NSC2014公安部信息安全產品檢測中心檢測部主任陸臻
責編:rhliu |2014-10-23 16:23:03全國信息安全產品檢測現狀與分析
非常高興今天能夠有這么一個機會跟各位新老朋友大家歡聚一堂,一起交流一下我們中心在信息安全產品檢測方面所做的工作。今天我的介紹主要分成三個模塊:一是對于信息安全產品檢測的概況,主要是一些統計數據,以及對于信息安全產品安全性檢測的必要性分析;二是我想簡單提一下我們這個產品安全性檢測檢查的思路;三是目前由發改委牽頭組織的國家信息安全專項的測試情況。
首先講一下政策,大家都非常熟悉了。事實上我們國家最早在1994年就由國務院發布了147號令,當時在147號令里面提出了對于信息安全產品要實行銷售許可證的制度,具體的辦法是由公安部會同有關部門來制定的。隨后在1997年公安部又發布了32號令,制定了銷售許可證進行發放和檢測的一些細則,這個就不詳細說了,因為這兩部法律法規都已經比較老了。
我這里統計了一下,我們從1997年一直到現在的產品數量,接下來可能有很多統計數據,我都會以圖表的形式展現出來。這是產品數量和不合格率的一個統計圖,這個數據我們是從2008年開始進行了一個分類的統計。產品數量的統計從1998年就已經開始了,到2013年我們當年的實際檢測產品數量是880個,比2012年的798個有了一個明顯的上升。這里面還有一條綠顏色的線,大家看到這是產品負荷率的線,從這根線的走勢來看,從我們銷售許可證執行的前兩年合格率偏高。偏高的原因主要是由于當時缺乏一些標準,主要的檢測都是依據產品說明書來進行的,甚至于有兩年大家都看到有99%的合格率。從2002年開始,隨著國家和公安部相關標準的陸續出臺,這個檢測的要求也相應的做了一些提高。從那一年開始,就逐漸降了下來,目前基本上維持在90%的比例。事實上這個比例跟實際情況比可能還是偏高一些,因為這里面有些數據沒有統計在里面,包括新標準有一個宣貫期,后面還有一個安全測試,也沒有進入不合格的情況。
從2008年以后,我們就開始執行一個分類統計,2009年最早獲得一整年的統計數據。從這些數據來看,訪問控制類、防火墻和身份鑒別這三類產品一直占據著整個產品類別里面數量的前三甲。這里面的前三甲,包括訪問控制、身份鑒別,這是粗略的一個分類,并不是具體的一類產品,而防火墻才是真正實施的一類產品。所以這個防火墻能夠每年都保持那么高的數量,可以看出這個產品的理念、使用范圍確實是深入人心。
這是一個產品分級的統計圖,對于分級檢測的信息安全,按類別進行一個分析。我們可以看到,高等級的產品總體比例目前可能偏低一些,大部分產品依然按照標準的第一級基本級來進行了一個測試。最近幾年高等級的產品數量可能也有一個上升的趨勢,可能也跟招標和產品生存的環境有一些關系。這是一個產品知識產權的分類統計圖,2013年總共有26個廠商送檢了103個進口的信息安全產品,占比達到11.3%,從產品數量來講,國內自主研發的信息安全產品還是具備一個絕對的優勢。
這是產品廠商數量的統計,從這個統計圖可以發現,從2009年以后,這個廠商的數量基本上趨于穩定,近三年可能還略有下降。這里還有一個數據,2012年平均每家廠商送檢了1.79個產品,到2013變成了1.08個,有縮小的趨勢,說明這個集中度正在加大。這是廠商注冊資金的一個統計,有62.36%的送檢廠商達到或者超過了1千萬人民幣的注冊資金規模。其中9.52%超過了1億元,數量和比例都比2012年有一個明顯的增加,也說明近年我們信息安全廠商的資金規模在日益的擴大。
