“第八届中国信息安全大会”于2007年4月18日在北京新世纪日航饭店隆重举行。本次大会以“和谐网络&应用安全”为主题,并组织了四场分论坛,主题分别为“安全网络&绿色上网”、“特色产品&行业应用”、“信息安全管理&合规性”以及“业务协同下的应急管理”,以下是本次大会的精彩演讲之一
陈尚义:各位专家、同行,下午好。
今天,我非常高兴在这里和大家交流终端安全一体化的解决方案。大家都知道,刚才秘书长跟大家也介绍过了,中软在安全行业里面耕耘了7年,并推出了著名的中软防水墙系统,受到了业界高度关注。在这个产品推出之后,我们又推出了内网安全监控与管理。
首先,我给大家讲一下内网安全的概念,以及它的术语。内网安全,很多人对它的认识和理解不一定准确。内网里面可能也会分很多的区域,在内网的某个特定区域,它也要关注来自本区域外的其它区域的威胁,也会用到IDS和防火墙,但这毫无疑问与我们今天讲的内网安全的概念不是一码事。通过实践和总结,我们认为,内网安全关注的是内网使用人员的攻击和不守规矩,内网安全关注的是来自于内部的威胁,而不是外部。拿这个标准来衡量防泄密是不是内网安全产品呢?泄密的威胁是来自内部的,从这个意义上讲,防泄密是内网安全关注的一个重要部分。但防止泄密只是内网安全的一部分,内网安全还包含企业内部的安全策略合规性管理,即终端安全保障,以及终端的运行管理和维护。今天我要谈的就是这些内容。
我今天演讲的题目叫做 “终端一体化的安全解决方案”。演讲分三个部分,第一部分谈为什么需要终端安全?第二部分谈谈终端安全所面临的问题,终端到底出了什么问题?为什么今天我们要在这里讲这个题目?最后详细讨论一下终端一体化的解决方案到底是什么内容。
终端,就是桌面电脑,通常指我们个人日常使用的电脑设备。
为什么需要终端安全呢?通过对大量的安全事件分析后发现,所有的入侵行为,所有的攻击行为都是从PC终端发起的,这个是大家都知道的。事实是显而易见的,但是这个结论所引出的含义相当重要。第一个,我们想一下,黑客对网络发起的攻击,一定是从PC终端开始的。黑客利用了被攻击系统的漏洞,攻击的对象可能是一个个人PC终端,也可能是别的,只因为终端有漏洞,攻击者就可以肆意破坏。病毒也是我们最大的威胁之一,病毒为什么可以存在和传播,给我们的网络和PC终端造成危害?显然,病毒它也是从终端发起的,病毒利用终端系统程序不检查一致性的弱点,把病毒代码植入到我们的运行程序里面去,从而实现了病毒的传播和破坏。
一致性检查是什么意思呢?打个比方,我使用一个程序,或者叫一个软件,这个软件有没有被人改过,病毒有没有侵入到这个软件里?操作系统或终端,对此是不检查的。从这一点来讲,病毒仍然是通过终端注入和传播的。
更为严重的是对于合法用户。什么叫做合法用户呢?就是拥有终端使用权的用户,但他们的权限没有受到严格的控制。比如说,同一台电脑(终端设备)可能好几个用户,这些用户都叫做合法用户,他们可以越权访问各种各样的资源,这就可能引发安全事故。可见,所有的安全威胁都是来自于终端,而不是来自于其他的什么地方。
传统的安全,就是早于内网安全的安全,早于终端安全的安全。传统安全主要是老三样,防火墙、IDS和防病毒。早在20多年前防病毒的程序就已经出来了,防火墙和IDS检测是网络应用后才发展起来的。传统安全手段是在IP层上的,是设置防护措施。对外围的非法用户或者是越权的用户进行封堵,以达到防止外部攻击的目的。显而易见,传统的安全都没有关注访问者的源端。
