软网络安全营销中心解决方案部部长,曹鹏先生演讲。
主持人:谢谢陶先生。人生出现安全盲点会导致一生的悲哀,企业安全系统出现安全盲点就可能是灭顶之灾,接下来演讲嘉宾将告诉我们如何避免业务系统中的安全盲点,让我们有请东软网络安全营销中心解决方案部部长,曹鹏先生演讲。
曹鹏:今天由我最后告诉大家应用业务系统安全中需要讨论的问题,我今天话题会聚焦到一个非常细小但是非常重要的地方真正的业务系统。
这跟我这两年做安全很大关系,来自不同的业务领域和不同的行业,我发现高级用户部署了很多如防火墙、防病毒等,很多业务系统是我们自己开发的,对外没有公布太详细的细节,业务系统在开发的过程中,从规划之初到设计,到代码编写,到整个运维过程中对安全考虑不是很周全的。
我直接给大家介绍几个真实的,在以往项目中出现的业务问题,首先介绍一个C/S结构,这是在我们国内财政税务局中,几乎每一个地市财务系统都会有,这是我去年非常有意思的案例,当时我过去他们很关注业务安全的问题。当时我拿到这套业务系统之后简单看了看,分配我的帐号,三个预算单执行全力不是后台登陆的权限,这个帐号用户名密码也是存储在最后数据库上的数据而已,这套业务系统要想验证我是不是成功验证,必须跟C/S验证,后续工作很简单了,我开一个用户端,我就取得非常核心的业务数据,可以更改所有的关键数据,我绕过了前台的限制到后台去修改,这是目前常见C/S软件类型中出现的典型问题,就是后台登陆的数据库帐号,内置在过程中间,这不是用户可以参与的。
另外一个是B/S平台,在这平台里面有一个应用程序,有一个动态脚本跟后台有数据库的交互,这里面有很多针对应用平台的安全攻击,比如SQL语句注射式攻击,还是在一个财政局内部的王震里,里面有非常好的OA办公网,前端是SP,后端是C/S,我在系统里面找到一个本站留言板,这结构比较简单,我打了一个IP号,后来到动态数据库里查询,我在and 1=1,和and1=2,这下页面提供了错误的生成,如果攻击者往前再走一步,and user>0,这是当前暴露非常敏感的数据库里面的处理信息,有经验的可以用这攻击去攻击业务。凡是内部用GSP,用ST开发的内部处理系统,很多有非常典型SQL语句注射式攻击。
还有在开发过程中版本控制,这是我们国内非常知名的航空公司,这家前面有一个SP,中间有中间件,在这里面发现很有趣的现象,可以直接把源代码下载回来,因为开发过程中国,因为更新的时候,这家公司发布网页的时候,把不应该发布的东西都推到Web网站上。这说明发布否之过程不够完善。
功能所依附的操作平台的安全缺陷,很多时候我们业务要安装在一些平台上,业务平台会有一定的安全性,比如我设置过一些大型厂商的中间件系统,这里面日志记录非常差的,很难支持IP地址访问行为记录,这方面的缺陷,一旦今后出现问题,在这个平台很难真实发现问题。
程序开放接口的问题,主要是压力测试和针对性测试,我们开发系统的时候都认为是好人,对于恶意的访问不够周全,家乡所有人访问是正常的,没有任何恶意的,这时候如果有人有恶意,只接受1K,他发了100K,他用100个线程,1万个线程的时候,这时候它的稳定性表现非常差的,很多时候直接宕机死掉,许多任何的自我保护处理机制,底层信息大部分在裸奔的状态。我看过很多包括兄弟单位和非兄弟单位,很多业务系统通讯都是裸奔状态没有任何加密,两三年前用户说内部反正用交换机,也无所谓。这两年随着信息威胁程度不断增高,这里面安全问题已经暴露很多了。比如我们公司办公室,我们有一个交换机,到终端的桌面,以前用HUB的时候,在另一个环节,共享式发包可以看到所有通信状态,现在相对安全的嗅探还不是很容易,但是这种观点到今天已经有点过时了,为什么呢?因为今天网上有非常多随处可以下载ARP中间人自动化的欺骗工具,利用这个任意人可以伪造网关可以发内网的MARK地址关,可以很容易把内网本地信息跳出来,我走访了很多用户的单位,包括中国宽带上网的环境,大部分网络环境都存在这问题,我在一个房间,可以看到这个酒店大部分房间干什么?访问哪个网站,看哪些信息,MSN在聊什么?大部分软件可以免费下载的,这样我们业务面临的威胁比较高,再用裸奔的方式传递信息,本身要泄露的东西非常可怕。
