本次沙龙由国家计算机网络应急技术处理协调中心运行处处长周勇林主持,启明星辰、天融信、绿盟、奇智科技、新浪、腾讯安全中心、搜狐、安天实验室、数码星辰、冠群金辰、长江法律、中国网通、Akamai、ISS等企业与单位参与,新浪科技全程支持。
以下为沙龙现场实录全文:
主持人:大家好!今天过来的也是同行,我们希望通过这个活动大家能够学到一些东西,今天下午的活动分两个阶段,第一阶段是一个解决方案介绍,这个介绍是由杭州奇智科技公司来完成,内容是如何降低人为操作风险的安全解决方案;第二是互动项目,我们事先准备了一些话题,大家有什么问题也可以问。首先由吴强来介绍一下他们在网站安全上有哪些比较好的技术和方案。
吴强:大家好,我是奇智科技的吴强。很高兴今天在这里为大家介绍Unix平台设备操作管理解决方案的相关内容。
任何一种解决方案都具有一定的针对性。
我们的解决方案首先是针对Unix平台的设备,那什么是Unix平台呢?简单的说就是非windows平台的都可以称之为Unix平台,在互联网行业里,后台管理基本都采用大量的基于Unix平台的服务器和网络设备;其次,是针对Unix平台的终端命令行方式的人为操作。
我们可以通过这个解决方案帮助客户降低那些因为人为操作而带来的风险。
客户的需求总是来源于目前运维管理中出现的问题和困惑。目前运维管理中最普遍的现象,就是交叉异构管理。交叉管理体现是一种多对多的关系,一方面对于每一个操作者来说管理着多台机器,另一方面对于某一台设备来说,有多个操作者同时操作。
异构是指需要管理的设备多样性,用户管理的不仅仅是一种设备,而是各种各样的Unix平台设备:比如路由交换设备、服务器设备、存储等。就算是一种设备也可能是多个厂家提供,路由交换设备有Cisco、华为、Juniper等,服务器有IBM、HP、SUN等。
随着操作者和被管理设备的增加,管理会碰到很多问题,最关键的问题在哪里呢?
企业内部最大的风险往往来自那些维护着核心设备(网络设备,主机)的管理员和第三方代维厂商。服务的可用性、数据的安全性都和这些管理员的操作有密切的联系,因此,如何通过有效的技术手段来识别和控制人为操作带来的风险,成为了当前最迫切的问题。用户的需求集中体现在以下四个方面:
客户希望在使用共享账号来简化账号管理的同时,又要能够准确识别操作者的身份,保证用户在设备上的每一步的操作可以一一对应到具体执行操作的人员。
密码管理一直以来是用户头痛的问题:因为每一台设备上的密码不允许一样,所以用户需要记住很多密码;为了密码的安全性要保证每一个密码都要足够复杂同时还要保证密码能够定期修改等等,客户需要一种非常简单的方式来替他管理密码,不希望为密码管理而烦恼。如何做到只记住一个密码就管理上千台设备,同时又保证密码的安全性?
第三个需求是审计操作,审计是为了解决问题。用户希望能够在出了事故的时候通过审计在几分钟之内(我们以5分钟作为一个标准)快速定位问题,找出责任人和事故原因。
第四个需求是控制操作。审计是事后行为,而控制是事前行为,通过控制能够变被动为主动,通过有效控制操作者的操作行为来降低风险。
这些需求普遍存在于互联网行业、运营商、金融和那些即将或者已经上市的企业。
为了帮助客户有效的解决上述所存在的问题,我们设计了针对操作行为进行有效管理的整体解决方案。接下来重点介绍解决方案的内容。
在运维管理中有三个层次,第一是操作者,就是人;第二是操作;第三是操作对象,也就是各类被管理设备。三者之间紧密联系,其中,操作是充当着操作者与被操作设备之间的桥梁和纽带。没有操作,操作者永远也无法对设备的可用性和安全性造成影响,因此操作行为是影响服务稳定和设备安全的最直接和最根本的因素。我们的解决方案紧紧围绕着操作这个核心,从操作层面入手,解决跟人和设备相关的一系列问题。
我们的解决方案就具体内容来看,是以集中管理的方式,从四个方面进行有效的管理,从而最小化人为操作风险。
首先,集中管理是前提。集中管理作为解决方案的前提,也是一种管理模式。集中管理相对于分散管理而言,为了有效解决异构管理的问题,只有集中管理才能实现对认证、审计、操作等进行统一的管理。
集中管理目前有两种模式,一种是代理模式。大约是1980年左右在海外出现的,几乎国外大厂商都提供了此类解决方案,不论是IBM还是惠普、BMC等都提供了类似解决方案,该解决方案为了实现集中控制,在所有设备上安装了代理程序,或者开放API接口,然后实现客户控制,这在国外500强企业中用的比较普遍。
这种模式存在以下不足:
第一是成本比较高,因为它的代理程序或者API接口按照数目收费,就是你安装多少代理就要收取多少费用。
第二是扩展问题,代理程序跟操作系统有关联,同时跟操作系统版本号也有关联,当你部署时、升级时、维护时,对于扩展性来说都是非常大的挑战,对于这样模式的部署,部署周期一般3个月。