传统安全存在着若干个问题,第一个问题是攻击者手段越来越高明了,特别是恶意用户,道高一尺,魔高一丈,防护者只能让防火墙变得越来越高,防火墙越来越复杂。防病毒库变得越来越大,检测系统也越来越复杂,恶意代码的库也是越做越大。这样,不管你的病毒库做得多大、不管你的规则库做得多好,始终有一点,总是不能够反映最新的攻击状态。特征码、病毒库等等都一样,防护者跟着后面跑。这带来的问题是误报率很多,还有安全投入不断增加。维护与管理更加复杂和难以实施,信息系统的使用效率大大降低。所以说,采用老三样传统的安全产品,是堵漏洞、做高墙、防外功的,防不胜防。在信息安全领域,老三样对信息安全做出了巨大的贡献,确确实实起到了保证网络和信息系统的安全运行的保障作用,但老三样终究是很被动的方式。
这就是第一个问题,我们为什么需要终端安全。
第二个问题,我谈一下终端安全所面临的问题。
第一,终端的信息泄露的问题。我们长期以来把目光关注在防止外部攻击的行为上面,对于企业内部员工有意识或无意识将信息外泄出去的情况关注得很少。我们忘记了一条,堡垒最容易从内部攻破。今天上午,我不记得是哪位先生讲过了,以前的攻击是无意识的攻击,但现在变成了有目标性的攻击,攻击的目标性越来越强。无意识攻击对我们造成的损失不是很大,有目标的攻击是有备而来的。内部的信息泄露是有目标的,有商业价值,出卖公司的商业机密,对公司造成的损失是直接的、巨大的。
从终端信息泄露的途径来看,由于网络的大量使用,人们可以轻而易举地通过网络把信息传输出去。现行条件下,通过技术手段和法律保证还不太好跟踪和追究责任。
移动存储器的大量使用,移动存储器包括移动硬盘,USB盘,数码相机,MP3,MP4等设备。它们的容量越来越大,使用越来越方便,体积越来越小,这些东西容易造成企业信息的泄露。在关注企业信息泄密的企业和机构内部,他们最担心的是移动存储的滥用,或者是不规范使用。不规范使用不仅仅是指信息泄露到外面,还包括很多其它方面,比如说不同密级的文件存在同一个U盘里面,这个U盘交叉使用就可能引起不同密级之间的混用,虽然没有泄露到外面,但违反了内部的保密规定。过去我们说,红头文件不能带出办公室,不能带回家,但信息化时代,移动存储器的大量使用,对于信息的保密造成了巨大的威胁,因为过去的那些手段根本不能解决信息化条件下的保密问题。
还有打印机,它的泄密问题虽然是个传统的老话题,但至少,前几年并没有很好的追踪和审计手段。
还有各种各样的接口,比如说红外接口,蓝牙接口等,这些接口也可以用来泄密。
综上所述,利用终端泄密的途径有很多种,在信息化的条件下,保密工作受到了巨大的挑战。
我要谈的第二大个问题是,安全策略合规性受到了严重的挑战。这是什么意思呢?比如说一个企业,或我们在坐的各位的企业和单位,在安全方面,有形或者无形的都存在着安全策略,有的可能是体现在公司的其他文件里面,有的可能是领导反复强调的那些方面,书面和不是书面的,反正存在各种各样的安全策略。比如说,这个文件不允许某人打印,那个文件不能拷出去。或者是补丁要及时打,这样的问题,单位领导不一定具体强调,但它是一个暗含的策略。总而言之,每个企业内部是存在这样那样的安全策略。
安全策略的实施受到一个很大的挑战。终端量大面广,分布在单位各个不同的角落里,有的可能是在不同的地理位置。安全策略的实施非常困难。再加上用户水平参差不齐,不同用户有不同安全的意识,每个人的经验和背景不一样,对于安全的认识高度不一样。所有这些,影响了企业的安全意图和策略在终端上执行的有效性。还有,由于缺乏有效的策略管理工具,致使安全策略的合规性得不到评估,根本无法知道公司高层的策略有没有得到有效地贯彻和实施。
