“网络恢恢,无一不漏”,对于所有网络安全从业人员而言,有一个共识: 那就是世界上没有也不会有绝对安全的网络。这是个尴尬而残酷的现实,它一方面给日益依赖于网络的企业带来了难以摆脱的恐慌。而另一方面,也催生了一个飞速发展的产业—网络安全。就在几年前的行业预测中,网络安全还被认为是不值得重点投资的方向,而近一两年,接连不断的安全事件,以及它所背负的巨大损失,使得“网络安全年”的提法开始挂到人们嘴边,这其中,无所不在的安全漏洞就是最重要的催化剂。
对于一些企业,安全漏洞意味着惊人的损失,而对另一些安全厂商,它又是赖以生存的根基。关于安全漏洞的罪与罚,永远是一个我们不能回避,但却没有结果的争论。
本期焦点从应用环节、防治环节和源生环节入手,将安全漏洞在企业、安全厂商和源软件开发厂商这三个层面进行了采访分析,我们的“把脉”也许不能获得一劳永逸的“妙方”,但希望至少可以为行业未来的发展,提供一个可资借鉴的参考。
安全漏洞的罪与罚
——“把脉”网络产业安全漏洞
本报记者 白书欣
责任的论战
2001年,以“红色代码、尼姆达、Sircam”为代表,利用网络安全漏洞进行入侵的恶性病毒在世界范围内蔓延,而针对企业网络的攻击也此起彼伏。面对疯狂攀升的惊人损失,责任追究的聚光灯究竟应该打到谁的身上,围绕着罪与罚的问题,一场激烈且旷日持久的责任论战开始了。
对于软件的最终用户来说,软件的原始提供商首先成了众矢之的,而其中用户最为广泛的微软就成为了自然而然的焦点。“微软总是强调企业要增强信息安全的重视程度和管理力度,要求企业上高端安全设备,时刻注意要给软件打补丁,拾遗补漏。但是损失归根到底都是微软的产品存在安全漏洞导致的,根源不解决,我们怎么防堵都没有用”,几位企业信息负责人毫不掩饰地倾泻对微软产品的不满,“况且对于多数中小企业,若是聘用专业的网络管理人员,人力费用过高”。
而微软也是满腹委屈,微软(中国)公司副总经理、市场总监陈国桂先生向记者表示: “我们(微软)一直在自我检讨,尤其在现有及未来产品的设计方面,安全性已经超越可管理和易操作性成为最重要的考量标准,微软一直致力于提高产品的安全性,但是希望企业本身也要加强网络管理工作,要双管齐下。”陈先生“柔软”的台湾普通话,在表达微软希望合作和理解的同时,也带出了一份无奈。
相比之下,安全产品与服务提供商就多了些左右逢源的惬意和轻松。介于源软件厂商与最终用户之间的安全厂商,它们处于较为微妙的地位,一边站在安全论坛上大声疾呼,一边也因为安全漏洞的泛滥赚进了大量的利润,可谓“名利”双收。当然,就像某种疾病蔓延时,医生究竟要不要负责任一样,安全厂商作为链条中关键的一环,不可能置之事外。更何况,部分安全厂商为了不同的目的,提供的一些不合格、不规范的安全产品不仅没有起到应有的防护作用,反而给企业带来一堆麻烦。如有些IDS(入侵检测)产品,经常发出假警报,这对真正的攻击实际上起到了“掩护”的作用,对于企业,虽然大多数只是虚惊一场,但久而久之,真的“狼来了”,安全神经已然松懈的企业必然遭受损失。
而在政府职责方面,也存在重大责任,因为只有依法治网,才能真正保护网络的安全。彻底解决网络安全问题,立法是根本之道。这是很多网络安全专家的观点。国务院法制办的有关负责人表示,中国政府一直高度注重网络安全的法制建设,先后制定了30多件法律与法规。如在网络建设与网络安全方面,有《中华人民共和国电信条例》以及全国人大常委会公布的《关于维护互联网安全的决定》、《互联网信息服务管理办法》等。
事实上,追究过去的责任非常困难,而且并没有太多的现实意义。把握现在、远望未来,建立在源软件厂商、安全提供商和最终用户三个层面之间的相互理解与合作才是关键。聆听来自不同层面对于网络安全漏洞的态度和声音,毋庸置疑,将有助于实现安全漏洞相关损失的最小化。
企业: 由内而外
