中國信息安全大會上東軟網絡安全營銷中心解決方案部部長，曹鵬先生演講。

主持人：謝謝陶先生。人生出現(xiàn)安全盲點會導致一生的悲哀，企業(yè)安全系統(tǒng)出現(xiàn)安全盲點就可能是滅頂之災，接下來演講嘉賓將告訴我們如何避免業(yè)務系統(tǒng)中的安全盲點，讓我們有請東軟網絡安全營銷中心解決方案部部長，曹鵬先生演講。

曹鵬：今天由我最后告訴大家應用業(yè)務系統(tǒng)安全中需要討論的問題，我今天話題會聚焦到一個非常細小但是非常重要的地方真正的業(yè)務系統(tǒng)。

這跟我這兩年做安全很大關系，來自不同的業(yè)務領域和不同的行業(yè)，我發(fā)現(xiàn)高級用戶部署了很多如防火墻、防病毒等，很多業(yè)務系統(tǒng)是我們自己開發(fā)的，對外沒有公布太詳細的細節(jié)，業(yè)務系統(tǒng)在開發(fā)的過程中，從規(guī)劃之初到設計，到代碼編寫，到整個運維過程中對安全考慮不是很周全的。

我直接給大家介紹幾個真實的，在以往項目中出現(xiàn)的業(yè)務問題，首先介紹一個C/S結構，這是在我們國內財政稅務局中，幾乎每一個地市財務系統(tǒng)都會有，這是我去年非常有意思的案例，當時我過去他們很關注業(yè)務安全的問題。當時我拿到這套業(yè)務系統(tǒng)之后簡單看了看，分配我的帳號，三個預算單執(zhí)行全力不是后臺登陸的權限，這個帳號用戶名密碼也是存儲在最后數(shù)據(jù)庫上的數(shù)據(jù)而已，這套業(yè)務系統(tǒng)要想驗證我是不是成功驗證，必須跟C/S驗證，后續(xù)工作很簡單了，我開一個用戶端，我就取得非常核心的業(yè)務數(shù)據(jù)，可以更改所有的關鍵數(shù)據(jù)，我繞過了前臺的限制到后臺去修改，這是目前常見C/S軟件類型中出現(xiàn)的典型問題，就是后臺登陸的數(shù)據(jù)庫帳號，內置在過程中間，這不是用戶可以參與的。

另外一個是B/S平臺，在這平臺里面有一個應用程序，有一個動態(tài)腳本跟后臺有數(shù)據(jù)庫的交互，這里面有很多針對應用平臺的安全攻擊，比如SQL語句注射式攻擊，還是在一個財政局內部的王震里，里面有非常好的OA辦公網，前端是SP，后端是C/S，我在系統(tǒng)里面找到一個本站留言板，這結構比較簡單，我打了一個IP號，后來到動態(tài)數(shù)據(jù)庫里查詢，我在and 1=1，和and1=2，這下頁面提供了錯誤的生成，如果攻擊者往前再走一步，and user>0，這是當前暴露非常敏感的數(shù)據(jù)庫里面的處理信息，有經驗的可以用這攻擊去攻擊業(yè)務。凡是內部用GSP，用ST開發(fā)的內部處理系統(tǒng)，很多有非常典型SQL語句注射式攻擊。

還有在開發(fā)過程中版本控制，這是我們國內非常知名的航空公司，這家前面有一個SP，中間有中間件，在這里面發(fā)現(xiàn)很有趣的現(xiàn)象，可以直接把源代碼下載回來，因為開發(fā)過程中國，因為更新的時候，這家公司發(fā)布網頁的時候，把不應該發(fā)布的東西都推到Web網站上。這說明發(fā)布否之過程不夠完善。

功能所依附的操作平臺的安全缺陷，很多時候我們業(yè)務要安裝在一些平臺上，業(yè)務平臺會有一定的安全性，比如我設置過一些大型廠商的中間件系統(tǒng)，這里面日志記錄非常差的，很難支持IP地址訪問行為記錄，這方面的缺陷，一旦今后出現(xiàn)問題，在這個平臺很難真實發(fā)現(xiàn)問題。

程序開放接口的問題，主要是壓力測試和針對性測試，我們開發(fā)系統(tǒng)的時候都認為是好人，對于惡意的訪問不夠周全，家鄉(xiāng)所有人訪問是正常的，沒有任何惡意的，這時候如果有人有惡意，只接受1K，他發(fā)了100K，他用100個線程，1萬個線程的時候，這時候它的穩(wěn)定性表現(xiàn)非常差的，很多時候直接宕機死掉，許多任何的自我保護處理機制，底層信息大部分在裸奔的狀態(tài)。我看過很多包括兄弟單位和非兄弟單位，很多業(yè)務系統(tǒng)通訊都是裸奔狀態(tài)沒有任何加密，兩三年前用戶說內部反正用交換機，也無所謂。這兩年隨著信息威脅程度不斷增高，這里面安全問題已經暴露很多了。比如我們公司辦公室，我們有一個交換機，到終端的桌面，以前用HUB的時候，在另一個環(huán)節(jié)，共享式發(fā)包可以看到所有通信狀態(tài)，現(xiàn)在相對安全的嗅探還不是很容易，但是這種觀點到今天已經有點過時了，為什么呢？因為今天網上有非常多隨處可以下載ARP中間人自動化的欺騙工具，利用這個任意人可以偽造網關可以發(fā)內網的MARK地址關，可以很容易把內網本地信息跳出來，我走訪了很多用戶的單位，包括中國寬帶上網的環(huán)境，大部分網絡環(huán)境都存在這問題，我在一個房間，可以看到這個酒店大部分房間干什么？訪問哪個網站，看哪些信息，MSN在聊什么？大部分軟件可以免費下載的，這樣我們業(yè)務面臨的威脅比較高，再用裸奔的方式傳遞信息，本身要泄露的東西非常可怕。

