【51CTO.com 综合报道】2010年10月21日-22日,RSA 2010大会在北京召开。不论是哪一位嘉宾,他们每个人的演讲都非常出色,现在我们就来回顾一下当时绿盟首席战略官赵粮带来的演讲,题目是《保护重要信息基础设施和云--从理论到实践》51CTO作为特邀媒体,对大会进行了相关报道。更多内容请参阅RSA 2010信息安全国际论坛专题报道。
正在接受采访的赵粮博士
赵粮:我给大家带来的话题是保护信息关键基础设施的从思想到实践,不知道这个话题大家是不是很喜欢,或者说是不是很关注,希望能够给大家带来一些分享和思考。
今天围绕的话题有四个小的部分,一是对于关键信息技术设施CII当前一些威胁的回顾和总结。二是我们调查清楚了这些威胁有什么方法论来制定相应的保护战略。三是除了战略之外,我们有没有一些立即可以采取的行动来保护这些关键基础设施。四是一些小的建议供给大家参考。
我们现在说到互联网的网络安全威胁,我个人认为有两个关键词,一个就是“全球化”,再一个就是“工业化”。
全球化的意思,大家看到丝绸之路把东方和西方世界连接在一起,现在随着网络的发达,我们发现网络空间的攻击也越来越有全球的特征了,不知道哪一天我们在某一个局部的网络瘫痪了,或许就是在东欧,或者是在与南美的一个客户做服务。在今天上午的讨论当中大家也听到了嘉宾讲到在灰色市场当中,甚至也都有相应的SLA,有非常成熟的售前售后的体系,这个过程在全球化当中体现的非常明确,事实上我们做网络安全正面的防御领域也是全球化的,大家在日常的安全体系建设和运维过程当中用到了来自世界各地的技术。
工业化的意思,我理解有三个方面:一是大规模的批量制造,低成本的拥有,在网络安全上使现在的攻击因为大量工具的引入,这个工具威胁流水线的使用,使得攻击的成本大幅度下降,所以有了威胁的工业化,作为非常普及的这么一个现象,被攻击的后果也变得非常的严重,工业化使得网络攻击的威胁越来越普遍,攻击的后果越来越严重。二是世界的扁平化,自动化、工具化的特点会带来目标的扁平,就是并不做很智能的区分,只是在网络上去寻找收益最大、最脆弱的一点发起攻击,不会因为我比较低调,我这个地区关注的人不多所以会更加安全,这样的角落在世界上基本上不会存在。三是从防御角度,当你的攻击方已经成熟的使用了威胁的时候,你必须要有成熟的手段对抗这个威胁的工业化。现在讲到网络安全威胁,还有包括今天上午讲到的,他们有非常成熟的组织,他们有非常成熟的流水线,他们甚至有组织,有SLA,但是作为我们防御一方,我在很多场合也在讲,我们还在半科学半艺术,我们缺少度量,缺少基础的测度,我们缺少规模化。我们可以看一看专业化的公司在人员的规模化程度上还有很大的欠缺,还没有实现从威胁的收集、漏洞的收集整理,一直到产品前面升级之间完全的自动化和流水线。所以沿着工业化,其实给了我们不少的启发。后面我还会通过一些例子把全球化和工业化给我们带来的影响,以及我们采取的策略给大家做一个分享。
昨天的时候微软的一位代表提到了微软发现了一个很大的僵尸网络,其实僵尸网是把工业化和全球化融为一身的典型的特征,它采用非常自动化的流水线方式发现、寻找、占领这个网络上脆弱的节点,将其控制,然后在上面部署非常完善的控制系统,在上面进行业务交易,发起攻击,进行收钱。所以说僵尸网刚才讲到,是一个全球化和工业化非常有代表性的一点,我们把它当成一个例子,如果我们能够很好的去控制和对抗这种僵尸网,对于我们整体互联网的安全有一定的改善。大家搜索蝴蝶僵尸网能够看到相关的报道,这个僵尸网到现在为止是非常大的,按照报道的话有1300万个主机,它的控制应该说基本上形成了一个团队。
