张永斌:各位专家、各位领导、各位来宾上午好。今天我可能跟前几位同行沟通的角度不一样,他们沟通的都是面的问题,而我选择的是一个点的问题。我今天的主题是服务器与安全防护。
我沟通的内容主要包括4个方面。第一,应用安全边界;第二,WEB应用系统安全防护的必要性;第三,WEB应用攻击分类;最后一点我想介绍一下捷普的解决方案。
在进入正式主题之前我们先回顾一下网络安全边界的发展历程。过去从我们部署防火墙,到我们现在部署IPS UTM。那么我们现在在思考一个问题,我们建设这些的目标是什么?我想是两个层次,第一是保证我们的网络应用正常的运行;但更重要的是保护我们企业核心数据的安全。那么对于这个问题我们首先看两个安全事件。2007年8月世界最大的职业中介网站Monste.com为遭到了黑客攻击,黑客通过WEB服务器窃取了数据库中的注册的数百万求职者个人信息,并用恶意程序攻击其中160多万求职者的电脑,向他们勒索钱财。同年9月份网络股票交易商TD-AMER itrade公司遭到黑客攻击,有超过630万名客户的联络资料从数据库中被窃取走,造成的损失高达2200万美元。
我在这里面只写了两个典型案例,在07年也发现了很多类似的安全事件。那么我们会忽略我们的安全网络建设呢?我想这是我们在安全理念上的问题,就是我们往往认为网络的安全边界就等于应用的安全边界。这两年随着网络的快速发展和WEB应用不断成熟,越来越多的企业利用各种各样的数据系统,包括MIS系统、CRM系统以及我们的门户网站,根据调查我们目前大概有70%的攻击是基于WEB攻击进行的,而跟为严重的是,我们信息被窃取了,而我们丝毫没有察觉。
这是我们一个典型内部网络建设的拓扑示意图,在网络出口处可能部署了一个防火墙对外部的攻击进行防御,在内部网络我们会有一个数据中心联合这些应用系统,这些应用系统一方面提供业务服务,另外也为我们的互联网用户提供服务。大家知道WEB访问我们的用户是通过浏览器访问WEB服务器,通过WEB服务器获取相关的后台信息,通过WEB服务器来实现信息录入。那么我们的WEB服务器安全防护被突破之后我们会出现什么问题?也就是我们各种各样的内部信息会曝光在攻击者面前。也就是说WEB服务器已成为应用系统的安全边界,如果这条安全边界被突破,那么我们的信息强会暴露在攻击者面前。
下面看一下WEB防护的必要性与自身的缺点。早期大家知道一些黑客攻击者的攻击目的并不是为了盈利,只是来炫耀自己的能力,而这两年越来越多的都存在着商业的目的。那么我们从WEB应用程序的安全性来看,它总体比较脆弱。在这一块应用程序领域缺少安全性,开发者往往忽视了最关键的一点就是对应用系统安全性考虑,攻击者可以利用他的一些漏洞获取系统明显的信息,对系统进行攻击。我们说WEB开发这个门槛相对比较低,进入这个领域的开发人员要求并不是很高。
FBI调查表明,由“内部人士”而外来黑客所引起的安全事件高达总安全事件的70% ,然而目前很多企业在信息化建设中,内部安全建设重视不足,虽然在企业与互联网之间部署了防火墙、IPS等安全设备,投入了很大的资金,但是在企业内部各种服务器是直接暴露在内部网络的,暴露在所有内部用户面前,这使得各种应用服务器很容易遭到内部攻击和越权访问。
再看一下传统设备对WEB应用系统防护,一方面看一下它的工作原理,我们看一下防火墙,它的最基本原理就是对你的地址或者端口进行数据保温的过滤,有一个特点,它无法检测到应用层的攻击。那么再看一下IPS-IDS,由于它缺少协议完整性检测以及应用层的运行状态,导致了对于一些伪冒正常的请求特定攻击无法检测,比如SQL、CC攻击等。
