刊　首　语

深入用户的NetEye
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　文：路娜

　　“以用户为中心”一词如今广泛的应用，甚至到了泛滥的地步。深入用户的基础是建立在对用户了解之上的。东软安全一直坚持关注用户业务实际应用的方方面面。以此来真正了解用户的真实需求和问题所在。让技术人员、销售人员、市场人员更深入的了解用户，必须要改变他们的态度。东软人从开发实验室，从办公室，从会议室走出来，与我们的用户现场进行技术上的沟通，与我们的合作伙伴进行需求上的探讨。东软安全采取这些行动，就是为了与用户一起分析问题，解决问题，帮助用户将东软安全的技术和产品深入到用户实际业务应用中。同时这种用户价值的提升，也激发了技术人员不断的创新意识和动力。在8月刊中，您可以看到我们IPS产品在深入了解用户需求后进行的技术上的革新，您也可以看到我们的SOC在深入用户需求后展示出的产品优势，您也可以看到我们的攻防实验室为用户提供的最新安全公告。

　　秋风吹不尽，平湖映明月。期待东软安全与用户渐行渐近，不断为用户提供更好的技术，更好的产品，更好的服务。

　　如今政府和商业组织的正常运转日益依赖于各种应用系统，而web应用由于其使用方便，功能多样的特点，被越来越多的运用到各行各业，如电子政务，网上银行，网上购物等等。随着web应用的普及和发展，web应用的安全却一直没有得到很好的重视，存在的安全遗患已经确实对web应用所承载的业务构成了威胁。根据新近公布的一份威胁分析报告，由于普遍薄弱的web安全意识，同时缺乏有效的防护手段，web应用正成为最大的安全盲点和风险来源。

一、 Web应用安全所面临的挑战

　　Fortify Software公司通过6个多月的搜集汇编形成一份详细的调查报告。从Fortify的报告可以看出，web应用攻击最主要的3类方法是：机器人攻击（bots storms）；Google Hacking；直接攻击。
　　1. 机器人攻击（最常见的Web攻击方法）
　　平均来讲，针对web应用的50%-70%的攻击来自于机器人和自动搜索已知漏洞的机器人网络。这些自动的探测查找到不经保护或者没有打补丁的应用中的组件，如果探测成功就发送恶意代码。
　　数十万个探测器在整个Internet上传播并且不停的攻击web应用，这种攻击可以忽略不计，也可能会造成非常巨大的破坏，取决于web应用的建造方式。例如，基于Java/J2EE的Web应用就不会承受基于PHP的攻击。然而，探测器对于应用基础结构的探测，很有可能是基于蠕虫的攻击，甚至直接攻击的前奏。
　　2. Google Hacking
　　像Google这样的搜索引擎收集大量他们索引中的web网站上的有用信息。如果一个web站点不小心暴露了敏感的信息，或者报告了一个漏洞的存在，那时，Google的站点索引就会包含这个漏洞的蛛丝马迹。举个例子，一个web应用在一个网页失灵的时候，会报告诊断错误，例如堆栈轨迹等。黑客可能利用这些信息获得应用中的组件和内部结构的映射信息。堆栈轨迹可能同样会暴露不同组件的名称和版本信息。这些开放的信息也是应用代码中的典型bug——越来越多的黑客利用这些潜在的错误。
　　3. 直接攻击（最危险的web应用攻击方法）
　　直接攻击是以特定网站为目标的安全事件。不像蠕虫，直接攻击是由人主导的——即使有时攻击者会使用一个自动机制。这种攻击不经常发生，但更加诡秘和危险。这种攻击最常用的技术就是跨站脚本，SQL注入和缓冲区溢出攻击。

二、 NetEye IPS的web应用安全防护引擎功能介绍

　　据统计，1000万攻击事件中的64%是以80端口也就是HTTP协议为目标的，这意味着，通过对利用HTTP协议的攻击进行防护，就可以解决掉64%的攻击事件。NetEye IPS主要通过对利用HTTP协议的攻击进行限制来保护web应用不受攻击。这对于一个网站或基于web的应用系统来说，意味着绝大多数安全问题都有了一个有效的预防和解决手段。

　　NetEye IPS对HTTP协议进行了细粒度的分析，例如可以将url分解成host，path，query等几部分，将cookie头部内容分解成若干对参数名和参数值，这样，就可以根据不同的位置，制定相应的防御规则。这样做的好处显而易见，就是能够减少漏报和误报率，并且加强捕捉攻击时的准确率。而像snort一样的系统只能将HTTP请求整体作为一个字符串进行处理，并且只能够提供字符串的匹配操作。