第三是客户的使用习惯,中国用户普遍无法接受这种模式,为什么呢?重要的数据库服务器上没有人能够敢采用这种代理方式管理设备,为什么这样?一旦代理程序与数据库程序或者操作系统程序出现了兼容性问题,对数据库产生影响的话,用户无法承担这个责任,所以客户不敢采用这种模式。
第四是关联分析,用户从A设备直接登录到B设备,这样的操作是非常完整的操作,在这样的模式下却没有办法与用户关联起来。我们发现,用户如果想破坏一些事情的时候,基本会采用设备做跳板,一般三次跳过后就完全隐藏了他的痕迹,正因为不能对操作进行关联分析,我们就没有办法看到他究竟想要做什么。
根据我们的经验和研究,我们提出了另一种方式——堡垒模式/网关模式,实现原理是这样,用户访问被管理设备必须通过我们的设备,通过我们设备后再访问到被管理设备。
和代理模式相比,我们的模式具有以下优势:
第一是成本,我们这台设备可以管理千台设备,成本上具有很高的竞争力;
第二是扩展性,我们支持目前已知的Unix平台设备的所有版本;
第三是客户的使用习惯,客户很容易接受这样的部署模式,因为我们对客户的网络拓扑没有造成任何影响。
最后是关联分析。只要用户是从我们设备登陆到被管理设备,不管中间做了多少次跳转登陆和身份的切换,我们能够完整记录整个过程,并能够很清楚的看到操作者的行为。
物理部署上,我们的设备可以放到机房里的任何一个机架上,只要求我们设备的IP能够到被管理者的IP可达,就完成了我们的部署,一般我们的部署时间只需要5分钟。
其次,身份管理是基础。如果解决不好操作者的身份问题,无法做到准确识别操作者的身份,那么不管我们怎么控制,怎么审计都无法准确的定位操作责任人。那么控制和审计就失去意义。
接着,操作者身份一旦确定,下一步面临的就是操作者能访问什么资源的问题,如果操作者可以随心所欲访问任何资源,就等于没控制,所以必须通过访问控制这种手段去限制操作者能访问的操作资源,降低那些未经授权的访问所带来的风险。因此,我们说访问控制是手段。
围绕访问控制的4个关键要素:用户,目标设备、系统帐号,时间,设置完善的、清晰可见的访问控制策略。
第四,权限控制是核心。通过权限控制管理,解决操作者操作权限的问题。操作是最核心的风险因素,从操作层面解决操作者“能做什么”和 “不能做什么”,对用户的操作权限做到真实有效的控制,才能最直接有效的降低人为操作风险。
我们能够实现命令级别的细粒度控制:命令分成几个状态,第一是允许用户执行,第二是拒绝,第三是禁止,另外可以监控他的关键操作,
当以上问题得到有效解决,操作审计的意义就落到实处:首先,通过审计,帮助客户建立完善的责任认定机制。确保事故发生后,快速定位操作者和事故原因,还原事故现场和举证;其次,可以有效直接的验证集中管理、身份管理、访问控制、权限控制策略的实际效果。
我们从以下方面来确保我们的操作审计,
首先保证记录的真实、完整性:记录内容包括输入命令、输出结果和时间等。
其次精确的搜索:输入命令与输出结果分离,实现任意字段的细粒度全文检索。
回放机制:可以从任意操作命令开始,使当时环境真实再现,对于用户查找是非常方便的。
最后,是关联分析,我们记录是以人为条件,而不是单个操作,我们可以记录从操作者登录开始到登出结束的完整会话,无论其进行过多次的设备跳转登陆,或变换操作权限,都可以准确的以操作者进行关联分析。
第三部分,重点介绍一下解决方案的优势。
首先,我们是一个跨Unix平台的操作管理解决方案。支持各种UNIX平台设备:
服务器(AIX,HP-UX,Solaris,SCO Unix,各种Linux等),
网络设备:(Cisco,Juniper,华为,中兴等),
存储设备:(EMC,NetApp等),
交换传输设备:(华为,NOKIA,西门子等)。
第二,帮助客户简化密码管理。
用户不需要知道系统密码就可以自动登录设备,系统对密码自动修改后把密码发给保管员,所以用户只需要知道一个用户名和密码。同时用户进行设备管理时,帮助用户实现自动登录目标设备,提供管理效率。
第三,快速部署。我们承诺用户在十分钟内快速部署,我们不需要安装代理程序,不需要调整网络架构,5分钟开始上线部署,5分钟内开始使用。
第四部分,向大家介绍一下我们的案例情况与客户收益。
因为今天是互联网行业会议,而我们解决方案在互联网行业(包括商业网站以及游戏网站等)已经获得良好的推广与实施,帮助客户在SOX合规以及IT内控方面做了有效的管理。
从客户收益来看,首先,帮助客户完善责任认定体系;其次,提高设备可用性。以前设备如果因为人为操作宕机,不知道什么原因造成的,实施了我们的解决方案后,可以及时、准确的查找是什么原因造成设备宕机,对于恢复设备很有价值。第三,帮助客户有效监管第三方代理厂商。
我的解决方案介绍完了,谢谢大家!
主持人:大家对于报告有什么感兴趣的问题可以提。
观众:您好,我刚才看了介绍,对于我们比较有帮助,我有个问题想了解一下,比如我们同事上传脚本然后执行,这能不能记录下来?
