压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

全國信息安全產(chǎn)品檢測現(xiàn)狀與分析

非常高興今天能夠有這么一個機會跟各位新老朋友大家歡聚一堂，一起交流一下我們中心在信息安全產(chǎn)品檢測方面所做的工作。今天我的介紹主要分成三個模塊：一是對于信息安全產(chǎn)品檢測的概況，主要是一些統(tǒng)計數(shù)據(jù)，以及對于信息安全產(chǎn)品安全性檢測的必要性分析；二是我想簡單提一下我們這個產(chǎn)品安全性檢測檢查的思路；三是目前由發(fā)改委牽頭組織的國家信息安全專項的測試情況。

首先講一下政策，大家都非常熟悉了。事實上我們國家最早在1994年就由國務(wù)院發(fā)布了147號令，當時在147號令里面提出了對于信息安全產(chǎn)品要實行銷售許可證的制度，具體的辦法是由公安部會同有關(guān)部門來制定的。隨后在1997年公安部又發(fā)布了32號令，制定了銷售許可證進行發(fā)放和檢測的一些細則，這個就不詳細說了，因為這兩部法律法規(guī)都已經(jīng)比較老了。

我這里統(tǒng)計了一下，我們從1997年一直到現(xiàn)在的產(chǎn)品數(shù)量，接下來可能有很多統(tǒng)計數(shù)據(jù)，我都會以圖表的形式展現(xiàn)出來。這是產(chǎn)品數(shù)量和不合格率的一個統(tǒng)計圖，這個數(shù)據(jù)我們是從2008年開始進行了一個分類的統(tǒng)計。產(chǎn)品數(shù)量的統(tǒng)計從1998年就已經(jīng)開始了，到2013年我們當年的實際檢測產(chǎn)品數(shù)量是880個，比2012年的798個有了一個明顯的上升。這里面還有一條綠顏色的線，大家看到這是產(chǎn)品負荷率的線，從這根線的走勢來看，從我們銷售許可證執(zhí)行的前兩年合格率偏高。偏高的原因主要是由于當時缺乏一些標準，主要的檢測都是依據(jù)產(chǎn)品說明書來進行的，甚至于有兩年大家都看到有99%的合格率。從2002年開始，隨著國家和公安部相關(guān)標準的陸續(xù)出臺，這個檢測的要求也相應(yīng)的做了一些提高。從那一年開始，就逐漸降了下來，目前基本上維持在90%的比例。事實上這個比例跟實際情況比可能還是偏高一些，因為這里面有些數(shù)據(jù)沒有統(tǒng)計在里面，包括新標準有一個宣貫期，后面還有一個安全測試，也沒有進入不合格的情況。

從2008年以后，我們就開始執(zhí)行一個分類統(tǒng)計，2009年最早獲得一整年的統(tǒng)計數(shù)據(jù)。從這些數(shù)據(jù)來看，訪問控制類、防火墻和身份鑒別這三類產(chǎn)品一直占據(jù)著整個產(chǎn)品類別里面數(shù)量的前三甲。這里面的前三甲，包括訪問控制、身份鑒別，這是粗略的一個分類，并不是具體的一類產(chǎn)品，而防火墻才是真正實施的一類產(chǎn)品。所以這個防火墻能夠每年都保持那么高的數(shù)量，可以看出這個產(chǎn)品的理念、使用范圍確實是深入人心。

這是一個產(chǎn)品分級的統(tǒng)計圖，對于分級檢測的信息安全，按類別進行一個分析。我們可以看到，高等級的產(chǎn)品總體比例目前可能偏低一些，大部分產(chǎn)品依然按照標準的第一級基本級來進行了一個測試。最近幾年高等級的產(chǎn)品數(shù)量可能也有一個上升的趨勢，可能也跟招標和產(chǎn)品生存的環(huán)境有一些關(guān)系。這是一個產(chǎn)品知識產(chǎn)權(quán)的分類統(tǒng)計圖，2013年總共有26個廠商送檢了103個進口的信息安全產(chǎn)品，占比達到11.3%，從產(chǎn)品數(shù)量來講，國內(nèi)自主研發(fā)的信息安全產(chǎn)品還是具備一個絕對的優(yōu)勢。