不知道大家是不是很熟悉企业当中的运维公司,当大家管理几千人到几万人的公司的时候,大家会对桌面管理产生很畏惧的感觉,我在30年前在联想负责内部基础设施的运维和安全,我有一个项目是把两千多个员工的桌面机放到域里面,部署桌面软件管理等,这个工程造价大概花了几百万,为期大概半年到一年。从这个角度来看,大家不能不对僵尸网络产生一种非常神奇,甚至是一种很特别的感觉。它可以在你不知道的情况下,可以通过逐渐的蔓延,通过这种流水线去占领。在用户不知情的情况下控制一万台主机,在几万台设备上同时做的也不过只是这样一些工作而已,分发软件,部署策略,产生报表,这些东西造价会这么高,所以大家有必要很好的研究它,对它的工作产生一种新的发现,这是僵尸网,把它当做例子的话就是全球化、工业化给我们带来的影响。
康迈这个公司在今年的华盛顿会议上发布了一个片子,是对美国政府一些网络的攻击,大家可以看到,实际上在攻击当天发生的数据流量是平时每一天流量的598倍,大家可以看到,过去将近一年半左右的流量在这一天全来了,对于我们来讲是不对称的,从安全的经济学的角度来讲,事实上不可能通过自己能力的简单升级容纳这部分能量,因为预算不可能被批准,这是不容易实现的。所以对于这种小概率、大风险的事件通常采用不同的手段,就像保险一样,保险实际上是风险的转移,依靠大众,因为是小概率、大风险事件,靠公众的一个共同分担风险的一种方法来解决掉小概率大风险的事件,事实上对于这种数百倍于平时流量的攻击,假如说自己平时的流量是几百兆,买几百G的带宽是不可以的,通常运营商可以是主导型的,通过公众的分享达到分担流量的目的。这种僵尸网络依靠工业化的布局来发起工业化的攻击,最终达成的效果是非常惊人的。围绕着这个效果,我们可能会有不同的解决方案,给我们的启发就是我们需要关注,不可能依靠能力解决,需要有不同的办法来解决这个问题。
这里举了两个例子,其实还是刚才的一个延伸,在今年夏天的大会上有两个演讲,大家看不清楚,第一个是对于SCADA系统的攻击,是电力系统经常使用的分布式的监控系统和数据采集系统,通常这个系统以前是不联网的,现在随着互联网技术大规模的普及,为了降低成本,很多的电力系统或者传统系统里面的IT系统都和这个网络做了连接,演讲者也在现场做了演示,通过网络的技术,把这个SCADA系统就能够攻占了,这也做了报道,专门深入的定向了SCADA系统,它的弱点可能是硬编码在里面的口令。
总之通过蠕虫式的分布,可能会获取更多相关的信息,可以有条件渗透SCADA这样的系统,SCADA实际上是CII非常重要的组成部分。这个演讲者在现场做了一个演讲,他花了6美元,通过一些点击定向的向指定的站点发起了攻击,攻击效果按照预期也很惊人,基本上想攻击哪个网站,那个网站就立刻消失了。这给我们的启发跟刚才的僵尸网络是一样的,因为僵尸网控制的不仅仅是ADSL上网的桌面机,在网络上有漏洞的这些危机也同样是僵尸网络的一员。如果云计算中心里面的虚拟主机或者各种服务器被控制以后,它就会产生一种像水库大坝的效应,会对下面低水平的目标打击,造成的杀伤会远远高于普通目标之间的攻击,在后面还会提到运营商的问题,这个只不过是又一次验证或者加深了人们对于云计算相应安全问题的担心。#p#
