非常高兴今天能够有这么一个机会跟各位新老朋友大家欢聚一堂,一起交流一下我们中心在信息安全产品检测方面所做的工作。今天我的介绍主要分成三个模块:一是对于信息安全产品检测的概况,主要是一些统计数据,以及对于信息安全产品安全性检测的必要性分析;二是我想简单提一下我们这个产品安全性检测检查的思路;三是目前由发改委牵头组织的国家信息安全专项的测试情况。
首先讲一下政策,大家都非常熟悉了。事实上我们国家最早在1994年就由国务院发布了147号令,当时在147号令里面提出了对于信息安全产品要实行销售许可证的制度,具体的办法是由公安部会同有关部门来制定的。随后在1997年公安部又发布了32号令,制定了销售许可证进行发放和检测的一些细则,这个就不详细说了,因为这两部法律法规都已经比较老了。
我这里统计了一下,我们从1997年一直到现在的产品数量,接下来可能有很多统计数据,我都会以图表的形式展现出来。这是产品数量和不合格率的一个统计图,这个数据我们是从2008年开始进行了一个分类的统计。产品数量的统计从1998年就已经开始了,到2013年我们当年的实际检测产品数量是880个,比2012年的798个有了一个明显的上升。这里面还有一条绿颜色的线,大家看到这是产品负荷率的线,从这根线的走势来看,从我们销售许可证执行的前两年合格率偏高。偏高的原因主要是由于当时缺乏一些标准,主要的检测都是依据产品说明书来进行的,甚至于有两年大家都看到有99%的合格率。从2002年开始,随着国家和公安部相关标准的陆续出台,这个检测的要求也相应的做了一些提高。从那一年开始,就逐渐降了下来,目前基本上维持在90%的比例。事实上这个比例跟实际情况比可能还是偏高一些,因为这里面有些数据没有统计在里面,包括新标准有一个宣贯期,后面还有一个安全测试,也没有进入不合格的情况。
从2008年以后,我们就开始执行一个分类统计,2009年最早获得一整年的统计数据。从这些数据来看,访问控制类、防火墙和身份鉴别这三类产品一直占据着整个产品类别里面数量的前三甲。这里面的前三甲,包括访问控制、身份鉴别,这是粗略的一个分类,并不是具体的一类产品,而防火墙才是真正实施的一类产品。所以这个防火墙能够每年都保持那么高的数量,可以看出这个产品的理念、使用范围确实是深入人心。
这是一个产品分级的统计图,对于分级检测的信息安全,按类别进行一个分析。我们可以看到,高等级的产品总体比例目前可能偏低一些,大部分产品依然按照标准的第一级基本级来进行了一个测试。最近几年高等级的产品数量可能也有一个上升的趋势,可能也跟招标和产品生存的环境有一些关系。这是一个产品知识产权的分类统计图,2013年总共有26个厂商送检了103个进口的信息安全产品,占比达到11.3%,从产品数量来讲,国内自主研发的信息安全产品还是具备一个绝对的优势。
这是产品厂商数量的统计,从这个统计图可以发现,从2009年以后,这个厂商的数量基本上趋于稳定,近三年可能还略有下降。这里还有一个数据,2012年平均每家厂商送检了1.79个产品,到2013变成了1.08个,有缩小的趋势,说明这个集中度正在加大。这是厂商注册资金的一个统计,有62.36%的送检厂商达到或者超过了1千万人民币的注册资金规模。其中9.52%超过了1亿元,数量和比例都比2012年有一个明显的增加,也说明近年我们信息安全厂商的资金规模在日益的扩大。
我们这里有一个小结:一是产品数量稳步增长,不合格率略有降低;二是进口产品相对萎缩,自主研发趋势显现。2013年度的进口产品比2012年度要下降一些;三是产品数量保持稳定,资金规模明显扩大。到2013年,总共有439家厂商送检;四是技术领域发展迅速,新型产品不断涌现。从2013年以后,我们在受理的过程当中也发现,像云操作系统、工业控制安全等等,像这些新类型的产品也不断的出现,目前我们的测试类别覆盖已经达到了51类。这是一些常规的产品检测数据的统计,大家看一看就可以了。