這是產(chǎn)品廠商數(shù)量的統(tǒng)計，從這個統(tǒng)計圖可以發(fā)現(xiàn)，從2009年以后，這個廠商的數(shù)量基本上趨于穩(wěn)定，近三年可能還略有下降。這里還有一個數(shù)據(jù)，2012年平均每家廠商送檢了1.79個產(chǎn)品，到2013變成了1.08個，有縮小的趨勢，說明這個集中度正在加大。這是廠商注冊資金的一個統(tǒng)計，有62.36%的送檢廠商達到或者超過了1千萬人民幣的注冊資金規(guī)模。其中9.52%超過了1億元，數(shù)量和比例都比2012年有一個明顯的增加，也說明近年我們信息安全廠商的資金規(guī)模在日益的擴大。

我們這里有一個小結(jié)：一是產(chǎn)品數(shù)量穩(wěn)步增長，不合格率略有降低；二是進口產(chǎn)品相對萎縮，自主研發(fā)趨勢顯現(xiàn)。2013年度的進口產(chǎn)品比2012年度要下降一些；三是產(chǎn)品數(shù)量保持穩(wěn)定，資金規(guī)模明顯擴大。到2013年，總共有439家廠商送檢；四是技術(shù)領(lǐng)域發(fā)展迅速，新型產(chǎn)品不斷涌現(xiàn)。從2013年以后，我們在受理的過程當中也發(fā)現(xiàn)，像云操作系統(tǒng)、工業(yè)控制安全等等，像這些新類型的產(chǎn)品也不斷的出現(xiàn)，目前我們的測試類別覆蓋已經(jīng)達到了51類。這是一些常規(guī)的產(chǎn)品檢測數(shù)據(jù)的統(tǒng)計，大家看一看就可以了。

下面我著重講一下產(chǎn)品安全性測試的必要性分析。我這里羅列了幾個信息安全產(chǎn)品的事件，可能有的大家都已經(jīng)知道了。今年4月26日，“心臟出血”的重大安全漏洞曝光，公安部發(fā)文，要求全國的信息安全產(chǎn)品自查該漏洞，我們也配合公安部做好了這個工作，提醒安全產(chǎn)品廠商進行自查，我們在檢測過程當中，也對“心臟滴血”漏洞進行核查，確實有幾十款產(chǎn)品具有了這個漏洞。6月26日，傳某公司的數(shù)據(jù)防泄漏產(chǎn)品DLP存在竊密后門和高危漏洞。9月24日發(fā)生的“破殼漏洞”，傳某公司的“應(yīng)用交付管理系統(tǒng)”被通報了，存在這個“破殼漏洞”，當時有13254臺設(shè)備受到了影響。從這里可以看出，今年以來，針對信息安全產(chǎn)品的安全事件明顯增多。事實上長期以來，作為保障信息系統(tǒng)安全的工具，大家都覺得信息安全產(chǎn)品的作用是在原有的基礎(chǔ)上做了一個加法。俗話說裝了總比不裝強，可能很多人都有這個概念，好像我總不至于裝了反而會降低我這個系統(tǒng)的安全性，這實際上也是一個誤解，我在后面可能還會做一些更加詳細的分析。不管怎么說，信息安全產(chǎn)品自身的安全性長期以來往往受到大家的忽視。

實際上我們從信息安全產(chǎn)品的架構(gòu)來看，產(chǎn)品架構(gòu)首先是操作系統(tǒng)和數(shù)據(jù)庫。雖然咱們國產(chǎn)操作系統(tǒng)，國產(chǎn)數(shù)據(jù)庫搞了那么多年，但是事實上好像也沒有用在信息安全產(chǎn)品上面。這兩個層面大家都用了一些不可控的產(chǎn)品，安全性當然也是不受控的。從應(yīng)用平臺上來講，如果我們在開發(fā)的時候不注重開發(fā)安全，應(yīng)用平臺層面也很容易產(chǎn)生一些安全漏洞。從這個產(chǎn)品對外的通道上來講，至少包括三個方面：一是提供安全功能的業(yè)務(wù)通道；二是產(chǎn)品自我進行升級的升級通道；三是產(chǎn)品進行內(nèi)部管理的管理通道。這些通道可能都存在著脆弱性，成為惡意入侵的一個途徑。