我們這里有一個小結:一是產品數量穩步增長,不合格率略有降低;二是進口產品相對萎縮,自主研發趨勢顯現。2013年度的進口產品比2012年度要下降一些;三是產品數量保持穩定,資金規模明顯擴大。到2013年,總共有439家廠商送檢;四是技術領域發展迅速,新型產品不斷涌現。從2013年以后,我們在受理的過程當中也發現,像云操作系統、工業控制安全等等,像這些新類型的產品也不斷的出現,目前我們的測試類別覆蓋已經達到了51類。這是一些常規的產品檢測數據的統計,大家看一看就可以了。
下面我著重講一下產品安全性測試的必要性分析。我這里羅列了幾個信息安全產品的事件,可能有的大家都已經知道了。今年4月26日,“心臟出血”的重大安全漏洞曝光,公安部發文,要求全國的信息安全產品自查該漏洞,我們也配合公安部做好了這個工作,提醒安全產品廠商進行自查,我們在檢測過程當中,也對“心臟滴血”漏洞進行核查,確實有幾十款產品具有了這個漏洞。6月26日,傳某公司的數據防泄漏產品DLP存在竊密后門和高危漏洞。9月24日發生的“破殼漏洞”,傳某公司的“應用交付管理系統”被通報了,存在這個“破殼漏洞”,當時有13254臺設備受到了影響。從這里可以看出,今年以來,針對信息安全產品的安全事件明顯增多。事實上長期以來,作為保障信息系統安全的工具,大家都覺得信息安全產品的作用是在原有的基礎上做了一個加法。俗話說裝了總比不裝強,可能很多人都有這個概念,好像我總不至于裝了反而會降低我這個系統的安全性,這實際上也是一個誤解,我在后面可能還會做一些更加詳細的分析。不管怎么說,信息安全產品自身的安全性長期以來往往受到大家的忽視。
實際上我們從信息安全產品的架構來看,產品架構首先是操作系統和數據庫。雖然咱們國產操作系統,國產數據庫搞了那么多年,但是事實上好像也沒有用在信息安全產品上面。這兩個層面大家都用了一些不可控的產品,安全性當然也是不受控的。從應用平臺上來講,如果我們在開發的時候不注重開發安全,應用平臺層面也很容易產生一些安全漏洞。從這個產品對外的通道上來講,至少包括三個方面:一是提供安全功能的業務通道;二是產品自我進行升級的升級通道;三是產品進行內部管理的管理通道。這些通道可能都存在著脆弱性,成為惡意入侵的一個途徑。
為了應對這個日益嚴峻的安全形勢,我們也做了很多準備工作。這是我們為了進行這些安全的測試所購置或者自主研發的一些工具。首先從措施上,強化了這項工作以來,我們目前要求全部申請操作許可證的測試項目都要求增加安全性的測試。對于一些不要求拿證,僅僅是自愿性的委托測試,我們也建議它進行一個安全性的測試。通過前期近一年的測試,我們確實也發現了這個產品存在著很多安全漏洞,這個情況相當嚴重。這些統計數據本來我是準備了,可能也沒有一個統一的發布途徑,我這里直接披露出來也不太好,我就把那幾個數據刪掉了,大概做了一個漏洞的統計。
這個圖是在安全性測試當中發現最多的10種在系統層面存在的漏洞。包括跟openSSH相關的有2個,Apache Tomcat版本過低占了3的,跟PHP相關的有4個。絕大多數漏洞產生的原因,從種類當中可以看到,都是應用平臺的版本過低造成的。現在文本管理方式非常流行,因此中心也專門針對Web漏洞做了一個檢測。這是我們進行Web安全測試以后統計下來的一個漏洞排名前十位的數據,包括了像跨站腳本、鏈接注入等等。
