通信世界网(CWW)4月1日消息 由人民邮电出版社主办的“2011(第三届)通信网络与信息安全高层论坛”在北京鸿翔大酒店举行,本次论坛以“完善防护、支撑应用、助力转型”为主题,会议就移动互联网安全挑战、电信业务云安全需求和框架、IDC类应用系统安全防护、手机病毒监测、电信网络的安全防护评测和管理、IPv6网络安全保障体系研究、Web应用安全等业界热点议题展开。
北京国舜科技有限公司 朱铁男
朱铁男:在最后一个最关键的时段发表演讲,对于我来讲多少有一点压力。今天我是来代讲的,早晨开始修改这个PPT,而且现在要当着我老板的面在各位专家面前还要班门弄斧,不过没有关系,有压力才会有动力。
Web应用日趋广泛
对于我们的Web应用来说,我们现在已经有了非常多的Web应用,很多应用令我们非常之兴奋。比如就我个人来讲,我觉得手机钱包是一个非常有创新概念的应用,以后我们可能不是去刷信用卡,我们换一换手机,刷一刷手机这个支付就完成了。这意味着什么呢?意味着在空气中传输的可能已经不是数据了,可能就是金钱,在我们周围去传输的可能就是这些实际的金钱,很多应用也正在改变我们的生活。
对于各种网络应用,现在有一个统计报告,这个统计报告也突显了我们国内在各种网络应用上的用户数量是非常庞大的,正像我之前所讲到的,各种各样的应用为我们的生活带来了非常大的变化,包括性能更加优异的终端,包括越来越多的应用厂商在这些终端上开发各种各样便捷的应用,使我们的生活更便利,更加美好。
同样美好的还有一个地方,这个地方在几个月之前还是景色优美,风景秀丽,但是在几天之内这个地方就变成了一座死城,在这里我并不想去讨论这个核电站的一些安全措施或者一些处理手法。为什么要在这里提出来?是因为对于安全这个问题来说非常有意思,往往会带给你一些意想不到的惊喜,这个惊喜是什么呢?在日本他们不会想到一个事故会引起海对面一个国家产生一系列的反映,这个反映我想甚至是我们自己人也没有预料到。对于安全问题来说,它之所以令人兴奋,就是因为常常会产生一些令人意想不到的结果。对于这样一种情况我们应该怎么样应对?我们应该事先采取一些措施,而不是等到事后鞠躬认错,这样对于解决问题帮助不会很大。
运营商Web安全面临的压力
回到我们的演讲主题,毕竟我们现在还没有到新闻联播的时段,对于运营商来说,Web安全面临什么样的压力?
我们认为主要有三点:一是业务平台Web化,我们讲到很多业务现在都已经搬到Web上。二是业务应用平台多元化,可能有很多种Web应用平台,使用的技术都是多种多样的。三是Web应用复杂化。越来越多的Web应用它的交互性越来越强,承载的应用功能也越来越多,这样就会导致应用十分复杂。这样造成了一种局面,业务平台的Web化会导致Web安全风险的大幅度提升,其次Web应用平台多元化会导致整个Web平台应用体系更加复杂,Web应用的复杂化会使Web安全管理带来巨大的挑战。
构建Web安全防护体系
针对这样一种情况我们提出了解决方案,我们认为主要有几个方面:一是广撒网,在最外层我们采用扫描检测。对于Web系统来说,页面数量规模种类往往非常繁多,如何采用人工方式去检测和管理,往往可能收到的效果不会很好,总会有漏网之鱼。因此对于最外层的撒网,我们建议使用扫描检测的方式。二是网络边界,当然这个边界是对于Web系统来说的,也就是Web系统的边界防护。三是在主机。对于这三种防护的手段,我们分别提供了三种产品,对于扫描检测我们提供了专门用于Web系统的扫描系统,对于边界防护我们提供应用防火墙,对于主机的防护我们提供防篡改系统软件,同时我们也提供这些产品化的东西所不能够实现的一些安全服务,比如一些深度的代码审计等等,这些用产品是无法实现的。
对于边界防护我们使用的是应用防火墙,可以在边界过滤掉一些攻击,对于扫描检测我们使用的是一款专门针对网站应用的系统,或者叫Web应用系统的一种扫描系统,这样的系统有单机版,可以安装在一台电脑之上扫描所有的网站,也有分布式的版本,支持一种集团式大客户的部署,防篡改系统软件起到的作用是从主机端对主机上关键的一些信息脚本以及这些页面文件进行防护。通过综合运用这样一系列的产品,我们认为是可以构成一个深度的防护体系的。我们的产品和解决方案有什么特点?当我们遇到其他的竞争对手和其他产品的时候,经常会听到他的产品可能具有各种各样的功能,比如防篡改软件可以杀病毒,应用防火墙可以做流量控制,我们经常会听到各种各样的产品具备多种功能,并且口号也十分响亮,让你觉得它就是一盒十全大补丸。对于我们的产品来说它的特点是什么呢?就是一个字,叫做“少”。这个少怎么理解?我们经常会在客户面前问一个问题,就是你漏洞库的规格条目数有多少?我们说可能是几百条,别的厂家说他们有几千条,这都不是一个数量级别。为什么我们的漏洞库规格数会非常少?各位可能会了解到,对于这个漏洞库来说它是一种黑名单的过滤机制,对于通信行业的客户来讲,这样的产品需要运行高效,并且处理效果非常高,这样会造成比较低的延时,这样对于业务系统的影响最小。
假如说发送的每一条数据都要经过几千条黑名单的过滤,这样的话就会对业务整个延迟造成非常大的影响。因此我们对这个规则库或者漏洞库的研发方向是什么?是尽量去减少它的条目。比如说使用更好的表达式,使用更好的策略合并一些规则和漏洞,把这些漏洞的条目数降到最低,这样的话产品在运行的时候需要耗费的时间,需要执行的运算量就会相应的减少。因此我们可能在漏洞库的条目上是比不上其他的厂家,但是我们在运行效率上是远远领先的。
我们的产品也没有一些非常多的宣传噱头,因为我们认为宣传噱头有时候是不堪一击的,因为18道检验也管不了一头猪,所以我们认为最好的方式就是去测试我们的产品。非常欢迎各位运营商的客户、渠道商或者合作伙伴去测试我们的产品,与同类产品进行比较,看看我们说的到底是不是真的效率高。
国舜提供的是高效、高可靠的一些产品,并且辅助一些专项的安全服务,去发挥这个产品不能达到的一些功用,最终去实现一个运营商Web应用系统的安全。我发现我们今天论坛的日期有点意思,因为今天是多少有点特殊的日子,在这个世界上可能有某些地方正在被谎言和忽悠充斥着,这和我们国内安全厂商的现状可能也有一部分是吻合的。但是我们国舜想说的是,正像我刚才说到的,我们不怕各位去测试我们的产品,到底是不是忽悠,是骡子是马拉出来溜一溜。非常感谢各位!
