·E-MAIL:neteye@neusoft.com

·2005年2月刊 总第36期

    退订   

  

·NetEye荣 誉:东软荣获“2004-2005中国防火墙产品市场
 年度成功企业”大奖
·媒 体 视 点:安徽人行“反恐”有方
·经 典 案 例:东软计算机安全应急小组的故事


东软荣获“2004-2005中国防火墙产品市场年度成功企业”大奖

  2005年2月24日-25日,由中国电子信息产业发展研究院(赛迪集团)、信息产业部电子信息中心主办,赛迪顾问股份有限公司承办的“2005中国IT市场年会”在北京隆重召开。

  本届年会以“数字化变革与IT市场新趋势”为主题,包括赛迪顾问IT市场专家、管理部门政要、著名企业高管、机构投资专家、海外专业人士盛聚一堂,就数字化变革对社会生活与传统行业的影响、中国IT市场特点与企业增强市场核心竞争力、未来IT市场发展新趋势等主题发表精彩演讲,深入分析大众化、专业化趋势对终端渠道、IT服务的深刻影响。东软股份网络安全应邀出席了此次年会。

  

  “2004-2005中国IT市场年度成就奖”颁奖仪式在年会上隆重举行。在中国电子信息产业发展研究院、赛迪顾问股份有限公司共同主办的年度评选中,东软荣获“2004-2005中国防火墙产品市场年度成功企业”大奖。

  东软是中国领先的解决方案供应商,也是中国知名的网络安全厂商。2004年凭借国内领先的网络安全产品技术,东软在高端网络安全产品领域取得了进一步的突破。借助全新的渠道“绿色成长”计划,东软与渠道合作伙伴共同营造双赢生态链,在中国网络安全产品市场取得了突出的业绩。


安徽人行“反恐”有方

媒体名称:互联网周刊 记者:李晓蕾

  作为高科技犯罪的典型代表之一,银行网络安全事故近两年来在我国频频发生。去年年末,互联网上连续出现的假银行网站事件曾经轰动一时。一个行标、栏目、新闻、图片样样齐全的假冒中国银行网站,竟然成功地划走了呼和浩特一名市民银行卡里的2.5万元;且随后不久,假工行、假农行、假银联网站竟然也相继跟风出现。而早在2003年下半年,我国香港地区还曾先后发现不法分子伪冒东亚、花旗、汇丰、宝源投资及中银国际网站;2003年12月~到2004年2月期间,长沙更发生了我国国内首例利用木马病毒盗窃网络银行资金案,造成损失8万余元。

  “银行的计算机信息是一种可以带来最直接经济利益的重要资源,因此永远会有部分人对这种资源的占有、控制、争夺和利用欲望来引发银行的信息安全问题。而计算机高科技犯罪与科学技术的同步发展,更使得银行信息安全防范技术的提升成为一个永恒的课题。”不惜巨资于2003年5月建立起了自己防火墙系统的安徽省人民银行科技处处长李鹰,一语道出了近来我国银行网络安全事故与安全隐患时有发生的“原动力”。

  安徽省人民银行是中国人民银行领导下的省级分行,作为央行的分支系统,在数据大集中趋势尽显的当下,其网内数据愈发呈现出以几何量级快速增长的态势。李鹰告诉记者:“我们银行每天都会发生数亿笔银行内部、银行之间、银行与企业之间的存款、取款、交易、支付、结算业务,也就是说我们每天都会面临对海量数据和繁杂数据信息的种种处理任务,比如对数据的过滤、关联、评价、检索、提取、摘录、核查等等,而更重要的是在这些空前巨大的任务当中,绝大部分都是要通过网络进行的,在病毒种类繁多、新型病毒尤其是混合型病毒层出不穷的当下,其危险性之高可想而知。”仅以根据政策自2000年起对商业银行开放的安徽人行全省信贷登记系统为例,这个至今存有至少7万多家企事业单位的基本信用信息和近40万笔信贷数据的系统,一年中就会接受全省金融机构的查询次数高达18万次。

  而与此同时,为保障人行对外提供业务服务的质量而时时对外开放的大量业务数据、办公公文等有价电子数据信息资产,也必须要通过保障内联服务器的永续运行,才能确保外界能够对其实现不间断的访问,实现全行信息资源和系统资源的共享,及总行、大区行与各分支行之间的信息传输。“但是,如何适应大范围网络环境的集中管理,减少银行信息系统的脆弱性,最终建设起一个可以长期适合银行发展的信息安全管理中心,一直是一个令我们安徽人行头疼的内联网安全稳定运营课题。”曾经的烦恼李鹰至今难忘。