下面我就挑選兩個案例來著重談一談這些漏洞對于我們信息安全產品,乃至于整個信息系統會帶來的危害。在座的也都是安全專家,我這里要舉這兩個例子的目的,不是說明我們攻擊的手段有多么高明,實際上大家看了就會知道,這都是很輕易的、很簡單的對于漏洞的一個利用。恰恰這種簡單的、輕易的漏洞利用,反而更加襯托出了我們現在這些產品存在的安全問題的嚴重性。
“心臟出血”的漏洞案例,當時我們發現有一款內網組織的檢測產品,管理遠是通過B/S的方式登錄到這個管理界面,對于被管主機可以進行訪問控制設置、遠程監控、異常審計等功能。換句話說,這類產品可以直接監視或者控制所有被管理的主機。在測試過程當中我們發現,它存在心臟出血的漏洞。在進行正常的登錄行為以后,我們發送了一個信號輕松到服務器。這個服務器返回的信息當中,我們就可以看到當時管理員登錄時所用的用戶名和口令。通過獲取這個用戶名和口令,攻擊者就可以直接登錄這個產品,并且獲得了這個產品最高的管理權限。所謂的獲得最高管理權限意味著他能干什么呢?這里我總結一下,它包括了截屏、遠程控制、獲取網絡通訊日志、推送程序、獲取文件等等,這些產品原本所應該具有的強大功能,現在都變成了入侵者的一個工具,這是非常可怕的一件事情。
Strut2遠程命令執行漏洞案例,被測的產品可能大家更加熟悉,這是最近非常熱門的堡壘機產品,它可以實現對于被保護資源的單點登錄、訪問控制和安全審計,管理員也是通過B/S的方式登錄管理界面。一句話,這里掌握著所有的鑒別信息。這是當時進行測試的一些截圖,同樣經過工具掃描,發現存在這個漏洞以后,我們利用這個檢測工具,直接對服務器執行系統級的命令,發現了這個命令能夠執行,給網巾上傳一個網碼,可以獲得所有的權限,這個堡壘機被攻破。堡壘機一旦攻破,它所保護的所有資源也都可以被攻擊者所利用。這個圖是在網上找的,這個堡壘機被攻破以后,最大的問題就是在于,所有的這些被管理的設備,不管你是網絡設備、安全設備還是服務器都被一鍋端了。原來不管我這個系統多么脆弱,哪怕我什么都沒有,那你來攻擊至少還要一臺臺往下攻。現在因為我把你這個堡壘機搞定了,我就全搞定了。
所以剛才說到加法的問題,相信大家也有了答案。如果說咱們的信息安全產品的安全性做得不到位的話,再裝進這個信息系統以后,未必給信息系統做加法,有時候甚至是在做減法。我這里打了一個比方,好比掌握所有門鑰匙的這個管家叛變了,就好像我請一個管家過來,我把鑰匙交給他,其實我這個管家本來就是一個賊,又或者我請一個保鏢去護送我的小孩上學,結果這個保鏢直接成了綁匪,那么這個后果的嚴重性也就不言而喻了。所以從這兩個案例當中我們也可以看出,正因為許多信息安全產品掌握著整個系統的安全資源,一旦其出現安全問題,其嚴重性反而比單臺服務器有漏洞或者被入侵的后果更加嚴重。
針對測試當中發現的這些不合格的情況,我們采取了以下的幾個處理措施。對于安全性漏洞問題比較嚴重的,我們就直接出具一個不合格報告。在整改意見當中,通知廠商在規定期限內對于存在的安全問題進行修補。對于有些安全性漏洞風險值較低的,我們沒有直接出不合格檢測報告。通知廠商先整改,整改完了,安全性測試通過了,再出具一個合格的報告。二是我們建議廠商對同類型的產品進行一個自查,中心也將檢測的這些信息定期向公安部等業務主管部門進行通報。我們提三條建議:
一是針對于主管部門提的,建議主管部門要加大檢測部門的投入,著重培養一些專業的人士,安全性測試的技術人員,或者要支持測評機構培養這些專業的安全性測試人員,建立一個安全性測試的專門實驗室,打造一支從日常信息安全產品、安全漏洞檢查、信息系統安全漏洞檢查到深入研究安全性課題、發現未知安全性漏洞、提供漏洞修補方法的團隊。同時我們建議在必要時要發布一個安全漏洞警示的信息,提醒廠商和用戶及時修補漏洞,構建一個安全性漏洞的發布平臺。
二是對于測評機構,我們建議安全檢測要結合系統評估工作在原有的基礎上深化一個安全性的測試,增加一些測試的方法研究,全面了解系統中的安全漏洞存在的情況。
三是對于產品廠商,我們希望要及時升級剛才說的基礎平臺的版本,包括操作系統、數據庫,一些應用服務等等。同時也要加強對開發過程的安全管理,提高開發安全水平。
下面簡要介紹一下安全性檢查的思路。通過這些年的產品安全性測試工作。我們也認識到了信息安全產品測試的重要性。雖然我們通過一些測試的方法了解了很多問題,了解了很多產品存在的安全漏洞。但是即便如此,對于產品中存在后門或者一些未知漏洞的情況掌握,通過常規的一些安全性測試可能還是意義不大,因此我們建議要從產品的開發、生產、交付、使用的各個環節來加強安全管理。所以我們安全性檢查的目標就是想了解和評估信息安全產品存在的安全問題是否會對信息系統造成信息安全威脅,從而加強信息安全保障體系的自主可控。檢查的內容要針對產品的整個生命周期,包括可靠性、可控性和安全性。方式包括三個:背景檢查、過程檢查和技術檢查。其中前面我提到的這些安全測試的手段或者方法可能還僅僅針對于第三塊,就是技術檢查這個內容。
我們在前期研究過程當中參考了一些文檔,除了國內的技術文檔之外我們還參考了國外的,前一段時間他們也調查了華為和中興這些企業,看看他們當時對華為和中興是怎么樣進行安全審查的。
背景檢查就不多說了,作為測評機構來講,可能不太方便實施背景審查,一般要由國家信息安全主管部門來組織實施,審查的對象主要包括企業背景、資質、股份構成、開發人員背景等等。過程審查主要是參考了CC保障要求的相關內容,除了CC的保障要求之外,畢竟咱們國家執行的是等級保護制度,所以我們也建議吸收等級保護制度里面對于開發安全所提出的一些要求,補充進CC保障要求的一些內容當中去,形成我們自己的過程檢查的內容。技術檢查是提到安全測試的事情,包括黑盒測試和白盒測試。檢查的流程大致準備分四個階段來實施,重點提一下最后的,如果條件成熟,我們建議還是要推出一個源代碼的備案制度,因為現在源代碼不受控,很多后門這些東西又不可能通過常規的測試來發現。而針對源代碼進行一個完整的安全性的測試,這個工作量和工作的成本太大、太高。所以在初始階段,我們建議還是先備案。一旦發現了安全問題以后,再對于這個備案的源代碼進行一個追溯,這樣也可以對開發人員或者說是對開發廠商產生一定的約束力。
最后提一下國家信息安全專項的測試,這兩年也是在信息安全市領域發生的一件大事。從2012年開始,發改委對于國家信息安全專項的資金支持不再僅僅依據專家評審的意見,而是要求必須通過專業機構的測試。最早從2012年國家下一代互聯網信息安全專項,到2012年國家信息安全專項,到2013年國家信息安全專項,連續三次專項的申報都必須通過測試才能夠獲得國家發改委的資金支持,在座的可能也有一些企業參與過這個事情。這是最早2012年下一代互聯網專項,基本上就是在常規的信息安全管理基礎上面提出了一個高性能和對下一代互聯網支持的要求。所以我們看到這些產品都比較眼熟,防病毒網關、防火墻、UTM、網閘、IPS、IDS等等,都是一些常規的信息安全產品,無非在前面加了一個帽子,“高性能”和“下一代互聯網”,對于我們大部分廠商來講應付起來也是更得心應手一些。
