通信世界网(CWW)4月12日消息 由中国通信学会主办的2012年中国电信业信息与网络安全高层论坛今天正式召开,本次论坛针对“十二五”重要信息系统安全与云安全策略进行讨论,同时针对通信网络与信息安全领域的重点和难点问题进行探究。通信世界网将全程对本次会议进行直播。
国舜科技南方区总经理田浩
以下为演讲实录:
田浩:
各位尊敬的领导、专家、来宾,大家下午好!很高兴能来这次论坛参加会议!分享我们公司对于web安全的理解和实践。
近几年的大事件里面都配合运营商做安全的工作,也取得了很多的成果。今天我的发言分四部分内容。分别是趋势的探讨和针对这些趋势如何构建相应的防护体系的一些建议,以及我们提出的主动防御的理念和传统被动的对比。最后着重介绍一下国舜公司跟运营商行业和其他行业的一些客户在具体项目当中的一些安全实践。
我感到被安排在这个顺序来进行演讲,也还是很幸运,因为前两位,都被web安全的重要性做了很好的论述,大家都认为web安全是非常重要的方面,相关的攻击手段和web层面,都是非常严重的,我们这里就只是引用几个数据,来强调一下应用安全的一些现状。首先第一个数据就是调查的数据,超过75%中心都来自于这个应用,大家最早的日可,比如说都认为从网络进来的东西比较多,实际上来自于应用层中心的,占的比例越来越大。
从我们自身的实践当中,对外提供的渗透服务当中,85%以上,都是以网站为突破口进行渗透的。而且我们和运营商合作可以看到有一个,不能具体实行了,自己主持的内部检查中,找到了十几条从互联网到内网,包括OA、网管那些,进入的路径80%以上通过网站做的一些绑定。今年10到11月召开的网站安全的保障也是非常重要的内容,所以我们认为网站安全的形势还是很严重的,而网站应用的安全是一个缓慢的。
在我们国舜自身对网站安全应用的理解上,认为趋势主要有两方面,一方面原来以破坏为主,最终目的,演变成攻击者并不是需要破坏的系统,而是希望从系统当中确定有这个信息,变换成金钱,APT不再提了,可以看到大家都认为这个危害性非常强大,因为他展现了服务,时间跨度很长,所获得的信息,包括造成的破坏都是非常严重的。
这些案例就简单的展现,这些案例都是非常知名的案例。都是从web展开攻击的。构造web应用安全的防护体系,我们针对这些情况提出了国舜对于构建安全体系的一些建立,在上周五,大厦举办的另外一个论坛上,国舜公司的副总裁张先生提出一个仿生的模型,还是很生动有趣的,在这里简单引用一下。首先我们知道网站是允许web链接的,既然允许链接,在我们传统的对不提供对外链接的业务系统,比较强化的安全防护的措施,只有web系统是不得不跟外部聚焦,他就像一个周身都保护的很好的一个乌龟,而地区都被他头抬出来。
既然不得不做一个乌龟的现状,决定我们必须把这个头来做一个很好的保护,当时我们提出,最后一个比较怪异的模型,构造一个刺猬的乌龟,内部讨论的时候,我们认为有可能针对于这个比喻来讲,这个更加形象,刺猬无从下手,有可能我们知道,某种小区域招惹了,经常会带着很多根刺离开。这个情况下,更好的提醒我们主动防御这个理念,防御在大家当中是被动的,而我们现在把它和主动这个词连接起来,实现主动的连接,我们最终在下面提交两个提示,主要的主动防御体现在两个方面,一个是高干,一个是能够有一定反致的功能。
很多用户在实践当中做了很多的工作,采用了很多世面上常用的技术手段和产品,包括原有的一些设备的升级,大家都知道IBS,我们现在很多的IBS厂商也能够做跨站的一些防护,这里其实也可以展开讨论,IBS和web的防护,IBS也能防,跨站的这些中心,还要web干什么?这都是可以拓展讨论的问题,在我了解,IBS也可以做,但是我们知道IBS更关注于网络的系统层面,这样的话,他的层次有可能,有可能到应用层攻击的话,到基层,在性能和效率,包括检测的准确性的性能,是主动考虑的问题。但是有可能要考虑到一个平衡。
