腾讯科技讯 3月19日消息,在为期两日的网讯网络安全技术峰会上,深圳
大成天下信息技术有限公司的吴鲁加分享了他在企业数据安全的研究成果。
以下为吴鲁加讲演实录内容:
主持人:大家早上好!昨天的议题包括了网络游戏安全等议题,可以说是内容丰富。相信今天议题也是非常值得期待。我们知道现在的网络攻击不再仅仅是顽童的游戏,更多更专业的商业黑客也介入其中,通过对企业内网的不断渗透,获得更大的价值和利益。一方面是企业不断购置新的软件设备抵御黑客,另一方面,企业内网入侵事件频频出现。下面我们有请在安全领域有着多年实践经验的专家吴鲁加先生来给我们一个答案吧。
吴鲁加:各位朋友,大家好!非常感谢腾讯主办的这次安全峰会,这次峰会的主题是安全跟沟通。因为我们最近几年一直都在做内网安全方面的工作,所以我想这次这个交流的主题定位在企业内网安全的实践和思考。在开始之前先做一个自我介绍,虽然站在这个讲台上,但是实际上我不从事技术方面,包括研究、开发这些工作很长时间了。实际上现在更多的只是一些点和面上的东西。目前我们做的一家公司是大成天下,主要的方向是在终端和数据安全方面,目前还是有一定的经验和实践案例的,产品包括两款:超级巡警、铁卷。
今天上午我想跟大家交流的提纲大致是这样的:首先我们面临哪些问题?目前企业界通常是怎么应对这些问题?根据这些东西做一些发散,把一些技术的点罗列出来。最后进行归纳。
最开始我们面临的问题,我这边基本上都是以图片来展示(图),这些都是在网上直接找到的新闻,比如新浪上的新闻,google报告恶意网站有上升的势头。这副图大家都可以看到一个非常非常明显的上升曲线。同时声称中国恶意网站占到总数的67%,这个比例是一个比较可怕的比例。像昨天方兴提到的Web2.0时代我们有很多的攻击,实际说这种攻击目前已经逐步流行起来了。比如百度空间的蠕虫,利用百度空间漏洞传播的蠕虫。包括校内网的蠕虫。这些在目前都已经出现。也就是说Web2.0时代这种恶意的攻击已经是初见端倪了。
另外,除了类似蠕虫、挂马之外的攻击之外,还包括一些表面上看起来没有什么危害的,这个页面不带任何木马、病毒,但是它实际上是一个欺诈页面,就是俗称的钓鱼。这边的一些统计数据是从06年12月到07年12月,新的钓鱼网站数量统计,应该说这个数量虽然已经是一个疯狂上涨的趋势。
在SNS、BLOG出现的各种各样的信息泄露事件,这种事件也是越来越多。这边有一个杀毒软件厂商做过一个实验,他在Facebook注册了一个帐号,添加200人为好友,这200人中有87人接受了好友请求,其中有82个人把所有的个人档案共享出去了,其中包括一些数据,比如生日、邮件等等。这些实际上会带来一些信息的泄露。同时很多人有写BLOG的习惯,这个可能会泄露很多信息,这种也是安全问题。
像应用程序方面的漏洞,这边举了几个例子。像联众、realplay等等,这些都越来越多的影响了用户的安全。再有就是员工的跳槽或者说设备的失窃以及最近沸沸扬扬的陈冠希的事件,这实际上都是由于各种各样的原因导致的数据的泄露。大家最熟悉的可能就是黑客、病毒的攻击,中了各种各样的招,所以出现了问题。这边再有的例子就是客服、后台的数据库。这是一位朋友跟我交流的,也是属于Web2.0公司,他提到过在他们公司里有很多呼叫中心人员,这些客服人员有一定权限读取数据库信息,并且能把数据库信息导出做一些处理和统计,这些权限对客服人员是必须的,但是他们实际上发生过这种情况,因为在这个领域竞争比较激烈,所以同行就会采用类似商业间谍手段来收买一两个客服人员或者甚至找一两个人去应聘客服,最后可以非常轻易的把一些关键用户,假设类似移动每个月消费3000元以上的用户列表打出来直接带走,实际上会带来非常大的损失。这就是客服和后台数据库我们面临的一些问题。