吴强:可以记录。
主持人:我问一个问题,我刚才听了一下,我觉得像硬件网关也好,管理Unix服务群,应该是对于一个网站系统运营维护的,管理使用的,你刚才讲的很便捷,不需要在每个受管理设备上装管理软件。
吴强:是的。不需要安装任何的代理程序,不影响客户的网络架构。
主持人:你这个管理设备本身是不是有IP地址?
吴强:有。
主持人:那是不是有风险呢?
吴强:你问的是集中管理解决的三个问题,第一是解决用户的设备登录,第二是保证设备的可靠性,第三是保证设备的安全性,在这三个方面我们对做了相关的措施以提高自身设备的安全性,在可靠性方面,从CPU到网卡都是全冗余,来有效控制设备存在的风险。
主持人:如果出现故障,用户可以直接去访问服务器吗?
吴强:可以。
主持人:用户是不是平时也可以访问?
吴强:对,所以我们要定期修改密码,还可以监管密码。
观众:你好,我们公司做网络集成的,这样我们对客户的需求了解一些,你刚才提到美国的“SOX”,很多中国企业在纳斯达克上市后,如何解决这个法规?比如IBM公司,每年为了符合“SOX”,可能一年花一亿美金,对于中国企业,你刚才提到审计,你们做时是不是根据“SOX”按照这个规定做的?还是是从技术角度去做的?
吴强:其实“SOX”解决的是信任问题,他做了这么多规则,最终保证什么,就是你所做的规则和说的是一致的,对于我来说就四个字——“审计控制”。通过审计保证你所说的和做的一致,然后通过控制降低风险,从而达到你所说所做的一致。其实整个条款并没有找到一条你应该如何做,都是根据实际情况进行的理解与解释。但是你会发现不管哪个公司,审计要求数据的来源是真实可信的,并有一套体系来确保真实可信性。我们在做时主要从客户需求出发,不仅是技术角度的实现,更要与客户需求符合。我们也曾帮助客户进行SOX合规的工作,并与当时审计客户的会计师事务所,象普华永道等,都进行过沟通,我们在SOX要求方面,是非常符合的,我们也赶上了好时机。
观众:就没有这方面介绍?
吴强:有,可以发给你。
观众:你好,像我们现在的工程师经常会从工作站项服务器进行文件拷贝,这种情况你们体系如何应付?
吴强:有两种解决方法。第一种,让工程师从服务器向工作站反向文件拷贝,第二种,工程师通过我们的系统传送文件到被管理设备,我们可以记录工程师所有的操作内容和文件的内容。
主持人:下面进行第二个环节,之前我曾向新浪、搜狐、腾讯那里征询了一些问题,下面就这些问题大家进行交流和讨论。这是今天到场嘉宾,有互联网的企业,还有安全厂商方面的,这是腾讯提出的问题,大家可以就自己的想法,觉得哪个问题想说就可以表达自己的观点。
主持人:这些问题大家是否事先拿到手,我们活动的目的不是说由哪家解决所有问题,而是群策群力,每个参会的人如果对某个问题有很好的答案,那么与大家共享一下,如果有其他问题也可以提出来,下面就自由发言。
观众:我解答第一个问题,这个是讲的虚拟财产的问题,这是法律界特别热的问题,从立法角度来讲,目前我们国家没有这方面的立法,从市场角度来讲,相关案例非常少,目前讨论的结果可以有几方面,第一方面,虚拟财产它受不受保护的问题,目前不管是学术界还是司法界的案例,都确定了虚拟财产是绝对可以要受保护的。重要的是虚拟财产如何来保护,是作为一种互联网使用者私有的财产,我们法律上作为一种物权还是作为你和服务商签订的债权来讨论,这是讨论的热点,从目前现有的判例来说,就是李红尘和北极冰的案例,更倾向于是用户与服务商签订的债权合同,通过这个案例我们得到什么呢?虚拟财产目前的保护,服务商责任的风险非常大,比如玩家玩游戏,财产被盗,可能你的服务商就要承担责任,这是目前的法律风险。
关于木马和盗号的问题,最主要是玩家和侵权者之间的问题,就是盗号人和种植木马者的关系,这主要是以形式方式来定性,对于服务商,你作为提供者你要承担什么责任,目前我国法律没有特别的规定,但是你要承担的责任只是你跟玩家的合同关系,我看很多互联网提供商签订的协议都说,所有虚拟财产所有权都是我的,这样的条款比较硬,你说是你的,没有法律规定是你的,一旦出问题玩家也会找到你。这是我的想法。
主持人:我想问一下,一般来说网络游戏用户遇到财产丢失情况,最多是帐号被别人盗用,而不是服务商系统出现故障导致财产丢失,如果服务商故障导致的,那么服务商有责任,那么第一种情况服务商是否有责任呢?
观众:也有责任,要承担合同上的责任。
主持人:比如盗号者使用正确的用户名和密码,这样服务商也承担责任吗?