  然而说起来容易做起来难。“我们以前也用过不少国内外厂家的安全设备。但用了一阵子后不是发现配置不适用,界面很复杂,使用不方便,就是价格高而安全系数低,而且出于人行本身所处的特殊地位,我们始终认为国外品牌的产品还是不够可靠。”而整是在这样一轮轮的反复论证、重新选择中,东软的NetEye 防火墙最终脱颖而出,一举中标。

  在该产品随后一年多的运行使用过程中,安徽人行内部的工作人员们已经切实感觉到了银行内联网业务系统平稳运行能力的大幅提高。且更为重要的是,其在将种种原因造成的非计划宕机成功减小到了最小程度的同时,还有着出乎安徽人行意料的强大突发事件处理能力。李鹰告诉记者:“银行数据处理有着时间性非常强的特点,比如每天临下班的时候,特别是年终结算的时候,数据量都会非常大,因此就要求所安装的防火墙能够承载与处理这种突发事件。但以往我们使用过的很多防火墙恰恰是在这一点上能力不足--平时倒没什么问题,偏偏一遇到突发的、大数据量的情况,就容易发生堵塞,或者处理不了,丢包什么的,对我们银行的工作影响相当大。但东软的这款产品在这方面就很不错,日常运转非常稳定,至今没有出现什么毛病。”

  而产品自身的稳定性在提高了安徽人行工作效率的同时,反过来又大大降低了其系统维护成本。李鹰表示:“现在我们几乎就不需要什么事后技术支持服务,倒是东软的技术和销售人员常常会进行一些回访,询问是否有什么服务需求,及提供一些后继产品方面的信息。比如东软在去年11月推出一款基于NP架构的全新NetEye防火墙产品后,就及时地对我们进行了产品升级服务。”此外,听从专业技术人员的建议,安徽人行还把一台以前一直直接放在内网里面、外部能访问的服务器搬到了一个隔离区里,从而使得外网的人只能到这里来读取数据,大大降低了危险发生的概率。

  而通过这件事,李鹰深刻地意识到,银行网络安全事故的频发,其实与银行网络本身就存在的种种安全殷忧也有着密不可分的因果关系。“所以说,网络安全其实是一个系统的、全局的管理问题,网络上的任何一个漏洞,都会导致全网的安全问题。因此银行系统在营业一线严抓管理、狠抓规章制度的制定和落实的同时,还必须积极主动地咨询专业人士,通过种种科技手段,运用识别技术、存取控制、密码、低辐射、容错、防病毒、高安全产品等专业措施,从技术上堵住各种安全漏洞,才能使不法犯罪分子无可乘之机。”


东软计算机安全应急小组的故事

  东软计算机安全应急小组( NCSIRT )从2000年成立至今,已经通过多种方式为电信、银行、证券、政府、企业等客户提供了不同级别的安全服务支持。尤其是2004年4月的一次应急响应服务,更加证明了NCSIRT有能力保障电信级网络环境的安全。

  2004年4月,××电信运营商IDC持续遭受DDOS攻击,影响范围包括其业务网站和Email服务器。“养兵千日,用兵一时”,东软计算机安全事件应急小组NCSIRT接到通知后,第一时间赶到用户现场, 与用户充分的沟通后,迅速启动应急方案和工作流程,有条不紊地为用户提供了一套合理而完整的应急响应服务。

  第一步 协助恢复系统正常工作

  东软计算机安全应急小组( NCSIRT )使用有效的检测方法对攻击数据包进行分析,迅速判断出此次攻击主要针对80端口以及21端口,遭受攻击的网站由于资源消耗殆尽而无法再给用户提供页面访问。NCSIRT深知运营网络可持续性运行的重要性,决定本着“先抢通后修复”的原则,先利用NetEye防火墙制定相应的安全策略协助该单位恢复系统正常工作。