我们讲到云计算历史的时候,中国移动研究院的张先生写了一个《云之初,本无奈》里面还提到,在云计算发起的时候用的是非常低端的计算机,最后交付出来的Google的服务可靠性很高,当然这是另外一门学问,如何在低可靠性的组件上面建立到可靠性的服务,我们看到这种基础设施不仅仅是一个经济和SLA的问题,这是我们讲到CII和企业安全非常不同的一点。我在上面放了几个大字,就是CII系统的可用性不仅仅是一个钱的问题,有可能会带来社会的动荡,还有金融系统各方面的不稳定。所以一方面我们需要对我们整体的系统,当前的可能性,组件的安全进行调研,另外一方面我们需要把当前的关键信息基础设施相关的影响能够提炼出来。一方面是SLA在经济方面的问题,另一方面还有更大的意义。中间的数字大家可能不一定很关心,这里面是Meta Group对每小时的服务中断测试的结果,每个行业和地区不一样,不一定对大家有什么参考意义。
在关键基础设施里面,我们的关键信息基础设施里面,现在传承了互联网的设施,成为我们最薄弱的环节,因为以前不是为了工业化设计的,也不是为了关键基础设施设计的,一开始没有当做自己的使命,所以我们需要在更深层次上考察这个问题,怎么样考察这个关键技术的使命。
刚才讲的主要是围绕着僵尸网,全球化、工业化,对可用性带来的杀伤,其实对于我们最大的还有一个影响,就是对于大规模的信息窃取,在今天上午通过赛门铁克和McAfee的报告,大家看到信息是有标价的,这是从经济学的角度。大家如果搜索一下的话,就会发现有一个指标,叫做CSPI,大家说物价指数是CPI,他们创造了一个CSPI,我刚才有些讨论,我说这个物价指数在什么程度上能够代表安全性做得好或者是不好?比如说安全物价上升是好还是不好?当然这是很有趣的尝试。
数据泄漏保护,其实对于企业来讲,数据泄漏保护和对CII的数据泄漏保护完全不是一个概念。对于一个企业来讲考虑的是商业机密,对于CII无来讲是整个公民,整个社会上大批量的数百万、成千万数据的丢失问题。后面还有数据支持,在CII上面考虑数据保护是什么方式,这个时候通过防水墙的措施,通过简单的网关已经不再有效了。还有对于这个片子的思考,没有一家我们中国的公司,我不知道是喜还是忧,没有一家中国公司上榜,说明我们安全性做得很好,忧的一点是我们没有很好的信息披露之后,后面我还会讲到相关的策略和国家政策方面的考虑,也许我们已经发生了一些事件,而只是没有把它放在台面上,没有得到相关的报告。
数据的丢失下面引用了一个数据,95%的企业Web应用是有严重的安全问题,Web系统上线以后在4.5秒就被入侵了,就跟刚才讲的工业化非常有关系的,全球化和工业化,全球化任何一个地方都可以发起,通过购买的工具或者免费的工具可以发起,造成窗口极度的缩小,而这个漏洞又普遍的存在。我们后面可以整理一下基本原理的假设,我们其实还有一个假设,这个漏洞永远不可能完全消除。
美国一个著名的运营商每年发布一个报告,其实引用的很广,大家如果感兴趣的话,在网上搜索就能够下载。我把一些数据下载下来,支持我刚才的一些观点。第一个数据是98%,这个98%的意思是在大规模丢失的数据里面,98%是在服务器那里丢失的,包括刚才讲的Hotline,1.3亿的数据全部丢失了,所有丢失的报告里面98%的数据是这样丢失的。这是他们联合数千个全球分布式的数据获得的,这里面包含中国的数据,98%是从服务器端丢失的,在CII数据保护方面给我们一些启发,就是我们从哪里开始保护。
在服务器端另外一个数字就是54%和92%,54%就是在所有丢失的数据里面有54%是因为从Web应用去丢失的,这个其实跟我们现在直接的感受是相当的,我们大部分的信息和服务都是通过Web来进行的,大家都习惯于在淘宝上面买东西,在网络上面我们越来越依赖它,所以说很多的脆弱性也来自于Web。在54%里面是事件总量,92%的数据在这里面丢失,所以给了我们一个很大的启发,就是我们要关注服务器端的保护,这是从CII角度来讲。从企业角度来讲可能有不同的理解,企业关注的是IP知识产权的问题。在CII数据保护方面,Web服务器是重中之重。