观众:首先要看是否有规定这方面的条款,首先你要让玩家证明你是这个号的主体,如果证明这点你还要看是否你为他的安全尽到了保障义务,比如号码被盗,你能为他提供帮助,那么你有没有这样的义务,如果这样的现象发生,你没有作为,那么一样承担合同的违法违约责任。目前韩国和台湾这方面更严格,就直接认为玩家对虚拟财产具有物权的属性,但是国内这边没有这方面的规定,从目前案例来讲倾向于这方面的规定,学界更倾向于采用合同的性质,这样可能对服务提供商来说比较有利,那么一旦认定为物权,就不一样了。
主持人:就像银行,如果别人用我的身份证和卡提了钱后,那么我去找银行,银行要承担责任,但是互联网现在还是比较困难的,目前来讲基本都是匿名的,这样在法律上就有很多不确定因素。
观众:法律确定的一个标准就是你有没有这样的义务,服务商能不能有能力去做这样的义务,比如你有能力做到而你不去做,这就是你的失职。
主持人:服务商有一点要注意到,除了提供服务外还有义务为用户安全保护做一些事情,提醒用户,保障用户安全。其他朋友有没有问题?
观众:对于虚拟财产问题我做个简单类别,游戏中我的网上银行帐号密码被别人盗走了,钱转走了,那么银行有没有责任?
观众:目前对于虚拟货币,大家认可的观点是你服务商也好,你承担的义务就是保管的义务。
观众:你拿着我的身份凭证过来,你有帐号有密码,还把钱取走了,那我还能怎么办呢?
主持人:说的是网上银行的人民币,网上出现过这种问题,密码被盗,盗走了16万,银行有没有责任?
观众:就看银行有没有做防范措施,你做了但是还是没有办法,那么你没有责任,如果你没有提供措施,那么就有责任。但是有个前提,你用户必须能够提供相关的证明,这时候用户可以证明钱就是我的。
主持人:我们刚才谈的是运营商的责任问题,我站在运营商角度来讲,我更关注的是拿了人家帐号密码去干坏事,那个人有没有负上刑事、民事的责任?
观众:从目前法律界来讲,盗号属于盗窃,在03年前都不认为是犯罪,之后会认为是犯罪,因为有几起案例都定性为盗窃,是民事。其实这是个直接侵权,对于服务商来讲,你不能算是侵权者,但是你不是侵权者还要承担责任呢?实际问题是你服务商和用户之间存在着合同义务关系,因为存在合同义务关系,所以才要承担责任。
主持人:我的理解是这样,我作为服务商要做三点来保护自己,第一要与用户签订免责条款,第二要为用户提供保障,第三用户出现问题时要及时为用户提供协助,这样在判罚时减少自己的责任。
观众:对,我补充一点,很多服务商,像魔兽世界,服务商都尽量规避自己的风险,比如禁止虚拟交易,尽量限制用户的条款,这点大家要注意,免责条款往往比较重要。
观众:比如我盗了他的游戏装备,然后我拿去卖给了下家,装备可能比较少量,但是我卖了帐号,比如我在淘宝卖了这个帐号给下家,那么这个平台和这个下家是什么责任?
主持人:提的是销赃的问题。
观众:比如我拿了一张汇票,而你不知道,那么没有责任。
主持人:我偷来的帐号卖,淘宝有没有责任?
观众:当然有责任,对于买家知情的有责任,不知情的没有责任。对于是否知情法律有个标准,法律上不会问你你是否知道,法律的判断标准是合理的标准,作为一个正常人,心智健全的人你能不能判断,对于一般人肯定会知道,尽管你说不知情也说不过去。
观众:首先你与用户签合同时,一定要把握你的风险,这里就有个度,第一你不要过于限制用户的权利而减少你的义务,过于的话,法律上这种合同叫格式合同,老百姓叫霸王合同,这样合同无效。第二你不要过于把自己的义务说的很大,一旦把握好度你会防范好风险。尽量使用一般性的条款。对服务商没有利的可以使用细节性条款,如果对用户有利的一般性条款最好。第二你提供服务时要做好一些防范措施,在座都是技术专家,你肯定会有一定的技术手段去防范用户权益受侵犯的情况,这时候也要注意收集很多的证据,一旦发生记录你可以提供证明,对法院来讲他不会在意你做的效果。
主持人:今天第一个问题讨论差不多了,今天我看了有四页问题,问题不少,我把问题归类,作为网站服务商,我们如何处理服务器攻击问题。
观众:先讲它一个流行的背景,我先用简单的几个数据讲一下目前互联网的服务公约情况,第一个是运营商经常遇到4到5个G的流量。应对服务器攻击一个是通过流量清洗方式,还有一种方法我们叫避让式策略,通过流量分布达到回避攻击的效果。
下一页有个问题,关于SYN/UDP等供给问题,实际对于攻击源的确定不是主要关注的问题,我们要关注的是哪些IP被攻击了,这样我们可以进行流量牵引,像UDP攻击源不会是欺诈的IP地址,这样基本可以确定攻击源,有一些攻击,像spoof攻击,用欺诈方式攻击,这样你即便确定攻击源,实际攻击源非常分散,对于你真正防护没有太大意义。我再讲一下网站如何防范CC类攻击,这是典型的网站攻击,目前比较好的手段也都是通过流量清洗的方式来把攻击清洗掉。
主持人:今天有新浪、搜狐的朋友,我相信大家有很多问题可以分享。
观众:我是新浪的,刚才你提到攻击源,你说攻击源不太重要,当时我们有一次是超出了流量,而且是持续性的,那次代价非常大,最后依靠法律手段解决问题了,如果不这样做是持续攻击,非常难受。
主持人:你找到攻击者了?