客观上面对威胁的程度也在增加,几年前威胁程度比较低,包括对于安全的了解,安全的认知程度比较低,但是这两年安全的威胁程度增高了很多,实际上举一个例子,在座都会用OFFICE都会用WORD写文档,如果这是我的日记,我的重要客户资料要加密,我会到Word里面设置一个密码,有人说13位,设100位,这样别人只要不知道我密码我的安全性可以得到保证了,这在很多年前,现在很多用户固有的观念,认为这就是安全了,实际上不是,包括最新的OFFICE2003,加密算法超过40位不允许的,什么是40位就是2的40次方有多少可能性?在普通的PC电脑,每秒破解1百万次,允许240次分不超越14天,如果20台电脑,可以用一天把所有密码都算出,我设了一个12位密码,用处我家电脑三天就破戒了,所以我们以前认为安全的东西现在看起来是有问题的。
这是我新加的PPT,今天会场地址选在新世纪日航饭店,它也有自己Web服务器和Web发布的系统,这套网站应用系统也不是很安全,我从看到这个网站到屏幕抓出来花了5分多钟,不用一会儿可以进入网络最后台管理界面,这验证非常简单,用几方面时间可以知道网站结构,可以随意修改删除新闻界面,如果有黑客团体在这个大会,把日航网站黑掉,今天我们在这可能比价尴尬,这个大会可能就比较有新闻热点。业务性的安全,防火墙这些产品很多基于传统的系统,网络,但是对于针对型解决方案是不多的。
业务系统常见的问题做一个简单的总结,第一个TCP/IP协议自身在设计过程的安全缺陷。对于暴力口令猜测没有设置上限阈值。多数信息传递的时候没有采用加密方式,没有很好的错误保护处理,程序接口的抗攻击能力薄弱。对于我们平台功能性很完备,但是安全功能是不完备的,对于用户操作行为记录没有很好的控制审计措施,对于敏感数据没有考虑数据加密存储。可怕的问题在于,很少有防火墙、入侵检测、漏洞扫描等这些成熟产品检测出这些问题并实现有效防护。
信息安全最根本问题是人的问题,今天用战争不能带来和平,我们部署一大堆技术型方案,没有办法解决信息安全本身问题,要解决一定要有人本身的参与,以往很多投入是在技术上,对于人员能力的提升不够的,造成很多当初规划和开发过程中,代码编写中遗留很多问题这不是人的能力不够,是意识不够,就没有考虑规划。这两年做了很多开发系统的规划,包括安全编写代码特征的流程,也建议ISO17799最佳安全管理实践体系与通用CC标准ISO15408都对开发安全提出了不错的想法和指导建议。这里面本身对于软件安全功能的实现,和自身安全功能的保证有非常详细的设计意见。
同时在安全开发过程中,它的难度也是非常大的,它不是简单意识到这个问题,按照一个流程开发就可以了,它本身有很多实践的难度,很多标准不是用白话文写的,很多标准不是通俗白话文写的,用了大量的参数型参数和技术标准,非常难以去理解,很多标准没有给用户提供非常友好的,容易理解的这些,将一个安全性开发的标准到一个已经成熟运作多年的开发环境,适应调整期非常长。很多标准成为标准认证而做,很多东西是最后文档化的工作,没有真正贯彻到开发实践过程中去。要结合本单位实际安全要求编写相关的开发安全要求和标准这是非常关键的。
我们认为技术的问题可以用产品和技术服务完成,也可以通过人的方式来完成,所有的问题归结最后是人的问题,解决这问题要切实提高人员的能力,人员能力怎么提高,需要知道那么多事情,看那么多书,经历那么多事情,有深厚经验才可以,我们用户在这方面投入和重视程度不够的,安全投入是可以结合用户实际的网络环境中,通过我们自己和用户做一些项目,把用户带领起来,把他们组建成一个自我评估,自我服务的团队,切实提高服务水平是很关键的。好的产品很关键,好的服务很关键,但是信息安全服务领域,好的服务伙伴最最关键是根本。 东软给予用户的信心来自于2所投资过千万的信息安全实验室,7处研发基地,13个行业事业部,15年发展历史,遍布全国41省市服务网络,有260名优秀安全服务工程师,做一系列服务,我们在十年里面积累超过5千家的用户。
谢谢大家的聆听,谢谢大家!
68476636-8007)
