12月21日,“2005年中国电信业网络与信息安全研讨会”在北京举行。本次研讨会由信息产业部电信管理局、国家计算机网络应急技术处理协调中心、中国互联网协会主办,通信产业报社承办。
以下为“2005年中国电信业网络与信息安全研讨会”实录全文第二部分。
主持人:孙蔚敏 CNCERT/CC运行部主任
主持人:女士们先生们大家下午好,我是来自CNCERT/CC运行部孙蔚敏。今天下午论坛由我来主持。
大家都知道解决安全问题的关键是要尽早发现,及时响应,只有这样才能把损失降低到最小的程度,因此早期预警对企业和用户来说至关重要的,赛门铁克公司,作为全球领先的安全方案解决商能为企业和用户提供数据管理等方面解决方案,而且赛门铁克公司每半年发布互联网安全威胁报告在业界也是具有一定的影响力,今天很高兴请到赛门铁克公司大中华区技术总监王岳忠先生给我们介绍善用早期预警系统提升安全防护效能。
王岳忠:女士们、先生们下午好,我这里介绍一下利用早期预警可以提升企业和网络里固定安全产品。今天的内容第一个谈一下网络威胁现况,有一些是赛门铁克早期预警系统,以及技术应用与解决方案,最后有一个总结。
网络上面攻击事件是不是发生得很频繁,这是我们做的统计资料,目前平均在网络上发生57个网络攻击事件,单一的病毒,单一的蠕虫,不管破坏性和损失性造成的损失再大也是一起网络攻击,所以网络攻击是存在的,并不是网络安全厂商夸大这个事实。
这些攻击另外一个很大的问题就是因为有安全的漏洞,早上各位看到方主任统计的资料,其实安全漏洞数量大幅度增加,今年统计了一下,包括硬件和软件厂商都有一些漏洞,今年上半年统计发现1862个新漏洞,平均一天会发现10个安全性漏洞。比如昨天发现十个新的安全漏洞,哪些漏洞在各位的环境里是有影响的,这影响大不大?要如何修补,这些都是一个很大的挑战,为什么这些蠕虫、病毒这么有效短时间造成这么大灾害,目前采用都是漏洞攻击的手法,可以自动在网络上找寻漏洞,只要许多修补好的系统很容易遭受攻击。
从漏洞公布出来,目前有一些人会公布出来有问题,从漏洞被公布出来到实际利用一个攻击程序,平均只有6天,当一个新的漏洞被公布之后,如果6天没有补起来,在互联网上可以有攻击的方向。目前修补程序作为厂商来说平均要54天。漏洞公布6天之内攻击者准备攻击了,对于厂商来说还需要50天左右才可以推出补丁程序,这其中的期间是非常可怕的,这过程中系统几乎没有任何防范的能力。我们看到很多感染情况,常说道高一尺、魔高一丈,目前感染扩散的速度,作为安全厂商如果还是很被动的,如果一个病人被人发现了,厂商写出病毒样本,再发给所有用户,希望借助少数人的牺牲换取大多数人的安全,这现象几乎不存在了,目前大规模爆发的病毒,几乎没有一家企业可以逃过攻击,因为扩散速度太快了,现在一些从攻击到结束只花10分钟,如果厂商还是用被动的方法,必须等待一个攻击被发现,必须一个攻击被收到之后才能写出特征和代码是绝对来不及的,现在所有厂商的科技有自动化的,每一家厂商都有自动化的方式快速帮各位更新,这速度再怎么快的上限也是几个小时,这已经算很好了,目前的攻击可能几分钟就结束了所以这有一个很大的问题,一旦攻击成功就是很大营运上的损失,如果还是传统的方式,希望别人受害让我有足够的响应时间修补起来是做不到的,目前的缺失,因为大量快速散步的蠕虫,而且蠕虫造成非常大的威胁。事实上这些对于攻击者来说是非常好的教材跟典范,只要未来的攻击是用这些方式和手法发展,其实下一次攻击还是很有效的,所以未来的蠕虫情况只会更糟糕。现在安全产品多半是用来做修复的事后工具,必须依靠事后拿到特征和定义及想办法找出网上哪一些系统造成攻击。
要想办法清除修补回来,如果希望攻击来临前做有效的防御必须能回答这些问题。针对电信行业,特别中国电信行业有哪些国家和地区在对我们发动攻击,哪怕对数据库或网站威胁比较大,微软经常会发布一些安全性漏洞,发布的漏洞危险多大,微软会一口气发布很多明显的漏洞,哪些比较明显,哪些需要修复,这些资料如果愿意可以花时间在网上花一些时间搜寻都可以找到,如果要找的话点太多了,必须要通过不同的方式收集片面的资料来判断攻击来自何方,所以事实上做了统计,大概每天要花2.1小时到各个公司的站点寻找有没有新的漏洞和新的威胁以及新的攻击,再想办法找出新的防范,如果你花这么多时间搜寻,你本身真正做提升防御来讲,占了一天8个工作小时的2个多小时是搜寻资料。
孙子兵法有云:知己知彼百战不殆,不知彼而知己一胜一负,不知彼不知己每战必败。现在一般是不知彼知己,攻防来讲,有时候看见这攻击有可能挡不住,可能输掉一场,我们希望提升到知己知彼,才能把胜负概率提升到比较高一些。什么是早期预警,厂商提供这么多漏洞,能不能做准确的分析量化的处理,你了解的漏洞跟实际做一些修补来讲中间是有一个时间差,因为你不知道这个漏洞有多危险,一个漏洞被公布出来,到被有人利用之前并不是一个真正的威胁,但是一旦有人利用,原来可能是等级很低,小的漏洞风险性会提得很高,这是目前赛门铁克可以做到,因为要做这样的判断和分析,必须要有非常大的数据量,赛门铁克在全球超过180个国家有超过2万合作伙伴,在他们系统上防火墙信息和IDS记录都会记录下来。另外在全球有1亿个防病毒的系统送上来。这会在赛门铁克数据库做一个交叉比对,在数据库里面已经记录超过90亿次事件,和超过8千万个攻击IP地址,最后通过专家分析和调查之后,有办法准确预测和分析出来下一步攻击会来自何方。第一个做告警的服务,虚家厂商会告诉系统和应用软件发生一个新的漏洞,如果你的资源只能有效修补一到两个漏洞,现在一口气告诉你十个漏洞,你怎么挑影响最高的,所有漏洞由赛门铁克帮你进一步分析,所以可以根据他的方式,我们利用一个综合的评段给一个分数。因为有这么多产品和复杂性,在整个架构的做法,比如我是数据管理圆,今天发生在DB2或别的新漏洞来讲我没有新的兴趣,所以也有不同的版本,这所谓的报警可以定制到用的什么样系统什么样软件,什么样版本,只有跟你相关的漏洞才告诉你,其他一天平均10个漏洞里面如果没有跟我相关的,我就不需要花时间去产品的网站上看看厂商有没有公布新的风险和漏洞,可以在运用上发现只有跟你相关的漏洞资料送给你,如果跟你没有太大关系就不要太担心。
另外我们有能力实时在互联网上看到情况,有一些IP地址是目前在互联网上攻击别人IP位置,所有放火墙给你一个黑名单的能力,大部分企业不晓得该拦谁,因为攻击随时都在变换,其实这个资料要自己找是几乎做不到的,赛门铁克搜集全球实时的资料,可以很快告诉你,目前在互联网上哪些IP主动攻击行为,把哪些IP放在黑名单里面,你只要放在黑名单里面,他的任何攻击对你是无效的,防火墙会告诉哪些通信薄在遭受攻击量比较大的,这是不是在公司防火墙里开启,如果开启是哪个应用软件造成开启,这风险比较高的,所以要优先提升防范等级。
我们做法是会做一些统计,在互联网上存储超出异常,就发出一个报警,针对某个应用软件有大量的信息量,这通常是一个前兆,可能有人发动攻击了,因为大部分攻击者也不是神,他们也会找一个小的区域测试写出来的攻击码是不是有效的,有效之后再做一个修正,事后大量散步出来,如果这攻击在你企业里被侦测到,如果他在欧洲做测试可能中国的电信企业没有发现有什么攻击要来临了,现在通过全球性侦测,有效提早告知。另外还有很多的数据,有数据就要分析成有效的信息,比如可以分析电信行业里面,过去30天里面在哪类上攻击数量最多,或者针对中国电信网络来说,如果攻击来自美国大概有多少量,因为没有足够数据量判断,这样判断可以帮你知道什么地方要花更多的资源是一个有利的参考。在2004年4月13号当天微软发布了20项漏洞,我们就把危险等级往上提了一级,到了4月15号的时候,在网络上找到有人写出来可能攻击手法的范例供大家参考,这时候再一次提升了警告,我们已经觉得越来越有机会人们开始攻击了,到4月20号再次提升预警,原来只是漏洞,现在已经找到攻击程序了,这不再是一个漏洞,已经变成一个真正的威胁,到4月29号看到攻击行动,又再次发布,到了5月1号整个攻击正式展开,实际上从利用漏洞到攻击只有20几天,中间非常短的时间,按传统说法所有人挡不住措手不及的,如果有一个比较好的早期预警,它的攻击事先是有征兆。
攻击要来了怎么办?孙子兵法告诉我们,无持其不来,持吾有以持之,无持其不攻,持吾有所不可持。目前很多很被动,一定要攻击写出来才能办法阻止,在互联网上来讲,所有的通信协议是有标准的,如果知道标准是什么?只要不符合标准就挡下来,这是很好的关联,但是互联网上协议是一个建议值,最好照做,如果没有照做也没有强制性,这功能很多产品都有,但是这功能一旦打开,误报率太高,很多应用软件并没有完全尊重这个规范写。但这东西如果搭配早期预警的时候,平常这功能做记录不做真正拦阻的动作,如果早期预警告诉你网络危险等级提高,就可以把只是做记录行为做拦阻,等到厂商给你病毒定义码和攻击特征码之后,你再调回原来的等级,这方法有点搭飞机一样,你带行李,平常不是太满你多带一点航空公司不是太计较,但是到春节探亲的时候,你行李超大就一定请你托运。上个月份我国到北京刚好遇到布什来访,所以安检就很高,因为当你风险性提高,自然会提高相对应的防护措施。
漏洞实际上对攻击者是很好的工具,我们希望如果还是等着攻击程序写出来,再开发一样来不及,如果这样下一次发现的时候,结果会跟今天一样,所有人应声而倒,所以如果微软公布一个新的漏洞,实际情况大部分企业不可能有那么高的效率全部打起补丁。但是对攻击者来说,一个漏洞出来之后6天就有人写出攻击程序释放出来,等到厂商收集攻击码之后,对所有企业已经来不及了,这是以往的情形,现在观念是说,围绕这个漏洞,厂商根据漏洞写出所谓的特征,因为既然要利用这个漏洞,你程序里面要符合这个漏洞,就好像钥匙把锁打开,中间有一段钥匙要符合的,所以里面要有符合的东西,厂商就可以档下来,这种方法产品防御本身,不管入侵检测还是病毒检测,都可以挡掉了。这个观念也不难,难在对厂商来说一天十个新的漏洞,如果每天都要写怎么来得及,怎么写得出来。既然早期预警可以发现哪个漏洞最大,厂商本身就知道应该针对哪些风险先写出所谓的特征来做有效的拦住。这是厂商可以利用早期预警提升的效能的。
另外一个什么软件什么时候装的,有一些是员工从网上下载,我们平常只是记录一下,这软件什么时候装的,来源是什么?平常只做记录,一旦到了今天互联网上风险高的时候,就要把开关打开,只要过去72小时从互联网上下载的软件全部不准运行,因为可能过去72小时有用户不小心下载的攻击程序所以只要来源互联网,运行时间不超过72小时的软件全部禁止使用,平常用的不管电子邮件系统,还是其他系统并不符合拦阻的条件仍可以运行,等到厂商找出定义码,或特征可以把这个功能关掉,这时候表示这个攻击即使进来以目前的防御系统可以有效检测。
因为既然做安全,没有100%安全,还是希望整个业务领域不要中断,有这么多不同种类的威胁,一旦发生事情的时候,在最有效时间,最短时间让业务恢复,赛门铁克跟维尔卡斯合并以后业务不是完全吻合的,但是这是一个很好的解决方案,早期可以发现一些可能的攻击,既然厂商已经根据漏洞的特征给了你特征码,原来系统有做备份是不是应该把备份频率增加,原来是一个礼拜做一个备份,现在是不是应该改政每天做一次备份。同时既然知道威胁来自哪里要检查内部系统哪里有漏洞,要补起来,这样把赛门铁克和维尔卡斯做一个综合的管理。
做一个总结,今天上午方主任说,早期预警绝对不是万能的,我同意,但是网络安全没有单一的产品单一的技术是万能的,必须要搭配使用才能发挥功效,早期预警的好处就是针对目前产品可以做很有效的提升,可以达成业务的连续性,排定资源的优先运用等级,采取持续的行动。
我们常说天有不测风云,目前来说不是这样,比如去年12月26号南亚发生海啸死亡人数非常高,事后检查结果是因为南亚没有建立海啸的早期预警系统,新闻说这些国家已经陆续建完了,这些国家预警可以在2小时之前告知政府海啸要来了。只是告诉你有灾害发生,更重要是采取行动。另外在中国发生重大的天灾是1976年7月28号唐山大地震,中国死伤24万人,当时国家地震局事前有办法做出预警,地震可能要发生了,但是认为地震不可测,当时可信度不是那么高,当时在距离唐山115公里青龙县,当时领导25号听到这样早期预警,回去召集所有干部,发布紧讯,所以在唐山大地震青龙县死亡率是零。天灾是希望可以预防,但是没有办法阻止它发生,不管各位网络做了再多防护也没有办法时攻击不产生,我们做的早期如何知道这样的攻击,一旦攻击发生在最短时间把损失降到最小。以上是我的报告,谢谢。
主持人:谢谢王总,王总演讲有很深刻的印象,最后举两个例子非常鲜明深刻的说明早期预警的作用以及必要性。大家都知道中国 移动通信集团公司作为国内唯一专注移动通信发展的移动通信运营公司,在我国移动通信大发展的过程中始终发挥主导作用,并在国际移动通信领域占有重要的地位,如何给用户提供一个安全畅通的通信网络是中国 移动非常关注的问题,今天请中国 移动网络部副总经理戴忠先生跟我们一起分享移动如何应对挑战,健全安全保障体系的。
戴忠:各位领导,各位专家各位代表大家下午好,今天上午我们公司总裁代表各运营企业发表了构建安全网络 服务和谐社会的倡议书,鲁总走的时候跟我讲,他算忽悠完了,真正把安全工作做到实处要靠我们网络口,今天难得有机会和各位一起探讨中国 移动在网络安全方面做的工作,这项工作任重道远希望在这工作中得到各位大力支持。
今天汇报的题目分三块,一块是电信行业面临网络安全的挑战分析。第二是中国 移动目前做的网络安全保障体系建设情况、第三个是我们在日常网络安全工作中的实践总结。
首先是信息技术发展,网络安全带来新的挑战。一个是网络的数据化,传统的通信网已经由封闭的,基于电路交换系统向开放,基于包交换转变,由于开放性带来安全问题更加暴露,我过去长期从事移动网维护的,过去传统电信网从传输到交换都是封闭的网络,从来不担心受攻击和安全性问题,建的安全中心是用户的授权、见证,话音加密。现在有互联网以后,有数据通信网以后体会到外在的威胁对我们网络运行的影响。
第二个是终端的智能化,过去拿手机打电话,现在拿手机以后可能看电话,中国 移动有一个广告叫没事摸一下,可以上网可以看彩信非常方便,但随着终端智能化发展,不会有病毒等问题,现在手里拿一个小终端,比如诺基亚N70,这手机里面内置赛门铁克手机防病毒软件,终端智能化给运营商带来变化越加明显,可能通过网络感染病毒,会对正常运行带来影响。 过去都是电路交换型的,基于IP数据业务越来越多,我们所面临安全的漏洞,安全形式更加多样化。
第二个攻击技术的演变导致威胁增强,现在攻击工具越来越多样,而且越来越容易获得,所需要的技能越来越低,现在我们最讨厌网络攻击,一点技术含量没有,这还不像原来黑客要掌握很高深的技术,现在很容易,下载一个黑客程序就可以进行攻击,漏洞利用的时间越来越短,攻击的目的性,过去纯粹为了比技术,现在商业目的越来越明显。企业面临的风险日益提高,由于网络技术的变化,由于漏洞不断的增多,由于网络向全IP方向发展,这些变化对于电信运营企业带来的风险增多。