　　同时，NetEye IPS将HTTP请求在两个层次上进行过滤，以保证web应用的安全：
　　1. 协议层，对于违反协议的请求进行过滤；
　　NetEye IPS的协议层防御是根据RFC协议以及一些常见的需求对HTTP请求过滤。通过协议层的过滤，可以防范很多的自动攻击和缓冲区溢出攻击。
　　很多的自动扫描工具发出的HTTP请求虽然符合HTTP协议标准，但是请求消息非常简单。例如有的自动扫描工具生成的HTTP请求只有请求行，而缺少Referer，Cookie，Host等头部。web服务器无法对HTTP请求消息进行特别的要求，而NetEye IPS的协议层提供了很多规则，例如一个HTTP请求消息必须包含Cookie头部等，用户可以通过在NetEye IPS上选中相应的规则，来自定义其需要的HTTP请求的结构，起到保护应用服务器的目的。同时，如果web应用本身使用了一些不符合协议的HTTP请求方式，NetEye IPS可以通过调整协议规则保证该web应用的正常使用。
　　一般情况下，攻击者进行缓冲区溢出攻击时，都是使用超长的字符串。使用NetEye IPS后，就可以通过在IPS上设置相应HTTP请求的特定部分的长度约束来解决这个问题。由于NetEye IPS可以对HTTP协议进行细粒度的分析，因此可以对HTTP的请求行，请求行参数，各个头部，实体等分别设置不同的长度要求。
　　2. 攻击层，对于符合攻击特征的请求进行过滤。
　　NetEye IPS的攻击层防御目前对跨站脚本，注入，系统命令执行，目录遍历等攻击方式进行了过滤，主要依靠对攻击特征的检测。这些攻击一般都是符合RFC规范的，所以依靠协议层并不能发现和防御这些攻击。
　　经过调查，这几类攻击特征都出现在HTTP请求消息的4个部分，即请求行中的url，Referer头部中的url，Cookie头部中的所有参数名和参数值，使用POST方法的“application/x-www-form-urlencoded”类型的请求实体。攻击者正是通过篡改这几个部分中提交的参数来发起攻击的。攻击层在HTTP请求的这4个部分对攻击特征进行了精确检测，实现了对这几类攻击的防御。
　　NetEye IPS采用了解码和去掉一些特殊字符等预处理方法平解决攻击者躲避检查和隐藏攻击的问题。
　　首先说解码，解码应该分成两类，第一类是HTTP协议使用的url编码，目的是为了避免与协议解析中的特殊字符冲突，例如空格，等号等。第二类是被攻击者利用来躲避安全设备检查的编码方式，例如常被跨站攻击利用的html页面可以识别的html entity编码和unicode编码。这样，就需要在匹配相应的攻击规则之前，进行相应的解码。
　　其次，进行完解码之后，还需要进行另一种预处理技术，那就是去掉协议解析之外的特殊字符：“\r”换行符，“\n”回车符和“\t”制表符，因为，这些字符都是被攻击者经常用来躲避IPS/IDS等设备检查的。例如，“<IMG SRC="javascript:alert('XSS');">”这样一个跨站攻击脚本，假设以“javascript:”这个关键字作为攻击特征，可以被检测到。但是如果将攻击脚本变成“<IMG SRC="jav\tascript:alert('XSS');">”，以“javascript:”作为攻击特征将不会被检测到，而这个脚本同样可以攻击成功。NetEye IPS采用的预处理技术可以有效地避免这种问题的发生。

　　>>>查看全文

　　近年来，金融系统中许多企业采取了相应安全控制措施降低安全风险，部署了一系列的访问控制类和安全审计类的安全设备。但随着金融机构的不断扩容和业务不断增加，相关的安全信息量也在迅速膨胀，使得技术人员逐渐感到：利用传统的安全产品很难快速定位和解决安全问题，从而降低了信息安全保护的效果和投资效益。

　　安全部署存在多重隐患

　　信息量过载、技术人员匮乏，这些问题越发暴露了单点部署、非统一结构的安全运维体系的脆弱性，并主要表现在以下几个方面：第一，安全设备、网络设备、主机系统等各类设备产生大量日志数据和安全信息，使得技术人员无法快速获取有价值的信息，海量数据导致信息处理工作量过载；第二，各类设备，产生安全信息的数据格式各不相同，因为不能进行信息共享和数据交换，无法实现网络安全信息的集中整理和关联分析，导致定损关联也变成纸上谈兵；第三，安全事件发生后，虽然安全设备能够提供一定的解决方案，但缺少合理的任务调度处理流程和针对事件处理过程的跟踪机制，导致安全事件不能被快速和有效的处理，同时技术人员的工作效率也无法衡量；第四，缺少统一的安全知识共享平台，导致组织整体的安全水平不高；第五，信息安全管理和安全技术相对孤立，缺乏衔接二者的接口，使得管理和技术都只起到事倍功半的效果。

