日前,由中国信息协会主办,信息化观察网、国润互联信息技术研究院、中国信息协会传媒中心承办的首届中国电子政务安全大会在北京成功召开。东方通副总裁武耀辉受邀出席大会,并带来了题为《助力政务应用云化及等保合规性,构建应用安全基础设施》的主题演讲。
东方通副总裁武耀辉
以下是演讲内容实录:
现在2.0已经变化是非常大的,相对于1.0来讲,事前、事中、事后,防不住的要审计,出了问题要做事后的溯源。与1.0被动保障来看,逐渐向感知预警、动态防护、安全检测以及应急相应进行转变。东方通的重点是希望通过产品内生的安全来实现数据的主动的防御以及自我防护,构建整体的应用基础设施。
首先看一下安全的计算环境,主要是针对边界内的各个方面的安全控制要求所做的设定,主要控制点包括身份认证、访问控制、安全审计和入侵检测。安全管理中心的控制点包括系统管理、审计管理、安全管理和集中管控。东方通的应用服务其主要从这两个方面,安全计算和管理中心上做进一步的努力,聚焦于这两个方面,为客户提供等保2.0的合规支撑。
目前应用安全面临的挑战,首先是面临多种攻击,单纯防御逐渐失效,外部程序有天然的开放性,是安全防御体系中最薄弱的一环,相当于短板。第二方面网络编辑的消融,传统安全控制点逐渐消失。目前超过3/4的攻击正在由网络层转移到应用层,应用层所有攻击中,超过八成左右的攻击是充分利用应用层的安全漏洞,随着业务的发展传统的理念不再适用了,云计算的发展,应用系统之间相当的边界愈加模糊,传统防火墙的部署也是困难了,要求越来越高,不但是重点行业,所有的社会的机构都要对等保进行复合型检查,对我们带来的挑战也是越来越大。
专门针对外部安全来讲,总结出来这么几个问题,首先是受到攻击时的问题是不知道,缺乏攻击分析的溯源能力,应用层的攻击,利用漏洞攻击实际上是主要攻击数据库、文件系统和主机等等,现在防御来看并不是匹配的特别准确,对溯源来讲有难度。其次不管用,现在很多防护是基于网络流量的,根据网络流量特征来进行防护,有一定的概率,黑客绕过流量,直接攻击进来,缺乏深入的防护能力。不好用,缺乏灵活的处理机制,比如当我们发现应用漏洞攻击进来之后,没有快速的进行应用漏洞的封堵机制,快速修复漏洞。看不见,缺乏告警和态势感知能力,尤其是应用自身的安全风险的等级、风险的类型还有应用被攻击的具体的点,这些在态势展示方面还是能力比较欠缺的。
同时在安全纵深方面也是不足的,这是一个安全防护体系的纵深防护体系,可以看到对于应用层次来讲,大部分是空白的,我们需要对防护体系进行一定的优化和改进,优化防护模型,增加应用层的防护能力,完善纵深的防御体系。
根据刚才分析的问题,接下来我就简单介绍一下东方通所给出的解决方案。
大家看一下这是利用东方通应用服务器构架的应用软件基础设施的技术架构,可以看到应用在容器里,如果有攻击发生,从边界到网络到攻击在击穿服务器之前,通过TongWeb,进行业务检测对攻击进行防御。通过网络流量采用的模式,大家都知道,在网络流量防御过程中,每条流量都会进行全类型的攻击检测。内置的防御能力,可以通过内置的算法结合相应的上下文的信息进行针对性的攻击检测,这样大大增加准确性,同时增加性能的影响。
通过TongWeb内置的安全防护能力,把它注入到web运行时,这样对web应用系统来看,相当于自己具有了一定防护能力,大大提高防御的准确性。同时因为是运行时,到被攻击的时候能特别精确的定位到被攻击的是业务系统的哪段逻辑,哪一个模块,哪一个逻辑,这样能够提供一个对战信息,让开发和维护人员精确定位攻击发生在哪里了,怎样快速修复这个漏洞。
同时TongWeb也提供了防篡改机制以及虚拟补丁功能,进一步增强,保护应用系统的安全。接下来看一看TongWeb容器云版大致情况,TongWeb容器云版主要致力于为构建新一代软件基础设施而提供强力的支撑,具有很高的安全性,容器云版可以高效利用系统资源,具有更高速的启动时间,可以进行持续的交互和部署,实现更轻松的前移以及更便利的维护和扩展。
从架构图来看,提供了增强,包括等保2.0安全服务能力和其他的组建服务能力,能够实现应用的集中部署,为应用集中部署系统的集中监控和运维,统一监控和运维以及弹性伸缩提供了运行环境,同时也支持了一键部署,加速商业云和基础设施建设的过程。容器云版等保的安全特性主要是低误报,TongWeb容器云版能在每次成功的被攻击过程中,能进行精确的机动,并且进行及时的报警。第二点我们能发现更多攻击,边界设备只能看到请求的信息,而TongWeb引擎不但能看到请求信息,还能看到完整的,可以结合运营时的上下文进行关联,如果有更多的攻击信息可以进行及时的发现,相当于能发现更多的攻击行为。第三点对抗未知的漏洞。防护引擎可以识别系统执行过程中异常逻辑,比如反序列化漏洞中执法非法的命令,因此可以来对抗未知的漏洞。
TongWeb容器云版的核心功能有哪些?我们可以看一下,首先它是提供了Java EE运行环境,支持主流标准规范。有细密度的运维管理能力,能对运营商的状态进行监控和集中管理,同时对各个节点进行监控。在业务连续性保障方面提供知事的故障隔离和秒级自愈能力,实现业务连续性提供很好的保障。连或性和可运用性方面,提供弹性伸缩的支持能力,支持智能的负载均衡策略,提高性能的同时,有很高的高可用性。在安全方面来讲,支持国家等保2.0合规要求,能提供多层次的安全防护和准入机制,保障容器、应用服务其、应用的多层级的安全。当然还支持其他功能,包括IPV6的支持等等功能。
作为TongWeb容器云版的核心价值,可以看到低成本、高资源利用率,快速响应,敏捷高效集成,更好支持开发运维一体化,提升运维的便捷性,更细颗粒度的进行监控和运维,好多云平台大部分是粗颗粒度的,不知道具体应用服务器以及应用运行的状态和资源占用情况,更细力度的管理和监控,是越来越必要的。同时,能够提高高可用性,这些特点都是我们作为软件基础设施所必备的特性。
利用TongWeb容器云版的安全收益,重要的是能够提升应急处理的效力,能实时将风险预警和监视,同时能提高应用的安全防御能力。这些都是为软件基础设施整体的安全体系进行了很好的完善和改进,保证整个应用基础设施的安全。
东方通作为一家基础软件厂商,过去20多年一直致力于中间件技术的研发,在今后我们会更加注重在核心技术的突破和创新,为现代软件基础设施以及国产软件的发展贡献我们的力量,我主要讲这些内容,谢谢大家。
(本文是东方通副总裁武耀辉在首届中国电子政务安全大会上的演讲内容实录,略有删减,未经本人确认。)