以上是简单对电信行业面临的挑战做了一个简要的防细。对于中国 移动来讲,把中国 移动安全体系做一个介绍。安全是一项系统工程,涉及的问题是方方面面,我们划分成这样三个层面,一个是管理性的安全,一个物理性安全,第三个是技术性安全。很多人讲网络安全是三分技术,七分管理,所以构建中国 移动整个网络与信息安全体系的时候,从管理性、物理性、安全性几个层次分别设置我们安全体系。
我们做的安全体系目标是构建中国 移动网络与信息安全保障体系NISS,对于涉及公司所有信息资产包括通信网,业务支撑系统,包括各个部门网络部、市场部、财务部、研发部、人力等各种重要信息进行保护,对于网络安全性,可用性完整性保密性三个纬度做网络安全工作。
NISS主要三个纬度来构建全方位的中国 移动的NISS体系。做这事肯定要靠人,具体从事网络安全的同志感觉形势很紧迫,每天工作做不完,还得让领导重视,好在中国 移动高层领导非常重视这个事,组织架构来讲是一个三层的网络安全组织架构,最高是网络与信息安全领导小组,主要负责网络与信息安全的决策、第二层是管理层由网络与信息安全办公室,主要相关的主要部门管理人员组成、负责网络与信息安全管理层工作,第三个安全人员,负责网络安全生产性的操作。
在整个NISS的构架是这样一个构架,这个构架大家可能眼熟我们大的参考17799作为总的参照原则,结合中国 移动的网络特点,构建整个体系,整个体系分三层,最高一层就是总则、总纲、第二层一块技术指南,一块管理规定。我们管理规定比技术指南定得还要多还要细。第三个是操作层面操作手册工作的流程,通过一系列标准体系的制定和完全,和公司内的推广保证安全工作有章可循。
这是整个安全运作体系框架,围绕积极预防,及时发现、快速响应、确保恢复十六字方针覆盖整个信息生命周期,包括管理、技术、业务、人员和法律方方面面。从整个安全技术体系框架来看,昨天跟电信管理局汇报的时候,中国 移动做互联网算是后起之秀,我们网的规模跟中国电信、网通、联通比不了,但是王局长反问你们业务最多,确实也是,我们承载在IP网除了传统的互联网业务以外,还有大量跟移动数据通信相关,有短信、WAP、彩信等等,包括WLAN,和GPRS无线接入以后,还要在这上面承载,我们除了这些业务系统企业内部还有支撑系统,比如计费系统,用户关系管理系统,NISS等等一系列支撑系统也是基于IT的网络,因此我们按照分层,分业务再分不同安全事件几个纬度来构建安全体系。
以上简单介绍的是整个NISS的构架,下面和大家一起交流一下中国 移动在具体安全过程中碰到的案例,现在做的工作主要是六项加强基础性安全工作,主要包括安全城划分边界整合,生产终端集中安全管理,帐号口令集中管理。有一些省公司在基层单位在实际操作过程中有欠缺,出现过帐号口令几年不变,结果被盗用以后直接造成经济损失。另外技术性工作包括安全的预警、安全不定的管理、还有服务于断口的工作工作,这些工作是历经一年时间在十个省移动 公司做了试点,通过这个工作,因为这工作很简单,但是做完以后效果是立竿见影的。我们通过安全预警和应急响应的有机结合。
另外从预警信息渠道来讲,在信息产业部领导下,结合企业自身的特点,也不断梳理自身的渠道,包括原厂家安全产品的提供商,国内、国际的一些组织中国 移动都是有这样的业务联系,包括信息产业部制定了一系列响应的流程,解决方案包括中国 移动自己的经验总结,也充分借鉴了系统集成商,设备制造商包括自己一些专家的多方参与共同制定一些安全应急的方案。
有两个案例一个是04年1月思科公司发布路由器的漏洞,因为中国 移动网上很多思科的路由器,我们要把它统统升级这工作量非常大,周期很长,2004年1月份马上要春节了,按照运营商的惯例,重大节日要通网,任何升级改造不能动的,我们认真分析面临安全的形势和解决需要的代价,最后跟思科人员共同分析,我们想把风险分析清楚,所需投入也清楚的分析,通过分析以后缩小受影响的范围,跟厂家一起制定了最佳解决方案,激动MPS的流量,在广东移动 公司做了一个测试,升级本身没有问题,系统打了安全补丁以后,经过现场测试没有问题,再在全网络推广。
第二个案例是狙击波病毒,这是今年8月份的事,微软公布安全漏洞,当天知道这样一个预警以后,马上向中国 移动网内下发了预警,同时也提供了这样一个补丁,在不能即使装补丁的省下发了预防的措施。16号狙击波病毒已经开始出现了,我们也是向全网提供了解决办法,查杀工具,这事处理比较及时,中国 移动没有受狙击波病毒的影响。
对于上午各位领导专家强调,对于攻击者是没有边界的,而防御者是有边界,因此防御者之间需要加强合作,共同构建主动开放有效的网络安全应急体系。中国 移动也得到领导的高度重视,最近领导提了新的要求,一方面我们在构建NISS过程中,参考17799,中国 移动也希望早日通过17799的认证,这在全世界电信运营企业里也没有几家可以通过17799认证的,中国 移动既然立足做世界一流的移动企业至少要把这作为努力的方向。另外关于SOC的建设,作为网络安全的管理者,如果没有好的手段是没有办法有效监控整个网络发生的事件,虽然现在建了防火墙,但是这往往处于头疼医头,脚疼医脚。整个安全体系在路上,没有真正到比较完整的阶段,所以对于SOC的建设题目很热,大家也非常积极的探讨,有很多这方面的专家也问我中国 移动什么时候建SOC,从需求角度来讲有这个需求,但是真正推进这个工作,中国 移动愿意跟在座专家一起探讨来构建我们真正的安全体系。
以上就是交流一些中国 移动网络安全的工作,我们非常愿意和大家一起探讨如何做好网络安全工作,谢谢!
主持人:非常感谢戴总,听完戴总的演讲,在座的各位和我一样心里踏实了不少,中国 移动不仅认认真真,而且认认真真考虑安全问题,我们大家完全可以享用中国 移动为我们提供的各种服务。
华为公司作为国内最早最具规模的设备供应商,为国内通信业的发展做出了积极的贡献,经过多年管理改革与变革,华为具备了符合客户利益的差异化竞争优势,今天邀请华为技术有限公司安全解决方案部部长刘立柱先生为我们讲讲华为的安全免疫及终端安全管理。
刘立柱:各位来宾大家下午好!今天有幸在这里和大家一起分享华为在经过多年自身的信息系统安全实施,以及多年服务网络运营商经验的基础上,总结免疫网络和终端安全的解决方案。今天上午大家听到每位专家不断讲安全各种各样的问题,我们在这个角度上做进一步的阐述。
对于今天上午听到安全方面的概念做了一个总结,叫传统安全防护体系的分析,基于传统安全防护体系优点比较明确的是分层分级的防护和产品丰富性,通过对安全漏洞不断深入分析研究,提升整体的安全结构,但是它也存在一定不足,主要体现在,传统安全防护是对已知漏洞的防护还缺乏对安全风险源头控制,特别企业安全来讲我们做过一个实例分析也做过信息的收集,大量安全隐患来自终端的网络,终端给这个企业的安全带来风险可以用二八原则定义,80%网络安全来自业务终端,对业务终端管理是安全重要的课题传统安全课题怎么跟电信业务结合,也是华为关注的重点。在这基础上我们提供了网络安全演进的分析,现在是纵深防御网络,通过多样性安全产品部署实现多层分域安全防护,安全服务集中于产品的维护上。针对企业安全来讲要更多考虑端到端的架构,刚才戴总介绍中国 移动经验体会上介绍的,安全永远是三分技术七分管理,在管理有了相应的体制和制度之外,更要考虑安全本身在管理上的技术实现,这是我们提倡的免疫网络。为什么是免疫网络就是构建这样一个体系,实现从用户地域得终端到计算地域得业务系统,到服务域的安全服务,以及整个网络层面都可以实现安全的信息自我防御和信息联动,通过体系的构建完成之后,在整个安全的实现中可以实现全网联动。基于这样一个概念可以畅想未来可信任网络的概念,整个企业的网络安全是基于一个可信任的网络形成的,从业务的接入,网络的接入和使用上都是基于可信任的,这就是我们所倡导的网络安全的演绎趋势。
华为的免疫网络安逸的理念基于三点,首先我们倡导从源头控制,正如刚才介绍说的一样,整个网络的安全很多风险和不安全因素大量来自终端,终端本身通过非认证的软件、或者通过移动介质的拷贝带来和引入很多不安全的因素,比如在企业构建网络的时候对内网用户的弱防护,所以对终端的源头控制,对于安全风险的控制是对满意网络最重要的支点。整个源头控制定义为安全检测,危险隔离,风险清楚、安全策略的更新,这也是跟大家分享的重点,基于源头控制的终端安全管理解决方案。其次对业务系统的健壮性,包括漏洞扫描,防范评估,建立安全基准和加固和计算机清除。很多其他的发言者都不断提到业务系统安全的概念,其次就是管理的概念,怎么基于一体化的深度业务检测和联动怎么实现风险的收集,统一管理和风险的规避,这在整个安全体系中是对企业来讲是最重要的工作,通过三点一块控制,实现端到端,从源头到业务系统的使用,到整个安全的风险防范是一体化的概念。
下面介绍一下在源头控制终端安全解决方案的体会和实践经验,华为自己在多年系统的构建和信息系统的改进上,不断体会到很多安全的风险来自于终端,对终端这一块通过跟自身的体会也提出一个分析现状,终端安全管理现状,不仅威胁终端自身的安全,更多对网络和主机造成极大的威胁,这体现在四个方面,一个终端自身的安全,会造成大量业务终端,特别我们在OA办公系统中使用的,比如运营商在生产系统中使用的终端,包括自身各个企业使用各个业务系统中面临要操作这个终端,实际上安全的风险来自于人,人的第一体现者就在终端上,怎么封闭和管理这个终端的安全是非常重要的。除了终端安全之外会造成一些感染性风险,比如病毒大规模散播,还有终端滥用资源,比如终端自身感染病毒会引起网络风暴,还有终端非授权访问,这也是所有企业面临安全课题时最头疼的问题,怎么样让企业的业务顺畅运行,又避免出现信息安全的问题,因为信息安全作为企业来讲已经上升为企业的核心资产。还有一些终端的蓄意破坏,有一些企业内部不健壮性,通过终端来进行网络破坏和帐号口令的盗取。
如何降低终端对服务器网络构成的威胁,要对终端进行相应的身份认证和安全检查,实现一体化对终端的防护,所有终端在进入网络之前要通过客户端到安全策略服务器上认证和安全策略检查,通过之后才准许终端系统访问相应的业务系统,这作为整个安全认证第一关,如果不符合要求就要进行相应安全的修补,包括针对安全策略进行检查,进行补丁的下载,进行强制杀毒安全权限的补任,修补之后又进行安全检查,这样形成一体的循环。只有被信任之后才能使用这个业务系统,这是我们所说的对终端安全管理的基本概念。五
用一句话来说,借助人类成功的防范SARS传染疾病的经验,其实可以设想一下安全最大的风险还是来源于个体,个体中很多不安全性,如果能够利用业务系统中的一些漏洞,因为业务系统中漏洞是防不胜防的,只有对终端进行强制性检查,隔离、加固和管理的模式之后才能对终端进行安全的管理,针对这一点我们在安全的管理模型上提出四个概念,一个就是进行用户终端的检查,这个检查包括用户终端的身份,用户终端的权限,用户终端的安全,这是通过在整个方案里面用安全网关的方式实现的。第二个对于非法用户终端进行隔离,对于合法用户越权访问进行隔离,不允许访问我的业务网络,不允许进入核心的业务域,这自然把风险隔开了,其次就是对于不安全的用户进行终端安全加固,包括加载必要的安全系统补丁,应用系统补丁,以及相应防范病毒的软件,加载最新的主机防火墙等等,这样帮助最终的终端进行自身的加固和安全的管理。其次通过后端的审计对于不安全的终端,以及用户的行为进行监控审计,特别这一点在企业信息安全中比较普遍就是如何监控用户的行为,去防范信息安全资产的损失和信息安全带来不安全的隐患。以及怎么制定新的安全策略,通过四位一体的体系保证终端自身接入的安全性,以及用户在使用业务系统的安全性,这对于我们中大型企业,特别电信运营商在业务系统的使用中很容易保障内网企业网的安全。
对于华为终端安全管理系统,整个系统构架分为三个部分,第一个是安全策略服务器,主要对于终端集中控制管理和加固,提供统一的安全策略,包括对终端来讲要加载什么样防火墙,防病毒软件,操作系统补丁是多少,相应用户安全其他方面的策略等等,同时还可以对用户在接入认证的时候,直接对用户相应的信息进行检查,包括操作系统的补丁,杀毒软件,防火墙是不是达到安全测试的许可,达到了许可,用户身份合法通过才能接入业务网络使用,这一点是安全策略服务器实现的功能。第二个安全控制网关,主要对终端进行接入控制,通过这个直接实现业务网络隔离,对于非法用户或不安全的用户,以及其他的一些非法用户都可以通过安全控制网关实现强制化隔离,使得无法接触网络,从而第一步就隔离开了,对于合法的用户分配相应的网络权限,比如允许某一个电信运营商计费部门的用户,就无法访问业务系统主机的权限,网络部门的员工无法访问计费系统的网络,所有的策略最后在终端上实现,是通过客户端代理软件到安全控制网关上实现检测相应的安全服务,包括自身的安全策略实施。
从整个业务流程上来讲,用户终端必须经过安全策略服务器的认证,才能到安全控制网关上打开相应的权限,发送回复信息给安全策略服务器,允许企业登陆相应的业务网络使用业务系统,对于没有通过安全策略服务器的用户终端需要修补相应的内容,去重新定制和下载相应用户安全的补丁,还有修补它的安全策略或重新加载防病毒软件。经过修补信息库的重新检测,修补成功之后才能成功通过安全策略服务器的认证,通过安全接入网关权限来使用这个业务系统,从这样的体系看,通过这样的构架部署和实现,可以直接让企业有效的管控整个企业网络的安全,直接实现所有不同用户对不同业务网络,对不同业务系统,有合理的权限和整个企业自身定制安全策略下使用的安全网络,这就是所说对终端免疫的网络化的概念,其他还有对业务系统的免疫概念,这次会议就不介绍了。
通过这样一个体系结构,安全的部署和策略的实施,华为终端安全管理,实现了这么几个价值,第一个是构建了一个开放性标准性和可扩展性的标准安全体系结构,通过这个结构企业很容易将整体企业网络安全和业务系统安全,信息安全的标准进行固守和实施,同时可以实现有效的管理,我们说三分技术,七分管理中七分管理,大量靠人为审核管理的工作,可以由这样一个系统实现自免疫,第二个为企业建立自动自我防御,之我安全加固的自免疫安全系统,帮助更好防御外来攻击,这是从整个企业网络的安全,还有信息安全的角度上来看的,70%-80%安全风险的隐患被这样一个系统主动屏蔽比掉,另外彻底解决不安全终端给安全网络带来的安全威胁,例如病毒、蠕虫等等问题,这样为企业业务系统顺畅运行创造一个非常好的条件。第四个在实施部署中,对自身的网络改造非常小,通过这样一个三位一体的实施,整个帮助企业大大提高企业安全的可实现性,也很大程度降低了企业在安全上进行开支的成本。
整个华为的终端安全解决方案就介绍到这,谢谢大家!
