“第八届中国信息安全大会”于2007年4月18日在北京新世纪日航饭店隆重举行。本次大会以“和谐网络&应用安全”为主题,并组织了四场分论坛,主题分别为“安全网络&绿色上网”、“特色产品&行业应用”、“信息安全管理&合规性”以及“业务协同下的应急管理”,以下是本次大会的精彩演讲之一
刘海峰:大家下午好,我演讲的题目是“针对要害切实有效地选择安全产品”。我主要想在五个方面谈谈这个问题。首先是把我们中心的简介向大家简单介绍一下。第二,通过我们近几年来的一些测评以及经验谈一谈普遍存在的信息安全问题。基于这些安全问题再谈谈如何选择安全产品的过程。以及选择安全产品的原则。最后谈谈政务系统的安全产品具有哪些特点。
在国内IT领域首家同时获得实验室认可和检察机构认可的信息安全认可。我们公司主要从事的业务范围主要是一些测评,包括信息系统安全等级测评;信息系统安全风险评估;信息系统安全验收测评;还有涉密信息系统安全间;还有一些信息安全产品检测。除了测评工作我们还做一些北京市信息安全态势分析与评估工作,另外还有信息安全应急支援;信息系统容灾备份与咨询公司。
我们中心做了大量的测评工作,在其中也发现了很多安全问题,首先我引用一下2006年CNCERT/CC的一个分类统计。首先其中被篡改的数据是很多的,在大局面上来看其中普遍存在的问题是,最大的是操作系统漏洞,第二是目录遍历漏洞,第三是SQL的漏洞。我们做了具体分析,发现具体三方面的原因,第一应用系统的安全设计和开发重视不够,大多数国内的政务系统规划设计都缺乏对网络和信息系统漏洞跟踪和管理机制。第一是安全功能设计不够完善,另外一方面对安全代码的编写也没有引起足够重视。通过这次重视我们发现数据库查询,漏洞占70%多,跨站、跨脚本漏洞占40%。这些漏洞都是应用程序和不规范操作引起的。随着我国信息化的发展,各单位依赖信息化的程度越来越高,通过去年的普查,北京市各业务有65%以上都实现了信息化。但是信息安全的一些培训和信息安全投入并不是特别够,普遍存在的现象就是对各类硬件设备和软件系统漏洞应对机制不是特别完善,表现为有的不是特别关注漏洞发布情况,另外打漏洞的人并不了解深入的技术,打入补丁以后系统会出现一些问题。第三,系统维护人员以及用户的安全意识相对薄弱,用户均存在安全意识薄弱的现象。
这是我们今年初对这些网站测试的情况,我们还对86个信息系统做了一个安全问题统计,安全问题最多的就是这些系统开启了与业务应用无关的断口和服务,及安装、运行了与业务应用无关的应用程序。第二个问题就是部分帐号权限分配过大,没有遵循规则,这主要体现在操作系统上的比例比较大。第三,没有及时升级、安装最新的系统补丁和HotFixes。另外有55%的系统用户名和口令明文存储或传输。对安全管理我们也比较重视,在这方面也做了一些统计,主要是这些安全问题的策略性主要体现在这几个方面。第一,资产没有按照重要性进行分类、分级管理。第二,信息安全策略不明确,文档不完善。第三,机房管理规定缺失。
正因这些系数和安全管理方面的问题我们总结出安全存在的风险。第一个就是重技术、轻管理的现象普遍存在。第二,做安全产品特别是部署的时候,有“重部署,轻运维”的情况,因此部署了各类的安全产品,但是有部分单位错误的认为这就已经足够了,而忽略了安全产品的升级维护工作,实际上安全产品的部署仅仅是安全防御的开始,应该认识到安全产品是一个动态的过程,这样才会对突发事件作出有效的抵御。第三,运维人员技术水平偏低,缺乏专业的技术培训,目前黑客的攻击呈现的智能化程度比较高,特别出现的一种趋势就是零攻击的现象,攻击第一天没什么发现,但第二天的恶化程度就会比较大。第四,通过信息化的发展在技术以及管理方面都有一定的进步,也就是具备一定的信息安全保障措施,但信息安全整体保障能力是不足的。第五,信息安全管理流于形式,安全责任制落实不到位。随着信息安全建设的不断发展,信息安全得到了各单位的高度重视,也成立了信息安全小组,但是对安全责任制的程度多数不理想,有的单位制订了一大堆的安全管理制度,但是具体落实情况是不理想的。