下面我着重讲一下产品安全性测试的必要性分析。我这里罗列了几个信息安全产品的事件,可能有的大家都已经知道了。今年4月26日,“心脏出血”的重大安全漏洞曝光,公安部发文,要求全国的信息安全产品自查该漏洞,我们也配合公安部做好了这个工作,提醒安全产品厂商进行自查,我们在检测过程当中,也对“心脏滴血”漏洞进行核查,确实有几十款产品具有了这个漏洞。6月26日,传某公司的数据防泄漏产品DLP存在窃密后门和高危漏洞。9月24日发生的“破壳漏洞”,传某公司的“应用交付管理系统”被通报了,存在这个“破壳漏洞”,当时有13254台设备受到了影响。从这里可以看出,今年以来,针对信息安全产品的安全事件明显增多。事实上长期以来,作为保障信息系统安全的工具,大家都觉得信息安全产品的作用是在原有的基础上做了一个加法。俗话说装了总比不装强,可能很多人都有这个概念,好像我总不至于装了反而会降低我这个系统的安全性,这实际上也是一个误解,我在后面可能还会做一些更加详细的分析。不管怎么说,信息安全产品自身的安全性长期以来往往受到大家的忽视。
实际上我们从信息安全产品的架构来看,产品架构首先是操作系统和数据库。虽然咱们国产操作系统,国产数据库搞了那么多年,但是事实上好像也没有用在信息安全产品上面。这两个层面大家都用了一些不可控的产品,安全性当然也是不受控的。从应用平台上来讲,如果我们在开发的时候不注重开发安全,应用平台层面也很容易产生一些安全漏洞。从这个产品对外的通道上来讲,至少包括三个方面:一是提供安全功能的业务通道;二是产品自我进行升级的升级通道;三是产品进行内部管理的管理通道。这些通道可能都存在着脆弱性,成为恶意入侵的一个途径。
为了应对这个日益严峻的安全形势,我们也做了很多准备工作。这是我们为了进行这些安全的测试所购置或者自主研发的一些工具。首先从措施上,强化了这项工作以来,我们目前要求全部申请操作许可证的测试项目都要求增加安全性的测试。对于一些不要求拿证,仅仅是自愿性的委托测试,我们也建议它进行一个安全性的测试。通过前期近一年的测试,我们确实也发现了这个产品存在着很多安全漏洞,这个情况相当严重。这些统计数据本来我是准备了,可能也没有一个统一的发布途径,我这里直接披露出来也不太好,我就把那几个数据删掉了,大概做了一个漏洞的统计。
这个图是在安全性测试当中发现最多的10种在系统层面存在的漏洞。包括跟openSSH相关的有2个,Apache Tomcat版本过低占了3的,跟PHP相关的有4个。绝大多数漏洞产生的原因,从种类当中可以看到,都是应用平台的版本过低造成的。现在文本管理方式非常流行,因此中心也专门针对Web漏洞做了一个检测。这是我们进行Web安全测试以后统计下来的一个漏洞排名前十位的数据,包括了像跨站脚本、链接注入等等。
下面我就挑选两个案例来着重谈一谈这些漏洞对于我们信息安全产品,乃至于整个信息系统会带来的危害。在座的也都是安全专家,我这里要举这两个例子的目的,不是说明我们攻击的手段有多么高明,实际上大家看了就会知道,这都是很轻易的、很简单的对于漏洞的一个利用。恰恰这种简单的、轻易的漏洞利用,反而更加衬托出了我们现在这些产品存在的安全问题的严重性。
“心脏出血”的漏洞案例,当时我们发现有一款内网组织的检测产品,管理远是通过B/S的方式登录到这个管理界面,对于被管主机可以进行访问控制设置、远程监控、异常审计等功能。换句话说,这类产品可以直接监视或者控制所有被管理的主机。在测试过程当中我们发现,它存在心脏出血的漏洞。在进行正常的登录行为以后,我们发送了一个信号轻松到服务器。这个服务器返回的信息当中,我们就可以看到当时管理员登录时所用的用户名和口令。通过获取这个用户名和口令,攻击者就可以直接登录这个产品,并且获得了这个产品最高的管理权限。所谓的获得最高管理权限意味着他能干什么呢?这里我总结一下,它包括了截屏、远程控制、获取网络通讯日志、推送程序、获取文件等等,这些产品原本所应该具有的强大功能,现在都变成了入侵者的一个工具,这是非常可怕的一件事情。
Strut2远程命令执行漏洞案例,被测的产品可能大家更加熟悉,这是最近非常热门的堡垒机产品,它可以实现对于被保护资源的单点登录、访问控制和安全审计,管理员也是通过B/S的方式登录管理界面。一句话,这里掌握着所有的鉴别信息。这是当时进行测试的一些截图,同样经过工具扫描,发现存在这个漏洞以后,我们利用这个检测工具,直接对服务器执行系统级的命令,发现了这个命令能够执行,给网巾上传一个网码,可以获得所有的权限,这个堡垒机被攻破。堡垒机一旦攻破,它所保护的所有资源也都可以被攻击者所利用。这个图是在网上找的,这个堡垒机被攻破以后,最大的问题就是在于,所有的这些被管理的设备,不管你是网络设备、安全设备还是服务器都被一锅端了。原来不管我这个系统多么脆弱,哪怕我什么都没有,那你来攻击至少还要一台台往下攻。现在因为我把你这个堡垒机搞定了,我就全搞定了。