主持人:谢谢刘部长,中国电信作为中国最大的基础网络运营商和综合信息提供商之一,如何为用户铸起一道互联网网络安全的长城是人们关注的话题之一,让我们一起听听中国电信网络运行维护部副总经理孙小红女士给我们做齐心协力,共铸互联网网络安全长城的演讲。
张强:我们孙总监临时有事,由我代替她做这个报告。非常感谢会议的主办方给我们提供了这样一个机会,能够让中国电信有机会借助这个平台跟在座的嘉宾进行交流有关互联网网络安全包括安全管理,防范等等各方面的工作做一个交流和沟通。
中国电信拥有中国最大互联网的运营企业,如今天上午很多嘉宾提到的,我们在管理和运营这网络的时候,同样面临很多有关网络安全的困难和问题。今天报告主要是介绍在应对这些困难和问题的时候,中国电信所做的工作和探讨,包括建立的网络安全保障体系,以及网络安全工作中的实践和思考的内容。
首先提到的中国电信网络安全保障体系,大家都知道在2000年的时候,原中国电信在完成了互联网业务的市场培育期之后就在宽带业务即将大力发展的时候,作为中国电信已经意识到互联网网络安全的重要性,在2000年时候专门成立了相关的网络安全管理的部门,着力建立中国电信自己的网络安全保证的体系,同样安全保障体系也分管理体系技术体系两方面。在管理体系里面有组织体系、策略体系和保障的机制,我们是组织保障策略引导、保障机制支撑,基本上通过这五年的工作,中国电信已经建立起了相应有关网络安全的完备体系。刚才大家都提到了网络安全里面一句话,三分技术,七分管理,对于中国电信随着网络规模不断扩大,业务的突飞猛进带来了更多有关网络安全方面的问题和困难,从这个角度来说,单靠纯粹的管理和应急相应很难完成有关网络安全方面的工作,在这个条件下,更多的投入到有关网络安全技术体系的工作,在这些技术工作开展的同时,也构建网络安全基础支撑的平台,也就是SOC平台,有手段保障,技术保障和完备的技术管理体系,依靠这一个完全保障体制完成中国电信互联网安全保障工作。
在2002年的时候,按照信息产业部的要求做十六大通信网站,我们在集团公司成立相应互联网网络安全管理中心,这时候重新介绍一下所在处室,我们是运营部数据处,也承担中国电信网络中心安全的职责,这下面有网络安全应急小组和反垃圾邮件处理小组,和其他一些工作小组。在省公司也与集团相应的成立安全管理的中心,在地市有专职网络安全人员从事网络安全的工作。大家经常说电信行业传统是半军事化管理,我们这里有三级管理体系是得以中国电信有两套传统和作风,保持了正面的上传下达,保存了相应的响应工作和反垃圾工作的开展和运行。各级安全管理中心和行业的主管部门包括各省通管局保持紧密的合作关系,在行业领导下开展相关工作。
这是一个应急的组织体系,可以看到在国家互联网应急处理工作办公室领导下,也是由于中国电信集团互联网应急保障领导小组,以及下设的工作组,这里特别提到就是成立应急体制之后,一方面加强了与CNCERT/CC指导合作,在他们帮助指导下处理了很多网络安全的事件,另外在我们组织体系里加强了与设备制造商的合作,包括安全厂商,安全服务提供商,安全设备制造商的合作,通过方方面面共同努力,建造了相对比较完备的应急组织体系。
与组织体系相对应的就是正确的策略指导,我们是层次化的网络安全策略和制度对工作加以指导和落实,我们安全保障的组织体系构建在运维的部门,正式发挥运维这条线的战斗力和规范化的工作,一方面快速响应快速处理网络安全事件,另外把网络安全工作的重点工作落实到日常工作维护中。在这几年的网络安全工作中加强网络安全人员的培训,今天上午有领导提到人是根本,首先加强对安全人员的培训,同时也坚持一年一度的安全演练工作,我们在2003年侧重主机防范工作,不管是培训还是演练都是这方面的内容,当时演练规模比较小的有5个省参加,到2004年随着网络安全事件的特点特征的变化,我们已经把它变成对网络流量异常情况的监控分析,包括培训包括演练这一块,规模也扩大10个省,今年我们在纵深方向进行了加强,延伸到局域网层面也涉及垃圾邮件处理,整个餐饮的规模已经变成14个省。
这是我们支撑平台,现在取名叫网络安全技术支撑平台,也就是SOC,这个系统鉴定通过两年的摸索和实践已经进入系统建设的试点工作,这通过几个模块协同工作,来完成对网络安全事件的监控,完成对网络安全工作处理过程中的支撑。还有垃圾邮件处理独立的支持系统,正是这些手段的建设,对工作水平的提高起到非常大的作用。
第二部分简单从两方面给大家呈现一下在网络安全工作中的一些实践,首先是中国电信开展的网络安全防范和应急的工作。大家从这张照片可以看到,逐年从2003年以前到2006年,我们目标是建立可持续改进的安全保障体系。在培训工作中介绍过,在2003年侧重内部主机安全防范,我们开展大量漏洞检测评估和加固工作,在企业内部通过这工作没有发生重大的主机安全事件。在2003和2004年的时候,网络安全事件的特征有了新的变化,网络安全事件造成网络整体性能下降,在这个阶段主要根据网络整体流量突变的情况监控分析和及时采取措施控制相应网络事件出现。在这个阶段强调的是快速相应机制,和及时恢复通信网络的能力。在今年随着网络的扩大,包括技术水平的提高,包括以前的工作,类似问题的出现对网络整体影响比较小,但是没有放弃对流量监控的分析,随着技术的提高,已经变成对流量成分突变的分析。及时发现网络中无效流量,一方面提高自己网络资源有效利用,另外一方面也是为了避免更大网络事件的影响。在2006年计划根据今年的情况,也会关注网络设备本身类似网络版本。这每年工作特点不一样的,但是想表达的是,网络安全工作对我个人感觉,最大的困难是什么?以前解决的问题还要继续保持,但是你会发现遇到一些新的问题,去解决一些新的问题,相关的网络安全工作会逐渐沉淀下来会越来越多,这是网络安全工作里面最大的难度。另外一方面工作是开展反垃圾邮件的工作,我们从2003年开始加强垃圾邮件处理工作,虽然在管理制度上面和其他的要求上面做了加强,但是因为手段等等各方面原因,2004年数据,中国电信有三个省公司在前十名,2005年加强了建设和管理的措施,到今年10月份的时候可以欣慰看到已经完成推出黑名单的数据。对于2006年来说还会加强对国外垃圾邮件投诉的处理,也想和邮件服务提供商联合在一块为网内的客户对垃圾邮件客户投诉受理开展相关探讨性的工作。
最后汇报一下对互联网安全的一些思考,更多的是一些提议,我们通过多年互联网安全工作感觉,互联网网络安全需要全社会的参与,政府方面今天上午也获得很多令我们激动和鼓舞的信息,政府也在加强相关的立法工作,包括信息产业部也加强行业的监管包括新业务的出新,新网络出现的监管力度,这对运营商来说是很好的消息。
第二方面在运营商这边还要保证基础网络设备安全运营,还要加强技术的研究和设备制造商共同制定网络安全的规范,也为用户提供安全的服务。网络设备的制造商也应该重视设备安全功能的提供,让我们使用设备的功能,提出防范网络安全事件的功能越来越强大。
在科研机构方面,也希望加强对网络安全技术的基础性研究,并及时研究成果产品化,对用户这一块,希望在我们工作中能够随着用户安全意识加强,得到用户更多的理解,也希望在座媒体朋友,借助你们传媒能力,加大对安全知识宣传力度,提高全社会人们的安全水平和意识。说到这里有一个新的想法,网络安全三分管理,三分技术,四分协作,希望全社会方方面面共同协作,完成这项艰巨而长远的任务,在我们行业主管部门正确领导下,在各界合作下,中国电信有信心,有决心承担起基础运营商的责任,和大家一起共同为构建安全网络服务,构建和谐社会做出贡献,谢谢大家!