观众:很侥幸的找到了。
主持人:你发现攻击源是什么?
观众:有家庭的,还有被控制的服务器,很多。
主持人:说到服务器攻击,从我们日常工作来看也很头疼,很多部门找到我们要求我们协助,有时候处理不来,你会发现攻击源上万个,处理不完,我们也开了一次会,请了公安部、信息产业部官员,也请了受害网站,一起来讨论如何应对,不同角度有不同的想法,但是结果也不是很有效,信息产业部希望及时报警,并且进行举证,但是我们发现查起来很难,运营商能做的事情就是把网络带宽调高,但是如果攻击量超过了那么就只有把你关掉去保护别人,运营商认为我是为所有人服务,不是为某一些人服务。从我们来讲,不论是关闭受害用户也好,这些都不是非常好的办法,为什么呢?因为攻击流量总会增长变化,今天可能100M,明天可能5G、10G,这次攻击后可能会有更高容量过来,没有办法,不管你提供多少成本,平时没有攻击也是在闲置资源,解决用户攻击有很多方面,包括找到攻击者进行处罚,另外让运营商能够将攻击源关掉。
观众:我澄清一下我刚才的观点,我刚才讲追查源是没有太多意义,这是从纯技术角度说,对于我们怎么追究攻击发起者的法律责任问题,实际上我们的产品,这实际是电子取证的问题,我们也做到这一点。另外你说攻击流量把带宽打满了,这说明什么呢?现在国内很多IPC在网络安全建设方面有很大欠缺,我想一方面我们要通过完善法律体系,通过加强用户者、受害者的法律意识,通过法律手段进行自身权益的维护,还有一方面也不可避免的要用一些流量清洗的安全技术手段,就像你家里除了安防盗门,另外被偷后还要保护现场、去报警,这两方面都要注意到。另外AIP欺诈问题,这在很多企业的内网存在,内网一旦有这种病毒发作会严重影响网络,网络会一会儿通一会儿断,这个防范目前还是应该有办法解决的,通过流量复杂手段复杂哪些地址异常,像思科路由器已经可以支持输出二层信息了,只要运行一个命令后,可能把二层信息输出出来,然后分析信息很快可以发现AIP的情况。
观众:AIP这一块本身可以防止,带有这种功能,但是比较贵,目前国内企业来说有个性价比问题。
观众:我刚才不是说打开欺诈防护功能,是加一个检测设备,利用流量检测技术检测到AIP欺诈的情况。
观众:我补充一个案例,如果导致路由器中断,如何解决这个问题?对于两三G内,我们通过清洗。遇到紧急流量有没有好的方法?
观众:道高一尺魔到一丈,这是不断循环上升的过程,对于用CDN这种方式做避让防护措施,我个人觉得也不一定十分可取,你现在采用避让,他可以攻击没有采用避让的网站,一样可以把带宽打满,如果退让到不可退让时,所有网站都采用CDN方式,那么成本也是承担不起的。我个人认为,除了技术手段外,还要通过法律手段,实际上这是一个公共权利,需要政府,政府职能是维护公共权利,现在大的流量攻击没有人来管,或者没有有效防护,显然是政府在某些工作方面缺位的。
主持人:政府其实也没有办法,确实是立法跟不上时代发展,尤其是跟不上信息产业的发展,没有办法。今天来的还有其他运营厂商,不知道其他运营厂商有没有高见?
观众:这里面提到CC类攻击,这比较多,是用比较小的资源来攻击带宽比较大的服务器,对于这类是需要大家一起来做,从技术手段、法律手段来解决问题,不是政府厂商的问题,我有个想法,可能不太成熟,要解决这个问题最根本是要找到攻击源头,从以前事件可以分析,可以用监控软件,另外是政府控制的服务器,还有是自由的服务器,目前很多IP都是动态的,如果要采用一对一的来控制源头不太有效,我想是不是有一种手段来监控来源,然后实时进行查询,对于每个IP做个细致记录,比如我要买房子,可以查询你的信誉。以前曾经有个厂商想去实现它,但是实施性比较差,因为监管时间只有七天,所以我们要有手段,通过实时动态的跟踪IP,然后反映实时行为,这也包括互联网协会,也包括国内外联合建立一套基础设施,共同维护网络安全。目前我们也在做基础研究工作,如果在座的与我有一样的想法也可以一起来做。
主持人:我也说说我们中心在做的事情,最近我通过自己的密码系统捕获了非常多的代码,这都是自动扩散的,我们就跟踪,看它干什么,能够知道这些被黑客控制的要干什么,可以看到黑客发了什么命令,比如下载恶意代码,命令受控计算机发邮件,目前我们研究成果是可以发现我们所监控的大概有数千个,并且可以知道它在攻击什么,并且可以定位他在哪个城市,我们也会通知受攻击的用户,如果是新浪的,我们就告诉你你现在遭到攻击了,原因是什么,是什么什么网络攻击你,更重要一步是处理它,让它停下来,就是把控制的服务器从黑客手中夺回来,这个事情我们怎么做呢?目前黑客免费注册一个域名,然后指向一个服务器,再换域名指向,那么我们可以申请新浪把这个域名取消,但是新浪有顾虑,因为他是一个用户,但是如果用虚假的身份注册域名,那么有权利取消,我们可以靠这个法令来做这个事情。另外诈骗、色情、广告等非法信息的封堵问题,我们经常接到电话,说你们这个网页带有色情、诈骗,希望你们停了,服务商会说我技术上可以做,但是我做了后用户告我怎么办,我们讨论这个问题。
