不支持Flash

互联网协会举办网络安全主题沙龙

http://www.sina.com.cn 2007年06月25日 23:14  新浪科技
科技时代_互联网协会举办网络安全主题沙龙
网络安全主题沙龙

  新浪科技讯 6月21日下午,中国互联网协会交流与发展中心举办DISCOVERY 100——i-world中国互联网大会2007年度特别主题活动之“互联网行业安全需求与解决方案交流研讨会”,该活动旨在寻找中国网络新生市场力量,发现在互联网领域内的新生力量。

  本次沙龙由国家计算机网络应急技术处理协调中心运行处处长周勇林主持,启明星辰、天融信、绿盟、奇智科技、新浪、腾讯安全中心、搜狐、安天实验室、数码星辰、冠群金辰、长江法律、中国网通、Akamai、ISS等企业与单位参与,新浪科技全程支持。

互联网协会举办网络安全主题沙龙
图为主持人国家计算机网络应急技术处理协调中心运行处处长周勇林

  以下为沙龙现场实录全文:

  主持人:大家好!今天过来的也是同行,我们希望通过这个活动大家能够学到一些东西,今天下午的活动分两个阶段,第一阶段是一个解决方案介绍,这个介绍是由杭州奇智科技公司来完成,内容是如何降低人为操作风险的安全解决方案;第二是互动项目,我们事先准备了一些话题,大家有什么问题也可以问。首先由吴强来介绍一下他们在网站安全上有哪些比较好的技术和方案。

  吴强:大家好,我是奇智科技的吴强。很高兴今天在这里为大家介绍Unix平台设备操作管理解决方案的相关内容。

  任何一种解决方案都具有一定的针对性。

  我们的解决方案首先是针对Unix平台的设备,那什么是Unix平台呢?简单的说就是非windows平台的都可以称之为Unix平台,在互联网行业里,后台管理基本都采用大量的基于Unix平台的服务器和网络设备;其次,是针对Unix平台的终端命令行方式的人为操作。

  我们可以通过这个解决方案帮助客户降低那些因为人为操作而带来的风险。

  客户的需求总是来源于目前运维管理中出现的问题和困惑。目前运维管理中最普遍的现象,就是交叉异构管理。交叉管理体现是一种多对多的关系,一方面对于每一个操作者来说管理着多台机器,另一方面对于某一台设备来说,有多个操作者同时操作。

  异构是指需要管理的设备多样性,用户管理的不仅仅是一种设备,而是各种各样的Unix平台设备:比如路由交换设备、服务器设备、存储等。就算是一种设备也可能是多个厂家提供,路由交换设备有Cisco、华为、Juniper等,服务器有IBM、HP、SUN等。

  随着操作者和被管理设备的增加,管理会碰到很多问题,最关键的问题在哪里呢?

  企业内部最大的风险往往来自那些维护着核心设备(网络设备,主机)的管理员和第三方代维厂商。服务的可用性、数据的安全性都和这些管理员的操作有密切的联系,因此,如何通过有效的技术手段来识别和控制人为操作带来的风险,成为了当前最迫切的问题。用户的需求集中体现在以下四个方面:

  客户希望在使用共享账号来简化账号管理的同时,又要能够准确识别操作者的身份,保证用户在设备上的每一步的操作可以一一对应到具体执行操作的人员。

  密码管理一直以来是用户头痛的问题:因为每一台设备上的密码不允许一样,所以用户需要记住很多密码;为了密码的安全性要保证每一个密码都要足够复杂同时还要保证密码能够定期修改等等,客户需要一种非常简单的方式来替他管理密码,不希望为密码管理而烦恼。如何做到只记住一个密码就管理上千台设备,同时又保证密码的安全性?