在最近一年到两年之间云计算得到了非常大的曝光,在前不久参加的若干个会议当中,我们很多政府机构,大型国企集团很多民企都表示出了浓厚的兴趣,各地政府也都在主导建立大量的云计算中心,把很多的应用有计划在未来三年或者五年里面迁移到云计算中心里面去。云计算的出现会不会改变刚才讲的这种现状?我们看到云计算大家一开始先是对它有犹豫的,云计算带来的是相当于IT外包的形式,相当于虚拟化之后对于控制层面进一步抽象化,可能大家会对于它的安全产生一种疑虑。从技术角度来看,大家知道安全最脆弱的部分通常是在最弱的企业里面存在,云计算会进一步拉平这个保护,大家可以设想一下在几百人或者几千人的企业里面,通常他们没有自己独立的IT部,没有独立的安全运维人员,安全水平没有办法跟一个成规模的云计算安全中心的防护水平比较。
在这个意义上讲,从社会角度、基础设施的角度户普遍的提高整个平均的水平,当然还考虑到工业化和全球化,大家一直注意这两个关键词,在这个角度上会改变,会提升安全。但是并不会改变特征的分布,大家可以看到,在这里我在前面几次会议上跟大家一直介绍了一个CSA云安全联盟面临的危险,跟我们提到的有一些是有关系的,一个就是服务的恶意使用,其中包括拒绝服务攻击,滥用服务是非常重要的,云计算的出现不会改变这个现状。在数据丢失和数据泄漏方面,刚才讲了,云计算实际上促成了一次新的数据集中,把很多小型企业或者中等企业的数据转移到了一个大规模的云计算中心里面去,这个数据进一步的集中,如果我们没有办法做到,就是刚才看到的数据,我们相信这个数据会进一步恶化,就是因为它更容易集中式的获取。云计算不会改变当前的整体面貌,所以说拒绝服务的问题,数据丢失的问题依然会是关键信息基础设施需要解决的两个威胁。#p#
我们在看关键信息基础设施面临的威胁中提到了工业化和全球化的问题,我们是不是有些措施和方法论来制定相应的保护战略,并且能够有一个实现的路线图,后面做一些尝试,有一些是个人的观察,有一些是我自己亲身参与的一些研究项目,有些也是我个人的一些设想,欢迎大家批评和讨论。
对于我们来讲最重要的,就是我们首先要定义什么是CII,这里面列举了若干的行业,这个行业里面包括我们非常熟悉的能源行业、制造业行业,包括金融和贸易、物流、教育、水电这样的系统。现在大家知道,我们在国内实行等级保护,等级保护里面有两条最重要的原则是谁主管谁负责,谁运营谁负责,从落地和执行层面上是正确的,是非常好的,但是它还缺少从总体战略层面上的指导。首先哪些是关键基础设施,它们之间可能是互相依赖的,他们之间可能是互相相通的。我们知道在做DCP或者DRP的时候会考虑到,当你认为关键的系统去做了回复以后,会发现一个很小的组件不存在,实际上整个业务无法提供服务,需要在国家相应战略层面上定义去澄清哪些是国家的关键基础设施,它们之间的相互依赖关系是什么。这里我想还有一个基本的假设,不可能保护所有的数据和资产,也没有必要保护所有的信息和资产,只需要保护最重要的一部分。这里给了一个信息,所有IT关键信息的部分组合在一起,就形成了关键信息基础设计,是我们后面谈论的主要焦点。
我们看到在国际上有很多的机构,有很多的兴趣小组,有很多民间的社区有些热烈的讨论,我这里举的都是一些官方的例子,这里我把几个关键词做了一个黑体的标识,识别风险、减少损失、减少恢复时间、识别根源。作为大家相对来说比较熟悉的ITUT,国际电联在这个方向也做了非常好的定义,最上面是目标,保护关键信息基础设施,这里面有四个组成部分,要想保护这个关键信息基础设施需要做四件事:一是阻止早期的告警,要有监测能力。二是当发生攻击和大规模数据泄漏的时候要有能力发现。三是要有能力做响应。四是CII是面向公众服务的,公众不是一个个体,要有非常好的情绪和信心的问题,需要有危机管理。