在网络安全漏洞越来越重的阴霾之下,企业对信息安全内部控管的重要性是个老生常谈但又不得不谈的问题。国外某调查机构在对全球1000个具有代表性的企业调查中,46%的企业没有制定正式的信息安全性条款,59%的企业没有制定支持信息系统的正式遵守规则,68%的企业没有定期分析安全性危险度以及跟踪安全状况。而国内企业的状况,从我们的了解来看,更加让人担忧。
目前的IT系统漏洞大多与技术无关,反而是发生在内部的控管问题上。源软件厂商早已发布的漏洞补丁,在企业环节没有得到重视,那么黑客送给你的“礼物”自然就快到了。
“防治安全漏洞的工作,作为信息安全工作的重要一环,需要资金、人力的投入,还有可能影响业务。”安氏互联网安全中国公司首席策略官(CSO)赵粮博士感触颇深,“没有管理层支持,安全工作根本无从谈起”。
早年在中国电信总局负责全国电信网络安全工作的赵粮博士以自己的切身体会为例,向记者说明管理力度对于安全工作的深切影响。
在中国电信,各省区的电信管理局和数据局的局长在网络安全方面的管理力度,会直接影响到网络安全防护水平。比如江苏、广东、湖北、北京、上海、浙江、山东等省市,它们的安全管理力度比较大,非常主动地进行定期的安全检查工作,经常性地举办技术交流活动,所以这些省区的网络安全水平相对较高。“相反,对于管理力度比较差的省区,总局的红头文件也毫无效果。”
“即使网络安全工作已经做到了严谨认真,也不能保证绝对的安全。江苏电信作为总局的安全工作受奖单位,也曾连续7天遭受网络攻击,最后黑客虽然遭到挫败,但是正常的电信业务也遭受了严重影响; 又如上海热线也遭受过抵御攻击失败后,连续3天无法运行的惨重损失。典范尚且如此,平时安全工作松松垮垮的单位可想而知。”
“七分管理、三分技术”这种说明内部控管重要性的言辞不需多提,大家也能明白其中的道理。这里我们希望寻找一家企业实际的信息安全策略作为例子,以期能对广大企业制定自己的安全策略有所助益。最后,我们选择了以管理扬名的联想集团,看看国内相对成熟的管理思路和经验制度。(详见26版附录)
值得一提的是,在记者接触和采访的企业中,竟然只有少数企业已经制定了妥善全面的信息安全策略,这恐怕是脱离技术之外,首当其冲的巨大漏洞。诚然,安全策略的制定同公司规模大小、业务领域等因素存在直接联系。那么对于绝大多数的中小企业,其可以投向安全防护的资金有限,相关技术人员也较为匮乏,谁来给它们的信息安全保驾护航?
安全厂商: 红火之外的问题
安全厂商,包括安全产品提供商和安全服务提供商。目前已经成为网络安全的主要建设者和安全技术、设备的主要支持与研发力量,自然也是政府、企业防治安全漏洞的骨干中坚。2001年之后,随着安全厂商的快速成长,其产品线向上不断延伸,目前基本形成三种业务层次: 产品(包括初级安全服务)提供、解决方案与顾问服务、参与网络安全标准化制定。
一双充满血丝的眼睛,疲惫下不减豪爽的东北口音。这就是记者第一次见到东软信息安全产品部部长、网络安全顾问王虎时的印象。当记者问及整个安全市场的基本形势时,王虎笑称,“你看我现在的样子,就知道今年的市场真是太火、竞争也太激烈了。”
需求造就市场。根据IDC的研究数据,1999年和2000年世界网络安全产品的市场规模分别达到44.9和59.7亿美元,2001年将达到78.2亿美元,2004年将达到155.8亿美元,年复合增长率达28.3%。在网络安全产品市场中,增长最快的是_blank">防火墙设备,其年复合增长率达48.4%。
巨大的市场潜力,高额的利润回报,吸引了大量资本投入安全市场。目前,在中国大约每月都有几十家与网络安全相关的公司成立,国外的安全公司也纷纷杀入中国市场,设立办事处,有些甚至直接发展为本土公司。中国一些比较知名的IT厂商也逐渐开始开发安全产品,在2000年底,中国约有500家网络安全公司,到了2002年,这个数字已经急速攀升到了1000多家。
厂商多了,意味着安全市场的“蛋糕”相对小了。能否更好地为企业解决安全问题,切实关系到每个厂商的生存和发展前景。