為了應(yīng)對這個日益嚴峻的安全形勢，我們也做了很多準備工作。這是我們?yōu)榱诉M行這些安全的測試所購置或者自主研發(fā)的一些工具。首先從措施上，強化了這項工作以來，我們目前要求全部申請操作許可證的測試項目都要求增加安全性的測試。對于一些不要求拿證，僅僅是自愿性的委托測試，我們也建議它進行一個安全性的測試。通過前期近一年的測試，我們確實也發(fā)現(xiàn)了這個產(chǎn)品存在著很多安全漏洞，這個情況相當嚴重。這些統(tǒng)計數(shù)據(jù)本來我是準備了，可能也沒有一個統(tǒng)一的發(fā)布途徑，我這里直接披露出來也不太好，我就把那幾個數(shù)據(jù)刪掉了，大概做了一個漏洞的統(tǒng)計。

這個圖是在安全性測試當中發(fā)現(xiàn)最多的10種在系統(tǒng)層面存在的漏洞。包括跟openSSH相關(guān)的有2個，Apache Tomcat版本過低占了3的，跟PHP相關(guān)的有4個。絕大多數(shù)漏洞產(chǎn)生的原因，從種類當中可以看到，都是應(yīng)用平臺的版本過低造成的。現(xiàn)在文本管理方式非常流行，因此中心也專門針對Web漏洞做了一個檢測。這是我們進行Web安全測試以后統(tǒng)計下來的一個漏洞排名前十位的數(shù)據(jù)，包括了像跨站腳本、鏈接注入等等。

下面我就挑選兩個案例來著重談一談這些漏洞對于我們信息安全產(chǎn)品，乃至于整個信息系統(tǒng)會帶來的危害。在座的也都是安全專家，我這里要舉這兩個例子的目的，不是說明我們攻擊的手段有多么高明，實際上大家看了就會知道，這都是很輕易的、很簡單的對于漏洞的一個利用。恰恰這種簡單的、輕易的漏洞利用，反而更加襯托出了我們現(xiàn)在這些產(chǎn)品存在的安全問題的嚴重性。

“心臟出血”的漏洞案例，當時我們發(fā)現(xiàn)有一款內(nèi)網(wǎng)組織的檢測產(chǎn)品，管理遠是通過B/S的方式登錄到這個管理界面，對于被管主機可以進行訪問控制設(shè)置、遠程監(jiān)控、異常審計等功能。換句話說，這類產(chǎn)品可以直接監(jiān)視或者控制所有被管理的主機。在測試過程當中我們發(fā)現(xiàn)，它存在心臟出血的漏洞。在進行正常的登錄行為以后，我們發(fā)送了一個信號輕松到服務(wù)器。這個服務(wù)器返回的信息當中，我們就可以看到當時管理員登錄時所用的用戶名和口令。通過獲取這個用戶名和口令，攻擊者就可以直接登錄這個產(chǎn)品，并且獲得了這個產(chǎn)品最高的管理權(quán)限。所謂的獲得最高管理權(quán)限意味著他能干什么呢？這里我總結(jié)一下，它包括了截屏、遠程控制、獲取網(wǎng)絡(luò)通訊日志、推送程序、獲取文件等等，這些產(chǎn)品原本所應(yīng)該具有的強大功能，現(xiàn)在都變成了入侵者的一個工具，這是非常可怕的一件事情。