所以刚才说到加法的问题,相信大家也有了答案。如果说咱们的信息安全产品的安全性做得不到位的话,再装进这个信息系统以后,未必给信息系统做加法,有时候甚至是在做减法。我这里打了一个比方,好比掌握所有门钥匙的这个管家叛变了,就好像我请一个管家过来,我把钥匙交给他,其实我这个管家本来就是一个贼,又或者我请一个保镖去护送我的小孩上学,结果这个保镖直接成了绑匪,那么这个后果的严重性也就不言而喻了。所以从这两个案例当中我们也可以看出,正因为许多信息安全产品掌握着整个系统的安全资源,一旦其出现安全问题,其严重性反而比单台服务器有漏洞或者被入侵的后果更加严重。
针对测试当中发现的这些不合格的情况,我们采取了以下的几个处理措施。对于安全性漏洞问题比较严重的,我们就直接出具一个不合格报告。在整改意见当中,通知厂商在规定期限内对于存在的安全问题进行修补。对于有些安全性漏洞风险值较低的,我们没有直接出不合格检测报告。通知厂商先整改,整改完了,安全性测试通过了,再出具一个合格的报告。二是我们建议厂商对同类型的产品进行一个自查,中心也将检测的这些信息定期向公安部等业务主管部门进行通报。我们提三条建议:
一是针对于主管部门提的,建议主管部门要加大检测部门的投入,着重培养一些专业的人士,安全性测试的技术人员,或者要支持测评机构培养这些专业的安全性测试人员,建立一个安全性测试的专门实验室,打造一支从日常信息安全产品、安全漏洞检查、信息系统安全漏洞检查到深入研究安全性课题、发现未知安全性漏洞、提供漏洞修补方法的团队。同时我们建议在必要时要发布一个安全漏洞警示的信息,提醒厂商和用户及时修补漏洞,构建一个安全性漏洞的发布平台。
二是对于测评机构,我们建议安全检测要结合系统评估工作在原有的基础上深化一个安全性的测试,增加一些测试的方法研究,全面了解系统中的安全漏洞存在的情况。
三是对于产品厂商,我们希望要及时升级刚才说的基础平台的版本,包括操作系统、数据库,一些应用服务等等。同时也要加强对开发过程的安全管理,提高开发安全水平。
下面简要介绍一下安全性检查的思路。通过这些年的产品安全性测试工作。我们也认识到了信息安全产品测试的重要性。虽然我们通过一些测试的方法了解了很多问题,了解了很多产品存在的安全漏洞。但是即便如此,对于产品中存在后门或者一些未知漏洞的情况掌握,通过常规的一些安全性测试可能还是意义不大,因此我们建议要从产品的开发、生产、交付、使用的各个环节来加强安全管理。所以我们安全性检查的目标就是想了解和评估信息安全产品存在的安全问题是否会对信息系统造成信息安全威胁,从而加强信息安全保障体系的自主可控。检查的内容要针对产品的整个生命周期,包括可靠性、可控性和安全性。方式包括三个:背景检查、过程检查和技术检查。其中前面我提到的这些安全测试的手段或者方法可能还仅仅针对于第三块,就是技术检查这个内容。
我们在前期研究过程当中参考了一些文档,除了国内的技术文档之外我们还参考了国外的,前一段时间他们也调查了华为和中兴这些企业,看看他们当时对华为和中兴是怎么样进行安全审查的。
背景检查就不多说了,作为测评机构来讲,可能不太方便实施背景审查,一般要由国家信息安全主管部门来组织实施,审查的对象主要包括企业背景、资质、股份构成、开发人员背景等等。过程审查主要是参考了CC保障要求的相关内容,除了CC的保障要求之外,毕竟咱们国家执行的是等级保护制度,所以我们也建议吸收等级保护制度里面对于开发安全所提出的一些要求,补充进CC保障要求的一些内容当中去,形成我们自己的过程检查的内容。技术检查是提到安全测试的事情,包括黑盒测试和白盒测试。检查的流程大致准备分四个阶段来实施,重点提一下最后的,如果条件成熟,我们建议还是要推出一个源代码的备案制度,因为现在源代码不受控,很多后门这些东西又不可能通过常规的测试来发现。而针对源代码进行一个完整的安全性的测试,这个工作量和工作的成本太大、太高。所以在初始阶段,我们建议还是先备案。一旦发现了安全问题以后,再对于这个备案的源代码进行一个追溯,这样也可以对开发人员或者说是对开发厂商产生一定的约束力。