经过市场一轮又一轮残酷的竞争筛选之后,现存的安全厂商大致可以分为以下三种。
一类是以东软、天融信、中科网威、安氏 (中国)等公司为代表的国内安全公司。它们拥有专业的安全技术实力,较为全面的产品线,具备自有知识产权的创新产品。这些优势都使得它们在国内的安全市场上稳据一方。如东软的_blank">防火墙产品NETEYE就拥有世界领先的基于状态检测的流过滤检测技术。安氏(中国)则成为国内目前微软唯一的安全金牌合作伙伴。
另一类安全厂商则是外籍军团,个个都是业界翘楚,如网络巨人Cisco、_blank">防火墙产品的绝对主力Checkpoint、著名病毒防护厂商赛门铁克等。这些外国公司依靠自己的品牌优势和技术实力,在中国市场上均获佳绩。据IDC数据,2001年Cisco公司占据了第一的安全市场份额。
2000年,一些专门做信息安全服务的厂商“浮出水面”。“南有安络,北有绿盟”就是指国内网络安全服务商中最有技术影响力的两个代表: 北京中联绿盟公司和深圳安络科技公司。它们提出要通过提供远程渗透检测、全面安全检测、应用程序安全审计、整体安全顾问、安全外包、培训、紧急响应、远程集中监控、安全产品检测等项目为用户提供全方位的安全服务。
随着安全厂商的层次及市场定位的细分,厂商提供给企业的安全产品和服务也发生着变化。
有实力的知名安全厂商都把主要的市场方向定位于政府、金融、大中企业等采购规模高、安全预算大的中高端层次,不仅提供高端的诸如IDS(入侵检测)、_blank">防火墙、病毒搜索、安全检测等系列安全产品,相应对它们的专业服务支持也较为到位,如安氏提出的安全顾问服务: 包括安全相关的策略文档、管理制度、产品建议更进一步还有在国内尚属雏形阶段的MSS服务(即完善的安全代理维护业务), 这个系统允许客户将网络与数据安全外包给安氏公司,而专注於自身的关键业务; 东软则在拓展产品线的基础上,借助提供紧急技术援助的方式,在给予有限服务的同时拓展产品市场。
通过向客户提供细致入微的安全服务,已经成为安全厂商下一阶段扩大市场占有率,增强知名度的有力手段。对于每一个安全厂商,要想在当前1000多家同行激烈竞争的环境下能活下去,而且活得更好,产品与服务缺一不可。
另一方面,融合了高端产品的解决方案再加上高水平的顾问服务,这样的高级组合似乎更适合于政府和大企业的胃口。那么对于绝大多数的,被称之为“具备最广阔的市场前景”的中小企业安全市场,安全厂商又作何考虑呢?
目前国内的信息安全服务厂商都在积极进行向产品提供商的业务转型,如中联绿盟今年就推出了几款自有的_blank">防火墙产品。纯服务提供商为什么要放弃技术服务的优势,转而涉足竞争激烈的安全产品领域呢?“单纯依靠旧有的技术服务模式,如紧急响应、安全外包等低端服务业务已经活不下去了!”赵粮博士谈到,“目前的中小企业安全市场还只是停留在购买一些低端的安全设备上,而面向它们的技术和顾问服务市场根本就没有发育成熟。在IT投资上面,中小企业最多投入几十万元,按10%的安全投入来算,根本不够提供安全服务的成本。”
赵粮博士的观点从侧面说明了为什么当前许多安全厂商推出了一些5999元甚至千元左右的_blank">防火墙产品,但是面向中小企业的技术维护服务业务却显得凤毛麟角的原因。
没有精力顾及,并不等于放弃。对于中小企业的安全服务,赵粮博士提出了两个初步的建议。
首先,对于中小企业,应当采用将企业自有的网络管理人员同专业的顾问公司相结合的方式。通过得到的策略规划方案、技术支持文档和定期的安全建议,自行解决信息安全问题。
其次,对于网络需求较少的企业,可以通过租用安全产品,或直接将服务器交由IDC代管的方式达到网络安全目的。原因是目前IDC市场不景气,托管的性价比较好,且多数IDC都结合了大型的专业安全公司的高端安全服务,可信度极高。
拥有黑客员工,安全厂商不安全?