  第三个需求是审计操作,审计是为了解决问题。用户希望能够在出了事故的时候通过审计在几分钟之内(我们以5分钟作为一个标准)快速定位问题,找出责任人和事故原因。

  第四个需求是控制操作。审计是事后行为,而控制是事前行为,通过控制能够变被动为主动,通过有效控制操作者的操作行为来降低风险。

  这些需求普遍存在于互联网行业、运营商、金融和那些即将或者已经上市的企业。

  为了帮助客户有效的解决上述所存在的问题,我们设计了针对操作行为进行有效管理的整体解决方案。接下来重点介绍解决方案的内容。

互联网协会举办网络安全主题沙龙
图为奇智科技副总经理吴强

  在运维管理中有三个层次,第一是操作者,就是人;第二是操作;第三是操作对象,也就是各类被管理设备。三者之间紧密联系,其中,操作是充当着操作者与被操作设备之间的桥梁和纽带。没有操作,操作者永远也无法对设备的可用性和安全性造成影响,因此操作行为是影响服务稳定和设备安全的最直接和最根本的因素。我们的解决方案紧紧围绕着操作这个核心,从操作层面入手,解决跟人和设备相关的一系列问题。

  我们的解决方案就具体内容来看,是以集中管理的方式,从四个方面进行有效的管理,从而最小化人为操作风险。

  首先,集中管理是前提。集中管理作为解决方案的前提,也是一种管理模式。集中管理相对于分散管理而言,为了有效解决异构管理的问题,只有集中管理才能实现对认证、审计、操作等进行统一的管理。

  集中管理目前有两种模式,一种是代理模式。大约是1980年左右在海外出现的,几乎国外大厂商都提供了此类解决方案,不论是IBM还是惠普、BMC等都提供了类似解决方案,该解决方案为了实现集中控制,在所有设备上安装了代理程序,或者开放API接口,然后实现客户控制,这在国外500强企业中用的比较普遍。

  这种模式存在以下不足:

  第一是成本比较高,因为它的代理程序或者API接口按照数目收费,就是你安装多少代理就要收取多少费用。

  第二是扩展问题,代理程序跟操作系统有关联,同时跟操作系统版本号也有关联,当你部署时、升级时、维护时,对于扩展性来说都是非常大的挑战,对于这样模式的部署,部署周期一般3个月。

  第三是客户的使用习惯,中国用户普遍无法接受这种模式,为什么呢?重要的数据库服务器上没有人能够敢采用这种代理方式管理设备,为什么这样?一旦代理程序与数据库程序或者操作系统程序出现了兼容性问题,对数据库产生影响的话,用户无法承担这个责任,所以客户不敢采用这种模式。

  第四是关联分析,用户从A设备直接登录到B设备,这样的操作是非常完整的操作,在这样的模式下却没有办法与用户关联起来。我们发现,用户如果想破坏一些事情的时候,基本会采用设备做跳板,一般三次跳过后就完全隐藏了他的痕迹,正因为不能对操作进行关联分析,我们就没有办法看到他究竟想要做什么。

  根据我们的经验和研究,我们提出了另一种方式——堡垒模式/网关模式,实现原理是这样,用户访问被管理设备必须通过我们的设备,通过我们设备后再访问到被管理设备。

  和代理模式相比,我们的模式具有以下优势:

  第一是成本,我们这台设备可以管理千台设备,成本上具有很高的竞争力;

  第二是扩展性,我们支持目前已知的Unix平台设备的所有版本;

  第三是客户的使用习惯,客户很容易接受这样的部署模式,因为我们对客户的网络拓扑没有造成任何影响。

  最后是关联分析。只要用户是从我们设备登陆到被管理设备,不管中间做了多少次跳转登陆和身份的切换,我们能够完整记录整个过程,并能够很清楚的看到操作者的行为。

  物理部署上,我们的设备可以放到机房里的任何一个机架上,只要求我们设备的IP能够到被管理者的IP可达,就完成了我们的部署,一般我们的部署时间只需要5分钟。

  其次,身份管理是基础。如果解决不好操作者的身份问题,无法做到准确识别操作者的身份,那么不管我们怎么控制,怎么审计都无法准确的定位操作责任人。那么控制和审计就失去意义。

  接着,操作者身份一旦确定,下一步面临的就是操作者能访问什么资源的问题,如果操作者可以随心所欲访问任何资源,就等于没控制,所以必须通过访问控制这种手段去限制操作者能访问的操作资源,降低那些未经授权的访问所带来的风险。因此,我们说访问控制是手段。

  围绕访问控制的4个关键要素:用户,目标设备、系统帐号,时间,设置完善的、清晰可见的访问控制策略。

  第四,权限控制是核心。通过权限控制管理,解决操作者操作权限的问题。操作是最核心的风险因素,从操作层面解决操作者“能做什么”和 “不能做什么”,对用户的操作权限做到真实有效的控制,才能最直接有效的降低人为操作风险。