前面罗列出了一些面临的问题,这些问题应该说林林总总。它实际上并不仅仅局限在某个领域,而是通常我们在内网里头会遇到的或者说比较难以解决的。目前大家是如何解决这个问题呢?这两个图是我在微软网站上直接载下来了,首先如果我们做一个界定的话,微软本身定义了生成防护的模型,从策略、过程、意识开始,在把这些东西明确后,走到物理安全、边界安全、内网安全,最后到主机、应用程序、数据安全。我的主题里把所有网络思想意识、安全策略这方面都忽略掉了,我们把沟通主题局限在主机、应用程序和数据,也就是说刚才我提出的这些问题基本上也都落点在这三个范畴里。这三个范畴里的问题再来界定一下他们的安全我们希望能做到怎样呢?这是一个比较常见的说法。就是说在一个提供服务、应用程序和正常网络架构安全环境中我们要提供高的保密性、可用性和完整性,也就是说我们实际上并不会考虑把这个数据非常非常严格的保护起来,但是它的可用性丧失了,三者是缺一不可的。这是我们希望讨论的。
讨论之前,这边是网上可以看到的一篇文章《微软如何面对每个月100000次的攻击》,这个是在前端的边界、内网方面做的防护,如果有兴趣的朋友可以先去看一看。后面过到目前大多数企业执行的安全策略。我这边有几个案例,像这个案例是惠普如何做安全的,他们做了一个东西,IDA,这个软件起什么作用呢?左边这个是软件管理和监控工具,通过服务端可以监控每一台主机上安装上什么样的软件,然后允许他安装什么软件和不允许他安装什么软件,右边是补丁分发的系统,这都是惠普自己的。同时他们安装了SEP11,它其实是在防病毒、反间谍软件、防火墙、入侵防护方面做了控制从个人端基本安全上做控制。这是他们的一些基本界面(图)。另外在部分重要的机器上,爱森哲除了采用上述方式之外,他们还做了一些额外防护,加密。等于全系统的加密,从启动开始就直接加密,整个硬盘都做起防护。这个是惠普或者爱森哲这样做的。
目前我们大多数的公司就我们目前所接触到的很多公司,实际上都还没有在内网里做这些工作,大多数企业基本上就是防病毒软件来希望拦截所有内网安全问题。这边有几幅图,我跟几个朋友说要过来做一次交流的时候,他们跟我说正好手里有几幅图,或许可以当做演示的材料,实际上可能真是确有其事。这些都是号称在外面有一些兜售原代码的人在做的一些操作。甚至我自己都遇到过一次,我们有一个同事跟我说有人在网上叫卖我们产品原代码,就是铁卷源代码,这个时候比较紧张,纳闷怎么会发生这种情况。
于是让这个同事跟对方去聊,你总得证明它是铁卷的原代码,我们才会买。最终我们采集了证据实际上不是我们的源代码,而是我们竞争对手的源代码。我们竞争对手也是做数据安全的,自己的信息和源代码在外面兜售,但是这种情况绝不少见。
即便我们采用上述方法来做防护的时候,可能还会有一些隐隐担忧,该做的都做了,为什么还不放心呢?怎么保证员工不会有意或者无意的泄露各种紧密。可能有一个比较尖锐的问题,为什么用了杀毒软件,还会中毒。各种各样的技术都得上来,否则的话,中毒是必然的。
因为有漏洞、木马或者商业化的免杀出现,我们有没有办法防御所有的入侵和Oday。这是另外一个想法,我们现在所做的大多数防护工作都在事前、事中,我们所做的防火墙、防病毒或者入侵检测或者刚才提到的任何的一些东西,要么防止黑客进来做了层层防御,如果黑客进来的时候我希望第一时间发现黑客,但是事实上或者说从目前情况分析的话,我觉得情况未必都能如此理想。也就是说,这种事后的工作实际上也是蛮需要做的。但是目前这块应该是缺乏的,我们被入侵以后,黑客潜伏下来后我们应该做些什么操作。甚至我们定位了以后,我们应该怎么操作。这个时候我们是没有太多的考虑到的。可能更多的是我们直接把它移交到防务部了,这个不归我们信息安全部门管了,大家向玛丽祷告了。