观众:这方面完全有法律规定的,你作为运营主体完全有权利停掉。最明确的法律规定是体现在信息网络条例上,主要归置的是版权侵权问题,一旦网站存在侵权问题,你作为权利人,你运营商可以有初步的证据就可以停掉它。这有司法解释,互联网安全条例,但是没有具体的针对色情、欺诈方面运营的问题。
就像刚才我说的虚拟财产问题,都没有细则规定,法律往往用宏观的基本原则来调控。
主持人:比如公安给我打电话,你这个网站上有个网页被人放病毒了,你要把这个网页删了,这时候一个电话给我行不行?或者给我一个文件来确定我没有责任了。
观众:这样肯定不行,这叫权利通知,你要有初步证据证明对方有侵权责任,你是版权人,对方侵权,你要保存好证据,并且传给服务商,这时候才能确定确实侵权了。
观众:诈骗分为两种,主动和被动诈骗。比如偏远山区有个网站被入侵,别人利用它做坏事,然后打电话让他删了,但是因为很困难,一个月没有删掉。
观众:有两种情况,你找不到侵权者,另外是你找到侵权者发现问题,你刚才讲的偏远山区问题,如果你通知他他不删,这是他的责任,这有明确规定的,如果不删是服务商的。
观众:如果入侵那么没有责任吗?
观众:如果他知道了,那么是共同侵权,如果你不知道你被别人利用了,那么你没有责任,但是我已经告诉你了,你已经侵犯了我的权利,这时候你已经知道了,如果你还继续这样做那还是有责任的。
观众:因为我们都做技术的,法律不是特别了解的,但是我觉得法律这方面要加强是毫无疑问的,对于安全即是产业,对于安全运营商肯定会注意,并且要有一定的公益性质,安全厂商如果有这方面技术,可以配合做这方面工作。安全厂商尽快把这方面知识也要做共享,每个人既把安全当产业,又把它作为公益事业,这样对于解决大的环境问题会有帮助。我做个比喻,比如DDOS问题,有点像北京交通问题,你不可能无限制扩路,你既要有一定的投入,也要有一定的牺牲精神。
主持人:刚才说了处理网站不良信息责任问题,最近我们处理时发现国内一些大网站被黑客挂满了,我想网站信息供应商是不是也承担一定的社会责任义务,比如你是为公众提供信息服务,公众为了享受服务必定访问你的网站,从这角度讲网站信息供应商也会承担责任,那么网站供应商要承担一定的义务责任。网站安全多数都是由于网站数据库、脚本不安全作为的,今天刚好有几个话题是提到网页脚本安全问题,下面我们谈这方面的话题,如何保障脚本安全。
观众:网络脚本这一块,前面提到虚拟货币这个问题,运营商有责任加强这方面的安全性,对于我们运营商这一块也提供了很大的服务,我们也做到目前现有公开标准所能允许的所有情况,基本都过滤了,这方面我们投入了非常大的精力。
主持人:新浪论坛有一些有链接,但是有病毒,你指的是这个吗?
观众:像博客,会在博客正文中间插入传染性的病毒,相当于网页木马,国内同行这一年时间改正比较大的,大量缺陷被弥补,但是依然存在未知的情况,这跟杀毒软件一样,应该说网站也尽了全力在改善这个情况,联想到虚拟货币这一块,应该说我们自身也做了很多努力,大家集思广益一下,把自己新的发现共享出来,能够更好的改善这个问题,这可能是比较重要的。
主持人:在座有信息提供商,很多小网站有这样的问题,经常被人放木马,这方面有没有好的建议,既省力又可靠的,有没有这方面的经验介绍?
观众:对于安全我们有几个观点,第一是架构上进行了更改,禁止IP直联。我们对用户上传文件进行检查过滤,另外我们会限制用户引用别人资源,保证系统安全。
主持人:我想搞网站,每次信息一发布,过一下没有问题就放上去。
观众:我们主要为互联网服务的,如果大家有需要可以与我进一步深入沟通交流。
观众:涉及到第三方资源方面,我们现在也有个策略,我们会对博客这些资源比较开放的系统进行扫描,把重任放在第三方杀毒厂商身上,与国内病毒厂商有良好的沟通机制,我们会把每天新增的内容进行扫描,这样可以减少一些风险。
观众:刚才说国外有几种做安全检查的厂商,但是对脚本安全方面还不清楚。
观众:我说两句个人意见,因为大家都是服务供应商,自己提供的代码被别人利用了,我们有两个问题可以做,首先与用户交互的程序员有直接责任,如果不懂有安全编码这一块,那么必须有懂的人帮他们做这个事情,做一些所谓安全套件来做过滤以及权限查询问题。再有是引入代码安全培训,还有是把代码安全审计放入到测试人员身上,测试人员可以做很多测试,在测试中引入安全检查也是行之有效的方法,现在比较有效的是做一个套间,把过滤的脚本放到前端。
主持人:这方面还有没有人发表意见?