Strut2遠程命令執(zhí)行漏洞案例，被測的產(chǎn)品可能大家更加熟悉，這是最近非常熱門的堡壘機產(chǎn)品，它可以實現(xiàn)對于被保護資源的單點登錄、訪問控制和安全審計，管理員也是通過B/S的方式登錄管理界面。一句話，這里掌握著所有的鑒別信息。這是當時進行測試的一些截圖，同樣經(jīng)過工具掃描，發(fā)現(xiàn)存在這個漏洞以后，我們利用這個檢測工具，直接對服務(wù)器執(zhí)行系統(tǒng)級的命令，發(fā)現(xiàn)了這個命令能夠執(zhí)行，給網(wǎng)巾上傳一個網(wǎng)碼，可以獲得所有的權(quán)限，這個堡壘機被攻破。堡壘機一旦攻破，它所保護的所有資源也都可以被攻擊者所利用。這個圖是在網(wǎng)上找的，這個堡壘機被攻破以后，最大的問題就是在于，所有的這些被管理的設(shè)備，不管你是網(wǎng)絡(luò)設(shè)備、安全設(shè)備還是服務(wù)器都被一鍋端了。原來不管我這個系統(tǒng)多么脆弱，哪怕我什么都沒有，那你來攻擊至少還要一臺臺往下攻。現(xiàn)在因為我把你這個堡壘機搞定了，我就全搞定了。

所以剛才說到加法的問題，相信大家也有了答案。如果說咱們的信息安全產(chǎn)品的安全性做得不到位的話，再裝進這個信息系統(tǒng)以后，未必給信息系統(tǒng)做加法，有時候甚至是在做減法。我這里打了一個比方，好比掌握所有門鑰匙的這個管家叛變了，就好像我請一個管家過來，我把鑰匙交給他，其實我這個管家本來就是一個賊，又或者我請一個保鏢去護送我的小孩上學(xué)，結(jié)果這個保鏢直接成了綁匪，那么這個后果的嚴重性也就不言而喻了。所以從這兩個案例當中我們也可以看出，正因為許多信息安全產(chǎn)品掌握著整個系統(tǒng)的安全資源，一旦其出現(xiàn)安全問題，其嚴重性反而比單臺服務(wù)器有漏洞或者被入侵的后果更加嚴重。

針對測試當中發(fā)現(xiàn)的這些不合格的情況，我們采取了以下的幾個處理措施。對于安全性漏洞問題比較嚴重的，我們就直接出具一個不合格報告。在整改意見當中，通知廠商在規(guī)定期限內(nèi)對于存在的安全問題進行修補。對于有些安全性漏洞風險值較低的，我們沒有直接出不合格檢測報告。通知廠商先整改，整改完了，安全性測試通過了，再出具一個合格的報告。二是我們建議廠商對同類型的產(chǎn)品進行一個自查，中心也將檢測的這些信息定期向公安部等業(yè)務(wù)主管部門進行通報。我們提三條建議：

一是針對于主管部門提的，建議主管部門要加大檢測部門的投入，著重培養(yǎng)一些專業(yè)的人士，安全性測試的技術(shù)人員，或者要支持測評機構(gòu)培養(yǎng)這些專業(yè)的安全性測試人員，建立一個安全性測試的專門實驗室，打造一支從日常信息安全產(chǎn)品、安全漏洞檢查、信息系統(tǒng)安全漏洞檢查到深入研究安全性課題、發(fā)現(xiàn)未知安全性漏洞、提供漏洞修補方法的團隊。同時我們建議在必要時要發(fā)布一個安全漏洞警示的信息，提醒廠商和用戶及時修補漏洞，構(gòu)建一個安全性漏洞的發(fā)布平臺。

二是對于測評機構(gòu)，我們建議安全檢測要結(jié)合系統(tǒng)評估工作在原有的基礎(chǔ)上深化一個安全性的測試，增加一些測試的方法研究，全面了解系統(tǒng)中的安全漏洞存在的情況。

三是對于產(chǎn)品廠商，我們希望要及時升級剛才說的基礎(chǔ)平臺的版本，包括操作系統(tǒng)、數(shù)據(jù)庫，一些應(yīng)用服務(wù)等等。同時也要加強對開發(fā)過程的安全管理，提高開發(fā)安全水平。