第三个大问题是终端运行失去了有效的控制和管理。实际上不仅仅是是一个运行管理的问题,同时也是一个安全问题。拿终端设备的软件配置为例,企业的安全策略里面,允许装什么软件,不允许装什么软件,都有一些有明确的规定,还比如说上班的时候不能做与上班无关的事情,这是公司所希望的,有些也是出于安全策略上的考虑。硬件方面的配制,公司当时给员工配备一个什么样配置的电脑,用户不能随便更改。配置的更改,意味着这个终端的安全性受到了改变和降低。现在客户面临的问题是,软、硬件资产的配置不能有效地监控。对于系统的运行状况,例如,用户在终端上启动了什么样的进程,发生了什么样的网络连接,跟谁连接,系统的这些运行状况要得到管理和控制。企业对资源使用情况掌握也存在问题,比如说配置的CPU就是2G的,内存是1G等等,对于电脑的使用情况,CPU是否过大还是嫌小?内存是否够用?管理者是无法量化知道的。一般来讲,员工和信息部门总是希望电脑的配置越高越好,但是管理者会考虑到成本,到底是什么样的配置既满足工作需要,又能节约成本,这需要一个量化的数字做决策。这就需要管理层拿到资源使用情况的数据。
刚才我也讲过了,这不仅仅是是一个运行管理的问题,同时也是一个系统安全的问题。终端设备的任意改变,中端运行状况不清楚,都会导致终端的安全性模糊,会失去控制。
总之,终端上存在以上三个问题:终端失泄密,终端的有效策略得不到有效的执行,中端的运行状况失去控制。早在5年前就有有识之士已经注意到这几个方面,最近几年来各个厂家和研究机构对这几个问题表示了高度关注。也研究、开发出了一些产品。但是,由于缺乏标准和统一的规范,引出了新的问题。这个新的问题就是终端安全的系统越来越多,种类繁多,产品繁杂,一个终端装了好几个代理程序,有防病毒的,有个人防火墙的,防泄密的,可能还有接收补丁推送或接受软件派发的等等等等。这样一些客户端的代理程序在一个终端里面好几个,形成一个个的孤岛,更为严重的是,彼此还可能还形成冲突。另外在功能上,尽管各个代理程序的核心功能不一样,但其它的附带功能,各个代理程序之间在功能上存在相当的重复。这意味着用户花了钱买了重复的功能,还有个要命的问题是终端资源代理过多,导致了终端性能急剧下降,系统维护成本急剧增加。这是终端安全带来的新问题。
上面谈的是终端安全所面临的问题。总共有4个问题,第一个问题就是泄密的问题,第二个安全策略的合规性问题,第三个问题就是运行于管理,第四个问题是,在对前三个问题的高度重视之后、业界开发出了很多新的产品,这些新的产品之间彼此存在冲突、抢占资源和功能重复。所以,需要一个终端安全一体化的解决方案。
下面我介绍一下终端安全一体化的解决方案。这个一体化方案的目标是什么呢?目标是需要整合终端上多种代理程序,使所有终端的技术整合到一起。第二个是减少终端上各种冗余的安全组件(代理程序),提供安全、高效、可信的终端运行平台。可以用“大、一、统”来高度概括这个目标。
所谓“大”,是指不仅仅要在终端上解决防泄密问题,还要解决安全合规性的问题、解决运行、维护管理的问题。分解出来讲,就是网络接入认证、资产管理、补丁的推送、补丁的管理、软件的分发、系统运行监控等等等等。终端安全是内网很重要的一个方面,还不是内网安全的全部。所谓的内网接入认证,通俗地讲,就是企业内部是不允许其他的电脑随便接入进来。像微软,我们在微软的办公楼里利用微软的无线网络上网,我们跟微软的内部网络是两个不同的网络,互相之间没有牵扯。作为一个企业,特别是对于高度关注安全性的企业来讲,在其内网里面,是不让外部设备(包括电脑)接入进来的。这就是我们常说的防止“非法接入”的问题。
这就是所谓的大的含义,它包含的面广,不象过去的解决方案,仅仅关注某一个方面,而要关注所有的与安全有关的方方面面。
所谓的“一”,是指理想情况下,只有一个终端代理程序,只有一台服务器,只有一个网络管理界面,非常干净、利索。大大减轻了管理员的工作负担,减轻了计算机终端电脑的负荷。
所谓的“统”,就是所有的桌面系统应用统一的策略。刚才讲了合规性的问题,公司内部只有一个策略,所有的公司电脑都实行这一个策略,进行统一的管理,对日志进行统一的分析和整理,建立企业统一的知识库,拥有统一的终端安全响应流程。对于一个企业来讲,是把所有的问题统一管起来。各个不同的组件协调工作,形成集中统一的终端安全管理平台。
内部终端泄密,一是通过各种各样协议,随便通过一个协议,如FTP,作案人员就可以把信息泄露出去,二是通过存储介质,利用存储介质也很容易将大量的敏感数据传播到外面。三是各种各样的接口。对于这些泄密途径,要采取一系列的控制,包括白名单、黑名单、灰名单的引入,以及对他们日志的访问的跟踪、事后审计,还包括加密传输、加密带出、加密拷贝等。
防泄密也关注“非法接入”所引出的问题,就是说,在企业内网里面,如果一个外部的电脑中途接入进来之后,系统应该可以及时地发现并阻止它上网。这个“及时”的时间要求非常严格,在1分钟之内可能发生很多的事情,在几秒钟之内也可以拷贝一个很大的文件。总之,接入认证是用来防止外来终端设备、避免内部信息泄露的一个手段。
移动存储介质要解决的问题非常多。首先,移动存储介质跟接入认证是一样的,不允许外部的移动硬盘或者是U盘进来,进来之后系统要认证,如果没经内部授权,那么对不起,系统拒绝使用这些外来的存储器,就是“外面的东西进不来”。反过来也是一样的,企业内部有的U盘,出去以后也是没有用的,内网之外的电脑是读不懂的,就是“进不来也出不去”,在内部信息和外部信息之间划分出了一条非常严格的分界线。在存储介质上的文件要加密存储,防止暴力破解,还须具备自锁、自毁等机制,以及使用日志和拷贝的文件记录,尽管是加密的,但是事后还要审计。在我们的实际的工作当中,一味强调信息安全,达到“出不去也进不来”还不够,可能还有特例。想象一下,要到单位外部做一些学术报告或者是跟外面的同行做交流,或者是单位的系统内做交流,这种情况下,一方面要保证安全,另一方面,又需要企业内部的信息在外面可以使用。针对这种模式,我们专门设计了一种存储介质的使用模式,叫做“商旅模式”。总而言之,关于移动存储器这方面考虑的因素非常多。
对于脱离安全环境的单机的控制也是非常重要的。在单位内部,由于内网的一些安全措施和较严格的管理流程,终端设备能够得到适当的部署,能够得到有效控制。但是,像移动笔记本电脑,这个电脑出去了,脱离了安全环境,它所带来的潜在问题也是必须要考虑的。这个问题现在变得越来越严重了。为什么说呢?笔记本电脑越来越便宜,用的人越来越多,像过去它是一个很昂贵的设备,只有几个人才用,现在几乎是每一个人都在用。特别是搞技术支持的,或者是领导。这个问题变得越来越严重,我们有一系列的数据,摘自不同的调查报告,可以充分说明这个问题的严重性。
员工不利用企业内网上网,而是通过一个无线网卡,或是通过电话拨号,逃避单位内网监控体制的监督,这是我们通常所说的“非法外联”。如何有效防止非法外联是防泄密系统要考虑的重要因素。
