中國信息安全大會上東軟網絡安全營銷中心解決方案部部長，曹鵬先生演講。

主持人：謝謝陶先生。人生出現安全盲點會導致一生的悲哀，企業安全系統出現安全盲點就可能是滅頂之災，接下來演講嘉賓將告訴我們如何避免業務系統中的安全盲點，讓我們有請東軟網絡安全營銷中心解決方案部部長，曹鵬先生演講。

曹鵬：今天由我最后告訴大家應用業務系統安全中需要討論的問題，我今天話題會聚焦到一個非常細小但是非常重要的地方真正的業務系統。

這跟我這兩年做安全很大關系，來自不同的業務領域和不同的行業，我發現高級用戶部署了很多如防火墻、防病毒等，很多業務系統是我們自己開發的，對外沒有公布太詳細的細節，業務系統在開發的過程中，從規劃之初到設計，到代碼編寫，到整個運維過程中對安全考慮不是很周全的。

我直接給大家介紹幾個真實的，在以往項目中出現的業務問題，首先介紹一個C/S結構，這是在我們國內財政稅務局中，幾乎每一個地市財務系統都會有，這是我去年非常有意思的案例，當時我過去他們很關注業務安全的問題。當時我拿到這套業務系統之后簡單看了看，分配我的帳號，三個預算單執行全力不是后臺登陸的權限，這個帳號用戶名密碼也是存儲在最后數據庫上的數據而已，這套業務系統要想驗證我是不是成功驗證，必須跟C/S驗證，后續工作很簡單了，我開一個用戶端，我就取得非常核心的業務數據，可以更改所有的關鍵數據，我繞過了前臺的限制到后臺去修改，這是目前常見C/S軟件類型中出現的典型問題，就是后臺登陸的數據庫帳號，內置在過程中間，這不是用戶可以參與的。

另外一個是B/S平臺，在這平臺里面有一個應用程序，有一個動態腳本跟后臺有數據庫的交互，這里面有很多針對應用平臺的安全攻擊，比如SQL語句注射式攻擊，還是在一個財政局內部的王震里，里面有非常好的OA辦公網，前端是SP，后端是C/S，我在系統里面找到一個本站留言板，這結構比較簡單，我打了一個IP號，后來到動態數據庫里查詢，我在and 1=1，和and1=2，這下頁面提供了錯誤的生成，如果攻擊者往前再走一步，and user>0，這是當前暴露非常敏感的數據庫里面的處理信息，有經驗的可以用這攻擊去攻擊業務。凡是內部用GSP，用ST開發的內部處理系統，很多有非常典型SQL語句注射式攻擊。

還有在開發過程中版本控制，這是我們國內非常知名的航空公司，這家前面有一個SP，中間有中間件，在這里面發現很有趣的現象，可以直接把源代碼下載回來，因為開發過程中國，因為更新的時候，這家公司發布網頁的時候，把不應該發布的東西都推到Web網站上。這說明發布否之過程不夠完善。

功能所依附的操作平臺的安全缺陷，很多時候我們業務要安裝在一些平臺上，業務平臺會有一定的安全性，比如我設置過一些大型廠商的中間件系統，這里面日志記錄非常差的，很難支持IP地址訪問行為記錄，這方面的缺陷，一旦今后出現問題，在這個平臺很難真實發現問題。

程序開放接口的問題，主要是壓力測試和針對性測試，我們開發系統的時候都認為是好人，對于惡意的訪問不夠周全，家鄉所有人訪問是正常的，沒有任何惡意的，這時候如果有人有惡意，只接受1K，他發了100K，他用100個線程，1萬個線程的時候，這時候它的穩定性表現非常差的，很多時候直接宕機死掉，許多任何的自我保護處理機制，底層信息大部分在裸奔的狀態。我看過很多包括兄弟單位和非兄弟單位，很多業務系統通訊都是裸奔狀態沒有任何加密，兩三年前用戶說內部反正用交換機，也無所謂。這兩年隨著信息威脅程度不斷增高，這里面安全問題已經暴露很多了。比如我們公司辦公室，我們有一個交換機，到終端的桌面，以前用HUB的時候，在另一個環節，共享式發包可以看到所有通信狀態，現在相對安全的嗅探還不是很容易，但是這種觀點到今天已經有點過時了，為什么呢？因為今天網上有非常多隨處可以下載ARP中間人自動化的欺騙工具，利用這個任意人可以偽造網關可以發內網的MARK地址關，可以很容易把內網本地信息跳出來，我走訪了很多用戶的單位，包括中國寬帶上網的環境，大部分網絡環境都存在這問題，我在一個房間，可以看到這個酒店大部分房間干什么？訪問哪個網站，看哪些信息，MSN在聊什么？大部分軟件可以免費下載的，這樣我們業務面臨的威脅比較高，再用裸奔的方式傳遞信息，本身要泄露的東西非常可怕。