观众:大家好,我看大家很关注脚本这一块,而且大家的目标似乎都集中在客户端脚本,很多人其实没有想到过,之前讨论得很多问题,像服务器攻击、盗号,前一段时间我有个朋友,他为国内大型运营商进行了测试,发现十之八九都存在跨站问题,最根本也是个人安全问题,个人安全意识如果没有得到提高,对网络来说是颠覆性的,因为我们上网巨大群体还是个人这一块,这直接关系到各个运营商,运营商提供服务如何限制的问题。
我在我们公司做测试这一块,我曾经对某一个网站进行了测试,他们有二十多个子站,全部存在跨站问题,有几个还存在脚本问题,发现他们都存在跨链问题他们很惊讶,问我有没有解决方案,就我来说几乎不可能,除非两点,一个是你的网站没有任何数据输入,另外控制用户的输入,允许用户输入知道的了解的安全字符。跨连出现了,大家会去过滤十个、百个,可能还有一千个需要你过滤。
观众:你说一个是限制允许的问题,这到了产品那边去了,对于服务提供商而言,有一些特性不是完全由开发人员完全控制的,有可能是产品层面的问题。我的看法是希望公司上班的人员,或者喜欢黑客技术的人员也好,安全公司人员也好,可能是共同协作的过程,尽量挖掘出恶意手法。
观众:还有一个解决方法,就是安全周期问题,人力、财力、物力投入都比较大,存在安全问题,这是现状,但是完全在开发过程中把安全加入到里面,从现在来看也没有哪个网站愿意做这个事情。
观众:我觉得网站安全问题毕竟还是要依赖于专业的安全厂商来参与,其实这是个专业分工非常明细的工作,如果你要求所有的网站开发商十分熟悉安全问题,这是根本不可能做到的。比如像某个公司,也不是说所有人都很熟悉安全问题,我们有专业人员,研究甚至网上没有出现的攻击手段。比如我们研究部对于IPS有可能产生的漏洞、攻击手段、防护措施,专业人员已经开始做了超前工作,如果我们要想在安全方面做的好,那肯定要有专业人员协助参与。
主持人:下面三个问题是入侵防护问题,大家就这方面问题发表自己的见解。
观众(搜狐):我提这个问题目的是前面提到了,就是脚本安全问题,如果很难控制它,有这个漏洞,那么我如何避免把它放大,特别是第三点,比如WINDOWS被入侵,数据删除了,很难追踪它,大家有没有好的方案来分享一下?
观众:我简单说一下,入侵后删除日志,对于WINDOWS可以说没有主动审核,我们也经常会处理这些事,比如用户服务器遭到入侵,我们一般都用一些程序,更夸张的是等着别人再入侵来查找源头,对于Unix,因为它本身审核能力,日志不计其数,我还没有发现入侵者能够完全清楚记录。
观众(搜狐):现在问题是WINDOWS能不能实现?有没有谁做了这个产品?
观众:从技术来说可以有加强的方案,对于产品这一块我不是很了解,从技术这一块,我们从加强审核这个角度来说有很多方式,但是没有特别好的办法。
观众:我们曾经尝试过定期把它的网络连接、进程状态、CPU、内存、流量每天定期做审计,实际上WINDOWS出现的漏洞,有时候会绕过,本身日志记不住,对于定期回报能缓解一定的现状,但是也没有办法完全避免。
观众:我们的原则是尽量少用WINDOWS。
主持人:对于用户的安全教育培训,刚才提到了一点,我们各个网站一般都有互联网安全这个栏目,平时大家有意识的做了这方面工作吗?怎么做的?我有时候上新浪网站,会提示你今天流行什么木马。
观众:我们现在面对用户这一块受到很大挑战,之前提到了盗号、欺诈等,等问题出现骂声一片,说明第一我们的用户体验没有做好,用户教育没有做好,我们用户特点是年龄偏小,他们对计算机是小孩,对安全是小小孩,这是个现状,一旦我们做一些保护性的措施一定会导致用户使用的不方便,这样就很难做到平衡,这时候我们才想到说,我们应该在用户教育方面做一些引导,把我们的保护措施尽可能用萝卜、白菜的形式告诉用户,让用户从了解到理解,到最后达到支持我们业务上的安全措施,这是我们很好的愿望,可能后面的做法就偏硬了,跟业务有点类似,可能会想利用我们现有的平台,我们的BBS和相关的服务信息,推出信息安全的专题,当然不是针对网管的,让我们用户对网络安全有个基本认识。比如我们经常说绿色上网,政府部门也好,学校培训机构也好,都在讲绿色上网,但是把绿色上网具体下来告诉给中学生甚至小学生,告诉他们什么样行为是绿色上网,这个工作成本其实蛮大的,但是结合现有的平台和我们的初衷,设定这样的目标是把安全这样奢侈的消费品变成萝卜白菜的日用品,照顾我们的用户,像新浪、搜狐这样的门户网站,他们对于商用用户对于教育模式与我们也有区别,我们希望与他们做沟通,在教育培训方面能够得到互相的支持和分享。