黑客员工,对于安全厂商一直是个敏感的问题。以致于记者在问到赵粮博士,安氏(中国)公司内部是否雇有黑客背景的员工时,赵粮博士立刻一扫轻松的表情,换以严肃的表示,“安氏公司绝对没有黑客,我们只有安全技术专家!”
其实带有黑客背景的员工一直广泛地存在于各个安全公司,对于国内的黑客,到安全相关的公司求职,是一条绝佳的由暗转明的途径,既符合自己的兴趣,又有不错的收入。
作为安全公司,也乐于“收编”黑客为员工。按王虎部长的说法,安全厂商真的需要拥有这些有黑客背景的员工,有时候你必须靠小偷才能抓住小偷。
细细分析这些被“招安”的黑客员工,他们或许不具备很高学历,在公司中一般没有正式的职位,工作习惯也不同于其他员工,上班从不打卡,昼伏夜出。很明显,安全公司看重的是他们高超的安全攻防技术。这些特殊的员工,从事着特殊的工作: 应对特殊的网络攻击案例,分析客户的系统漏洞,辅助新产品的技术开发和测试等。
态度决定一切。为了维护安全公司的品牌和形象,绝大多数的安全公司尤其是知名度很高的公司,都与这些黑客员工签订了严格的合同,规定决不允许他们私自对客户的系统进行扫描和攻击行为。但是仍有少量的安全公司违规操作,恶性发展业务,先攻击目标客户的系统,再以得到的密码等资料询问客户是否需要它们的安全服务。“这种行为就是一种敲诈!”王虎部长对此态度坚决。作为安全公司本身和雇佣黑客并不冲突,绝对不是矛和盾的关系,根本目的应该是相同的—为了使网络更加安全。
源软件厂商: 委屈的理由
在希格玛大厦六层的一间会议室里,灰色的墙纸,灰色格调的工位装饰,再加上一杯香浓的咖啡,当然,也是灰色的。在这个深沉、静谧的氛围里,同微软(中国)的市场总监谈微软软件产品的安全漏洞问题,实在不会让人感到轻松。
微软市场总监陈国桂先生听取记者的来意后,微笑着表示了三个观点: “防治安全漏洞的工作,微软一直在努力,从来没有松懈过; 现在,安全性已经代替了管理性和易操作性成为产品设计中最重要的考量标准; 世界上没有绝对安全的系统软件,微软的视窗系统也一样,我们对产品存在的漏洞给用户造成的损失表示歉意,我们已经开始实施了一系列计划,加强正版客户培养网络安全管理意识的主动引导。”
对于微软软件存在的安全漏洞问题,微软采取了自我改进同主动引导相结合的应对策略。
进入2002年,“可信赖的计算”、“安全问题”这两个词频繁地出现在微软高层官员的演讲及评论中。其中“可信赖的计算”已被写成正式的微软白皮书并给予发表,并且被强调为微软公司未来十年努力的主要方向。
为实现“可信赖的计算”的目标,微软公司从设计、设定及部署三大方向来强调计算机系统的安全性。
首先在设计上: 对于微软公司自身,由上至下,提升产品安全水平的努力已经涉及到公司的各个部门。2002年,比尔·盖茨回归到微软首席软件设计师的职位,并且对微软近9000名的软件开发人员实施了有关编写安全软件原则的培训,要求每一位员工都要将安全性作为工作中最为重要的一项指标; 全部接近1200名的windows系列操作系统的设计工程师,在比尔·盖茨的要求下,两个月的时间里都不能接触研发工作,而是把过去的软件源代码都翻出来,一个一个地进行安全问题的重新考量; 加强合作伙伴在Windows、ISA及. NET Framework安全性方面的审核。未来的重点将强调Windows .NET Server与Windows XP的升级机制。
在软件的功能预设方面: 为了提供安全的计算机环境,微软公司在Microsoft Windows XP、Office XP及未来的Windows . NET Server上均设置了安全的默认值,Office XP将自动拒绝带有. EXE或是有程序的档案; Windows XP则加入了软件_blank">防火墙功能,并且封闭了不常用的端口和服务; 在最新的Windows XP和Office XP中还加入了错误报告功能,使得人们实时获得有关可靠性方面的反馈; 而最新的IIS6.0则通过向导形式将不必要的服务自动进行拦截。