  我们能够实现命令级别的细粒度控制:命令分成几个状态,第一是允许用户执行,第二是拒绝,第三是禁止,另外可以监控他的关键操作,

  当以上问题得到有效解决,操作审计的意义就落到实处:首先,通过审计,帮助客户建立完善的责任认定机制。确保事故发生后,快速定位操作者和事故原因,还原事故现场和举证;其次,可以有效直接的验证集中管理、身份管理、访问控制、权限控制策略的实际效果。

  我们从以下方面来确保我们的操作审计,

  首先保证记录的真实、完整性:记录内容包括输入命令、输出结果和时间等。

  其次精确的搜索:输入命令与输出结果分离,实现任意字段的细粒度全文检索。

  回放机制:可以从任意操作命令开始,使当时环境真实再现,对于用户查找是非常方便的。

  最后,是关联分析,我们记录是以人为条件,而不是单个操作,我们可以记录从操作者登录开始到登出结束的完整会话,无论其进行过多次的设备跳转登陆,或变换操作权限,都可以准确的以操作者进行关联分析。

  第三部分,重点介绍一下解决方案的优势。

  首先,我们是一个跨Unix平台的操作管理解决方案。支持各种UNIX平台设备:

  服务器(AIX,HP-UX,Solaris,SCO Unix,各种Linux等),

  网络设备:(Cisco,Juniper,华为,中兴等),

  存储设备:(EMC,NetApp等),

  交换传输设备:(华为,NOKIA,西门子等)。

  第二,帮助客户简化密码管理。

  用户不需要知道系统密码就可以自动登录设备,系统对密码自动修改后把密码发给保管员,所以用户只需要知道一个用户名和密码。同时用户进行设备管理时,帮助用户实现自动登录目标设备,提供管理效率。

  第三,快速部署。我们承诺用户在十分钟内快速部署,我们不需要安装代理程序,不需要调整网络架构,5分钟开始上线部署,5分钟内开始使用。

  第四部分,向大家介绍一下我们的案例情况与客户收益。

   因为今天是互联网行业会议,而我们解决方案在互联网行业(包括商业网站以及游戏网站等)已经获得良好的推广与实施,帮助客户在SOX合规以及IT内控方面做了有效的管理。

  从客户收益来看,首先,帮助客户完善责任认定体系;其次,提高设备可用性。以前设备如果因为人为操作宕机,不知道什么原因造成的,实施了我们的解决方案后,可以及时、准确的查找是什么原因造成设备宕机,对于恢复设备很有价值。第三,帮助客户有效监管第三方代理厂商。

  我的解决方案介绍完了,谢谢大家!

  主持人:大家对于报告有什么感兴趣的问题可以提。

  观众:您好,我刚才看了介绍,对于我们比较有帮助,我有个问题想了解一下,比如我们同事上传脚本然后执行,这能不能记录下来?

  吴强:可以记录。

  主持人:我问一个问题,我刚才听了一下,我觉得像硬件网关也好,管理Unix服务群,应该是对于一个网站系统运营维护的,管理使用的,你刚才讲的很便捷,不需要在每个受管理设备上装管理软件。

  吴强:是的。不需要安装任何的代理程序,不影响客户的网络架构。

  主持人:你这个管理设备本身是不是有IP地址?

  吴强:有。

  主持人:那是不是有风险呢?

  吴强:你问的是集中管理解决的三个问题,第一是解决用户的设备登录,第二是保证设备的可靠性,第三是保证设备的安全性,在这三个方面我们对做了相关的措施以提高自身设备的安全性,在可靠性方面,从CPU到网卡都是全冗余,来有效控制设备存在的风险。

  主持人:如果出现故障,用户可以直接去访问服务器吗?

  吴强:可以。

  主持人:用户是不是平时也可以访问?

  吴强:对,所以我们要定期修改密码,还可以监管密码。

  观众:你好,我们公司做网络集成的,这样我们对客户的需求了解一些,你刚才提到美国的“SOX”,很多中国企业在纳斯达克上市后,如何解决这个法规?比如IBM公司,每年为了符合“SOX”,可能一年花一亿美金,对于中国企业,你刚才提到审计,你们做时是不是根据“SOX”按照这个规定做的?还是是从技术角度去做的?