贝尔实验室提出了一个非常优美的模型,把安全问题分为三个纬度,包括一是安全平面纬度,二是最终用户平面,三是控制平面。还有管理平面,还有三层,应用安全层、服务安全层和基础设施安全层。大家知道这个背景是专门针对通信行业的,在社会上你的号码为什么有人给你打电话?是因为隐私问题,运营商把有些号码卖掉了,在通信过程当中如何保持信息是保密的也很重要,这个我们不再讲了,它已经变成一个国标了。作为下面的大家提到的很少,在Google或者百度里面可以搜索到,国内介绍的很少,一个月前在一个年会上面,这个模型的作者提出来,这个模型跟传统的模型相比做了一个扩展。
第二和第三层是软件、硬件和网络负载,这是我们讲传统的可靠性,或者是安全的时候最关心的四个组件,对上和对下分别做了扩展,往上加了人和政策,他们做的报告是第八元素的崛起,指的是这个政策。从现在东西方因素的角度来看,认为国际上政策的方面是严重欠缺的,比如刚才提到的什么是我们的CII?我们CII的保护战略是什么?这就是相当于政策层面的,我们在这方面做得还是不够的。在下面又往下拓展了,一个是环境问题,一个是电力问题,我们不再往下讲了,因为考虑到比如云计算中心,下面部署在云计算中心在什么地方?周围的电力供应问题都是一些问题,不知道大家是不是对数据中心比较熟悉,如果对数据中心比较熟悉的话,供电是非常重要的问题。这里给大家介绍了四个不同组织,不同性质在这方面的一些尝试。
Safe Code在代码领域是由若干个大的软件厂商做的联盟,我也写了一个帖子讲Safe Code的模型跟我们传统的CIA模型的不同,在这个模型里面还是三个圈,中间是保障,左下角是真实性,最右边是安全性。我们纠结到底安全是什么,完整性是什么,它们中间联系是什么?谁对谁错意义不大,我们对我们熟悉的CC公共准则,CC大家知道有若干个PP和ST,在密码审计方面定义了什么功能,在通道上定义了哪些功能,是软件在功能设计层面上做了哪些考虑,这是我们通常说的安全,识别了威胁,在软件里面实现了对于威胁的防止。Integrity,业界没有一个厂商可以从头到尾完成一个软件或者IT产品,涉及到大量的事实上的外包,比如可能会采购芯片,可能会采购编译系统,这时候会涉及到大量的供应商的管理,考虑到云计算的环境下面,我们都知道云计算是讲究开放的时代,涉及到很多SOA面向服务的架构,涉及到很多Cloud API的调用,事实上把系统里面加上了很多非自己的因素,在这种环境下面怎么保证他们这些组件还是你想要的,这是一个完整的问题。
真实性要搜索一下供应链安全性的话,在这个标题下面,看到某一个港口在运行某一个路由器的时候,发现路由器的板卡被人家替换了,这是从物理真实性的角度来看待这种你买到的东西是不是被人修改了,你买的华为牌的路由器是不是就是华为牌的。实际上给我们不同的思考,华为的刘先生提到了一个说法,我们说深度防御,其实还有广度防御,在这个方面很多权威机构也做了很多的尝试,你不可以独善其身,必然会涉及到大量的外包和采购问题,涉及到大量的合作伙伴的问题,怎么样在一个更广的领域上面做到一个相对都比较完善的防御?因为单点防御再强都不可能单点存在,当周围的生存环境消失的时候这个单点也会消失掉,这是一个假设。