主持人:谢谢张处长,趋势科技作为网络安全软件和服务领域全球领导者,自2001年进入中国市场以来,就用创新服务用户的需要为宗旨,为中国行业的客户提供高品质的产品和服务,今天很高兴请到趋势科技全球副总裁亚太地区总裁刘家雍先生做反病毒专家服务咨询,安全性产品之外的新思维演讲。
刘家雍:各位嘉宾下午好,刚刚主持人介绍了趋势科技背景,我今天谈的是厂商的立场和16、7年专注在反病毒事情看到安全运营发展的变化。
前两天来的时候在国际上看到一个报道,这报道是上个星期才出来的,谈到公安部调查的一份资料,关于国内网络信息安全的数据,可以从这个数据上看到,网络安全事件比例属于管理相当完善相当严谨的行业公司做的调查,安全发生事件机率相当高58%有网络安全事件的发生。其中与计算机病毒相关的,蠕虫、木马相关的安全事件占的更高,这里面可以看到,一个小小计算机病毒感染率在绝大多数已经管理相当好的信息安全单位仍然有相当高的感染比例,刚刚好几位电信运营商的领导所谈到管理也好,技术也好都是尝试防范类似问题的发生,但是今天病毒这事情,或整体安全仍然是困扰一般行业或计算机用户,运营商用户很重要的威胁,如果照我们数据来看,整个2005恩年虽然国际上没有很大型的全球性大爆发,没有冲击波这样上报纸头条大病毒,但是总的数量,总的病毒感染数量比去年多了很多,可以说逐年在增长,这里面最严重三种恶意程序代码,一种还是蠕虫,还有间接软件以及透明的程式,这些攻击越来越快,有一大部分针对操作系统也好,或系统上漏洞,但是出来的速度非常惊人的,在2000年系统间距一年,到今年病毒出来跟系统漏洞颁布时间只有四天的差距,这速度越来越快,几乎让打补丁的速度跟不上,等到你发现得到通知开始进行弱点检测,打补丁的时候,这病毒可能到你家门口,我们看到危机点,刚才很多领导专家谈到,在内部使用者本身,内部管理是很大的漏洞跟危机,以前注重外部的攻击,但现在所有的调查,不仅国内、国外的调查,看到内部才是真正的重点,真正烦恼的地方,从技术的角度,虽然大家都了解所有的攻击都是单纯的病毒,不是单纯的黑客,不是单纯的入侵的问题,而是一个组合,是一个混合式攻击,针对这些攻击核威胁有很多不同技术方法,有的是堵截,有的单纯的扫描,有很多智能性行为的分析,它的层次也从物理层的路由器,从防火墙、交换机的层次一直不断落实到各个领域,所以我所显示出来很多的技术也好,或者不同的产品名称也好,都是各位在平常安全管理,信息安全上面常用到的东西,但这仍然有一个很大的特别现象,我根据IDC统计数据刚刚做出来,可以看出来在全球大家的调查,在防病毒的相关领域里面,差不多大中小型的企业有90%以上部署率,现在很少公司或单位不装防毒软件,装防毒软件密集度这么高,但是大部分使用者真正烦恼的事情,还是跟病毒相关,所以这存在一个巨大的落差,这个GAP告诉我们过去一直使用不管哪种层次反病毒软件硬件,但是这些装上去之后对于目前网络威胁,不同攻击混合式攻击造成什么效果,实际上从防毒软件公司来看,这里面发现存在巨大的落差,这个落差虽然现在有新的威胁也有新的不同解决方案的技术,这些威胁不断在变,有一些特质,大爆发不多但是针对性攻击特别多,针对网络银行针对网络游戏,针对不同区域有很多病毒,有一些只发生在韩国,有病毒在中国最严重,这跟过去不一样的,过去有病毒的时候,全球各地各种样本都过来,而且很平均,传播速度很快的,但是今年2005年不一样,有区域性、行业性的病毒,换句话说有很多制造病毒和安全性的人在操作,有针对性利用病毒为工具进行破坏或者求取不同利益,这些攻击者渐渐变成有计划操作的隐性攻击,技术越演进,各种攻击形式也不断演进,我们同意技术和管理的平衡性,但是本质上技术永远是管理的一个工具,最终安全性管理的问题,但是良好的技术是达成管理技术不可或缺的管理要素。
对于企业来讲面临两困难产品技术虽然多,如果新技术都用的电话肯定有一些风险可能有下一批的黑洞,可能在使用上面技术不成熟造成很大的问题,但是如果老是不采用新技术,可能无法应对未来新的变化,这造成的损失也很尴尬,刚才中国电信也提到旧的防不了,新的不能不防。今天在我们看到不管是如何运用种种管理办法,行为的控制或者最新的各种技术,有几个问题始终困扰一般单位的信息主管,当我做了这么多事情,我做得够不够,好不好,是不是这样可以喘口气,旧的可以放下来吗?新的到底怎么防,这始终是一个很大的困扰,另外如果无限制投资新的技术,所有管理办法,各种新的政策用上去,请问投资报酬率怎样,你公司最高负责人也会问,为了安全投入这么多的资源资金,回报率怎么样,同样的道理怎样才叫成功,跟其他行业同业人员比起来做得好不好,如果不好差在什么地方,有很多CEO,最高主管对安全问题很烦恼,他会问安全主管为什么老受到安全的威胁,为什么做这么多动作还不够,到底受到威胁和感染的根本原因在哪里?如果我们都了解,花了时间跟精力可以更早一点知道威胁的到来吗?可以提供早期的预警跟防御吗?这些问题不是单一的答案,技术和管理也不可以真正切开,只是包容在一起由管理带动技术的应用,指导技术的应用,这用的是一个研究机构所看的大的方向,整个信息管理安全的距证,是涵盖蓝色的四大块,大家要用网络在存取身份认证,终端的安全,前面身份的辨别,授权通过,这都是很重要的安全存取,有外来内部的,内部的漏洞安全系统的本身的架构,还有识别身份的管理,这架构里面要全面做也不是简单的事情,从防毒来讲,病毒无所不在,PC可以有病毒,文档可以有病毒,电子邮件可以带病毒,上网可以中病毒,现在更多的诈骗,假的网络钓鱼,社交工程跟病毒延伸出来工程,到底怎样做是正确的方法,我们提出一个新的概念,从防病毒有效性讲起来,除了考虑大的概念以外,我们认为在病毒有效防御里面,必须涵盖几个,防病毒为了减少伤害,使得系统的运作可以持续进行,也就是企业必须继续运营下去,网络必须随时可用的,组织所有成员单位里面人对这个警觉性,同时是一个程序,流程上的管理问题,是不是有良好的政策和运营的方法,当然系统整体的规范管理,系统的环境,到相关软硬件的配置,部署管理都是很重要的。最后一个你仍然会出现状况,不管是大还是小,不管新还是旧的病毒都用可能在不知不觉中出现,出现的时候必须有一个非常清楚的相应机制,所以我们归纳成为五个阶段要分析要诊断要规划要强化,要加固,同时非常重要的要监控,因为一切的问题是动态的,很多技术是被动的,我们总结起来用一个新的整体防御体系而不单单只是用桌面防毒软件,网关防毒软件,或者在一起的机器设备来达到,这里面涵盖三件事情,除了传统的防毒软件杀毒软件之外要有全新对于威胁的探测系统,现在看到很多,因为客户端有很多运行,有软件有上网行为,有各种流量使用,他们常常做了很多事情对IT管理者不知道的,它到底产生什么问题,很多记录不容易查询,以至于无法了解全面的现象,更有很多新的病毒不断产生,现在新的病毒变种,这些东西有新的技术做一个侦测,对于未知的病毒疑似的病毒做判断,到目前有很多行为研究法,按照路径,按照行为面去判断,可是误判率还是很高,所以我们技术是从侦测,收集开始。另外要七天24小时的监控和安全管理中心运营,这可以有效收集掌控发生什么时候,目前防毒软件部署比例,违规比例,进行总结性的观察和分析,一旦发现如果有疑似病毒产生有可能爆发的危机通过职能危机应对。
这图是最传统防毒公司的概念,网关在很多地方部署了软件,自动连到一个下载东西,防毒公司会告诉你下载一个新的特征代码,但这通常是病毒已经爆发了,在专家系统和专家服务的概念下面,除了传统的安全管理中心以外加上智能分析,同时在前端,用户端加上微型探测的技术,收集可疑档案的流通,甚至一层一层往上送,送到安全管理中心,有一个7天24小时人跟系统的组合来过滤产生总结的报告,最后在智能中心根据可以的信号进行判断,这样才能对新的威胁病毒,没有经验的时候可以最早判断,我们之所以不完全相信技术,因为技术都是用来对付已知的现象,都是针对以前发生的威胁,对于未来永远需要人判断,人都是在经验教训中学会,原来不推的幕后犯罪集团开始做什么事情,所以这样的方式可以有效的带动真正结合技术以及管理的方式达到防御的效果,领域也谈到管理的问题,以及用户的行为问题,这是一个办法完全解决,刚刚中国电信的领导特别提到要演变,对于不同的阶段,不同网络设备,安全设备的使用或者制度上面有不同演练,我们这边提安全意识的演练是一种演习,架构从安全管理中心开始,接上服务以后,安全管理中心会发布一个虚拟的病毒,根据最近流行病毒不同,可能是诈骗病毒可能间谍软件,可能垃圾邮件,可能不同的木马,电子邮件传递的方式,由演练中心发布出去,使用端可能有人会上当,根据我们经验有些自认为管理非常严谨的公司会超过10%使用者会上当受骗,把很多机密的数据报上去,这些都是整个公司里面单位里面安全最大漏洞,因为员工没有这个意识和警觉性这样演变结果统计出来分门别类会知道哪个部门,哪个人犯什么错误,如果反复操作可以看出来惯性,有人就是永不悔改,有人非常疏忽,有人很警觉,这些统计出来以后,根据演练的结果进行一个相关的培训计划,让这些犯错员工了解病毒的危险和外界威胁造成的伤害。在网关部分除了相关部署的软硬件之外,同样也是7×24小时智能中心的监控和配套,这样真正提供一个专家级的服务,这样看到用户端实时的通知,可以有效性解决,及早发现问题,事后有专家的报告,能够做深入的探讨分析,比如说病毒从哪里来的,这个威胁怎么进入网络的,进入以后感染的途径是什么?传染的路径、攻击的档案,一切都在记录里面,通过分析检讨吸收到教训,下一次知道弱口令加强,还是远端用户特意予以隔离和过滤,这样有及时通报有监控,有立即的把解决方案远端传递下去同时有总结的报告,这样子的架构对于跟电信运营商的关系是什么?首先电信运营商本身提供最基础的电信服务,本身有相当严谨的服务,可是安全也是很重要的关键地方。
我的介绍就到这里,谢谢大家!
主持人:谢谢刘先生的介绍,
赵先生:各位下午好!
2005年做到混合视频图的例子可以给大家做一个参考,通过SP传送,也可以通过后面,这东西变成其实网络自由度越高,各种病毒会越来越多的出来,所以如何防这个东西变得很重要,我们UTM架构是把所有的东西整合在一块,当然这必须要通过一些管理和整合来做到,这就是UTM是统一的威胁管理。
这是整个的架构,从前面进来到地址转换,和路径侦测,再有一个重点,前面检索的防火墙,我会提出提到这一块,然后通过不同的方式,未来的威胁与服务,现在都不晓得,很快就会出来,最后经过QoS,实际上我们可以在QoS中可以做到。
这是它的架构,这是自有知识产权的oS,有一些用的也是Linux,我们整合多种安全模块和应用可以增添多种安全模块,有统一的管理整合接口。ServGate在UTM有一个创新FCI,我们会重补保证可以真的做到。这是IDC调查,2005年ServGate发表比较多,而UTM比较少,这是全球的报告,当然成长率最高的是有8个百分点,实际上这是亚太市场,一样可以看到UTM在2008年、2009年会大量增长。
这是我们即将跟广东电信在广州开展的一个服务叫宽带安全快车道的服务,对企业用户可以做得到,这里面是一个老外很高兴的拿了一个漂亮的笔记本,在那里上网冲浪,通过我们技术做的。
由这个教材可以看到,所有的用户为什么最不满意,对安全性和费用,最不满意是费用,费用满意度只有20.3%,安全性20.4%,所以大家认为网络安全性非常差,这是大家都可以看到的,1990年开始,一个病人要三年才能传染全球,到2004年病毒几分钟就可以传染全球。这是全球处理中心一个报告,到2003年每年病毒量越来越多,这也可以看到黑客数量越来越增加,这张小图可以看到。这是一张图2003年的,到2003年11月已经有无数邮件被认定是垃圾邮件,所以那些邮件有非常大的危险,这是安全升级的服务商,后面三个服务商用我们邮件做的前面用防火墙做局端的保护和代管。这个是中国宽带成长率,到2004年1月已经4百万张了。
这是比较表,第一代是基于数据包1990年时候,大部分企业以太网个人电脑时代,到2000-2003年是深度数据包检查的防火墙,到现在一定要走到第三代我们叫全面上下文检查的UTM产品,这用要宽带,无线网络混合式时代。什么叫全面上下文检查,传统防火墙技术只会允许传统流量通过,我们在上下文环境中检查,并分析网络流量全部内容再实时过滤出病毒和攻击。首先基于连接的典型检查,确定目标、协议确认,然后重组上下文,事实上可以看到重组器重组完了是可能有病毒的,如果没有重组,单独的不一定可以看到。第三个就是过滤,原来内容重组以后进行病毒过滤,有垃圾邮件过滤网址过滤,如果发现不允许的内容可以进行隔离或者删除或者标记或者其他的防疫。最后所有通过我们机器,就重组上下文所有数据包内容被完全检查清洁处理被交换给使用者。传统的防火墙保护2到4层,这是我们已经集成的各个不同的安全模块,这些是我们合作的客户。SG0S是我们自有产权的。
各位可以从这图看到竞争描述,设备在右上角,下面解释一下,跟电信之间是运营的关系,对电信来讲安全服务的效益在哪里,显性增值是为客户提供创造价值,你除非增加一些其他的东西否则客户一定让你讲价,否则是一个很有效的发布,隐性价值很重要,提升电信网络价值,形成与竞争对手的差异,加强电信品牌效应保持ARPU值。它减轻了终端用户对网络贷款造成的压力,BT大家都知道,如果把接大公司的ADSL上面没有BT的员工想上BT上不了,这种极端的服务只能有限,这公司所有人都会被弄掉,如果你想使老板可以上,用户不可以上,这时候属于第二代的管理,机器就需要放到公司端去了。作为国际领先的国际安全设备提供商,与广东电信合作推出安全快车道服务,为企业应用提供安全的网络接入,同时也为电信开拓了安全增值服务的新领域。从明年1月在广州有3个月2万用户免费测试,6月开始在全省开通,预计有8万用户。用户可以进行不同的组合自己选择。这是实行的一个架构。
这是客户端程序,在电信服务的门户上放安全快车道,你可以下载下载了以后,当你网络受到病毒的时候,会即时告诉你,你可以通过这来改变快餐内容,你可以知道你的病毒是什么?有一些统计的资料。
这是国外提供相关合作厂商,比如新加坡电信、马来西亚电信、都有类似的服务,没有做到比较像样的数量级,我的报告大概就这些,谢谢!