传统的网络设备缺乏对用户身份和基于角色细粒度的授权管理,对威权访问方面的控制能力很差。同时我们在另一个角度来看一下,就是我们自身,我们往往为增强WEB应用系统的安全性,往往每个应用系统都会建立自己的认证系统,导致一个实际用户有多套用户名和口令的现象,造成用户帐号或密码遗忘现象时有发生,或者一套简单用户名和密码多个系统使用,造成口令过于简单、保密强度降低、用户身份管理混乱等问题。也为我们应用系统安全带来了很大的隐患。
最后一点,大家都知道我们现在有各种WEB服务器和应用服务器的种类很多,包括开源的IS,包括j2ee的应用服务其,这对管理人员提出了很高的要求,如果我们对各种配置不当也会造成很大的安全隐患。那么WEB攻击已经成为了不可忽视的问题,也曾经了我们后续安全网络建设的重点。
首先看一下WEB攻击的分类,总体上可以分为三大类:输入攻击、授权和访问的攻击、可用性的攻击。下面我们看一下捷普针对这个问题提出的完整解决方案。先介绍一下服务器安全防护系统,它可以说是一种多技术的融合体,包括防火墙技术、VPN技术、检测管理技术、认证审计技术,通过不同的层次为用户提供全方位、多层次的防护。这是一个非常简单的系统防护图,可以看出安全网关实现了服务器系统和访问系统的隔离。下面我们看一下在产品设计上的主要思路,这可以归结为三点,第一点我们可以实现服务器网络与访问网络的隔离,建立服务器群组的物理安全域。从另外一点来讲,就是说,最简单的一点,我们建条防线,不要把我们的内容暴露在所有人、所有用户面前。第二,从网络层到应用层安全防范整体考虑,以便有效的对各种安全攻击进行防护,提高WEB应用系统的安全性。第三,根据用户信息身份进行授权管理。
在网络层上我们有自己的防火墙模块以及抗DDS攻击模块,在几个层面上去抵挡网络层的攻击,在VPN层面上我们会保证我们数据的完整性,在网络层上我们有日志检测、授权管理等应用模块。
下面看一下对一个简单的应用请求的防护过程。首先用户发起一个请求,那么我们会对他的信息进行审核,如果通过之后我们就会进行更深层次的分析,分析这个请求是否合法,另外一方面会对他的内容进行深层次的检测,看这个请求是不是潜在着安全攻击,另外我们还会对他的行为进行检测,只有通过这些才能使请求进入到WEB服务器。
那么现在看一下,WEB服务器安全了?后面的数据是不是达到安全了呢?今天的主题是可信安全,那我们在部署当中有些层面还没有达到安全的部署,我们的服务器系统也在强调安全接入,我们虽然强调可信接入技术,最基本的也就是身份认证,通过了才能访问我们的资源。
大家可以回忆一下,不管防火墙、IPS,我都是基于我IP地址的目的,进入到原端模块和我们的协议,而在这些产品设计上我们强调了面向资源的东西,对于应用系统来讲强调的是资源的安全性。
大家可以看一下这是一个授权的过程,我们可以授权这个用户对服务器A上的资源1进行访问,同时我们也可以授权这个用户对服务器B对资源2不能访问。
我们前面提到WEB攻击的三个分类,下面介绍一下对于攻击的检测,系统检测引擎根据IETE规范,对HTTP、HTTPS等协议进行完整性检查,对不符合协议规范的非法、恶意访问进行过滤。第二个方面,基于特征的攻击检测,我们这套系统建立了丰富的攻击特征库。我们可以看到对跨站脚本攻击、SQL注入攻击等都可以进行过滤。第三个攻击检测是基于访问行为的攻击检测,系统检测引擎建立了一套完整的基于会话的攻击检测规则,对用户的访问行为进行分析。
今天我向大家介绍了捷普对应用安全的一些应对措施,谢谢大家。 | 