  吴强:其实“SOX”解决的是信任问题,他做了这么多规则,最终保证什么,就是你所做的规则和说的是一致的,对于我来说就四个字——“审计控制”。通过审计保证你所说的和做的一致,然后通过控制降低风险,从而达到你所说所做的一致。其实整个条款并没有找到一条你应该如何做,都是根据实际情况进行的理解与解释。但是你会发现不管哪个公司,审计要求数据的来源是真实可信的,并有一套体系来确保真实可信性。我们在做时主要从客户需求出发,不仅是技术角度的实现,更要与客户需求符合。我们也曾帮助客户进行SOX合规的工作,并与当时审计客户的会计师事务所,象普华永道等,都进行过沟通,我们在SOX要求方面,是非常符合的,我们也赶上了好时机。

  观众:就没有这方面介绍?

  吴强:有,可以发给你。

  观众:你好,像我们现在的工程师经常会从工作站项服务器进行文件拷贝,这种情况你们体系如何应付?

  吴强:有两种解决方法。第一种,让工程师从服务器向工作站反向文件拷贝,第二种,工程师通过我们的系统传送文件到被管理设备,我们可以记录工程师所有的操作内容和文件的内容。

  主持人:下面进行第二个环节,之前我曾向新浪、搜狐、腾讯那里征询了一些问题,下面就这些问题大家进行交流和讨论。这是今天到场嘉宾,有互联网的企业,还有安全厂商方面的,这是腾讯提出的问题,大家可以就自己的想法,觉得哪个问题想说就可以表达自己的观点。

  主持人:这些问题大家是否事先拿到手,我们活动的目的不是说由哪家解决所有问题,而是群策群力,每个参会的人如果对某个问题有很好的答案,那么与大家共享一下,如果有其他问题也可以提出来,下面就自由发言。

互联网协会举办网络安全主题沙龙
图为长江(北京)国际知识产权代理有限公司信息网络知识产权部律师陈明涛

  观众:我解答第一个问题,这个是讲的虚拟财产的问题,这是法律界特别热的问题,从立法角度来讲,目前我们国家没有这方面的立法,从市场角度来讲,相关案例非常少,目前讨论的结果可以有几方面,第一方面,虚拟财产它受不受保护的问题,目前不管是学术界还是司法界的案例,都确定了虚拟财产是绝对可以要受保护的。重要的是虚拟财产如何来保护,是作为一种互联网使用者私有的财产,我们法律上作为一种物权还是作为你和服务商签订的债权来讨论,这是讨论的热点,从目前现有的判例来说,就是李红尘和北极冰的案例,更倾向于是用户与服务商签订的债权合同,通过这个案例我们得到什么呢?虚拟财产目前的保护,服务商责任的风险非常大,比如玩家玩游戏,财产被盗,可能你的服务商就要承担责任,这是目前的法律风险。

  关于木马和盗号的问题,最主要是玩家和侵权者之间的问题,就是盗号人和种植木马者的关系,这主要是以形式方式来定性,对于服务商,你作为提供者你要承担什么责任,目前我国法律没有特别的规定,但是你要承担的责任只是你跟玩家的合同关系,我看很多互联网提供商签订的协议都说,所有虚拟财产所有权都是我的,这样的条款比较硬,你说是你的,没有法律规定是你的,一旦出问题玩家也会找到你。这是我的想法。

  主持人:我想问一下,一般来说网络游戏用户遇到财产丢失情况,最多是帐号被别人盗用,而不是服务商系统出现故障导致财产丢失,如果服务商故障导致的,那么服务商有责任,那么第一种情况服务商是否有责任呢?

  观众:也有责任,要承担合同上的责任。

  主持人:比如盗号者使用正确的用户名和密码,这样服务商也承担责任吗?