主持人:谢谢杨先生。今天McAfee公司北方区高级工程师陈纲先生带给我们的题目是消除安全漏洞的策略选择—补丁、阻挡还是管理。
陈纲:各位下午好,相信大家在刚才演讲中了解一部分McAfee东西,事实上McAfee在最近这几年中间一直以来做的更多的事情是全面安全解决方案,包括一些关于入侵防御和风险管理的内容。所以McAfee从现在来说将是一个全面的安全公司。
现在国内还是国外看到很多的用户在使用McAfee相关的东西,首先看 一些关于McAfee的介绍,现在McAfee和以前也不一样,以前大家看到是McAfeeNZI之下的品牌,作为我们核心做相应研究的团队,将继续成为我们技术核心。
今天会围绕几方面来讲,我们首先看到一些漏洞的描述,和相应的网络状况,这小组是几年分析的比对结果,通常当大家想到漏洞两个字的时候,可能想到几种解决方案,我们会一项一项看各自优点和缺点,最后McAfee会告诉大家哪个方案会有优势,或者什么形式结合会带来新型的管理模式,最后看一些McAfee成功案例,所有相关产品的用户不管国内国外都可以从这中间看到。现在面临的威胁越来越复杂,就病毒而言,越来越多通过邮件,或自行传播。在2003、2004两年内,AVERI小组推出标记中级高级威胁一共66个,这些病毒和蠕虫行为是大家熟知的,使你机器出现被关机或应用程序停掉了,事实上除了这些可能以外,剩下10%往往让大家最头疼的,这10%依赖系统漏洞,或网络中间的相关漏洞而出现的所谓蠕虫,对于这部分的攻击来说,或这部分的蠕虫行为来讲,最终带来的是采用传统黑客攻击的手法入侵计算机和相应的网络,并且获得相应的控制权限,基本上在这个环境中间会面临最大的威胁来源于这10%,根据AVERI小组统计40%损失由这10%蠕虫带来的,这些都是让大家很头疼的问题。
刚才大家一直谈一个问题,现在蠕虫攻击和各种各样的问题,响应的问题,爆发的时间越来越短,从最初长达288天的病毒,到现在从发现到全球造成损失的时间已经低于两天,对于这样的时间差来讲,很多管理员不管电信类还是SP,或者网站管理员都很难有效控制这些威胁,能够进一步抵挡它,可以保护自己安全的资产。正因为有这样的问题,才会不断有各种各样的安全技术延伸出来,几乎主流的安全技术都跟漏洞和弱点有关系,最传统的想到一点发现弱点我们需要做什么?操作系统厂家一定会说需要打补丁,这是全部吗?往往在大家实际使用中间觉得这不够完全,特别对运营商网络来讲,面对很多计算机设备往往不是自己可以控制,需要更多手段在其他方面做出防护,因此网络入侵检测和网络入侵防护这些相关的技术应用在网络边界和网络之中,自然有很多用户想到一些方法,通过漏洞扫描漏洞评估类软件发现安全问题,从而主动把这些问题解决掉,应该说各种方法都会达到一定的效果,但是彼此间都会有相应的差异,最通常被大家考虑的方案是关于补丁的管理,这方面McAfee不是最有发言权的人,不管是微软还是做补丁管理的厂家在这方面会有更好的建设性意见,补丁管理一直以来是大家认为最方便可以实现对漏洞清除或漏洞弥补有效的手段,这些手段中间最有意义莫过于可以快速在网络中间实施应用起来,并且防御效果往往是最显著的,可能相应产生的误杀可能性比较小,所以一直以来大家都认为补丁管理比较有优势的措施,大家也会针对补丁管理情况有一些自己的想法,当客户需不需要安装客户端程序,是否影响生产相关设备的性能等等,由于有这些问题的存在,大家顾虑越来越多,比如需不需要做完整的测试,需不需要考虑实验环境和实际环境有多大差别,这些都是让大家比较难受的地方。同样遇到的问题是说,这些补丁有多及时,可以使得在你网络中非常有效运用起来,另外一方面来说管理员不得不制定一些紧急相应的计划帮助我们在出现额外事件的时候,如何更快速解决它,所以补丁管理也有相应的问题和需要大家考虑的问题。正因为这样的原因,而且补丁管理着眼的设备都是最终的计算机,作为运营商来说,在网络的层面上如何做出一些动作是大家很痛苦的,这时候IPS等都会被大家想到。对于金融行业的用户会考虑上代理服务器或其他的措施,但是最常见能看到是IPS,作为入侵防御技术来讲越来越成熟,而且可以防范很多临时的攻击,这些对象是McAfee希望提出来和大家一块探讨的内容我们首先看到对于一个漏洞,或黑客入侵的过程,这里描述的是在windows环境中蠕虫入侵中可能做的事情,通常因为windows系统存在一些安全问题,蠕虫或黑客们找到这些问题,并且针对它所做出一些动作,例如发现相应的脚本,进行漏洞的利用,可能对相应计算机系统,特定的文件特定对象进行感染,下一步可能写入系统的内存,对于一个蠕虫可以方便的复制自己和感染相应的计算机对象,最后的结果是导致计算机的崩溃,引起拒绝服务的现象。 这样的后果导致信息资产最终无法工作的后果,更要命很多写入内存的脚本会不断复制传播到其他计算机中间。面对这样的问题,如果我们有IPS系统,无论是网络入侵防御,还是主机入侵防御都可以很实时找到相应的对象,并且对感染过程进行堵断和防御。
对于McAfee来讲会提出新型的方式,谈到IPS大家都有一个概念,它跟IDS很像,的确IPS的词和定义正是来源于IDS的定义,针对IDS和IPS不同,我们会提出一个类似于架构为主的核心,从而提供高性能支撑,保证所有运营商级别企业网络可以得到很好的保障,同时为了避免相应出现的误判和漏判,会提出所谓协议分析的概念,会做深层协议分析和分包检测,保证我们逮到每一个攻击是事实的攻击而不是假冒的对象,针对现在很多运营商可能出现的电子商务类的运用,我们也提出针对SSL的检测技术,这些相关技术的融合导致不管对已知攻击还是临时攻击都得到很好的防御。我们在这里举例乐观一个例子,关于HTTP和FTP的通道,传统技术很难发现在里面的攻击是什么?往往可能当成一个HTTP的攻击判断和识别,在FTP过程中才存在一个真正需要阻断的McAfee会帮助大家把这方面阻止掉。IntruShield可以保证网络从最初的认知攻击到最后的保护防止攻击发生。在一些企业网络复数部署相当简单,对于运营商采取这种架构也是运营商最愿意接受的方式,可以达到的效果也是在网络传输过程中国如果出现任何攻击和攻击的企图都可以进行阻断,对于运营商图书的网络环境,例如IDC环境,还有虚拟IDS或虚拟IPS,也就是我们可以采取虚拟的方式把一台IPS系统当成多层看待,如果在一个IDC中间有很多门户网站,比如网易、新浪,如果运营商愿意针对网易、新浪采取不一样的防御措施,可以进行不同的配置,从而防治不同的LAN的攻击,防止处在同一个LAN的彼此蔓延,这可以节省很多IDS的部署,这可能帮助我们做到很多LAN的防御和控制。
面对网络的复杂我们很难定义一个边界在哪儿,我们利用防火墙隔离的时候很难找到一个好的地方,这时候可以找一个虚拟边界技术划分,对特定的网络段,或制定的范围做出相应的ACL的控制,可以对不同LAN做出边界控制的要求,从而划分成一个最小的单元,也可以考虑对于很多计费的主机或对外提供都可以划在不同的LAN里面考虑。
作为IPS核心是网络和主机两方面的结合,McAfee在整个IPS技术除了网络以外,在主机方面也会帮助用户得到全面的保护,因为Entercept针对是网络环境,这可以针对一些重要的服务器可以实现对设备的防御,结合刚才说的网络防御的手段,加上Entercept主机防御可以做到全面的防御。我们阻挡一个攻击也是要考虑用户的范围,当一个网络特别大往往成本很高,我们很难确定什么位置部署可以节省成本。另外阻挡效果怎么样?取决管理员策略配置,只有做好相关配置才能做好,这都是大家面临的问题。对于McAfee来讲,我们更多的建议是考虑前面所说的这些问题,应当采用一些特殊的技术手段判断出网络中间什么是最主要的,什么区域是你值得投资和防御的位置,因此我们称为漏洞管理,或者风险管理的措施,利用风险管理和漏洞管理的行为,帮助用户找到你的核心资产面临非常严重的威胁,如果进行相关的控制,找到在整个漏洞管理和风险管理过程中,最危机的部分。从而决定你的投资!决定你防御对象和过滤对象所在。
传统意义上风险等式都看到过,对于资产漏洞和威胁都有各自对象存在,如果抛开整个风险管理,针对每一个个体也有防御措施,这些防御措施单个利用也会帮助我们达到防御效果,但是没有一个可以融合在一起看待,正是这样的原因,如果只是单一的产品部署,或者跟一个能够实施漏洞管理体系的企业莱比,效果往往会有很大的差别,这样的差别既然存在,我们自然需要考虑找到一个切实可行的漏洞管理措施,或者漏洞管理方案帮助我们做出相应的控制。在漏洞管理的过程中通常面临的问题,或者整个过程中间可能分了一些步骤,最容易出现的问题,往往是出现在如何指定相应的人员进行漏洞管理,如何指定相应的人员做漏洞的修补,以及如何校验这些问题在你网络中存在多长时间,由于这些问题存在,会帮助用户做好全面的管理,我们需要一个工具帮助大家,在发现问题以后指定给具体的人员做,我们也希望有一个可以非常直观和清晰的了解,这事情进展如何,我们作为主管来讲,希望到实施了效果如何,有没有满足企业的要求,正因为有相应问题存在,才能帮助大家在多方面做出完整的控制和保护。针对整个漏洞管理生命周期,相信大家在很多的安全标准中间看到类似的技术和经验,只有企业制定你的管理要求才能做出更好的控制,McAfee的管理漏洞意义在于帮助用户找出网络管理漏洞资产,并且计算出你的风险值,从而帮助运营商找到网络中间值得投资的方位,利用相应的管理人员,技术人员对发现的问题进行弥补,应用现有的技术或者采购新的技术方案对它进行弥补和控制,从而达到全面的漏洞管理和风险管理。单一的漏洞管理是非常低效的技术也是非常被动的技术,只有厂商发布了漏洞相应的补丁才能进行相关的保护,由于它的相关问题,自然而然像刚才说的,可能结合一些高效的方法,例如漏洞管理,也可能利用刚才说的入侵防御技术,从而实现主动的保护,结合这三者才是真正高效的解决方案,利用漏洞管理、风险管理,帮助运营商发现网络中真正需要投资的对象,利用相应主动防御技术帮助在大的方面解决相应的问题,同时利用相应的技术进行相关漏洞的保护,从而实现对各种补丁的控制,Foundstone漏洞管理系统找到不同业务单元出现的问题,并且告诉大家找出相应的问题,最终的意义在于我们能够让工作人员可以介入到相关漏洞管理中间,可以做出相应的控制,同时对做的每一个事情有各自对应的分值和数字可查。
结合这三者形成一个完整的漏洞消除、和补丁以及阻拦,作为任何投资来讲,也不可能保证风险完全是零,所以需要不断完成这个过程,保护你对应的资产。McAfee不论在电信行业还是其他的国内知名的企业中都有良好的客户群,可以看到国内外运营商对McAfee产品的应用。
今天关于McAfee的内容就到这里,谢谢大家!
主持人:谢谢陈纲,思科系统公司是全球领先的互联网设备和解决方案供应商,它的网络设备和供应方案将世界各地的人以及网络连接起来,建立一个体系化安全运营网络是思科公司关注的重点,今天很高兴请到思科系统中国网络技术有限公司网络安全高级技术顾问喻超先生给我们做建设体系化安全运营网络的演讲。
喻超:各位来自电信界朋友下午好,非常高兴有这个机会向各位汇报一下思科安全方面的东西。
今天带来的题目是建设体系化安全运营网络,今天汇报提纲两部分,一个是思科看到运营商网络安全需求和建设体系化安全网络的构想。在建设互联网和安全过程当中看到一个变化,从思科角度看到运营商从以前安全生产,企业中了病毒发垃圾数据,运营商觉得是你企业自己的事情,历史的转折点是蠕虫事件,蠕虫造成骨干网瘫痪。从一个完全开放信任的体系,到今天变成下带基础承载网,这变化趋势非常大,从原来完全开放信任的网络变成一个需要控制的网络。从事后补救到做预警的快速响应,可能在电信界谈得比较多的安全管理中心,或流量异常监控等等都是相关的,需要从全局的方面看待安全的事件,而不是出了事找原因。这是我们看到很大的变化。为什么今天的主题叫体系化安全,可能单点安全解决不了问题,我们要一个体系化安全,待会儿也会介绍对思科来讲我们如何看待这个问题。最后一点是运营商环境下面大家比较关注的,从单纯的安全投入,钱投进去保护网络和用户,是不是可以变成钱回来,盈利的问题,这是我们看到的,前一段时间开会,运维的安全会议,可管理的服务之类等等,作为扩展来讲,思科提供一个可盈利的安全服务模型,把安全投入变成产品卖给企业用户。
思科看到这个以后整个技术发生变化,从基本安全,到但点产品,到多方面防护,到集成化安全,到今天提的自防御网络,从技术角度来讲就是可控的网络,而不是完全开放的,需要一个快速主动可以响应的网络,可以监控的网络,是一个协作式安全网络,思科是跟多个厂商进行合作的。我们对安全深层次的防御,如何做深度防御,这都是SP里面最核心的思想。
接下来介绍一下思科在建设体系化和安全运营网络的一些想法和我们解决方案,首先看建设运营商大型网络的时候,包括运营商内网外网,这有三大要素,我们提法体系化安全架构,完善的管控执行流程和强化安全意识,今天就汇报一下体系化安全架构部分,另外两部分有很多的标准大家可以参考,今天看一下体系化安全架构里面的层次和我们一些思路。
谈到体系化安全架构,首先要看一下标准,因为电信行业做什么事情都喜欢说标准,标准什么样,IT标准还是比较完整端到端的通信安全架构,首先回顾一下X.805是把一个网络分成三个层次,再分成数据控制和管理平面,面对八个安全元素,这八个元素从CIA扩展过来,数据加密、数据完整性和数据可用性扩展成八个安全元素。可能大家觉得三个要素不够扩充到八个,安全威胁分成五类,中断、毁坏、数据泄秘、破坏、攻击威胁几大类,然后映射到里面进行分析,先把网络分析三月个层次三个平面,得出九个模块,把八个安全要素映射到模块里面去,然后怎么满足八个安全要素的需求。这样大家可以看到是一个非常系统化有组织的方法实施网络安全评估和规划,但是看一下意义或不足,第一个是非常全面的,而且是一个系统化的科学方法,是面向八个元素的分析方法,一共有72个视角,每一个模块都要去比对八个元素,在思科看到这个安全标准以后,这个安全标准确实很完善很有意义,但是我们觉得还是要做一些优化。首先需要关注运营商业务网络的属性,核心业务安全是其中一个支撑,我们需要关注业务,我们不需要看到72个视角中复杂的方法,所以我们需要简化它,需要有针对性的,对不同网络属性进行定义,要增加对安全业务的描述,怎么赚钱。最后一个需要面对安全威胁的分析方法。比如第一道冲击过来我怎么防,不需要拿科学的词,们还是希望比较直接第一道冲击怎么防就完了。
所有东西都是为了业务属性服务的,所以对于运营商来讲,网络业务的持续性,业务可查性,业务可控性,业务可盈利性是四大要点,安全来讲是为这四大要点服务的,针对这四大要点提出网络安全的实施监控,网络安全可控性,还有网络安全增值服务,实际意义非常简单,持续运营,预警能力。接下来需要对运营商网络进行划分,因为运营商网络太复杂太大,所以先做了一个简单的划分,第一个是非信任域,接入网、城域网、公共无线网、骨干网。第二个是信任网,这做法不一样是一个相对封闭的网络,如果某个终端有黑客软件,我可以控制,开不开放的网络最大界限就是控制能力不同,内网可以控制,外网是不能控制的。还有一个既有内网也有外网。
接下来就是思科公司提出运营商网络安全架构,这里面借用X.805的概念,把网络划分成应用安全对象,网络服务安全对象,网络基础设备安全对象。然后分成管理、控制、数据三个平面。我们做的任何一件事情,任何一个方案都是为了这四个方向服务的。,所以这里面有很多业务也好,业务控制也好,基础网络架构保护也好,都是为了四大要点服务的,大家看这架构图比较复杂,是一个四维的图,但是是我们给出的一个网络安全体系架构,当我们真正分析网络方案的时候会简化。首先基于体系化的安全架构可以提出很多的解决方案,针对非信任域、中间域、信任域有很多解决方案,我们会提出相应的方案,但是思路都是一样的。我们分析一下有几个方法,第一个核心网络安全、这是属于非信任域,把信任域和中间域拿掉了,而且只关心核心网络,城域网放在别的地方不去管它,这就变成一个比较小的图,我们再看对业务的关注性,在核心网络里面关注什么,我们只关注可持续性和可监测性,盈利性也不是核心网考虑的问题,所以我们看到对于核心网两大要点关注就这两个,这样对应三个层次比较简单,核心网安全就不会考虑应用安全对象问题,比如ERP,电子邮件等不关心,所以核心网的安全只关心安全服务对象的层次,还有基础安全对象的层次。基础架构安全怎么做,基础网络设备安全怎么保护,基础安全服务层怎么保护,这样做的方方面面考虑很周到,按照这思路方法,关注核心网需要做什么。
对于安全运营管理也是一样它的关注点是监测性可控制性。不要关注可持续性和可盈利性。考虑可管理安全服务的时候又可以简化一些,在信任域里面可能不多,关注点就是可盈利性别的不是关注的内容,可管理服务里面,只关注网络安全服务对象的层次,底层基础架构不关心,上层应用对象也不关心,因为要靠服务挣钱,要盈利,不能把基础架构卖给用户不可能的,只能把服务卖给用户,这时候服务是关注的重点,要考虑服务怎么做,服务基础怎么做。城域网安全要四个点要关注,方方面面都要考虑,所以城域网就是非常小的典型的电信运营网,包括骨干、接入等等都有,其实城域网最复杂的。
思科运营商网络安全架构,就以这张图片为基础,实现以业务为核心的解决方案,我们关注电信运营网络发展要求的安全网络产品为支撑,为基础、安全管理安全服务为提供咨询。这是思科运营商网络安全架构技术支撑产品,我们讲的方案之外,今天没有讲产品只是讲一个思路,整个方案是要依靠防火墙、VPN,IDS,专业管理,路由器、交换机安全配置,还有安全顾问服务来支撑整个安全体系,我们不是把思路放在这,具体产品不管。
总结一下体制外运营网络我们是关注运营商四大业务要点,具体实施是融合性的安全要素,针对运营商不同因素提供解决方案,具有全面安全技术和产品支持的解决方案,具备安全服务盈利支持的解决方案,希望给运营商真正带来一些帮助,我的介绍就到这里,谢谢各位!