屏幕下面大家看到一个金字塔,这个金字塔是我画的,来源是今年5月份在达沃斯召开的世界安全峰会上面,一个Workshop的成果,比如印度会对中国厂商的产品不相信,美国对我们不相信,欧盟可能不相信,但是毕竟要做生意,那么怎么办?现在我们有一个CCRA,在中国没有签署,还要做很多的工作。这里做了一个尝试,怎么样从技术层面上解决掉这些担心,这里划分了四个不同层面的保证,比如说对于运营商或者对于一个大型的组织机构来讲,他们采购IT产品,比如采购路由器或者防火墙都是他的供应链系统,他怎么样保证这个供应链里面他买到的防火墙就是他的防火墙,买到的路由器就是他想要的路由器,所以这里划了四个等级。最下面的一个等级是我们最熟悉的等级,我们依靠一些内部的流程,大家知道以前我们有一个假设,包括CC的假设,高质量的过程产生高质量的结果,在流程上面的安全就会得到一个安全的产品,我们跟用户讲,我们通过了9000认证,这是自己内部流程的优化,但是没有发展到整个的用户,所以对于第二层是第三方的。大家知道我们测评认证中心提供一些认证,实际上就是在这方面做出努力,由第三方来看待这个产品,要把代码拿过去做检测,这是很好的,但是到现在为止我们还没有看到更高层面的认可。
再往上一层,即使做了这一层以后,其实还会有很多的担心,我们做了一些尝试,就是怎么定义再往高层的保障和完整性。第三层这个名字是我起的,是架构层面的安全,架构层面的安全实际上是把我们运营过程当中所推崇的SOD职责分离的体系放到IT系统当中去,通过不同供应商所生产产品的制约,比如说在一个路由过程当中,在一个包的转发过程当中,如果有一个单一的厂商做手脚的时候,会在另外的地方得到检测和反应,事实上是一种容错的机制在里面。最上面的一层是敌意环境,物理和电磁上是无法保证安全的,这是一个有益的尝试,明年6月份在伦敦还会有世界网络安全空间的会议,这个话题还会进一步的讨论,如果大家对这个问题感兴趣的话还可以进一步的参与和讨论。
我们考虑要定义CII,哪些是我们的关键基础设施,我们要看到围绕这个关键信息基础设施,我们有一些可以借鉴的方法和框架供我们参考,让我们开发保护战略。我们再往下看一下怎么样把它变成一个可以操作的东西,这里面举了几个例子,第一个是威胁树,我们通常这样做,我们27001有133个控制,我们选择哪个还是不选择哪个?或者我们请咨询公司做了一次风险评估,前10个安全风险是什么。但是作为CII来讲这样的操作涉及到的范围非常大,涉及到的重要程度非常严重,通常我们希望从更全面的角度探索,所以说有必要去识别,从人的角度和非人的角度识别,能把这一套威胁的树完整的画下来,能够比较完整的识别所有的威胁。大家可以搜索这方面的文章,在物联网RFID方面可以搜索到很漂亮的对于一个网络架构的关于威胁树的研究报告,那个画的很漂亮,我觉得值得借鉴。威胁一定是利用某种漏洞以某种形式发起攻击的,我们传统的只是说找到一个漏洞,这个漏洞是一个溢出,但是我们知道有一个原理,你不可能消除所有的漏洞,因为漏洞有些是你知道的,有些是你不知道的,所以在这里第二步,你把对方有可能对你发起攻击的所有方式尽可能的穷尽下来,大家知道,研究漏洞是一个学问,怎么去利用漏洞是另外一门学问,这两个没有谁高谁低的问题,因为在前面几个演讲里面嘉宾都在强调,信息安全或者网络安全最重要的是人对人智慧的一种斗争,跟我们对立的那一方他们非常聪明,非常有组织,他们非常有创造性的发挥作用,还有比较好玩的是跟云计算如何结合在一起,怎么样用展示的方式绕过测试。我们通过威胁树得到尽可能全的攻击方法,我们想回避的问题大家知道,你已经知道的不知道不会对你无所伤害的,所以你会小心,能够杀死你的是不知道的,你不知道它的存在,当它发生的时候你根本没有准备,所以会杀死你,所以这样的方法也是我观察的一些很好的事件,尤其对于CII这样最为关键的机构需要做这样的尝试。再往下可能需要在政府层面、行业层面、企业层面、政策层面和技术角度各自分别做一些工作,我们开发出相应的保护策略。#p#