  观众:首先要看是否有规定这方面的条款,首先你要让玩家证明你是这个号的主体,如果证明这点你还要看是否你为他的安全尽到了保障义务,比如号码被盗,你能为他提供帮助,那么你有没有这样的义务,如果这样的现象发生,你没有作为,那么一样承担合同的违法违约责任。目前韩国和台湾这方面更严格,就直接认为玩家对虚拟财产具有物权的属性,但是国内这边没有这方面的规定,从目前案例来讲倾向于这方面的规定,学界更倾向于采用合同的性质,这样可能对服务提供商来说比较有利,那么一旦认定为物权,就不一样了。

  主持人:就像银行,如果别人用我的身份证和卡提了钱后,那么我去找银行,银行要承担责任,但是互联网现在还是比较困难的,目前来讲基本都是匿名的,这样在法律上就有很多不确定因素。

  观众:法律确定的一个标准就是你有没有这样的义务,服务商能不能有能力去做这样的义务,比如你有能力做到而你不去做,这就是你的失职。

  主持人:服务商有一点要注意到,除了提供服务外还有义务为用户安全保护做一些事情,提醒用户,保障用户安全。其他朋友有没有问题?

  观众:对于虚拟财产问题我做个简单类别,游戏中我的网上银行帐号密码被别人盗走了,钱转走了,那么银行有没有责任?

  观众:目前对于虚拟货币,大家认可的观点是你服务商也好,你承担的义务就是保管的义务。

  观众:你拿着我的身份凭证过来,你有帐号有密码,还把钱取走了,那我还能怎么办呢?

  主持人:说的是网上银行的人民币,网上出现过这种问题,密码被盗,盗走了16万,银行有没有责任?

  观众:就看银行有没有做防范措施,你做了但是还是没有办法,那么你没有责任,如果你没有提供措施,那么就有责任。但是有个前提,你用户必须能够提供相关的证明,这时候用户可以证明钱就是我的。

  主持人:我们刚才谈的是运营商的责任问题,我站在运营商角度来讲,我更关注的是拿了人家帐号密码去干坏事,那个人有没有负上刑事、民事的责任?

  观众:从目前法律界来讲,盗号属于盗窃,在03年前都不认为是犯罪,之后会认为是犯罪,因为有几起案例都定性为盗窃,是民事。其实这是个直接侵权,对于服务商来讲,你不能算是侵权者,但是你不是侵权者还要承担责任呢?实际问题是你服务商和用户之间存在着合同义务关系,因为存在合同义务关系,所以才要承担责任。

  主持人:我的理解是这样,我作为服务商要做三点来保护自己,第一要与用户签订免责条款,第二要为用户提供保障,第三用户出现问题时要及时为用户提供协助,这样在判罚时减少自己的责任。

  观众:对,我补充一点,很多服务商,像魔兽世界,服务商都尽量规避自己的风险,比如禁止虚拟交易,尽量限制用户的条款,这点大家要注意,免责条款往往比较重要。

  观众:比如我盗了他的游戏装备,然后我拿去卖给了下家,装备可能比较少量,但是我卖了帐号,比如我在淘宝卖了这个帐号给下家,那么这个平台和这个下家是什么责任?

  主持人:提的是销赃的问题。

  观众:比如我拿了一张汇票,而你不知道,那么没有责任。

  主持人:我偷来的帐号卖,淘宝有没有责任?

  观众:当然有责任,对于买家知情的有责任,不知情的没有责任。对于是否知情法律有个标准,法律上不会问你你是否知道,法律的判断标准是合理的标准,作为一个正常人,心智健全的人你能不能判断,对于一般人肯定会知道,尽管你说不知情也说不过去。

  观众:首先你与用户签合同时,一定要把握你的风险,这里就有个度,第一你不要过于限制用户的权利而减少你的义务,过于的话,法律上这种合同叫格式合同,老百姓叫霸王合同,这样合同无效。第二你不要过于把自己的义务说的很大,一旦把握好度你会防范好风险。尽量使用一般性的条款。对服务商没有利的可以使用细节性条款,如果对用户有利的一般性条款最好。第二你提供服务时要做好一些防范措施,在座都是技术专家,你肯定会有一定的技术手段去防范用户权益受侵犯的情况,这时候也要注意收集很多的证据,一旦发生记录你可以提供证明,对法院来讲他不会在意你做的效果。

 [1] [2] [下一页]

本文导航:
·互联网协会举办网络安全主题沙龙
·互联网协会举办网络安全主题沙龙(2)

发表评论 _COUNT_条
爱问(iAsk.com)
不支持Flash
不支持Flash

频道精选

不支持Flash