客觀上面對威脅的程度也在增加，幾年前威脅程度比較低，包括對于安全的了解，安全的認知程度比較低，但是這兩年安全的威脅程度增高了很多，實際上舉一個例子，在座都會用OFFICE都會用WORD寫文檔，如果這是我的日記，我的重要客戶資料要加密，我會到Word里面設置一個密碼，有人說13位，設100位，這樣別人只要不知道我密碼我的安全性可以得到保證了，這在很多年前，現在很多用戶固有的觀念，認為這就是安全了，實際上不是，包括最新的OFFICE2003，加密算法超過40位不允許的，什么是40位就是2的40次方有多少可能性？在普通的PC電腦，每秒破解1百萬次，允許240次分不超越14天，如果20臺電腦，可以用一天把所有密碼都算出，我設了一個12位密碼，用處我家電腦三天就破戒了，所以我們以前認為安全的東西現在看起來是有問題的。

這是我新加的PPT，今天會場地址選在新世紀日航飯店，它也有自己Web服務器和Web發布的系統，這套網站應用系統也不是很安全，我從看到這個網站到屏幕抓出來花了5分多鐘，不用一會兒可以進入網絡最后臺管理界面，這驗證非常簡單，用幾方面時間可以知道網站結構，可以隨意修改刪除新聞界面，如果有黑客團體在這個大會，把日航網站黑掉，今天我們在這可能比價尷尬，這個大會可能就比較有新聞熱點。業務性的安全，防火墻這些產品很多基于傳統的系統，網絡，但是對于針對型解決方案是不多的。

業務系統常見的問題做一個簡單的總結，第一個TCP/IP協議自身在設計過程的安全缺陷。對于暴力口令猜測沒有設置上限閾值。多數信息傳遞的時候沒有采用加密方式，沒有很好的錯誤保護處理，程序接口的抗攻擊能力薄弱。對于我們平臺功能性很完備，但是安全功能是不完備的，對于用戶操作行為記錄沒有很好的控制審計措施，對于敏感數據沒有考慮數據加密存儲。可怕的問題在于，很少有防火墻、入侵檢測、漏洞掃描等這些成熟產品檢測出這些問題并實現有效防護。

信息安全最根本問題是人的問題，今天用戰爭不能帶來和平，我們部署一大堆技術型方案，沒有辦法解決信息安全本身問題，要解決一定要有人本身的參與，以往很多投入是在技術上，對于人員能力的提升不夠的，造成很多當初規劃和開發過程中，代碼編寫中遺留很多問題這不是人的能力不夠，是意識不夠，就沒有考慮規劃。這兩年做了很多開發系統的規劃，包括安全編寫代碼特征的流程，也建議ISO17799最佳安全管理實踐體系與通用CC標準ISO15408都對開發安全提出了不錯的想法和指導建議。這里面本身對于軟件安全功能的實現，和自身安全功能的保證有非常詳細的設計意見。

同時在安全開發過程中，它的難度也是非常大的，它不是簡單意識到這個問題，按照一個流程開發就可以了，它本身有很多實踐的難度，很多標準不是用白話文寫的，很多標準不是通俗白話文寫的，用了大量的參數型參數和技術標準，非常難以去理解，很多標準沒有給用戶提供非常友好的，容易理解的這些，將一個安全性開發的標準到一個已經成熟運作多年的開發環境，適應調整期非常長。很多標準成為標準認證而做，很多東西是最后文檔化的工作，沒有真正貫徹到開發實踐過程中去。要結合本單位實際安全要求編寫相關的開發安全要求和標準這是非常關鍵的。

我們認為技術的問題可以用產品和技術服務完成，也可以通過人的方式來完成，所有的問題歸結最后是人的問題，解決這問題要切實提高人員的能力，人員能力怎么提高，需要知道那么多事情，看那么多書，經歷那么多事情，有深厚經驗才可以，我們用戶在這方面投入和重視程度不夠的，安全投入是可以結合用戶實際的網絡環境中，通過我們自己和用戶做一些項目，把用戶帶領起來，把他們組建成一個自我評估，自我服務的團隊，切實提高服務水平是很關鍵的。好的產品很關鍵，好的服務很關鍵，但是信息安全服務領域，好的服務伙伴最最關鍵是根本。 東軟給予用戶的信心來自于2所投資過千萬的信息安全實驗室，7處研發基地，13個行業事業部，15年發展歷史，遍布全國41省市服務網絡，有260名優秀安全服務工程師，做一系列服務，我們在十年里面積累超過5千家的用戶。

謝謝大家的聆聽，謝謝大家！