我们做了一个综述,我们有哪些方法论,我们有哪些操作的框图,坦白说这个过程可能会旷日持久,可能会很长时间,对于我们来讲,我们作为关键信息基础设施的运营者我们可以采取的行动是什么?我们刚开始谈到了两大威胁,一个是对于服务的可用性方面,一个是对于数据的方面,立即可以采取的行动是什么?比如对于拒绝服务的攻击,在今年5.19的事件当中大家也再次的知道了这个问题,DNS相当于传统的网络电话号码,它的失效造成了一种事实上的拒绝服务,虽然网络存在,但是服务已经被拒绝了,所以就是要保护DNS服务,还有就是保护关键基础设施里面的Web服务器。
一个拒绝服务,在拒绝服务攻击里面涉及到几个相应的角色,我们可以看到发起方控制了若干的系统,他向目标系统发起了攻击,这里面可能是对称的,也可能是不对称的。我们的防护大概也有两种不同的办法,一种是在最终被保护的地方,假如说这是Web服务器,我在它的前面加上保护拒绝服务的设备,在它的前面,在运营商或者更上一层的节点做一个保护,当然还有对DNS系统可能会发起攻击造成拒绝服务。对于CII来讲,我们考虑到第一个要保护的拒绝服务攻击,我们可能需要更全方位的部署。我们可以看到,我们这里举了一个例子,不管是电力或者是FSI,就是金融方面,可能会在分支的地方部署一些专业的抗拒绝服务的问题,也可能是在线的,就是当成一个危机管理,出现问题的时候可以拿上来。但是我们可能还更需要跟我们上层的供应商合作,在更大的层面,大家知道,小概率大风险事件,需要通过分享,通过更大的范围解决可能效率更高,对于我们最重要的CII,运营商国家的骨干网,这里面可能更有意识的部署区域一级的和骨干网一起的对于DNS的防护。僵尸网络作为全球化和工业化的特点,可以发起拒绝服务攻击,我们做流量倾斜,相对应的我们把500多倍的流量也变成普通的流浪,这是一种思路。其实我们还有一种思路,CII是国家层面的问题,能够把这个僵尸网络的不管是控制节点还是僵尸网络的僵尸,又找出来清除掉,也可以在很大程度上能够抑制这种攻击,如何发现僵尸进一步清除掉僵尸的原理,也是一个思考,事实上我们国家主管机构在这方面也做了很大的努力。这个HoneyNet里面已经装了一个僵尸,能够检测到Control Server跟他发生服务,他发送给IDS系统,这个系统会分析所有跟这个Control Server进行通讯的节点,通过这样一个节点来发现,相当于一个诱饵,可以发现网络攻击的情况,进一步找到这些僵尸,把它们清除掉。在这个企业级坦白来说效果并不好,不可能孤立存在,会在更大范围上,在一个行业或者一个国家层面上操作会更有效一些。
在这里做了一个DNS系统的简单示意,不知道大家是否熟悉,这里面包括主服务器、缓存服务器,还有几个主要的操作,包括关键数据文件的传输,包括查询和缓存。实际上在每一个操作当中都会有相应的安全出现,这都是被证明过的安全威胁。于是我们需要在每一个相应的威胁点上面部署相应的安全产品去做相应的防护。我们把DNS的安全作为一个专门的系统,需要几个层面的安全防护,DNA专有的安全问题,大家搜索一下13个Server的攻击的话会发现很多的媒体报道,首先对DNS有一个专门的防护,另外专门还有一些对于DNS方面的一些攻击,需要相应的进九识别和进行预防。下面还有对于DNS的Cache方面相关的保护,包括备份问题,灾难恢复问题等等,甚至包括对于整个基础设施里面涉及到所有的域名的相关服务的监控问题。