最后在部署方面: 重点工作包括强调获得安全(Got Secure)与保持安全(Stay Secure)的战略技术保障计划(STTP计划)、提供免费资源、免费工具和动员微软公司全球范围的客户支持机构与内部开发团队来帮助客户以简单易行的方式营造并确保系统安全。微软的STPP计划推出后,即使是普通的系统管理员可以把计算机系统保持在一个相当安全的水平。只需做到: 登录到STPP的网站,下载一个检测程序,明确自己的计算机中哪些地方是不安全的,然后一步一步地指导进行相应的系统调整,而其他操作系统就没有考虑到这些。
如果说自我改进是指微软努力提高和完善自己的软件安全水平、加强漏洞监测和修补的能力,那么主动引导应该是指微软自2001年10月以来推出的几个旨在服务客户的安全服务计划了,这一点在上面的部署环节中也得到了体现。
微软公司针对亚太地区的客户还推出了安全服务计划: 包括设立电话咨询专线、技术支持服务、举办技术研讨会、参与合作伙伴的安全计划、主动提供客户安全警告等。
2002年4月微软(中国)推出“安全服务计划”,集中了微软公司及国内数百家经过认证的安全服务伙伴的专业技术优势,切实帮助客户建立并保持系统环境安全,消灭网络安全漏洞。在该计划的实行过程中,共引导超过1万家的计划参与企业认识到安全不仅是技术问题,更重要的是管理问题。
为了征求理解,上面提到的微软白皮书中,重点提到了世界上没有绝对安全的软件系统。微软. NET平台策划主管Neil Chamey表示,“如果说IT行业内任何事都是完全安全的,这是不负责任的说法。”
根据专家的见解,从辩证的角度来看,没有哪一个操作系统是绝对安全的。美国有更安全的操作系统,安全级别为B1级、B2级、A1级的都有,安全性很高,但可用性就会差,所以商用的操作系统的最高安全级别是C2级的。 而微软的视窗操作系统的安全级别就是C2级的,是安全性与可用性结合很好的一个产品。惠普公司B1级的产品在国内可以买到,但是,可用性就比较差。到专业的系统安全网站上去看,可以发现Unix操作系统的安全漏洞比视窗要多得多。这是因为微软视窗操作系统的源代码是不公开的,所以要找它的漏洞就很困难。相反Unix操作系统的源代码是公开的,就容易找出漏洞。
在记者问到微软软件的中文化过程是否会影响软件原有的安全水平时,微软企业客户技术支持部的余学俊经理明确表示: “软件的汉化工作是由美国本部的中文研发组在产品研发阶段就共同参与完成的,采用的也是同样的质量控制标准,并不会由于汉化降低软件的安全性”。同时余经理公布了很多关于Windows XP系统测试方面的统计数据,希望借此说明微软会将已知的产品漏洞全部解决后才允许将新产品发布,而不是人们所怀疑的那样: 微软为了追赶工期而将存有漏洞的缺陷产品提前上市。
微软这一系列关于安全的表态和举措,可以借用CNET在2002年的相关评论来作为概括: 微软是很严肃地做出这个转变的,因为如果这个安全项目失败,它的网络策略也将失败。不管怎样,在这样一个大公司改变管理和发展文化将是一个巨大的挑战。这种事情不会一蹴而就。
难以解决的解决之道
通过对最终用户、安全厂商、源软件厂商三个层面的采访,归纳最普遍的观点,要实现网络安全漏洞的损失最小化,解决之道在于促成三个层面间的理解与合作。即近乎安全的产品+先进的安全防治技术+细致负责的内部管理=安全漏洞损失的最小化。
不过,在数目如此庞大的厂商与用户之间实现上述的公式,又谈何容易?