主持人:谢谢喻超先生,下面请中国铁通网络运行部王晓静副总经理做网络安全问题及处理手段的演讲。
王晓静:大家下午好,很高兴参加这次网络信息安全研讨会,今天交流的题目是网络安全与处理手段。
随着新型电信业务迅速发展,网络安全问题日益严重给运营商网络运营带来很多困扰,铁通作为新型的电信运营企业面临网络运营与矛盾日益突出,由于铁通基础比较薄弱,起步较晚,尚处在探索阶段,铁通在复杂的外部环境和简单的内地条件下,也摸索出一些手段,初步建立全网安全应急响应体系,以适应电信运营新发展要求,在此将网络有关问题的感想和经验和铁通采取的措施和大家分享,请各位领导各位专家批评指正。
先谈一下对网络安全概念的理解,作为运营商铁通关注的网络安全从两方面理解,首先是传统的概念,作为传统电信网络安全,主要是网络本身的安全,被关注的矛盾是网络可靠性、稳定性,被关注的范围决定基础传输网和电话网传统的通信基础设施。这些网络安全问题,无论设备、技术标准,公网和专网领域都形成比较完善的体系,铁通前身就是铁路专网通信部门,因此铁通在成为公众运营商之前就具备较为规范的电信规范体系,也有训练有素的维护队伍,这是作为电信运营企业对网络安全的理解。
作为现在新型数据网络安全的概念和传统的概念有很大不同,随着电信业快速发展,新型数据业务日新月异,铁通进入公众市场介入新的网络概念,互联网网络安全概念,不仅涵盖传统意义网络自身运行安全,包含网络攻击,网络病毒,垃圾邮件,有害非法信息和其他突发事件,超住网络层范围,扩展到应用层范围,互联网安全不是运营商和电信用户的概念,网络内容信息扩散速度,使互联网安全涉及政治、经济文化各个领域多方面的概念。这些网络安全问题,无论设备、网络技术标准或者政策法律法规大多处在发展阶段,尚未形成完善的体系,铁通公司在互联网方面处于成长的阶段,希望在网络安全问题上投入更多的关注,本次交流希望与大家共同探讨的焦点话题也是互联网安全问题,以及铁通公司在这些年在这方面遇到的困扰问题和一些解决处理手段。
以上简单阐述了对网络安全概念的理解,下面将借助铁通互联网实际案例分析运营商面临网络安全困扰以及亟待解决的问题。第一点是网络自身的强壮性,由于互联网发展基础是建筑灵活开放的IP协议,这样产生的网络和通信设备,对今天互联网业务迅速普及奠定了基础,也由于这种优势,使其成为电信级运营业务同时暴露很多安全可靠性薄弱,安全技术标准欠缺等一些缺陷,很多互联网系统和设备难以达到传统电信级意义上的稳定性。这里面举的例子就是曾经发生过的路由器BUG导致的死机的问题,2003年铁通骨干网各地接入路由器出现频繁大量死机器故障,涉及全网30%骨干结点,影响范围很广,持续时间很长导致很多用户投诉,最终通过和相关厂商合作,通过全网大面积版本升级得以解决,从这个事例可以看出网络自身的强壮性是运营商网络强壮的基础,对于互联网网络安全,较其他传统网络的技术标准目前IP网络的安全技术标准处于比较基础和原则的状态,而且可操作性执行效果不是很理想,互联网设备的安全等级和标准问题很突出,运营商如何从设备可靠性和组网稳定性解决这一问题,需要设备制造商,网络设备者多方面进行关注。
第二个网络上的问题是网络病毒,在2004年网络上曾经有过一段病毒高发期,比如冲击波病毒在我们网上发作最为频繁的,我们统计2004年下半年全网发现并处理异常病毒114起,为此加大网络运营的处理和控制力度,通过管理考核手段,加强对各省网络病毒控制,这类问题反映出目前运营商对网络病毒监控的手段比较缺乏,主要处于被动发现,被动处理的状态,在网络接入层针对复杂多样的用户群体引发问题缺少有效的防范手段,用户突发行为也导致网络的异常,目前病毒检测技术手段集中在内部系统合成域网保护上,针对骨干网检测和保护有待发展。
第三个就是网络攻击,这是在2002年在铁通锦州互联网结点发现一个DDos攻击,这是公司的结点受到攻击,其他运营商网络也受到影响,当时全网设置访问控制功能,限制辽宁部分网络,同时与其他运营商配合,最终遏制了事态的发展并得到了解决,通过这事件说明,网络攻击需要全网联合行动,运营商通力合作,才能取得有效的处理,政府部门及时介入也是帮助运营商解决多企业多部门协同作战的关键,对于这类攻击,即使运营商发现发起源可以对其采取一些技术手段,由于缺乏相应的政策法规作为依据,使运营商和相关部门处理的时候,受到一定的限制。再有一个问题就是垃圾邮件,由于国内垃圾邮件的泛滥,2005年加大了对垃圾邮件处理力度,较为有效控制垃圾邮件问题的扩散,垃圾邮件是全网问题,需要前SP联动,现在也是缺乏具体的法律法规约束,运营商控制方面还是存在一些难度的。再有一些有害信息,这都是受理相关部门转来有害信息的投诉我们组织协查,对于此类问题,都是用户和企业个体行为,运营商对此类用户监管缺乏法律依据。因此国家法律法规有待进一步进行完善,政府行业监管部门也应发挥更大的作用,协调好信息安全工作当中各部门的相关配合作用。
再有一些非法的业务,如在网上欺诈网站,这些发生以后也会有一些投诉对运营商声誉会有所影响,此类问题和有害信息相同,是用户个体行为,运营商缺乏一些依据在干预方面存在困难。由于运营商在此类问题处理是中间媒介的尴尬境界,处理很不明心。以上介绍了六个大的方面。通过刚才六个具体的案例分析一些实际当中遇到信息安全问题,针对这些问题结合自己实际情况进行了有意的探索和尝试,总结经验教训初步形成了一个内部的网络安全问题处理的机制,下面从两方面一个是技术层面一个管理层面做一个介绍。
技术层面做的是这几方面的工作,一是加强网络可管理性,网管不仅可以提供资源安全拓扑等功能,并且可以实现内部承载业务的管理,网管人员通过实时监控网络高点信息,发现网络流量异常通设置,采取一些紧急有效措施处理。第二个用户接入型的防范,从用户入网着手,指导用户安全上网和病毒查杀工具,针对重要的工具,提供一些防范的手段,如对主机托管加强防火墙设置和管理,和提供配套的病毒工具,在城域网接入上强调可管理性,加强接入网络的实时监控,从网络边缘及时发现问题,缩短整个处理的时延。在管理层面通过三种手段进行网络安全问题的处理,首先是管理制度,我们公司从2000在网络信息安全管理体制经历从无到有的阶段先后编制了一些中国铁通通信网络及信息安全应急预案管理办法,以及各个省级安全应急院等,这些处理和管理部门发挥了作用。在应急体系上,铁通公司已经初步建立内部互联网安全预警体系,建立了预防预警机制。明确各级机构的职责,明确分工流程,加强应急保障队伍的建设,较为系统指导和规范公司对互联网安全处理工作。作为集团总部域名部门和国家计算机信息安全管理中心,相关部门建立长期联系,加强外部合作。
在另外一方面通过一些内部考核手段,在现有技术条件无法满足所有要求情况下,加强管理手段,借助运维考核,加强对互联网安全问题的处理,取得了一些好的效果,在病毒类安全事件当中,铁通公司从2004年把互联网安全事件纳入了公司的通信网络安全整体考核当中,对各省公司互联网病毒发生处理都进行了规定,从这两个图表当中可以看出,整个病毒发作次数和时间得到了大的缩短,特别今年6月到11月期间,我们统计的只有两起病毒事件,可以看出通过考核对骨干网上病毒和流量异常控制效果非常明显的。
在垃圾邮件处理方面,2005年加大对垃圾邮件处理力度,逐步了解和熟悉国际惯例,并且查看一些国际上权威的网站和垃圾邮件黑名单,通报各分公司及时处理,并且制度化干预全网垃圾邮件问题,在公布的铁通垃圾邮件数量今年6月份128个,到11月份通过整治降到12个。在2006年希望进一步加大对互联网安全考核力度,扩大运维的范围,把网络病毒,垃圾邮件有害信息都纳入考核的方面,很好保障网络正常稳定运行,更好配合国家和行业部门及时有效处理信息安全的问题。
最后通过上述的网络与信息安全问题的思考提出一些建议供专家和业内同仁参考,第一点健全建立政策法规规范行业及用户行为。第二点研究发展技术手段提高网络安全系统在运营商大型网络中的适应能力。第三点充分发挥政府管理职能加强多方协作。第四促进行业交流沟通信息,畅通信息沟通渠道。第五完善安全预警体系。以上就是铁通公司在网络安全遇到的问题和分析,以及我们采取的分析手段,借助此次会议向在座业内专家吸取更多的解决方案和好的经验,我们将继续积极探索网络安全领域先进技术方案和管理手段,发挥作为电信基础运营商的主导作用,推动未来网络健康和和谐发展,谢谢大家!