客觀上面對威脅的程度也在增加，幾年前威脅程度比較低，包括對于安全的了解，安全的認知程度比較低，但是這兩年安全的威脅程度增高了很多，實際上舉一個例子，在座都會用OFFICE都會用WORD寫文檔，如果這是我的日記，我的重要客戶資料要加密，我會到Word里面設置一個密碼，有人說13位，設100位，這樣別人只要不知道我密碼我的安全性可以得到保證了，這在很多年前，現(xiàn)在很多用戶固有的觀念，認為這就是安全了，實際上不是，包括最新的OFFICE2003，加密算法超過40位不允許的，什么是40位就是2的40次方有多少可能性？在普通的PC電腦，每秒破解1百萬次，允許240次分不超越14天，如果20臺電腦，可以用一天把所有密碼都算出，我設了一個12位密碼，用處我家電腦三天就破戒了，所以我們以前認為安全的東西現(xiàn)在看起來是有問題的。

這是我新加的PPT，今天會場地址選在新世紀日航飯店，它也有自己Web服務器和Web發(fā)布的系統(tǒng)，這套網站應用系統(tǒng)也不是很安全，我從看到這個網站到屏幕抓出來花了5分多鐘，不用一會兒可以進入網絡最后臺管理界面，這驗證非常簡單，用幾方面時間可以知道網站結構，可以隨意修改刪除新聞界面，如果有黑客團體在這個大會，把日航網站黑掉，今天我們在這可能比價尷尬，這個大會可能就比較有新聞熱點。業(yè)務性的安全，防火墻這些產品很多基于傳統(tǒng)的系統(tǒng)，網絡，但是對于針對型解決方案是不多的。

業(yè)務系統(tǒng)常見的問題做一個簡單的總結，第一個TCP/IP協(xié)議自身在設計過程的安全缺陷。對于暴力口令猜測沒有設置上限閾值。多數(shù)信息傳遞的時候沒有采用加密方式，沒有很好的錯誤保護處理，程序接口的抗攻擊能力薄弱。對于我們平臺功能性很完備，但是安全功能是不完備的，對于用戶操作行為記錄沒有很好的控制審計措施，對于敏感數(shù)據(jù)沒有考慮數(shù)據(jù)加密存儲。可怕的問題在于，很少有防火墻、入侵檢測、漏洞掃描等這些成熟產品檢測出這些問題并實現(xiàn)有效防護。

信息安全最根本問題是人的問題，今天用戰(zhàn)爭不能帶來和平，我們部署一大堆技術型方案，沒有辦法解決信息安全本身問題，要解決一定要有人本身的參與，以往很多投入是在技術上，對于人員能力的提升不夠的，造成很多當初規(guī)劃和開發(fā)過程中，代碼編寫中遺留很多問題這不是人的能力不夠，是意識不夠，就沒有考慮規(guī)劃。這兩年做了很多開發(fā)系統(tǒng)的規(guī)劃，包括安全編寫代碼特征的流程，也建議ISO17799最佳安全管理實踐體系與通用CC標準ISO15408都對開發(fā)安全提出了不錯的想法和指導建議。這里面本身對于軟件安全功能的實現(xiàn)，和自身安全功能的保證有非常詳細的設計意見。

同時在安全開發(fā)過程中，它的難度也是非常大的，它不是簡單意識到這個問題，按照一個流程開發(fā)就可以了，它本身有很多實踐的難度，很多標準不是用白話文寫的，很多標準不是通俗白話文寫的，用了大量的參數(shù)型參數(shù)和技術標準，非常難以去理解，很多標準沒有給用戶提供非常友好的，容易理解的這些，將一個安全性開發(fā)的標準到一個已經成熟運作多年的開發(fā)環(huán)境，適應調整期非常長。很多標準成為標準認證而做，很多東西是最后文檔化的工作，沒有真正貫徹到開發(fā)實踐過程中去。要結合本單位實際安全要求編寫相關的開發(fā)安全要求和標準這是非常關鍵的。

我們認為技術的問題可以用產品和技術服務完成，也可以通過人的方式來完成，所有的問題歸結最后是人的問題，解決這問題要切實提高人員的能力，人員能力怎么提高，需要知道那么多事情，看那么多書，經歷那么多事情，有深厚經驗才可以，我們用戶在這方面投入和重視程度不夠的，安全投入是可以結合用戶實際的網絡環(huán)境中，通過我們自己和用戶做一些項目，把用戶帶領起來，把他們組建成一個自我評估，自我服務的團隊，切實提高服務水平是很關鍵的。好的產品很關鍵，好的服務很關鍵，但是信息安全服務領域，好的服務伙伴最最關鍵是根本。 東軟給予用戶的信心來自于2所投資過千萬的信息安全實驗室，7處研發(fā)基地，13個行業(yè)事業(yè)部，15年發(fā)展歷史，遍布全國41省市服務網絡，有260名優(yōu)秀安全服務工程師，做一系列服務，我們在十年里面積累超過5千家的用戶。

謝謝大家的聆聽，謝謝大家！