首先在中国这样一个计算机普及率不高的应用现实下,要达成安全意识上的共识就相当困难。而且由于国内最广泛的中小企业安全市场远未发育完成,这些中小企业在安全上的客观需求也千差万别。
另外,不同的利益阵营使得企业对合作抱有不同的态度。举例来说,安全厂商对与微软这种代表性的源软件厂商合作非常期盼,可是微软在接受安全厂商对于自己软件的共同检测方面明显缺乏兴趣,并表示自己在美国本部拥有世界级水平的安全检测专家团队。以赵粮博士的说法,微软的安全漏洞问题被舆论炒得怕了,故内部对漏洞的监测可能存有一个默认态度: 自己的问题自己解决!
对于缠绕在产业各个层面的安全问题而言,微软的态度虽不理想却很现实。安全有序的网络环境、及时高效的合作规程在目前看来仍是一个“乌托邦”,先从自己做起,建立安全的“小环境”,进而发展到整个网络,可能会是产业最终发展的唯一道路。
* * * * *
XP测试数据
关于开发项目
1) 项目时间:1999年12月 20日—2001年8月 24日
(大约600天)
2) 5,736 名全职人员
3) 测试数字
·对超过 5,500 种应用软件进行了兼容性的测试
·内置支持12,000种设备
·测试了最大的数字媒体库中的31000 条信息
·为系统恢复特性进行了160万次案例的测试
·利用Windows Movie Maker捕获的最长的单一文件:114 小时
·自从Windows XP RC1推出以来运行了43114143种 Direct3D 图像测试案例
* * * * *
联想集团的安全策略与制度
对信息安全的管理,联想集团成立了由高级副总裁领导的100多人组成的信息系统建设和维护队伍,其中有近50名高级技术人员负责信息系统的安全性和稳定性。目前信息安全的威胁常属混合性攻击,因此针对此类威胁,安全策略与安全产品必须能相互整合,才算是有效的解决方案,单一的安全产品已不足以捍卫企业安全。
◆ 整体安全策略方面,总体指导思想为“统筹规划、统一设计、分步实施、不断优化”,从网络架构和应用系统两个层面综合规划设计网络安全保障体系, 根据安全事件发生的种类与频度,以及信息系统信息化工程的推进计划,及时审议、评估和调整管理安全策略和技术安全策略。
◆ 管理安全策略方面,为确保安全保障体系行之有效,确保安全策略能够持之以恒地贯彻执行,专门成立由主管领导、专家和技术人员组成的信息安全管理小组; 明确规定提供信息安全方案和信息安全产品的厂商,以及履行各种常规安全服务和应急响应服务的队伍。
◆ 技术安全策略方面: 在网络系统局域网边界部署_blank">防火墙,防止来自内外部用户的攻击; 本地局域网内部划分SSN区,达到既能满足日常工作需要,又能重点保护内部网络系统和服务器系统; 部署入侵检测系统,实现对潜在安全攻击的实时检测。在入侵检测探测器与_blank">防火墙之间建立互动响应体系,当探测器检测到攻击行为时,利用_blank">防火墙进行实时阻断; 部署网络防病毒系统,针对所有服务器和客户机建立病毒防范体系。
◆ 关于病毒,有相应制度要求在所有的办公用机上安装防病毒软件,并接受远程实时升级管理,保证客户端病毒防范效果达到最佳。同时,IT部门要对员工的办公用机进行远程升级监控和管理,对没有按制度安装和升级防病毒软件的员工有相应的处罚制度。
◆ 对于安全漏洞,大部分的安全性破坏问题来自于内部的管理漏洞,如员工不当的存取与工作内容无关的资料与信息; 同时对于外来入侵,联想亦是谨慎防范。对于外部即整个信息系统的安全漏洞,联想有专门的设备和专业的维护人员负责,以相对最安全为原则。对于内部的安全管理漏洞,IT部门要求员工具备基本的安全意识。
◆ 提高自检水平、主动发现漏洞。在过去,制定的安全措施较为被动,只针对所发生的事件来反应; 而非主动侦测,以达到预防目的。现在,IT部门除依托设备厂商提供的安全漏洞信息外,还利用漏洞扫描设备,入侵检测设备和_blank">防火墙设备主动地防范网络安全威胁。同时,不断提高相应维护人员的业务水平,使他们成为网络安全的防范专家,提高对于网络安全问题的响应速度和处理效率。
◆ 如果安全受到威胁, IT部门首先会及时查明威胁来源及威胁特征,然后协同安全设备厂商,升级安全防范设备,同时要对特定范围发布安全警报信息,要求员工注意防范。