这是通过我们测评和检测发现普遍存在的问题,针对这些安全问题我们如何选择产品,下面讲选择安全产品的过程。第一是要梳理业务,明确重点保护的信息资产。第二,风险评估,了解系统面临的信息安全风险。第三,制订安全策略,合理划分安全域。第四,建立信息安全管理体系,落实信息安全责任。第五,根据信息资产的重要程度,选择合适的安全技术措施。第六,部署完安全管理体系,对整个系统进行风险管理,以降低系统的安全风险。最后要制订业务连续性计划,做好应急演练工作。
对安全产品的选择原则大概有六个方面:第一就是重点保护的原则,大家都知道信息系统的价值在于业务信息和提供的服务,要根据信息资产的保密性、管理性和可用性采取相应的安全产品。第二个原则是全面保护的原则,信息安全的木桶原理就是对信息均衡全面进行保护,大家知道信息系统本身是个复杂的系统,在操作上和管理上存在着脆弱性,尤其对多用户网络的复杂性。第三个原则是适度保护的原则,要以安全保发展,从发展中保安全,做到终点保护,坚固一般。第四,标准化的原则,做信息安全的过程中一定要保持相应的标准,保持系统的互通互联、信息共享。第五个原则就是等级保护的原则,等积形的原则就是指针对安全等级不同的系统采取不同的安全保护,选择不同的安全保护措施。最后的原则就是易操作性的原则,如果操作过于复杂对人的要求过高本身有降低了系统的安全性,其次安全措施的选择应该不能够影响系统的正常运行。
目前北京市各级政府采用安全产品有这么几类,有安全审计类、访问控制类、通信保护类、标识鉴别类、内容安全类、恶意代码防范类、数据安全类、安全加固类、安全管理类。我针对这些问题又提出了一些个人见解,政府系统需要的安全产品主要有以下几个。
统一的安全管理平台。第一是对各种安全产品、网络设备、主机服务器及业务系统进行统一的安全策略制定和下发,能够对日志、报警信息进行汇总、关联分析。第二,通过更改相关安全产品的策略对判断出的攻击行为进行防御,我们要总结出攻击点,然后进行防御。第三,安全管理平台可操作性要比较好,有效提高管理人员工作效率、降低工作强度。
第二类安全产品就是风险管理系统,目前在国信办也在推行风险管理系统,但是缺乏安全管理产品方面的知识,我们希望在这些方面各个厂家也能多做这些方面的培训。对系统中各关键信息资产进行有效的,动态监控系统的风险。第二,根据历史风险记录,预测可能发生的安全事件,为这些信息安全中心提供一些应对决策。另外是风险评估自评估工具,将风险评估定量和定型相结合,辅助系统运维单位进行自评估;将风险评估结果纳入到风险管理系统中去。
第三,安全体系建设辅助工具,北京市也将在三四个区县进行安全管理体系试点,安全管理体系的建设额需要一些辅助工具进行体系建设,希望协助用户单位建立完善的信息安全管理体系;病人根据业务变化,动态调整安全策略及相关内容;第三,通过一些调查问卷有效评价安全管理体系的运行状况。
下一个工具是系统脆弱性跟踪管理工具,希望能够自动发现及跟踪系统脆弱性情况,包括操作系统、数据库的漏洞,以及不安全的配置情况;能够自动修补或是提出相关的整改措施的建议。
应用系统脆弱性检测工具,根据相关标准检测应用系统的安全功能是否设计、开发完善。希望能根据相应标准发现系统开发过程中存在的安全漏洞。
以上就是我简单向大家所介绍的内容。
主持人:感谢刘海峰先生,我觉得您讲的很多内容实际上不是简简单单的信息产品选型,这只是其中的一部分。
刘海峰:通过我们积累的一些数据和经验,把各委办局和各政务系统的情况分别向各位反映一下。
主持人:不知道在座的各位有没有高见?
提问:我想问一下测评具体来说是性能测试还是产品测试?
刘海峰:产品测试国家有相应的标准。系统测评也有相应的标准,北京市也有地方标准,主要是测安全功能。 | 