隨即在2012年下半年又推出了2012年的國家信息安全專項,這個跟上面絕對有不同,首次針對新的技術領域對產品進行了劃分。也就是說,產品可能還是那些產品,但是要求適用于云計算的環境,適用于移動互聯網和工業控制的環境,這個要求比剛才要高一些。在2013年的專項,除了這個領域之外,又增加了行業的要求,比如針對金融信息安全領域,又提出了一些特殊的要求。2013年的專項從今年上半年開始執行測試,上半年測了三個,包括金融、云計算和分級保護的,這三個在上半年測試完成了,下半年目前正在測的是工業控制領域的四類產品。
整個測試工作是由國家發改委委托公安部來牽頭組織開展的,質檢總局、國家保密局、國家密碼管理局等部門參與。不是每次專項下面的部門都會參與,比如今年上半年涉及到分級保護的就有保密局,如果沒有分級保護的,可能就不參加。測評牽頭單位是公安部計算機信息系統安全產品質量監督檢驗中心承擔的,測試參與單位基本上是挑選了一些實力比較強的國家級的測試機構或者就是專業領域權威性比較高的一些測試部門,比如中國信息安全測評中心、總參國家信息技術安全研究中心、國家密碼管理局商用密碼檢測中心、公安部計算機病毒防治產品檢測中心、國家計算機網絡應急技術處理協調中心實驗室,認證是國家信息安全認證中心。這是今年剩下的四類產品的分工情況,比如網關產品是由我們來測,DCS由中國信息安全測評中心來測,這個也目前體現出了各個測評機構之間的分工合作。
這個專項測試跟常規的測試不太一樣,它的測試內容比較多,發改委提出來要求一次測試拿所有的證,所以幾乎就相當于把所有能想到的測試內容都往那邊加。除了我們常規能看得到的這些功能測評、性能測評、安全測評之外,也包括自主知識產權的評估,包括了IPv4、IPv6協議的一致性和環境適應性測評,這個內容確實是比較多的,測試周期也比較長。就好像我們這個公共項目,測試周期達到了三個月。
這里面重點提一下對于知識產權的核查。知識產權核查以前是國測在發自主知識產權評估證書的時候進行一些測試,其他的測評機構可能都沒有大范圍的開展過,我們這次在專項里面也把它們都拉了進來。最核心的工作,主要還是利用一個工具,首先從互聯網上的開源代碼里面提取出了一些摘要,然后把這些摘要進行一個入庫的工作,最后對被測系統的源代碼也進行了一個摘要的提取,對于這些分段摘要進行了一個比對,最后這個比對的結果就可以得到一個相似度的比較。從測試的情況來看,確實很多產品的開源率還是比較高,我們測過最高的一款產品,好像到了70%多,就是70%多都是開源代碼,其實我們也都理解。
測試合格的產品除了具有獲得發改委資金支持的資格之外,還將依據現有的管理規定獲得一系列的證書。這次項目包括了銷售許可證,包括國測發的《工業控制系統安全技術測評證書》,包括總參發的安全性檢測評估證書,以及商密發的密碼產品型號證書,和中國信息安全認證中心發的國家信息安全產品認證證書。基本上這款產品能適用的證書一次性都發了。這是這四款產品獲證列表的清單,只要通過測試,就可以獲得這些證。剛才也說了,測試的時間大概是三個月,現在差不多也已經過去一個月時間了,任務確實比較緊。
這里面還有一件比較重要的事,就是在上個月,本次測試開了一個項目啟動會,當時國家發改委、公安部、質檢總局、密碼管理局的相關領導也出席了這個會議,我們所有測試機構,所有參加測試的廠商也都參加了這個會。
我的介紹就到這里,謝謝大家!