　　安全运维需要科学管理

　　针对组织面临的上述种种安全困难，东软NetEye提供了以信息资产为核心，以风险管理为主要途径，有效结合安全管理和安全技术，建立主动安全防御体系、有效降低安全风险的安全运维解决方案。

　　东软NetEye安全运维解决方案的核心是东软NetEye安全运维平台(SOC)。通过此平台能为组织逐步实现：清晰展示组织的安全风险，提供降低风险的方法，驱动组织的安全维护人员降低安全风险，最终实现安全管理和安全技术的结合，建立统一结构的安全运维体系。NetEye安全运维平台的体系结构总体上可分为数据采集、数据处理、应用服务、展示平台四个逻辑层次，这四个层次结合原始数据来源设备，构成完整的安全运维解决方案。

　　安全管理应该因需而变

　　东软NetEye安全运维平台解决了海量数据和信息孤岛的困扰，整体上简化了安全管理的数据模型。来自网络各类设备的安全信息都会存储到一个通用数据库中，然后根据定制的安全策略对这些数据进行分析。所有的信息与资产关联，完成风险分析、风险监视、风险处理。NetEye安全运维平台成为安全维护人员在安全运维过程中的一把利器，能够更有效地响应不断变化的安全风险。

　　东软NetEye安全运维解决方案（见下图）的更大魅力在于其所提供的完善的扩展能力。NetEye安全运维平台提供了稳定的基础框架，提供了工单管理、资产管理、风险管理、策略管理、安全预警等通用的基本功能模块，同时还提供丰富的接口可供行业用户进行定制扩展开发，构建全新的功能部件和通信接口，面向特定应用、特定业务进行针对性的管理监控，从而实现安全解决方案与客户实际业务情况的最大程度的贴合。该项特色诠释了NetEye安全运维平台作为NetEye安全运维解决方案核心的真正含义和价值所在。

　　总之，东软NetEye安全运维解决方案帮助用户实现了由零散安全产品到信息保障体系的转变。它除了包含技术以外，还有两个重要的组成部分：人（维护人员、应急小组）和操作过程（相应的管理制度和事件处理流程），体现了信息保障所强调的人、技术、操作三个核心原则。因此，东软NetEye安全运维解决方案不仅是技术手段上的快速提升，同时也是管理体系上的高效改进。

　　发布日期： 2006年8月 攻防小组

　　摘要

　　2006年08，微软、Apche、IBM等相继发布安全公告，这些公告描述并修复了多个安全漏洞。这些安全漏洞中大部分属于紧急级别，攻防小组对重要的安全公告进行了汇编。建议用户检查自己的系统是否受这些漏洞的影响，并安装补丁予以解决。

紧急 (12)

　　>>>查看全文

　　金秋是收获的时节，近日东软与河南省电力公司签订近三百万元的NetEye防火墙供货合同。该项目覆盖河南电力省公司和全省18个地区供电公司及直调厂站的数据网络，此项目的成功中标在河南电力行业信息化建设中具有重要意义，为东软在河南电力行业的深入合作奠定了坚实的基础。

　　在电力信息网中，网络安全问题一直是威胁电力系统安全、稳定运行，影响数字电力系统信息化实现进程的重要因素。维护网络安全，确保业务系统的稳定可靠、防止“内外部黑客”的攻击，制定应急响应措施等都是电力网络信息系统安全不可忽视的组成部分。河南电力公用信息数据网络作为电力系统的公用设施，其上运行有多种系统，如办公管理、营销管理、财务管理系统等，用于实现全省电力系统生产管理信息资源的共享。对于信息数据网络安全项目合作伙伴的选择河南省电力公司非常规范和严格，先后利用集中设计、集中招标、集中管理等方式对众多的安全厂商进行了综合调研及评估。在对河南电力网络的风险评估后，东软提出了以加强对应用层面安全防护为主的解决方案。由于针对用户网络应用层的安全风险规避和解决对用户最关心问题，加之对东软安全产品的全面了解和性能测试，方案最终得到河南省电力公司的认可，并在激烈的竞标中一举击败了强有力的竞争对手，取得了成功。

　　东软认为，电力信息网络的安全是一个系统的、全局的问题，只有从电力系统综合整体的角度去看待、分析，仔细了解用户需求才能制定出有效、可行的安全整体解决方案。东软安全从1996年成立实验室至今,10年间以技术、人及对行业的深厚经验积累为基础的核心竞争力愈加突出，此次项目的成功中标既是对用户网络“因需而变 因御而安” 能力的一次充分体现。