  NCSIRT对攻击数据包分析检测方法如下: 首先针对http(端口80)建立TCP连接,已完成三次握手,但是客户端不结束连接,消耗Web服务器(IIS)连接资源,使得正常用户很难访问此网站;接着,发现攻击地址随机分布,来自不同地域,为真实地址,源端口连续,每秒建立连接2000次左右;而后,通过查看NetEye防火墙内容过滤日志,发现有GET / HTTP 1.1 URL记录,此URL出现通常表明有扫描程序在对Web Server进行扫描,以判断其类型。

  根据对攻击数据包的分析,NCSIRT调整NetEye防火墙的策略如下:

  ◆ 在内核配置智能统计策略。根据总体带宽和资源情况限制单位时间内单位IP地址的Syn连接次数。典型策略为先对此源地址的连接数据包延迟处理,但缩短超时时间。如果该源地址的出现频度持续增加,将此地址列入黑名单,进行一次性规则限制。

  ◆ 在前端开启Syn验证功能:对伪造源地址的Syn Flooding进行防范。

  ◆ 开启内容过滤功能:限制head关键字,多数扫描器实现时使用head代替GET。 替换服务器信息,屏蔽“ Microsoft-IIS/5.0”,替换为“HelloChina”等不相关信息,使扫描器得不到正确的服务器信息,无法发出针对该类服务器定制的漏洞探测或者攻击包。

  ◆ 设置连接超时时间。根据网络负载和应用情况进行判断,比如http为短连接应用协议,这样可以把超时时间缩短,将大大减少攻击频度。

  第二步 协助用户检查入侵来源、时间、方法等

  东软计算机安全应急小组协助用户找到了此次DDOS攻击中,直接攻击者出现频度较大的有:

  ×. ×. ×.143××电信ADSL

  ×. ×. ×.176××电信ADSL

  ×. ×. ×.249××电信ADSL

  ×. ×. ×.238××省××市ADSL

  ×. ×. ×.18××有线

  ×. ×. ×.94××有线宽频

  ……

  第三步 对网络进行内外评估,找出其他网络安全风险

  内因:系统自身配置有缺陷,如有严重漏洞、后门等。对此Web服务器做远程安全评估,判断是否存在远程访问应用级风险漏洞、排除。对此Web服务器做内部安全评估,判断是否存在后门或者本地漏洞,在SNMP等服务配置方面存在漏洞,但是由于PIX对此端口进行了屏蔽,因此排除服务器配置存在漏洞因素。所以,最后得出结论是Web服务器采用Windows 2000 Server + IIS 5.0,性能相对较差。并且没有对服务器信息进行屏蔽,客观上增强了攻击者的信心,成为攻击产生的诱因。

  外因:DOS攻击,DDOS攻击。DOS攻击很难完成三次握手,一般来说会伪造源地址,会使用一种单一的状态,典型的就是Syn Flooding。在同一时刻出现大量不同的访问源,并且完成正常的连接开始,但是不进行正常的连接结束,此时可以判断系统正在遭受DDOS攻击。

  第四步 事件分析报告

  NCSIRT一直努力想把应急响应的被动响应做成主动服务,力求与其他安全服务有机融合,因此事后我们向用户提交了一份详细的工程记录文档和安全策略建议,建议中提到还存在安全技术手段使用不足的问题,虽然采用了防火墙和防毒系统,但是却没有充分利用好保护网络安全的工具和资源,让用户知道怎么出的问题、问题出在哪里、怎么解决的问题、今后该注意什么。

  由应急响应做到网络评估再做到用户培训和安全咨询,随时随地关注用户网络安全,这充分体现了东软全套安全服务解决方案的优势。

  第五步 跟踪用户运营情况

  “魔高一尺,道高一丈”,新的防火墙策略生效之后,攻击逐渐减弱,通过外网访问Web服务器的速度正常,在东软NetEye防火墙的防护下, DDOS攻击者知难而退,暂时停止攻击了。现场观察几天,网络一直正常运行,NCSIRT的工程师才离开,并依然进行着远程跟踪。

  这足以说明:东软计算机安全应急小组是一支响应迅速、技术过硬、服务全面、为用户负责的队伍。


十分感谢您阅读NetEye安全月刊,我们真诚的希望大家通过这个平台交流NetEye使用经验,提出您的宝贵意见,东软资深安全顾问将竭诚为您提供全面服务。欢迎您发表高论:neteye@neusoft.com

沈阳东软软件股份有限公司网络安全事业部
免费咨询:800-890-8000 技术服务:010-82250952 82250953