对于基础设施拒绝服务的攻击问题,对于基础设施很关键的一部分,DNS的防火墙,对于Web服务器的攻击目标也是数据窃取的重要目标,通常作为在架构层面上我们需要考虑一些问题。第一个大家都知道的是我们需要部署防火墙和抗拒绝服务的能力在前线,作为第一线,能够把很多一些面上的攻击,包括服务、假冒包括扫描都能够防止。大家还知道在第二步我们需要一些检测能力,还有针对特定的一些攻击,这里特意提到了一些,包括像已知的漏洞,比如一个漏洞本身没有办法去修补,可能虚拟补丁的能力等等需要在这方面做一些部署。最后作为专门的Web服务器,大家也知道,最近像Web应用防火墙这样的产品,这也许是一个产品,也许是某一个特殊的定制,在部署的时候可能大家会有不同的考虑,包括昨天下午在第三会场有嘉宾讲到的各种各样的攻击。这个纵深架构大家可以看到,不一定在实际工作当中一定这么做,这么做的话可能性能会有问题,可能需要做一些调整,如果是Web型的中国的IPS也许不需要了。
我们看到了威胁,看到了一些框架,也看到了几个具体可以做的事情,我们做一个总结。这里面我们目标是想开发一个CIIP的保护战略,从国家层面或者从某一个大的行业的角度来指导保护关键基础设施的这些项目和行动。我们最终需要交付一个东西,这个东西可能会像什么,首先是政府,是在公共领域做的事情。下面是像电信、银行、水利、电力这些方面,大家可以分别做什么。我们先看在技术方面,这里举了几个例子,我们是一个设想,不一定是现实的,从刚才的分享这几个方面可能都需要考虑到,包括预警,包括中央的Webside的监控问题,还有在国家的安全情报系统,因为你需要知道搭建网络发生什么事情,哪些事情最你的威胁最大,这是安全情报系统,跨国家领域的大型的数据库系统。在企业领域部署这些系统的时候,需要跟国家层面部署的系统做一个比较好的集成,因为CII大家都知道是互相关联的,需要把自己的业务层面的逻辑做一个很好的调研,可以看到有些漏洞不是通过简单的工具可以做得出来的,但是攻击方却有非常好的创造力,所以说需要在业务领域,我们在之前看到的不管是电信的营业厅还是网银系统都可以看到是业务逻辑方面发起的供给。在政策方面我们看到电信相应的立法还没有出台,对于信息的窃取我们还没有足够的法律。CII的运行方、厂商、用户相关的责任问题还没有很好的保护。我们还没有审查和督查的方法,审查是要有成本的,需要有低成本的手段来做。我觉得赵司长就像美国的总统特使一样,是一个提醒者,告诉大家要非常重视,国家在更高层面也是重新有了一个信息安全的协调小组,这些都是非常好的举措。国际层面相关的协作也是很重要的,大家知道因为全球化的问题,中国互联网是全球互联网的一个组成部分,现在我们很难闭关把网络切断,这个攻击有可能在东欧,有可能在南非,怎么样跟国际刑警组织打交道,在相关司法方面进行协调这是很重要的问题,我本来还有一个片子介绍现在正在进行的一些国际的协作,由于时间的原因就不展开了。
作为今天演讲的总结我们做几个推荐:
第一我们来回顾一下当前哪些是我们的CII,我们的CII当前已经部署了哪些控制措施,我们有哪些的政策和技术,找出我们大概的差距在哪里。
第二我们把当前引用进行中的,或者是计划进行中的相关的关键信息基础设施保护或者相关的项目进行一个相应的优化,能够把抗拒绝服务的问题,包括数据窃取的问题在必要的时候尽快加强。
第三能够建立在行业或者政府国家层面的相关智能和情报企业,能够把信用问题、威胁问题能够在全局层面进行协调。作为单一的行业或者企业来讲应该具备这样的抗拒绝服务或者抗数据丢失的能力,可能需要跟国家相关的机构进行配合,能够在更大范围上面确认当前CII的安全配置问题,符合安全策略。比如说现在最简单的就是一个密码的问题,造成了很大的问题,但是又没有办法通过扫描看到这个问题,需要一些安全自动化的检查工具。下面就是能够让现在已经部署的安全系统知晓当前的安全状态是什么,漏洞的状态是什么,能够调优。
【编辑推荐】