　　根据赛迪顾问最新发布的“2006年第二季度中国网络安全产品市场分析报告”显示，东软NetEye在中国网络安全市场品牌以7.7％的市场占有率继续排名第一，东软NetEye防火墙继续以14.8％的市场占有率高居榜首，而入侵检测系统也以10.1%持续保持领先位置，凭借在防火墙和入侵检测两个领域的强大优势东软继续领跑中国网络安全市场。

　　据赛迪报告统计：2006年第二季度，中国网络安全产品市场总体规模达11.37亿元，比2005年第二季度增长23.2%。与2005年同期相比，2006年第二季度的网络安全市场增长平稳，市场稳中有升。另外随着国家信息安全等级保护制度的实施，必将大大提高我国的信息安全水平，有力保护我国信息化建设成果。

　　作为中国网络安全领域领军企业，东软一直秉承以客户为中心，以市场为导向，从用户需求出发，通过技术创新为用户提供高品质的信息安全产品和专业化的信息安全服务。2006年上半年，东软NetEye系列安全产品在功能上、性能上表现更加成熟稳定，市场业绩稳步上升。同时整体解决方案及新产品的推出更成为业务增长的亮点，并赢得了市场的认可。

　　2006年第二季度，东软在北京举行了网络安全新品发布会，隆重发布了NetEye SOC（安全运维平台）、NetEye IPS（入侵防御系统）和Ntars（异常流量分析与响应系统）等3款网络安全管理新产品。伴随3款功能先进的高端安全管理产品加入东软NetEye家族，东软推出了精心打造的“因需而变，因御而安”的“安全魔方”——网络安全整体解决方案。东软推出的网络安全“安全魔方”整体解决方案，构建了三个管理维度。首先是技术与产品维度，东软网络安全产品分为网关类（G）、管理类（M）和组件类（C）三大类，共14种核心产品。其中囊括了新推出的NetEye SOC（安全运维平台）、NetEye IPS（入侵防御系统）和Ntars（异常流量分析与响应系统）等。在过程与方法维度，从行业应用、知识应用、过程管理和方法学上全面展示出东软的技术优势；而在服务与支持维度则是更多的调用了东软自身的资源，从客户层面、业务层面、实施层面、支持层面可以全面及时的为客户提供更为便捷的、务实高效的服务。东软“安全魔方”提出的三个管理维度，充分的体现了东软安全产品三大核心竞争优势———人、技术和行业应用积累。

　　安全的最终目的就是面向应用，东软一直倡导 “安全以人为本，应用为先”的理念，并为用户不断变化的需求推出更多高品质的产品及服务。因需而变，因御而安，东软网络安全整体解决方案的推出正是表明了东软安全向应用层不断深入，通过专业化的技术及对行业的精准理解来保障用户各种纵深的应用。

　　2006年8月23日由中国移动研究院主办的“移动通信技术论坛安全组06年新立项目启动会”在京召开，本次启动会主要讨论“WCDMA空中接口安全研究”、“IPv6安全组网研究”两个项目的研究框架等问题。会议目的是开拓移动通信技术业务安全方面的策略、思路并对安全的解决方案进行初步的探讨，希望通过本次研讨会成立移动通信技术论坛安全组。东软作为安全领域的优秀厂商成为安全组的主要成员，会上东软网络安全代表就研究问题进行了深入探讨，得到移动用户的认可。东软也表示将以十年磨砺的网络安全技术和丰富的经验，积极参与移动通信在安全领域的研究工作。通过双方的合作使得这些技术在移动通讯领域中得到广泛的应用。

　　 2006年 8月22日在河南省南阳市召开了为期三天的“河南电子政务高层论坛”。会议集中了河南省直属各单位和各地市信息中心主任等各级信息化建设的骨干领导，会议主要内容是围绕外网平台的建设和政务信息化安全的广泛应用。东软软件股份有限公司作为唯一一家网络安全厂商参与了此次高层论坛并在大会上做了主题演讲。东软网络安全的技术工程师李仰耀在会议上的演讲博得了省领导的赞许，同时也在河南省南阳、鹤壁、濮阳、安阳、商丘、驻马店等信息中心主任和河南省的其他厅局信息中心主任中建立起网络安全建设的信心，演讲从多个方面阐述了东软在信息化建设中所作出的努力，首先提出电子政务发展的现状，国家出台等级保护的影响对网络安全的影响，同时引出政府行业用户需求的发展，以及东软公司技术的相应发展，最后结合实际应用介绍了东软公司十年的发展历程、出色的解决方案和成熟的网络安全产品线。

　　十分感谢您阅读NetEye安全月刊，我们真诚的希望大家通过这个平台交流NetEye使用经验，提出您的宝贵意见，东软资深安全顾问将竭诚为您提供全面服务。欢迎您发表高论：neteye@neusoft.com