下面簡要介紹一下安全性檢查的思路。通過這些年的產(chǎn)品安全性測試工作。我們也認識到了信息安全產(chǎn)品測試的重要性。雖然我們通過一些測試的方法了解了很多問題，了解了很多產(chǎn)品存在的安全漏洞。但是即便如此，對于產(chǎn)品中存在后門或者一些未知漏洞的情況掌握，通過常規(guī)的一些安全性測試可能還是意義不大，因此我們建議要從產(chǎn)品的開發(fā)、生產(chǎn)、交付、使用的各個環(huán)節(jié)來加強安全管理。所以我們安全性檢查的目標就是想了解和評估信息安全產(chǎn)品存在的安全問題是否會對信息系統(tǒng)造成信息安全威脅，從而加強信息安全保障體系的自主可控。檢查的內(nèi)容要針對產(chǎn)品的整個生命周期，包括可靠性、可控性和安全性。方式包括三個：背景檢查、過程檢查和技術(shù)檢查。其中前面我提到的這些安全測試的手段或者方法可能還僅僅針對于第三塊，就是技術(shù)檢查這個內(nèi)容。

我們在前期研究過程當中參考了一些文檔，除了國內(nèi)的技術(shù)文檔之外我們還參考了國外的，前一段時間他們也調(diào)查了華為和中興這些企業(yè)，看看他們當時對華為和中興是怎么樣進行安全審查的。

背景檢查就不多說了，作為測評機構(gòu)來講，可能不太方便實施背景審查，一般要由國家信息安全主管部門來組織實施，審查的對象主要包括企業(yè)背景、資質(zhì)、股份構(gòu)成、開發(fā)人員背景等等。過程審查主要是參考了CC保障要求的相關(guān)內(nèi)容，除了CC的保障要求之外，畢竟咱們國家執(zhí)行的是等級保護制度，所以我們也建議吸收等級保護制度里面對于開發(fā)安全所提出的一些要求，補充進CC保障要求的一些內(nèi)容當中去，形成我們自己的過程檢查的內(nèi)容。技術(shù)檢查是提到安全測試的事情，包括黑盒測試和白盒測試。檢查的流程大致準備分四個階段來實施，重點提一下最后的，如果條件成熟，我們建議還是要推出一個源代碼的備案制度，因為現(xiàn)在源代碼不受控，很多后門這些東西又不可能通過常規(guī)的測試來發(fā)現(xiàn)。而針對源代碼進行一個完整的安全性的測試，這個工作量和工作的成本太大、太高。所以在初始階段，我們建議還是先備案。一旦發(fā)現(xiàn)了安全問題以后，再對于這個備案的源代碼進行一個追溯，這樣也可以對開發(fā)人員或者說是對開發(fā)廠商產(chǎn)生一定的約束力。

最后提一下國家信息安全專項的測試，這兩年也是在信息安全市領(lǐng)域發(fā)生的一件大事。從2012年開始，發(fā)改委對于國家信息安全專項的資金支持不再僅僅依據(jù)專家評審的意見，而是要求必須通過專業(yè)機構(gòu)的測試。最早從2012年國家下一代互聯(lián)網(wǎng)信息安全專項，到2012年國家信息安全專項，到2013年國家信息安全專項，連續(xù)三次專項的申報都必須通過測試才能夠獲得國家發(fā)改委的資金支持，在座的可能也有一些企業(yè)參與過這個事情。這是最早2012年下一代互聯(lián)網(wǎng)專項，基本上就是在常規(guī)的信息安全管理基礎(chǔ)上面提出了一個高性能和對下一代互聯(lián)網(wǎng)支持的要求。所以我們看到這些產(chǎn)品都比較眼熟，防病毒網(wǎng)關(guān)、防火墻、UTM、網(wǎng)閘、IPS、IDS等等，都是一些常規(guī)的信息安全產(chǎn)品，無非在前面加了一個帽子，“高性能”和“下一代互聯(lián)網(wǎng)”，對于我們大部分廠商來講應(yīng)付起來也是更得心應(yīng)手一些。

隨即在2012年下半年又推出了2012年的國家信息安全專項，這個跟上面絕對有不同，首次針對新的技術(shù)領(lǐng)域?qū)Ξa(chǎn)品進行了劃分。也就是說，產(chǎn)品可能還是那些產(chǎn)品，但是要求適用于云計算的環(huán)境，適用于移動互聯(lián)網(wǎng)和工業(yè)控制的環(huán)境，這個要求比剛才要高一些。在2013年的專項，除了這個領(lǐng)域之外，又增加了行業(yè)的要求，比如針對金融信息安全領(lǐng)域，又提出了一些特殊的要求。2013年的專項從今年上半年開始執(zhí)行測試，上半年測了三個，包括金融、云計算和分級保護的，這三個在上半年測試完成了，下半年目前正在測的是工業(yè)控制領(lǐng)域的四類產(chǎn)品。