主持人:下面邀请绿萌科技刘闻欢先生节给我们介绍流量净化的问题。
刘闻欢:我想给大家介绍一下运营商比较关心的方面,主要讲系统解决方案两种模式。这里就不强调拒绝服务给我们带来损失有多大,按照2004年的调查,拒绝服务仅次于病毒对用户造成影响的攻击行为,在最开始是针对雅虎易贝,到2005年越来越猖狂,原来有目的一对一攻击行为,甚至影响运营商骨干网,从特点来看是危害非常巨大的,现在在互联网有很多自动化,或傻瓜式拒绝服务工具,很容易被黑客使用,防范起来很困难的,有时候只有运营商级别的用户可以做一些防范,企业用户没有办法做任何防范的,尤其跨硬件商,跨地域的行为,可以看到大多数被报告的行为当中,绝大部分都没有被追查,这是拒绝服务攻击的特点。
如何有效净化DDos流量来看,首先我们拒绝拒绝服务的攻击,要具备比较好的检测,另外针对行为模式进行分析,我们知道有一些是基于特征来阻断,但是互联网拒绝供给行为,大多数基于网络层攻击是没有固定特征,或者特征很容易伪造的,这样使得在防范的时候不能完全基于特征,而应该基于对网络破坏行为。在几年前可以看到几十M拒绝服务流量已经是相对比较大规模的服务,现在已经到了几百M甚至一个G都可以看到。还有当出现新的工具的时候,可以有效跟踪升级,并防范,实际上需要一个完善对DDos净化设备。
从供给类型划分,原理上来说,实验原理和网络流量层,在应用层这一块包括垃圾邮件也是一种需要净化的流量之一,包括专门支队DDos服务器的东西,今年看到有一些省运营商,省一级运营服务器被攻击导致很多用户服务,在城域网接入会把主要域名自动分配给用户,如果自动分配的被攻击,那宽带上网的用户会发现无法上各个网站,因为域名服务器已经失效了,这带来的破坏非常巨大的。
从攻击发展从传统一对一,到多对一,和一对多,从形式上来说也列举了一些,我们对DDos攻击来说可以考虑三个因素,一个是行为特征,一个承载协议,一个攻击规模,第一个阶段是少量攻击源协议比较简单,通常只有1万个PPS,这是原来早期2000年之前的攻击模式,2000- 2003年之前出现多对一的攻击行为,攻击包的数目从1万到几十万,几十M到100M很多的,有非常多的案例超过几万的规模。有一些可以控制几万台几十万台主机对同一个目标进行攻击,如何有效识别成为我们安全厂商的挑战。包括它的流量上100万PPS,去年处理最大的达到700M,今年已经超过1G,对于大多数运营商来说骨干上面可能没有任何影响,但是对大多数小规模局域网影响非常大,甚至导致网络的瘫痪。
传统进行DDos防御,绝大部分是治理小江小河一样,称为建筑堤坝进行串联式部署,如果遇到类似98年长江洪水,本身可以连堤坝冲毁,然后淹过城去,这时候光堵是不够的,对运营商而言,运营商级别解决DDos攻击要采取大禹治水,有地方要疏导,有地方要封堵,在大型网络上如果仅仅是一个网站对可靠性要求不是太高,但是电信运营商性能要求非常高的,对异常的流量要有检测的机制,根据检测出来的结果对其中包含大多数的攻击流量进行分流,然后导入防护的设备里防护过滤,然后注入原有的正常流量当中。这个方案基本的核心原理从检测来说是NETFLOW技术,基于NETFLOW,运营商可以用较低的成本代价可以获得流量和协议的分布,其实从研究来看,基于NET服务可以解决流行攻击事件,包括蠕虫传播事件,一位产品设计的同事在国外发表论文利用NETFLOW来检测的行为,甚至包括垃圾邮件如何进行做的,这时候专门有一个设备来进行NETFLOW的分解,如果知道哪些知道分流,哪些需要放过去,已经受到攻击的网站可以识别出来,通过路由通道技术,告诉防御设备,由路由通道告诉前端的路由器,使得被攻击的主机,原来直接走直接到下面路由器,现在需要把流量传递到防御设备上,由防御设备过滤,最后把正常流量注入回去,对于防御设备也有一些了解,这产品叫黑洞,在国内运营商和很多网站得到很多的运用。
对于数据中心而言,如果一个小规模的数据中心,比如出口带宽在1G左右不一定要采取流量牵引,因为目前1G以下是小江小河,目前国内15%域名不管中文、还是英文域名都是绿萌黑洞下做的,但是如果遇到出口,或者更高带宽,通过大型的IDC这种设备可能出现一些问题,这种情况下建议用户部署流量净化方案的时候采用牵引的方式,通常建议采用一个或几个形成集群。通常在路由器下面的交换机下面,不管在哪个位置,都可以把NETFLOW信息发过去,一旦检测到来自广域网的垃圾流量,去攻击某此一般台服务器,就自动通知把流量牵引到它的端口里面过滤,最后把正常流量重新注入IDC的网络里面,这种部署模式在中国电信和网通都有相应的部署已经算比较成熟的一套方案,它的攻击检测和防护力度比较细致,另外可以很准确判断,因为哪怕自动检测没有做到IDC用户自身会意识到自身被攻击,会通知管理员,管理员会马上做到手工的牵引,这是一种变通的办法。
对于城域网方式更加灵活一些,我们可以支持GRE的方式,目前一个项目基于SPM技术,都是可以做牵引,在城域网牵引的时候,也许有多个接口,不是要求每个接口上都要有一个集群,或者多个FLOW,基于我们技术,可以在城域网任何地方部署,并且对城域网内流量进行分析,一旦有来自城域网外异常流量进入城域网,或者城域网内部发生攻击,我们会通知路由设备更改路由。同时会把他们导入净化中心去,这里面有很高的处理能力,通过它净化是的干净的流量进入城域网当中。这里有一个实际布置建议,通常在核心系统部署重点的监控,只监控重要的系统,对非核心系统可以比较广泛的采用长距离流量牵引的技术,前面谈到IDC解决方案合成域网解决方案,不但可以帮助城域用户解决方案,另外大多数情况下是束手无策的,或攻击停止,我连正常和非正常流量一起封堵,通过这种方式不仅可以使得城域网抵御非常高的流量,从去年开始和中国电信IDC有非常良好的合作,他们采用黑洞的产品帮助他们用户抵抗拒绝服务攻击,以前需要买绿萌的产品,还有一些情况下,有一些大流量中间,即使买了防护产品,上行的带宽也非常窄,不得不求助运营商,运营商在这级采用解决方案,可以非常好为下面接入用户,不管IDC用户还是专业用户提供解决方案,目前最好的例子是西南一个省的IDC里面里面有2千个服务器,而且投资是在一年可以收回,这还是一个非常好的,不光是防护效果非常好,从增值业务来讲也是可以走的一条路。
最后做一个简单的总结,我们认为一套完善的抗拒绝服务流量净化的方案应该包括这样一些要点,首先从检测到牵引技术比较成熟,可以提供准确的拒绝服务和垃圾邮件的检测并且有高效的处理能力。另外要能防范多种攻击,还有一个就是,国内也有其他厂商做抗拒绝的攻击,它的算法和串型不一样的,其次需要对运营商环境和网络协议的运营要非常熟悉,否则不可能切入这样一个环节进行部署的,还有一点运营商对可用性和运行效率方面的要求,X86是不能满足的,绿萌产品2001年在国内销售的时候,同两年也是X86产品,今年有专门的硬件产品,所有从外观的设计到里面主板到里面硬件芯片都是绿萌科技自己完成,大家可能做技术同志也知道,在X86架构上实现多端口1G理论上都是不可能的,绿萌现在可以做到基于专门的NP多端口转发,前一段时间刚刚在南方电信做了一个测试,如果1G流量攻击达到98%,我们做170万个PPS是一个指标,如果达到645万个PPS同样可以挡住,而保障正常流量访问,这是性能方面的工作,另外对于电信的要求相关的硬件和集群部署模式都是可以很好的支持。最后绿萌作为中国本土的专业安全厂商,能够提供比其他厂商更好的支持能力,包括有一些例子我们曾经遇到用户被拒绝服务攻击,保安以后和公安部一起追查。
去年也是有这样一个案例,之前一直有绿萌科技的设备防护,最后通过集群部署解决操作700M以上的浮动利润,今年只要一台设备就足已了,另外对新发生的攻击,做IDC的朋友知道,在IDC流行服务器的CC攻击,比较有意思的CC攻击,是在一年多以前有黑客为了攻击绿萌科技的产品。对于绿萌来说不管研发人员还是工程技术支持人员都有信心很快帮助用户解决这问题。这有一些最佳实践的应用,前面已经讲过绿萌科技黑洞的产品在中国 移动、中国电信、中国网通、中国联通包括证券、金融、政府、企业都有非常多的应用,如果大家有兴趣可以在下面沟通,谢谢各位!
主持人:谢谢刘闻欢。
下面请中国科学院网络安全重点实验室副主任荆继武。
荆继武:在现在一些信息安全里面,主要有这样的问题。一个网络的架构,比如说哪个运营商的网络,怎么样搭建以后,会不会影响到蠕虫。另外一个蠕虫的大小,现在也没有人回答。他为什么做不到?一个是我们怎么做实验。我只能做仿真,仿真的话,现在所有的仿真软件,都不能仿这么大的网络。第二个问题,是近期出现的问题,如何检测Botnet非常困难。
第三个技术问题,可以考虑数字版权的保护,这也是一个非常困难的问题,目前微软提供各种研究机构和单位都提供这样的问题,实际上它的问题是你允许我听,但是不允许我拷贝这歌曲,我至少可以拿录音机录下来这问做起来非常困难的。
第四个非常困难的问题,就是Ad网络,我的密钥管理怎么小怎么快怎么安全,我做大做好太慢,做快了可能不安全。
第五个问题认为是一个新技术,现在网络没有办法识别哪个是攻击哪个不是攻击。比如趋势科技有自动病毒的更新,如果它干坏事怎么办?有很多软件自动下载一些东西,这是不是会成为你攻击者你无法识别的,从理论上来讲,很多东西无法识别,你能识别一段程序是坏的吗?现在讲究生存,我不知道有什么病毒,有很多病毒还有脂肪肝但是我活得挺好,我还可以完成领导的任务,有攻击有灾难有病毒,不管什么情况下都可以完成使命,我们也希望系统可以具备这能力。这里面也有很多问题做,在后面讲解的DOS防御技术中,因为我可能不知道哪个供给是DOS,但是发现有这个攻击,在这攻击不断持续的情况下要保证服务器接着工作,为预期用户提供服务。
拒绝服务本来是小题目,所以叫小题大做,另外还有一种做法就是大题小做,把很大的问题抽象弄成很简单的问题。首先介绍一个小题大做的事情,做一个网关来拒绝Botnet,你什么都防不行,比如我互联网堵住了,你再防也没有用,所以得有一些假设,假设带宽很大的,是后面服务器承受不了,后面带宽不行,前面带宽没问题的,这情况下拒绝服务的信息才能做下去,我自己网关性能要高于后台的性能,另外要有一个很好的识别办法,现在拒绝识别攻击,绿萌做了很好的演讲,拒绝服务攻击不只是这些还有新的怎么防止,还有一个自身难题,你怎么把自己安全做得更好,把自己做得不怕任何攻击,这是我们做小题目三个问题,为了解决三个问题,为了网关运行能力把网关功能减少,把后面加一个监控机,不想把以太网包组装IP包,IP包跟踪放在连接器上做,这样性能就得到了改善。
如何检测,因为也不知道什么就是,如果知道它的特征太容易检测了,现在很多人访问HTTP,打开那个网页,知道新浪网页有一个图片,所有人拿键盘猛敲,这都是拒绝服务,这都是一个正常包,就需要一个机器学习知识的系统,为了做这样的系统需要做一个模型要把以前的知识学习一下,本来做一个简单的网关最后变成这么大的网页,这里面包括数据库,把很多的知识存下来,还要做一个模型产生,这个模型是自动做出来的,刚才有讲到新的攻击永远是没法识别的,这可以改一下,有些新的东西没法改变的,我们做这个是需要识别新的攻击,另外需要做自身的安全,把网关的东西搞好,另外把自身学习和数据库的网络和运行的网络分开。
如果做这样一个工作,就把这个网关做在这个地方,这是一个硬件的平台,这有一个监控器,后面有网关和服务器,保护的网关可能是服务器,但是这个网络一定是比较小的不会太大,这里面有一个例子,把网关数据采集下来做特征提取,过去网络数据都采下来然后提取一下特征,特征可能按照某种方式提取,提取以后要产生一个模型,产生几个模型,看新的数据是不是符合这个模型,如果符合就放进去,不符合就把攻击特征发现出来,这就是新的攻击具有什么特点,发现完了放在过滤的设备里面去。比如特征提取现在没有基于内容就基于IP包的东西,可以提取这样九个特征,包括原地址,原端口特征提取出来,同时流量特征也找出来,在一个时间段多少个连接,或者多少个进入的总个数,相同类型的连接有多少个。当把所有网上事件拿来以后做矢量化,每一个网络上针对的是量化的东西,原端口、目的端口,或者多少个包,多少的链接,这都是一个数字,这些数字划起来是一个矢量,每一个矢量之间有一个距离,这些所有网络的表征就是多维空间里面很多的点,把这些点拿来,这些多点采用一个点点的距离算出来,就发现这些点是抱团的,大概七、八团,这就成为我们的模型,这是最后采集实验室数据做的结果,这个结果说明数据抱成五个团,而且这团一个中心点一个半径一个团,而且这半径一般大,这数据里面包括整个数据的86%,这种模型已经很好了,这五个团的数据已经全部包括进来了,这得到一个点一个半径就可以看看别的是不是符合这个特征。这里面可以做很多别的工作,比如在门线上做优化,半径是不是要动态做调整,现在的正常数据只有20%就把半径扩大一些,把正常数据包进去,现在做攻击检测还是一样的,把特征提取出来和点和半径对比,如果在圈里面是正常,在外面是异常,如果异常的点太多就报警这个点有问题,就把这个点拿出来最后可以分解很多数据包,后面就采用DATE的关联,找它的共同点,因为现在目前做实验,数据包拿来之后发现有相同之处,相同之处都是攻击这个IP地址,而且都是往哪个地方发的,都是哪个文件的。那好就把这些东西过滤掉交给这些网关就可以了,这样就完成了一个实验系统。
把这个拿来之后做实验发现我们模型一算发现七个团,它的数据跟我们数据不一样,这是自学习的,学习完了是几个就是几个,这个流量模型跟整个有一些关系,当你希望异常数据定义什么范围的时候,比如正常的团应该大于2%的数据,这时候PLC=2,这时候产生一个结果,我们实验东西可以15秒检测出拒绝服务攻击,我们在真实网络做了一个实验,而且就访问了一个80端口,实验发现这个东西可以在15秒内做出正常的反映,可以把异常去掉,合法访问可以访问,我们可以根据合法特征把攻击去掉。
另外要考虑自身的安全,如果采用分层结构会有别的问题,可能在将来应该考虑的问题,能不能把拒绝服务的攻击集合起来,或者分布式做模型的学习,或者试着有一些新的算法,别的例子不多举了,如果有问题可以发电子邮件给我,谢谢,以上就是我讲的内容!