讲一讲文件加密存储和传输的问题。刚才讲过了,通过很多种措施和途径,包括U盘和脱离安全环境下的登陆上网等。即使这些泄密途径都控制住了还不够。还有一种情况必须考虑,就是文件加密存储和传输。如果文件明文存放在终端设备上,会出现问题的。因为这台电脑可能还有其他人使用,他使用的时候可以越权访问;还举一些例子,当你的电脑丢失了,人家把你的硬盘拿出来,通过各种各样的破解措施可能会看到你的文件,这种情况下,如果文件是加密存储的,就不必担心数据流失。数据传输在网络上也是一个问题,密集的划分一般来讲是绝密、机密、绝密、无密级这4个,你有哪个权限只可以看哪一类文件。例如,一个具有“绝密”密级文件,其流转是非常敏感的,这个绝密文件在谁手里面,处于什么位置,目前处于什么状况等要重点关注。
刚才我讲的是防止泄密考虑的主要问题,各种泄密途径的控制,接入认证,移动存储介质,或者是安全环境下的单机控制,非法外联控制,文件加密存储和传输,以及不同密级文件的交换和传输。
至于安全策略保障,在终端上来讲,安全策略有很多种,谁可以使用这个终端设备,谁不能使用,这是一个身份的问题。防病毒软件显然是终端上面的一个重要的安全组件,防病毒软件有没有安装和启动,有没有升级,病毒库有没有升级,这个是安全策略必须要管的事情。
第二方面就是补丁,补丁是积极防御受攻击主机的主动措施。补丁打了没有,有没有及时打?在单位内部,几百台、上千台甚至更多的终端,人工做到补丁管理很难。补丁问题实际上就是安全问题,策略保障系统要解决的问题之一。还有用户的口令,口令本身是不是很强?是否符合公司的安全策略?屏幕保护有没有设置?等。
下面讲讲内网安全性准入条件。假如你的终端没有打补丁,它就是不符合内部规定的终端设备,或许你用它可以接入内网,但是要受到非常严格的限制。用户只用首先把这几个事情做了,使其成为符合企业内部的安全性准入条件后,用户才可以得到正常的使用。另外还有个人防火墙的设置以及进程、文件和注册表的保护。
对于运行维护管理,其内容含有软、硬件资源配置管理,运行状况监控,补丁管理,远程帮助,事件、性能数据的监控和报警。对满足条件的事件,通过报警,系统将这个事件传达到相应的责任人手里。这不仅仅是是一个使用效率的问题,也许是一个安全事件。一旦用户终端的性能或事件数据达到一定值的时候,系统就及时通知相应方面去处理。
其他方面,大家还应该考虑到应急响应流程、知识库的建设和知识的积累。知识库的建设,是终端一体化要解决的一个重要方面。对每个方面问题的解决,所用到的知识和经验,一体化的解决方案提供了一个平台,每个人都可以共享这个平台,每个人都可以利用知识库里的知识或成果。那么报警事件的级别,有一些是一般的问题,有一些是很严重的问题,看企业内容关注的是哪个方面,这是用户定义的告警级别,用户可灵活掌握。后续的审计工作就是对大量的日志进行还原和分析。日志的还原、审计以及产生各种各样的报表供各种各样的人参阅。
一体化的解决方案本身的安全性,也是不可缺少的一部分。其中包括了客户端的代理的安全性,容不容易被人删掉和破坏。在系统的数据和日志的保护方面,关注的焦点是系统本身所产生的日志(还不是指用户的数据,而是系统本身产生的数据),以及系统本身产生的数据,对它如何实施保护,以及各组件之间的通讯加密。因为刚才讲了有统一的代理,一个代理一个服务器,一个控制端之间要产生传输数据,这些数据之间传输的过程要加密。
今天我讲的内容就要结束了,林林总总讲了终端安全一体化的解决方案,只是一个大概。但我所讲的这些方方面面,在中软的内网安全产品里,都已经得到了完整的实施。
谢谢各位! | 