我们从源头分析,用户可能做哪些娱乐工作呢?这边列了很多,上网、聊天、游戏、交友、下载、看电影、听音乐、网络视频、在线视频等等,这些都是企业用户没有办法完全禁止在企业网里做这些事情。但是做这些事情面临的风险,实际上我们目前做的防范措施都是有缺失的。用户用电脑做什么工作,这边也列出了他会做的工作,这些工作也是他必须能够满足的,也就是实际上无论他们做正常工作还是做娱乐休闲操作,这些是常规应用,这些应用我们必须满足他,满足之后,我们必须防止攻击者在里面窃取源代码、窥探用户。
这边是一个简单的小归结:刚才说了那么多应用、那么多风险,实际上在内网部分现在我们没有控制到的,包括应用程序漏洞、包括挂马、钓鱼、SNS欺诈。还有员工本身可能带来的危害、风险。这边既然发散看来了,就罗列一些目前部分安全保障措施,包括审计、加密、备份、防护、升级。
审计这块,现在有一些公司做了网络审计方面的操作,在内网上做各种各样的审计,来分析他安装了什么样的软件,浏览过什么样的网页之类的,并且有一些统计视图。审计另外有一些文件操作的一些产品,可以根据文档类型来确定用户打开或者编辑、修改、删除、重命名等等,对文件做的所有操作都能够定义出来,这个时候实际他适宜于内部高精密的网络、高精密的单位。
加密这块目前的思路也比较多,包括磁盘加密,PGP,或者链路加密、应用加密、数据加密。数据加密的话,这里可以先做一个简单的演示,实际上大家应该可以看到我的PPT右下角有一个小锁,这个锁是什么概念呢?实际上表示了我这个PPT文档是受加密的,但是我打开或者编辑这个PPT又没有任何干扰。比如我现在新建一个Office Word文档,关闭之后我们可以看到这个数据带了一个加锁的图表,但是我们也可以正常打开编辑。
我们用二进制来看,他已经和普通OFFICE文件头不一样了。这就是我们加密最简单的应用。比如说他可以把文件直接另存,假设我们另存成JPG文件,当前幻灯片保存是JPG文件,这个时候也可以看到下方也有一个小锁,我们试图打开这个文件是失败的。我这个控制端是一个比较特殊的,我可以自行解密。解密完后我们可以看到内容是正常的,所也这些解密操作都会有信息存放在自己电脑里,当我回到企业内网之后就能够马上把这些数据同步到服务器上,也就是说我在外面做了什么操作都会保存回去。这种保存操作也就是尽量的底层、尽量的往磁盘空的处理头写。采用这样的技术,就可以做到我们刚才提到问题的防护。
比如数据库存取保护。还有刚才说的客服问题,如果我们把客服人员采用的数据库程序加入到我们受保护的进程里,实际上通过各种各样的应用程序所导出的excel、PDF之类的文件实际上都会加密,并不会轻易被一些恶意用户拿走。另外这边是采用类似的技术对源代码进行保护的一种方案。实际上在用户端采用类似技术对源代码进行保护,但是最大的问题在于比如SVN服务器,在这种情况下我们希望数据是明文存放,这样会更安全一些。如果数据明文存放,而用户又有服务器帐号,他们就可以直接比如自己装一个虚拟机,跑到内网里把明文文件取出来,导致数据泄露。这个我们也有一些解决方法,通过SSL隧道来做这样的事情,链路上也是加密的,网络层通过一些应用程序来防止没有装客户端的用户直接连到SVN服务器上。同样这边都是一些简单的例子(图),图形图像文件的保护,所有的图片、电影文件只要一传递到服务器上,都会马上的被直接加密。加密完后只有在本机上才可以阅读,类似于我现在把电脑里这个PPT直接拷出去的话,目前只有在我们电脑可以阅读和我们公司同事上阅读,直接传出去的话,它的内容也都是加密的,是无法直接打开的。这个也是类似的(图),像这种就是加密的保护方案。
|
|
||||||||||
 |
 |
| 周鸿祎力推360为什么 | 中国电信业或将过冬 |
热门新闻排行
IT新闻
互联网
通信
网评
| 关于腾讯 | About Tencent | 服务条款 | 广告服务 | 腾讯招聘 | 腾讯公益 | 客服中心 | 网站导航 | |
| Copyright © 1998 - 2008 Tencent Inc. All Rights Reserved |  |
| 腾讯公司 版权所有 | |