主持人:非常感谢荆先生,我们下面请CNCERT/CC的副主任陈明奇先生为我们讲公共互联网网络安全应急体系与应急响应。
陈明奇:大家下午好,借这个机会给大家介绍一下我们国家公共互联网网络安全应急体系和应急响应的机制和工作。我演讲分三个部分,首先为大家介绍一下我们国家公共互联网应急体系的三个阶段,介绍一下应急体系如何随着网络的形势不断发展变化,适应不断变化,不断新出现的网络安全威胁。第二部分介绍一下CNCERT/CC对应急响应的认识。第三个结合我们工作提出当前应急体系的思考。
大家知道网络传统威胁是病毒、木马、蠕虫,拒绝服务攻击是一类,还有黑客,以及另外有一些组织的改变的,有网络欺诈、钓鱼陷井、在不知不觉中客户信用卡帐号相关的私密信息就被盗窃,最近刚处理这样一起事件,协助万事达卡11个帐户信息在国外银行主机上发现相关信息这些信息是相当信息的,任何人拿到这信息可以不经过任何手续和特定网上业务就可以转到黑客的帐号上去,这威胁非常大的,可能很多用户没有切身的体会,很多相关的组织和银行并不愿意宣布这样案例,另外国内的银行电子服务不太发达有关系。另外有间谍软件,和垃圾邮件,僵尸网络也是互联网新的威胁。
对这些新的威胁回顾一下应急体系的发展,88年随着蠕虫出现协调各个小组力量应对大规模蠕虫事件,国内应急起步是2000对红色代码应对事件,当时在国内也是很严重的,不过当时各个运营商CNCERT/CC不是很完善,尤其当时运营商没有特点的人员从事网络安全的工作,所以掌握的安全情况不是特别全面,尤其对红色代码蠕虫在国内传播不是很全面,CNCERT/CC只是掌握了部分数据。以后以红色代码为契机信息产业部加强对网络安全事件应对的领导,成立了CECERT/CC为核心的应急体系,这也形成了以后国家的应急体系的阶段,也是在信息产业部协调之下协调各个运营商组织,包括合作单位,国家计算机病毒预警处理中心和国家计算机网络应急技术处理协调中心,这个应急体系是红色代码之后初步形成。这体系成立之后应对2003年大规模事件中发挥非常重要的作用,口令蠕虫这体系也经受了一系列大规模蠕虫事件的考验,尤其在口令蠕虫韩国网络都瘫痪了,但是中国网络没有受到太大的攻击,是中国发现了流量小组的特征,跟各运营商一同采取相关措施,过渡了1439端口,所以当时中国互联网没有受到大的影响,相当大程度得益于有了这样的应急体系。这也是当时对口令蠕虫对国内传染情况的统计,在采取了有效措施之后,境内感染口令蠕虫的主机迅速下降,这也证实了应急体制协调一致及时制止和抑制大规模蠕虫传播的重要性。随后2003年在信息产业部直接指导下,还有中电办其他有关部委支持下,CNCERT/CC成立了自己的分支机构,随着CNCERT/CC在全国建立网状应急体系机构之后,更好覆盖全国,应急体系也更加完善,从点状发展到树状,相应的应急体系就延伸覆盖到国家境内的公共互联网,能够为公共互联网提供快速的响应支撑。我们应急体系的支持单位也更加丰富了,有利于应急的响应,提供更多有利及时的支撑。
同时应急体系在2003-2005年内在国际接轨方面也取得很大进展,除了和国际权威应急组织FIRST,同时CNCERT/CC也代表中国积极参与国际合作尤其在亚太组织里面发挥了重要的作用,CNCERT/CC是亚太地区APCERT发起组织人之一,也跟其他国家人建立了非常密切的联系。和大家经常交换日常定期的预警信息。
进入2005年之后,尤其在2003年非典事件之后,国家、国务院对国家层面公共突发事件应急预案非常重视,在这大背景下,信息产业部根据国务院要求制定互联网网络安全应急预案,6月份经过初步定稿之后,7月1号正式发布实施,这个互联网应急处理预案是第一次互联网历史上应急处理预案,从制度上规范了公共互联网,以这个为标志,也是我们国家公共互联网进入第三个阶段,这个预案规定什么内容?主要原则协作配合,配合进行应急处理,要及时预警建立上传下达的通报机制,也要发现安全试点快速处理,及时恢复网络,最后一个确保恢复,让网络起死回生,最终它的目的在于建立健全公共互联网网络安全应急处理工作机制,提高互联网网络安全应急处理能力和水平,保障互联网网络安全。在昨天进行了信息产业部第一次网络安全应急演练,也是对预案实施做了一次正式的演练。内容分这八部分,
预案的意义明确了组织结构,从预警到预防、分级响应,尤其是事件分级响应把我们国家公共互联网安全分为四级,最低是四级最高是一级。对四级响应实践不同响应程序做了规定,包括后期处置做了要求,明确了应急保障方面的要求,这预案的发布,意味着我国公共互联网应急体系的里程碑事件,意味着我国公共互联网应急体系从自发到规范从点到树从平面到体系的发展,这个体系也是规定了将来这个议案如何应对事件。
第二部分介绍一下CNCERT/CC响应的工作,应急响应的实质,大家知道很有名的公式,在于你检测和保护能动性早于黑客攻击的时间,用简单的一句话来说,应急响应是保证一个过程,而是涵盖预警、响应、恢复和后期处置等等环节,在这些环节上需要做到更快速,及时发现是一个核心,在这个意义上来说,并不是急应,而是完整响应流程,应急相应是保证集中体现,完整应急响应是技术规范工具体系等要求,应该有一个完整的过程,这里面详细列举出这些过程,比如安全计划的防范,如何做一些相关准备工作,如何确认需求,如何进行隔离,如何进行试点隔离,如何恢复你系统,如何追踪黑客的踪迹,这是实现应急整个体系的过程,并不是一个静态的过程。简单来说事前应该有及时的检测分析结果可以发现动向和预警。事中接到用户投诉之后,事情发生之后可以及时处置,事后应该对相关用户、相关部门有一个满意的解释。这里面最重要的环节,及时发现是安全保障第一要求,只有及早发现才能缩短我们反映时间,刚才演讲中各个专家提出早期预警等概念,实际上和安全事件来说及时发现是重要的环节,只有及早发现才能赢得时间。我们工作就是迎接挑战成为网络安全保障的国家队。
这样工作也是非常有挑战的,现在网络安全威胁非常多,我们有怎样的条件或法宝来做这样的工作,首先要依靠技术平台,刚才上午的演讲中方主任提到基于863-917监测平台可以保护国家互联网公共安全,可以发现公共互联网到底发生哪些事件,这是我们一个前提,可以确保互联网上攻击的动向和趋势。
第二专业的组织和合作体系是有力的保证。刚才介绍我国互联网体系三个发展阶段,无论哪个阶段专业组织和合作体系都是不可缺少的方面。大家只有合作共享才能面对方方面面形形色色的威胁。同时也要注意流程规范,能够让应急运转起来,应急小组各个运营单位都有,但是缺少应急小组运转过程中的规范,比如对一些事件有怎样的流程处理,在这方面美国处理的应急组织有一些成熟规范,公开发布的,但是这些国际上应急小组成功的规范和流程,有一些方面并不适合国内的国情,如何结合国内的国情以及互联网发展的现状,怎么制定适合国内应急小组的规范和流程,在这方面作为一个探索,把CNCERT/CC成立近五年来所有应急规范做了汇编,相信将来提供给国内应急小组组织做一个指导。
我们要要基础舆论核心资源,这是我们厚积薄发的弹药库。比如IP定位系统,只有丰富全面的IP定位库才能及时发现被黑用户到底是属于哪个用户,同时追查当中可以跟踪到黑客的线索至关重要。
最后应急响应工作以人为本离不开高速度人才队伍,但是应急响应工作不同之处应该研究开放型的工作队伍,这才能研究新的威胁,我而且才可以知道现在什么样的威胁,比如2004年开始关注僵尸网络,直到年底的时候才处理国内首期大规模僵尸事件,列出重点关注对象在研究,为什么说到开放,网络是开放的,工作对象是开放的,意味着工作方法是开放的,所以必须在各个环节注意跟相关单位,包括国际组织的合作跟协作。
我们863- 917平台能做什么事情可以掌握整体的安全状况,可以快速准确的了解,当然这个平台不能解决所有的问题,也有一定的问题,所以把这些局限性强调一下,它并不是包罗万象无所不能的,因为毕竟是一个国家互联网边界性保护监测系统。首先对单独点对点的比如网络黑客有兴趣单独攻击就检测不到,另外一些网上谣言也无法监测或验证它真实性。还有对用户端安全保护也无法做到。如果用户没有及时升级系统而遭到攻击很多时候也无法防范。
应急响应流程会通过863-917平台发现同时协助在核心资源的支持下及时发现重大的情况,通过应急体系,通过31个省市的分中心,以及技术合作单位的支持下及时采取有效措施,制止或处治一些重大安全事件。在CNCERT/CC把大事件定义为影响群体用户和相当规模用户的事件,蠕虫事件是大规模的一类事件,比如欧洲现在出现一个什么漏洞,一个攻击趋向,针对1025端口流量上升可能出现新的攻击,我们应急小组就会关注这样的信息,关注国内是否发生类似的情况,如果是就会比对相对的情况,就看这个漏洞是不是在国内出现,我们也会出现其他的渠道看看国内互联网什么样子,设定了事件发生之后转入相应的安全监测流程进行深入的监测做一些定性深入的分析,确定之后会把信息通报有关各方,包括分中心和运营单位,也会通报支持单位和省单位让他们得到预警信息以便采取措施,我们会采取有效措施制止事件进一步传播或扩散。
对个案定义是什么、单个网站被黑,被入侵被植入木马,由于人力资源所限,所以我们定位是对国家重要部门和重要信息系统遭受到攻击之后提供一些及时应急相应的支持跟技术支持跟服务咨询方面的。
上周四晚上12月15号接到事件报告黛蛇蠕虫,这是微软发布10月份的发布的漏洞,但是攻击代码是最新出现的,但是这个蠕虫利用这个最新的高危漏洞进行攻击的,这个漏洞也是合作单位根我们通报以后我们命名为黛蛇,国内厂商用的命名就是我们用的命名,因为我们命名为黛蛇称呼它。我们如何处理它,接到合作单位的通报,并提供我们样本程序之后立刻对它分析,发现蠕虫传播途径方法,也发现蠕虫控制服务器位置,也通过一个SP服务器和Web服务器扩散,我们截止周五晚上发展到1万台PC的规模,1万台规模的主机分布在中国境内,针对的就是编写有这样的特点,扫描网站就是针对中国境内的网站,而且日志信息经过我们分析是中文写的,综合这些线索有理由认为,这蠕虫就是专门攻击国内的互联网,而且可能就是国内的黑客,相关线索在进一步分析中,因为干扰了蠕虫之后还会下载一个程序窃取计算机敏感信息,所以这个蠕虫危害比较大的,还会利用其他的微软漏洞,现在扩散的速度在16号中午时候非常快,也是立刻列为重要的事件进行了及时的处理,包括到FTP服务项目和网页上,这两个网页作为黑客下载蠕虫控制的中转站,我们及时在切断了对FTP服务器的,也切断FTP服务器的访问,现在据最新到周日下午发现规模已经不再增长了,因为我们采取措施之后切断控制服务器之后,进一步传播FTP服务器基本上控制了传播,这是我们最新的案例表明了应急小组处理一个安全事件有一个黄金时间,也就是你在安全事件最初几个小时或者几十分钟是处理这事件最佳时机,如果事件扩散一定程度,或者我们在蠕虫扩散10万或5万之后才介入处理到时候事情不可收拾了。这是应急处理很重要的原因,对事件响应有一个处理的黄金时间,发现越早,介入越早,采取有利措施及时控制它,这样的案例也是我们CNCERT/CC很和的案例。我们通过其他渠道提醒了国内重要互联网用户采取相关的防护措施防范蠕虫的感染。
最后给大家介绍一下对应急体系的思考,刚才各个专家提到,最终有效的合作是应急体系发挥作用很重要的出路,在我们看来是唯一的出路,现在网络安全是跨国境的,网络无管理边界,现实社会管理是有边界的,因此应对成功处置安全事件是要各个相关部门合作,这些合作应该是各个环节的合作包括信息上合作,和有关厂商和安全部门进行信息技术共享,让应急体系各个成员单位得到及时有效的技术支持发挥应急体系最大的作用。另外行业内部的合作构建应急处理体系,是我们国家的基石,我们也一直认为公共互联网合作商的合作是关键。当大的运营企业重视安全事件之后只要他们采取有效的处置措施,就可以及时地制止大规模路径的传播和扩散。同时要强调跨行业的合作,和相关部门都建立合作,比如执法部门,因为我们在事件处理中发现,涉及到用户端的时候涉及取证具体问题的时候,我们希望CNCERT/CC可以发挥及时追踪处理安全事件的线索,能够及时发现黑客的线索,在这过程中如果发现黑客的线索,通报有关部门让他们得到及时处理就可以彻底解决很多的安全事件,最后一点有效的合作,也包括和国际的多边合作,才可能真正有效地应对各类安全事件。这几年国际安全界对合作非常重视,中日韩三国合作非常多的,今年也是进行了第二次应急演练,这次演练有十个国家参加,也是以中日韩三国为核心的,国际应急响应小组认识也是越来越深刻,都有这方面迫切的需求,包括今年亚太地区演练就是以假象一个事例,当时事例就是韩国发生了僵尸网络事件,它的控制服务器可能在中国或日本,就需要中国和日本处理境内的控制服务器才能处理这样的事件。
随着中国互联网不断发展,随着中国经济的发展,国内的单位企业也会碰到跨国境的部门,从我们来看相关部门缺少这样的意识,尤其针对网络安全事件不知道如何通过专业组织寻求国际相关部门的协助。只有真正建立多边合作才能真正有效应对各类安全威胁。传统的合作模式采取政府部门主导的专项行动,比如前一段时间短信欺诈比较流行,相关信息产业部公安部银监会牵头组织专项打击活动,这对新出现的威胁,遏制他们上升势头非常有效的,作为个人的观点来说这并不是一个长效的工作机制,我们在平常时候有什么样的长效合作模式一个是针对特定威胁形成跨行业的合作,比如仿冒事件,形成专门的应对组织,这个组织涵盖各个组织各个部门,共享一些信息跟技术,可以更有效的应对仿冒事件。在我们国家目前还缺少相关的应急组织和跨行业的合作模式,将来在境内也应该倡导这种合作模式整合资源跟力量形成合力应对这些威胁。另外一个可以利用各个部门预案的衔接与定期演练,预案衔接有一个成熟的机制,如何检验机制的有效和运转起来要定期演练,信产部已经走在前面,今年决定第一次正式演练,这里面包括方方面面,包括对媒体如何管理,在大的事件中,如果这里面事件中应对组织可能会发现最新的案例,比如可能发现某一个控制服务器发现问题,泄露出去之后黑客就会变换自己的手法,对我们进一步追踪带来困难,这衔接不仅包括各部门的合作也是包括方方面面的合作,这都是需要考虑的问题,因此我们一直在思考如何推动跟其他部门的合作,这我们列出CNCERT/CC跟相关部门的合作,一个跟相关部门提供安全预警信息,可以提供漏洞和恶意代码威胁,大家可以从网站上发布的上半年工作报告中发现,对各种漏洞和典型恶意代码攻击行为,常见木马在国内感染情况进行重点监测,这些数据比较权威的,尤其境内境外攻击比较权威的数据,另外提供一些保护性监测数据,这针对特定威胁,同时提供事件处理的协调,一些个案处理上,重要安全部门遭到攻击了,在追查攻击源上,或者追踪黑客线索方面需要协助CNCERT/CC会及时介入提供帮助。另外提供公共互联网安全保障。CNCERT/CC也是国内最早开展应急响应级的国家级组织,在这方面积累了丰富的经验,希望在应急组织建设,应急流程规范和建设方面进行协作交流。
我们国家应急体系发展比较完善的阶段,现在需要更规范的阶段,具体的落实需要配合更细节的流程包括更丰富的手段来配合才能达到更好的效果,这需要时间来更好规范它让它发挥更重要的作用,同时网络安全在国内处于探索阶段,我们欢迎大家有一起探讨在国内如何开展网络信息响应工作,在这方面达成更多的共识推动我们合作,谢谢大家!