整個測試工作是由國家發(fā)改委委托公安部來牽頭組織開展的，質(zhì)檢總局、國家保密局、國家密碼管理局等部門參與。不是每次專項下面的部門都會參與，比如今年上半年涉及到分級保護的就有保密局，如果沒有分級保護的，可能就不參加。測評牽頭單位是公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心承擔的，測試參與單位基本上是挑選了一些實力比較強的國家級的測試機構(gòu)或者就是專業(yè)領(lǐng)域權(quán)威性比較高的一些測試部門，比如中國信息安全測評中心、總參國家信息技術(shù)安全研究中心、國家密碼管理局商用密碼檢測中心、公安部計算機病毒防治產(chǎn)品檢測中心、國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心實驗室，認證是國家信息安全認證中心。這是今年剩下的四類產(chǎn)品的分工情況，比如網(wǎng)關(guān)產(chǎn)品是由我們來測，DCS由中國信息安全測評中心來測，這個也目前體現(xiàn)出了各個測評機構(gòu)之間的分工合作。

這個專項測試跟常規(guī)的測試不太一樣，它的測試內(nèi)容比較多，發(fā)改委提出來要求一次測試拿所有的證，所以幾乎就相當于把所有能想到的測試內(nèi)容都往那邊加。除了我們常規(guī)能看得到的這些功能測評、性能測評、安全測評之外，也包括自主知識產(chǎn)權(quán)的評估，包括了IPv4、IPv6協(xié)議的一致性和環(huán)境適應(yīng)性測評，這個內(nèi)容確實是比較多的，測試周期也比較長。就好像我們這個公共項目，測試周期達到了三個月。

這里面重點提一下對于知識產(chǎn)權(quán)的核查。知識產(chǎn)權(quán)核查以前是國測在發(fā)自主知識產(chǎn)權(quán)評估證書的時候進行一些測試，其他的測評機構(gòu)可能都沒有大范圍的開展過，我們這次在專項里面也把它們都拉了進來。最核心的工作，主要還是利用一個工具，首先從互聯(lián)網(wǎng)上的開源代碼里面提取出了一些摘要，然后把這些摘要進行一個入庫的工作，最后對被測系統(tǒng)的源代碼也進行了一個摘要的提取，對于這些分段摘要進行了一個比對，最后這個比對的結(jié)果就可以得到一個相似度的比較。從測試的情況來看，確實很多產(chǎn)品的開源率還是比較高，我們測過最高的一款產(chǎn)品，好像到了70%多，就是70%多都是開源代碼，其實我們也都理解。

測試合格的產(chǎn)品除了具有獲得發(fā)改委資金支持的資格之外，還將依據(jù)現(xiàn)有的管理規(guī)定獲得一系列的證書。這次項目包括了銷售許可證，包括國測發(fā)的《工業(yè)控制系統(tǒng)安全技術(shù)測評證書》，包括總參發(fā)的安全性檢測評估證書，以及商密發(fā)的密碼產(chǎn)品型號證書，和中國信息安全認證中心發(fā)的國家信息安全產(chǎn)品認證證書。基本上這款產(chǎn)品能適用的證書一次性都發(fā)了。這是這四款產(chǎn)品獲證列表的清單，只要通過測試，就可以獲得這些證。剛才也說了，測試的時間大概是三個月，現(xiàn)在差不多也已經(jīng)過去一個月時間了，任務(wù)確實比較緊。

這里面還有一件比較重要的事，就是在上個月，本次測試開了一個項目啟動會，當時國家發(fā)改委、公安部、質(zhì)檢總局、密碼管理局的相關(guān)領(lǐng)導(dǎo)也出席了這個會議，我們所有測試機構(gòu)，所有參加測試的廠商也都參加了這個會。

我的介紹就到這里，謝謝大家！