最后提一下国家信息安全专项的测试,这两年也是在信息安全市领域发生的一件大事。从2012年开始,发改委对于国家信息安全专项的资金支持不再仅仅依据专家评审的意见,而是要求必须通过专业机构的测试。最早从2012年国家下一代互联网信息安全专项,到2012年国家信息安全专项,到2013年国家信息安全专项,连续三次专项的申报都必须通过测试才能够获得国家发改委的资金支持,在座的可能也有一些企业参与过这个事情。这是最早2012年下一代互联网专项,基本上就是在常规的信息安全管理基础上面提出了一个高性能和对下一代互联网支持的要求。所以我们看到这些产品都比较眼熟,防病毒网关、防火墙、UTM、网闸、IPS、IDS等等,都是一些常规的信息安全产品,无非在前面加了一个帽子,“高性能”和“下一代互联网”,对于我们大部分厂商来讲应付起来也是更得心应手一些。
随即在2012年下半年又推出了2012年的国家信息安全专项,这个跟上面绝对有不同,首次针对新的技术领域对产品进行了划分。也就是说,产品可能还是那些产品,但是要求适用于云计算的环境,适用于移动互联网和工业控制的环境,这个要求比刚才要高一些。在2013年的专项,除了这个领域之外,又增加了行业的要求,比如针对金融信息安全领域,又提出了一些特殊的要求。2013年的专项从今年上半年开始执行测试,上半年测了三个,包括金融、云计算和分级保护的,这三个在上半年测试完成了,下半年目前正在测的是工业控制领域的四类产品。
整个测试工作是由国家发改委委托公安部来牵头组织开展的,质检总局、国家保密局、国家密码管理局等部门参与。不是每次专项下面的部门都会参与,比如今年上半年涉及到分级保护的就有保密局,如果没有分级保护的,可能就不参加。测评牵头单位是公安部计算机信息系统安全产品质量监督检验中心承担的,测试参与单位基本上是挑选了一些实力比较强的国家级的测试机构或者就是专业领域权威性比较高的一些测试部门,比如中国信息安全测评中心、总参国家信息技术安全研究中心、国家密码管理局商用密码检测中心、公安部计算机病毒防治产品检测中心、国家计算机网络应急技术处理协调中心实验室,认证是国家信息安全认证中心。这是今年剩下的四类产品的分工情况,比如网关产品是由我们来测,DCS由中国信息安全测评中心来测,这个也目前体现出了各个测评机构之间的分工合作。
这个专项测试跟常规的测试不太一样,它的测试内容比较多,发改委提出来要求一次测试拿所有的证,所以几乎就相当于把所有能想到的测试内容都往那边加。除了我们常规能看得到的这些功能测评、性能测评、安全测评之外,也包括自主知识产权的评估,包括了IPv4、IPv6协议的一致性和环境适应性测评,这个内容确实是比较多的,测试周期也比较长。就好像我们这个公共项目,测试周期达到了三个月。
这里面重点提一下对于知识产权的核查。知识产权核查以前是国测在发自主知识产权评估证书的时候进行一些测试,其他的测评机构可能都没有大范围的开展过,我们这次在专项里面也把它们都拉了进来。最核心的工作,主要还是利用一个工具,首先从互联网上的开源代码里面提取出了一些摘要,然后把这些摘要进行一个入库的工作,最后对被测系统的源代码也进行了一个摘要的提取,对于这些分段摘要进行了一个比对,最后这个比对的结果就可以得到一个相似度的比较。从测试的情况来看,确实很多产品的开源率还是比较高,我们测过最高的一款产品,好像到了70%多,就是70%多都是开源代码,其实我们也都理解。
测试合格的产品除了具有获得发改委资金支持的资格之外,还将依据现有的管理规定获得一系列的证书。这次项目包括了销售许可证,包括国测发的《工业控制系统安全技术测评证书》,包括总参发的安全性检测评估证书,以及商密发的密码产品型号证书,和中国信息安全认证中心发的国家信息安全产品认证证书。基本上这款产品能适用的证书一次性都发了。这是这四款产品获证列表的清单,只要通过测试,就可以获得这些证。刚才也说了,测试的时间大概是三个月,现在差不多也已经过去一个月时间了,任务确实比较紧。
这里面还有一件比较重要的事,就是在上个月,本次测试开了一个项目启动会,当时国家发改委、公安部、质检总局、密码管理局的相关领导也出席了这个会议,我们所有测试机构,所有参加测试的厂商也都参加了这个会。
我的介绍就到这里,谢谢大家!