观众:关于用户教育这一块我有想法,刚才也提到,现在最为普遍的安全问题是发生在普通用户身上,试想网站能不能提供一种强制性的或者建议性的东西来给用户,比如我今天发布一个新补丁,当这个补丁出现,我网站会下一个类似漏洞的东西,然后用户会检测到,你没有安装补丁,建议你去哪安装,如果他是这个网站忠心用户,一次一次,他会相信这个网站。
观众:万一有人控制了这套系统,那么后果不堪设想。
观众:可以告诉你在您控制前就已经有很多人控制了。
主持人:从安全角度来说,我经常想多一些措施就不会发生一些事情,在座都来自于公司,是用限制保护用户,还是让更多的用户来教育,挺难的,我也再想,微软又发了个漏洞出来,比如新浪首页发布了,强烈呼吁用户要注意,但是微软会觉得你针对他。
以上问题都差不多了,下面看看大家有没有其他的问题或者想法。
观众:我建议互联网协会以后多搞类似的活动,让大家联合起来多交流交流。
观众:2006年我们曾经想利用互联网公司的某些优势,比如我们看到所有互联网的发展模式肯定是在前20个互联网公司出现,腾讯也好,新浪也好、搜狐也好,他们以后运营的经验,安全的经验都会成为后面跟着的互联网的经验,如果把这前20强公司安全负责人也好,运营负责人也好,让他们有机会就某一个问题展开深入交流,我相信这些经验会非常有价值。
观众:大家好,我们是搞信息安全的,我看到搜狐、新浪、腾讯他们提了一些安全问题,我们也有一些安全厂商来参加,我感觉一些网站他们为了专注于自己的服务,希望把安全问题抛给安全公司解决,我看到题以后有一些不一样的感觉,比如我们的小区为什么不安全啊,安全公司就说我们加个围墙吧,如果大门不安全啊,那我们加个大门,如果说我们自己的房屋不安全怎么办,然后我们会建议加个防盗门或者加把锁,但是今天提出的问题是我们有了围墙、有了保安、有了防盗门,为什么我们的数据、资料还在丢,如果我们作为不负责任的安全厂商,我们会说这是法律问题,因为现在社会太乱,小偷太多,我们做了我们的工作后别的我们不管了。我们作为安全厂商我们不应该是这样的思维,在20%问题中在说BDS问题,这样的问题是不可避免的,解决这个问题会说加个设备,但是设备很贵,但是即使架设好了后也只能清洗一些攻击,对于实实在在的流量攻击你没有办法,那么如何解决?我们应该分开对待,对于BDS提供的厂商来讲,刚才那位先生说我们不需要分析攻击源,我认为我们恰恰要分析,我们怎样从安全厂商角度来说如何把僵尸木马干掉,干掉那么攻击源就少了。安全薄弱在哪里?第一是客户端,对于客户端每个用户安全意识也好,操作系统漏洞也好,他们很容易控制起来,如果把这问题解决了,那么僵尸网络就形不成了。对于出口网络,一个大的流量过来了,我们恰恰不知道这个流量是什么流量,我们应该对流量进行分析,因为我们是解决80%的问题,我们专业强项是对于病毒流量事件的分析,我们在网络出口处有个病毒监控设备,会对流量和大规模病毒实验进行定位。另外除了客户端和网络出口安全之外,网站更关心的是中间状态的安全,比如说一些网站乱码,一些大家发的小网站的挂网,这可以解决,比如QQ,他会提示你。对于反病毒厂商来说有很多问题不能解决,我希望如果发现一个链接,如果挂满我们摘掉。我们是想提供一个病毒过滤值概念,这个病毒过滤值架设好,希望病毒过滤后再发给用户,如果有病毒会提示用户。
另外我希望向大家展示一下我们作为安全厂商我们有哪些能力,我先告诉大家我们能做什么,然后大家看看是否需要我们为大家做,接下来我有一些资料给大家,不是做广告,是希望给大家提供服务。
观众:刚才提到病毒问题,其实现在病毒问题是防不胜防,比如一个不会用电脑的人,我可以花五个小时时间教会他制作病毒,其中四个小时是教他如何使用电脑,其实最重要还是用户的安全意识,现在用户随便信任一个未知邮件这是很糟糕的事件。另外提到BDS攻击源,这主要根源还是在普通用户这一块,跟刚才说的一样,大家没有安全意识,很可能大家在上网同时就已经成为了别人控制的僵尸主机控制中的一台,我也很无奈,现在网络这样的不安全。
主持人:谢谢大家!今天大家讨论得很热烈,大家也说了很多点子,最后我代表互联网协会对大家参加下午的活动表示感谢,另外向大家表个态,如果在座各位有一些好的想法,觉得可以通过我们互联网协会这个平台,能够搞一些有助于互联网安全性能的提高的活动,希望大家提出来。
主持人:今年我们也在做一个准备,希望为互联网企业推荐一些产品和技术,如果任何一个网站有这方面建议我们会非常高兴,我们会把这些做成宣传册,免费发给互联网企业。明天也在同一地点会做互联网技术沙龙,范围会更大,今天是专业的安全问题讨论,以后我们也会陆续根据大家的需求组织相关讨论,再次谢谢大家!
E-file:新浪科技
新浪科技的最新文章:
