2006年12月刊  总第57期
 
  neteye.neusoft.com

查阅过往期刊

订 阅

退 订

 
   

刊首语
[NetEye专访]
    网络运维的新课题——带宽资产管理
[NetEye安全]
    12月安全公告汇编
[NetEye动态]
    东软NetEye异常流量分析与响应系统(Ntars)喜获中国
    计算机报2006年“编辑选择奖”

    东软NetEye出席中国信息产业商会“媒体宣传工作委员会
    工作会议”

    “IT两会”东软NetEye为安全管理出谋划策
    东软NetEye亮相中国信息化推进大会
    

刊 首 语

NetEye新年寄语

  岁月的车轮辗转驶到了2006年底,而东软也在夸父逐日般地与时间赛跑。当东软站在岁末年初,回首过去时,才发现06年的辉煌中有许多成绩是同一个兵团创下的。这支队伍厉兵秣马,骁勇善战,不断的开拓疆土,成为东软战功卓著的团队,它就是网络安全产品营销中心。

  东软NetEye系列网络安全产品、网络安全服务品牌及市场占有率自2001年以来一直在中国行业品牌中名列前茅。2006年又是东软安全持续快速发展的一年,也是东软安全从1996年成立实验室至今走过的第十个年头。历经十年风雨,东软网络安全以技术、人及对行业深厚经验积累为基础的核心竞争力愈加突出,并在中国信息化发展中一直勇当信息安全保障建设的开路先锋。

  十年的发展历程中,东软与客户共同成长、发展,走向成熟。十年中,我们也得到了您多许的支持与关注,未来我们更加需要您一如既往的鼎立相助。当07年的曙光露出地平线时,我们衷心的祝福您新的一年,身体安康,工作顺意!

  Happy New Year!



  网络运维的新课题——带宽资产管理

引言:随着互联网的全面繁荣,特别是行业信息化应用的深入,对信息安全建设的需求愈发强烈。信息安全正从过去的“有病乱投医”,逐渐向清晰务实的行业应用转变,无论硬件、软件、信息安全服务还是用户的应用,都开始脚踏实地、稳步前进。近日,本刊记者针对安全管理的范畴,专程采访了东软网络安全事业部总经理曹斌博士,也进一步了解到东软在安全管理方面取得的新的研究成果。

网络运维的新课题——带宽资产管理

                                     

  在很多行业中,信息中心职能部门管理着诸如网络设备、服务器、存储系统等有形资产。而当出现蠕虫泛滥、垃圾邮件等安全问题的时候,事实上受害的不仅仅是这些有形资产,而是在更大程度上威胁到以带宽资源为代表的无形资产。东软认为,对带宽这种无形资产的管理已经成为构成网络运维工作最为关键的内容,带宽资源如何被使用、被谁使用、处于何等状态、出现异常问题时应如何解决,这些均对现有的安全技术提出了挑战。

网络运维的新课题

  目前高端网络运维人员日常工作的重点已不再局限在观测设备的运行状态、检查设备配置文件层面,而是把更多精力放在满足客户对服务质量的直观感受上。如,运维商几乎每天都会处理到大客户关于光纤专线速度慢,网络受到DoS/DDoS攻击,与业务无关的带宽资源被占用等问题的投诉,这往往与运维部门所掌握的监测数据存在较大出入。此类问题的症结主要来源于三个方面:第一、视角不同,客户相信其所看到的,而运维人员相信其所做到的;第二、关注点不同,客户最关心的是服务质量,运营商则更关注承载网络设备的平稳运行与维护;第三、权责范围不同,客户有权得到符合合同要求的服务质量,而运维人员则必须在己方范围内独立实现该承诺却无法对客户网络提出额外要求。因此,对运营商来说根本的矛盾则是带宽的永远不够用——接入用户的数量在不断增加,用户使用带宽的能力也在不断增加(IM、网游、IP语音、P2P都在大幅度增加普通接入客户占有带宽的能力),但是运营商的承载网络的能力并没有按照这样的乘积关系发展。

  随着中国宽带用户的持续增加,运营商骨干网络中的流量正变得日益复杂,网络流量的非线性增长也给骨干网络造成空前压力。同时,DoS/DDoS攻击、大规模爆发的蠕虫病毒以及充斥网络的垃圾邮件也是运营商面对的长期挑战。如何对不同类型的网络流量进行实时监测、深度分析,在掌握“第一手”资料的基础上对带宽进行科学管理,保证正常业务的健康、持续运行,这种需求正在被国内大型客户所关注,并形成安全产业中新的热点。

  可以看到,带宽不足的问题已经悄悄跨越了一个历史性的拐点,将成为长期性的难题。对运营商来说,除了持续提高带宽承载能力以外,另外一个关键的任务就是要具备带宽的管理和保证能力。因此应该有一种手段,能够把运维重点从硬性资产转移到软性资产上,并在现有网络资源的基础上,提高客户最终可得的服务质量,同时,运维人员应该具备对客户的不同应用进行区别服务的能力,保障客户关键应用的优先处理。可以说作为服务于所有人的高端网络,在现阶段中最鲜明的服务质量标志就是可用带宽,因此这也成为网络运维工作的新课题。

传统安全设备的局限性

  由于目前众多的监控审计系统采用了根据已知的攻击特征行为来确定安全问题的方法,无法对未知攻击方式或者异常访问行为进行识别和检测,因此传统的安全设备在网络应用日益复杂的大环境下产生了明显的局限性。

  第一,传统的带宽控制系统的局限性。带宽控制系统通常针对某一具体节点/网段进行工作,工作前提是通信实体身份和应用业务类型是事前可确定的,因此并不适合骨干链路的部署。另外带宽控制系统执行的是管理员预设的策略,无法根据链路实时流量分布进行动态调整,同时带宽控制系统难以提供与高端网络相适应的处理能力和端口类型,作为主要面向stub网段应用的带宽控制系统,无法提供足够的稳定性。

  第二,串联式过滤系统的局限性。DDoS过滤系统,防火墙是此类设备的代表。作为高运算设备,过滤系统具备对流量分布动态识别能力,但同时也失去了高端网络应有的高吞吐能力。串联式过滤系统一般无法提供高端网络常用的OC-192 POS和万兆GE端口,高运算量意味着较高的故障率,串联式过滤系统将严重降低高端网络原有的稳定性。除了常见的传输层异常流量以外,过滤系统难以对应用层行为进行判断识别和有效控制。

  第三,并联式检测系统的局限性。如IDS,依赖于交换机端口镜像功能,成功回避了对端口类型的苛刻要求,但是10G以上带宽无法通过万兆—>GE端口镜像完成IDS的流量提取,另外,一一对应的端口镜像方式,极大限制了IDS的监控范围,同时,IDS过分依赖于特征匹配的检测方式无法对10G以上带宽进行实时监测,其全文检测的工作模式使系统本身成为检测瓶颈,难以适应高端网络不断涌现的系统扩展趋势,更重要的是,IDS缺乏有效的反向响应机制。

  为了消除传统安全设备的局限性,维护网络运维工作的正常进行,迫切需要产生新的技术。这种新技术应该具备以下特点:是一种新的旁路式的检测系统,能够保护原有网络的稳定性;一种能够根据实时流量部分自动调整带宽策略的响应系统,对主要业务的服务质量进行倾向性保护;同时它是一种能够兼容各类高速链路(如POS、万兆以太等)的数据提取技术、一种灵活、无损,可适应网络扩展需求的数据采样技术、一种能够正确区分不同类型的应用访问行为的具备应用层特征自动识别能力的技术、一种能够提供对异常流量自动作出实质性抑制的有效响应机制的技术。

全面革新的NTars系统

  东软NetEye推出的异常流量分析与响应系统(NTars)正是满足这些迫切的需求,解决传统设备局限性问题的新途径。NTars目标定位于运营商骨干网络的检测分析,通过对骨干流量信息的提取、分析,实时检测网络中DoS/DDoS攻击、P2P通信、Worm、Spam等网络滥用事件,驱动响应系统进行阻断防御。同时,面向管理员提供流量图式、趋势预警、关键应用服务质量等各类关于骨干网络运行状况的统计分析数据,帮助管理员监控和掌握骨干链路及关键资源的运行情况,从而把运维的重点从有形资产管理扩大到对带宽无形资产的管理。NTars的特色主要体现在以下方面:

  第一,在流量抽样统计分析基础上增加了应用层深度检测功能。由于很多网络资源滥用行为(如P2P通信)无法通过Flow的特征字段得以详细描述,因此NTars内置了应用协议深层检测模块,并可由流量抽样分析模块进行驱动调节,自动对可疑流量按需启动协议分析、内容过滤、报文还原等操作,即可保证流量分析范围的横向幅度,又可实现关键流量检测的纵向深度,从而达到高带宽流量海量处理能力与应用层协议深层分析力度的协调统一。

  第二,NTars兼顾了对网元设备的监控分析。在NTars技术框架中,把链路流量图式和网元设备状态同时纳入系统分析基础数据库中并进行高度关联分析,不仅能够大幅度提高流量分析结果的准确率(如通过流量分析得出的“流量异常”表象往往有可能是由于网元设备错误策略配置等内在因素所诱发的),而且通过对网元设备的主动分析/调节还可更精确的预期流量走势以及缓解异常流量带来的影响。

  第三,增加更具实际意义的响应手段。分析报告生成几乎是异常流量分析系统的主要数据输出方式,但高端网络管理员几乎没有足够的时间对那些流水帐进行一一分析并作出合理修正操作。NTars通过增加新的响应手段一举扭转了这种“不作为”的局面,NTars在管理员的配置策略允许前提下,能够自动对异常行为做出智能响应以快速缓解异常流量造成的后果,如自动调整路由设备ACL/防火墙过滤策略/交换设备端口接入控制(NAC)、诱导异常流量进入应用检测/DDOS防护/病毒过滤等针对性功能单元,可大幅度降低管理员作业负担并提高系统防护力度。

  总之,网络带宽本身就是一种资源,而且是付费用户可感受到的、最直观的服务质量评价因素。但这一点在很多用户和业务系统中被忽视掉,没有得到很好的管理控制。东软NetEye异常流量分析与响应系统(NTars)针对运营级骨干网络环境,从网络安全防护体系和网络运行维护体系两个层面双管齐下,综合运用网络安全技术和管理维护技术的互补优势,直接面向高端网络运行维护实际需求,是使运营网络最大程度实现客户服务质量承诺条款的有利支撑工具。


  12月安全公告汇编

  发布日期: 2006年12月 东软NetEye攻防小组

  摘要

  2006年12月,微软发布12月份安全公告,包括7个漏洞公告,描述并修复了多个安全漏洞,其中3个安全公告属于“紧急”风险级别,攻击者利用这些漏洞可能远程入侵并完全控制服务器或者客户端系统。攻防小组对重要的安全公告进行了汇编。建议用户检查自己的系统是否受这些漏洞的影响,并安装补丁予以解决。

紧急 (3)

公告标识符 Microsoft 安全公告 MS06-072
公告标题

Internet Explorer 的累积性安全更新 (925454)

摘要

脚本错误处理内存损坏漏洞 - CVE-2006-5579:

由于在某些情况下出现处理脚本错误时尝试访问以前释放的内存,Internet Explorer 中存在远程执行代码漏洞。 攻击者可以通过构建特制的网页来利用该漏洞。 如果用户查看网页,该漏洞可能允许远程执行代码。 成功利用此漏洞的攻击者可以完全控制受影响的系统。

DHTML 脚本函数内存损坏漏洞 - CVE-2006-5581:

Internet Explorer 解释某些对错误创建的元素的 DHTML 脚本函数调用的方式存在远程执行代码漏洞。 攻击者可能通过构建特制网页来利用此漏洞,如果用户查看了该网页,则可能允许远程执行代码。 成功利用此漏洞的攻击者可以完全控制受影响的系统。

TIF 文件夹信息泄露漏洞 - CVE-2006-5578:

Internet Explorer 在某些情况下处理拖放操作的方式存在信息泄露漏洞。 攻击者可能通过构建特制的网页来利用此漏洞,如果用户查看该网页并执行交互,则可能允许信息泄露。 成功地利用此漏洞的攻击者可以从用户的系统上的临时信息文件 (TIF) 文件夹中检索文件。

TIF 文件夹信息泄露漏洞 - CVE-2006-5577:

Internet Explorer 中存在一个信息泄露漏洞。在某些情况下,可能会泄露 TIF 文件夹中缓存内容的路径。 攻击者可能通过构建特制的网页来利用此漏洞,如果用户查看了该网页,则可能允许信息泄露。 成功地利用此漏洞的攻击者可以从用户的系统上的临时信息文件 (TIF) 文件夹中检索文件。 不过,要利用此漏洞,需要进行用户交互。

严重等级 紧急
漏洞的影响 远程执行代码。
受影响的软件 Windows、IE。漏洞详细信息及解决方法请点击链接参考微软安全公告

公告标识符

Microsoft 安全公告 MS06-073

公告标题

Visual Studio 2005 中的漏洞可能允许远程执行代码 (925674)

摘要 WMI Object Broker 漏洞 - CVE-2006-4704:

WMI 向导在 Visual Studio 2005 中使用的 WMI Object Broker 控件中存在一个远程执行代码漏洞。攻击者可以通过构建在用户查看网页时允许远程执行代码的特制网页来利用此漏洞。 成功利用此漏洞的攻击者可以完全控制受影响的系统。

严重等级

紧急

漏洞的影响 远程执行代码。
受影响的软件 Visual Studio 2005漏洞的详细信息及解决方法请点击链接参考微软安全公告

公告标识符 Microsoft 安全公告 MS06-078
公告标题

Windows Media Format 中的漏洞可能允许远程执行代码 (923689)

摘要 Windows Media Format ASF 分析漏洞 - CVE-2006-4702:

Windows Media Format Runtime 由于其处理高级系统格式 (ASF) 文件的方式而存在一个远程执行代码漏洞。 攻击者可能通过构建特制的 Windows Media Player 内容来利用该漏洞。如果用户访问恶意网站或打开包含恶意内容的电子邮件,则可能允许远程执行代码。 成功利用此漏洞的攻击者可以完全控制受影响的系统。

Windows Media Format ASX 分析漏洞 - CVE-2006-6134

Windows Media Format Runtime 由于其处理高级流重定向器 (ASF) 文件中包含的某些元素的方式而存在一个远程执行代码漏洞。 攻击者可以通过构建特制的 ASX 文件来利用此漏洞,如果用户访问恶意网站(其中特制的 ASX 文件用于启动 Windows Media player)或点击指向特制 ASX 文件的 URL,该文件可能允许远程执行代码。 成功利用此漏洞的攻击者可以完全控制受影响的系统。

严重等级 紧急
漏洞的影响 远程执行代码。
受影响的软件 Windows漏洞的详细信息以及解决方法请点击链接参考微软安全公告

  >>>查看全文


  东软NetEye异常流量分析与响应系统(Ntars)喜获中国计算机报2006年“编辑选择奖”

  时值年末,东软NetEye再传喜讯——异常流量分析与响应系统(Ntars)荣获由《中国计算机报》评选的2006年“编辑选择奖”,这也是东软NetEye安全产品连续五年获此殊荣。

  作为中国IT界最具权威的奖项之一,中国计算机报社集百名编辑与评测工程师之力,对22大类的过千款IT产品进行了详尽的评测,此次东软NetEye Ntars能够在众多安全类产品中脱颖而出,充分展示了其面对异常流量实时监测、深度分析、科学管理的核心竞争优势。

  东软网络安全营销中心技术总监李青山在介绍时指出:NetEye Ntars采用独创的ICA技术为骨干网络提供了全方位、立体化的流量监控、分析与响应体系,为整个网络的安全稳定运行提供了坚实的基础。随着中国宽带用户的持续增加,运营商骨干网络中的流量正变得日益复杂,网络流量的非线性增长也给电信骨干网络造成空前压力。同时,DoS/DDoS攻击、大规模爆发的蠕虫病毒以及充斥网络的垃圾邮件也是运营商面对的长期挑战。这些异常流量不仅极大的占用带宽资源,而且无时无刻都在消耗着CPU、内存等网络设备的系统资源。如何对不同类型的网络流量进行实时监测、深度分析,在掌握“第一手”资料的基础上对带宽进行科学管理,保证正常业务的健康、持续运行,这种需求正在被国内大型客户所关注,并形成安全产业中新的热点。东软NetEye于2006年推出的异常流量分析与响应系统(Ntars)、安全运维管理平台(SOC)正是直面这一挑战,解决这一问题的新途径。

  在对异常流量的实时分析方面,Ntars把通信流量分成已经建立流量基线数据和尚未建立两种情况,通过设置阀值和对流量排序两种不同手段判断可能存在的异常流量;同时,允许用户根据自身网络情况和关注重点的不同,设置包括地址、端口速率等不同的监控参数,形成关于流量变化的报表,达到流量趋势预警的目的;值得说明的是,Ntars采用先进的数据流智能重组技术,以数据流为对象,辅以强大的攻击特征库,最终达到对攻击进行全面和深度检测的目标,在此基础上根据安全策略,配合防火墙、防垃圾邮件系统等各种网络设备对异常流量采取隔离、过滤、阻断和删除等措施,为用户提供全面的流量检测管理和服务。目前众多的监控审计系统采用了根据已知的攻击特征行为来确定安全问题的方法,无法对未知攻击方式或者异常访问行为进行识别和检测。而“NetEye Ntars采用FLOW、SNMP、SPAN技术的网络异常流量检测和分析机制,在面对已知攻击入侵、变异的蠕虫病毒、新型的DoS/DDoS攻击时,均表现游刃有余。”

  中国计算机报网安主编李刚在为东软安全十年寄语中这样写到:东软安全一开始,面对的竞争就是残酷的,因为安全市场的妖娆,已经引无数英雄竞拔刀;但是东软安全人却硬是用“一步一个脚印”的精神,走出了自己的一片天空。

  其他相关动态


  十分感谢您阅读NetEye安全月刊,我们真诚的希望大家通过这个平台交流NetEye使用经验,提出您的宝贵意见,东软资深安全顾问将竭诚为您提供全面服务。欢迎您发表高论:neteye@neusoft.com

沈阳东软软件股份有限公司 网络安全事业部
客户服务热线:400-655-6789