[好久不碰技术方面的东西,今天在ChinaCISSP上看到一篇讨论银行主机安全的帖子,心里觉得痒痒的,决定发表一点点想法,谁知道话匣子打开了越说越多,竟然鸡零狗碎扯了一通,后来不舍得丢弃,就把他记录在自己的blog里。]
其实作为银行这样的公司,他们对于IT系统的依赖以及这些系统地对外开放性决定了他们需要比一般企业要多花更多的精力来保护他们的IT系统。而从技术层面来讲,IT系统中间最容易出问题又最难管理的还是应用系统的安全问题。
这些机构对于IT系统的依赖无需多述,这就导致一个后果,他们的IT系统复杂,应用众多。同时现在网上银行,各种各样的中间业务,使得他们必须对外开放更多的接口。上面的第二个特点增加了攻击渠道,增加了银行IT系统被攻击的可能。那么上面的第一个特点呢就增加了银行自己的管理难度,尤其是对于IT系统的管理。
[separator]
银行的业务发展趋势决定了银行网络对外的开放会越来越多,那么银行要做好信息安全就必须要管理好他们自己的IT系统,这比在一般企业来说要更加重要需多。
这么强烈的IT系统安全的需求,需要考虑到哪些方面呢?主机安全是必须要考虑的,此外,还有包括网络层的安全,应用层的安全。其实这些都是我们做安全工程师时的必修课程,但是他们最大的用处还是用来防范这些对外开放网络带来威胁,比如现在银行新兴的网上银行业务以及越来越多的中间业务带来的威胁,而不是像我们以前那样推销给所有客户。
[separator]
呵呵,扯远了,还是来说一下刚才这传统的老三样,关于网络层安全的东西,传统的防火墙、IDS技术似乎已经发展到一个相对高峰,在防范黑客故意攻击方面目前暂时没有革命性的进展。
关于主机安全的东西,也已经相对成熟,虽然很多银行管理的不好,但是那多半是运行层面的问题,而不是说主机安全的技术不到位,毕竟Unix技术的发展已经成熟了很多年,这些银行大机更是十数年如一日的在运行、维护和审计,就连小弟弟Windows也是自windows2000之后各种各样的安全配置、安全研究出了N篇。楼主提到的CA、中航的这些安全产品不知道是不是指针对主机系统审计的一些安全产品?如果是的话,其实个人觉得这些安全产品也都已经过了高峰期了,记得当年初入安全行当,对Axcent主机安全的产品ITA也是研究的如痴如醉,不眠不休。但是时隔多年,smantec买来之后也已经慢慢在向他自己的日志管理平台转移。说这么多,只是想表达这个方面的技术真的也已相对成熟,只要管理得当,站在前人经验的基石上,这些系统管理员即使没有主机安全产品的辅助也能做得不错。所以这个更多的是一些运行层面的事。当然,如果有这些主机安全的产品而又运用得当的话,系统管理员的安全管理工作会减少不少工作量。如果非要在系统层面再提那些黑客团体内部掌握的系统漏洞,我觉得那是在难为系统管理员。就像不能试图让体校的百米教练一定赢过百米飞人一样,顶尖黑客就那么几个,而管理员则是千千万万。
个人认为,最难的就是最后一个部分,应用层安全的东西了。我相信l0pht兄所言故事多半由此而起,而且以前看过的入侵案例分析也多半都是由此而入。现在越来越多的web应用,以及越来越多的web交互应用,让web攻击的机会变得无处不在。所以要想防止银行这些网上应用不被攻击,最重要的还是要保证有一个安全的web应用。那么怎么才能有一个安全的web应用呢?个人觉得理论上说起来很容易,7799的系统开发安全一章也已经把开发一个安全的系统讲得头头是道,开始要做安全需求,最后要做安全测试,中间要保证整个开发过程中文档、代码、测试数据等等的安全。还提了一些像是输入、输出验证、信息交换加密等等的安全要求。这些听起来蛮像是那么一回事,但是真正实施起来哪有那么容易。个人感觉这中间难度最大的是缺少既精通编程,又熟悉安全的专家,为了后面称呼方便,赞称为”编程安全专家”。从这个流程上来讲,安全需求在各种“八股要求”的帮助下仔细的做得话应该可以八九不离十,但是写代码的时候既要保证这些安全需求能够实现,同时又要保证写出的代码本身不能够有安全漏洞。现在很多写代码的都是刚毕业的小伙子,这样的要求显然有点高。最后,还要保证写出来的代码能够有人从安全角度进行测试;既要保证前面的安全需求得到了实现,还要保证系统中没有安全漏洞。对于银行这样习惯于把系统外包开发的机构来说,安全验证与检测也是至关重要。这时需要的就是我前面说的”编程安全专家”。
现在既然需要专家,又缺少专家,那么是不是说,应用层的安全就无解了呢?好像也还有那么一点点办法。首先,我刚才说的那套流程好像很多公司并没有严格实行,那么如果能够实施这个流程,我相信情况一定能够改善,即便没有特别合适的人员,有这个形式总是好的开始。其次,写代码的机构或者公司稍微负点责任,找几个稍微资深一点无限接近于”编程安全专家”的专家定义一点编程安全规范培训一下那些小朋友们,既然为了节省开支使用小朋友是不可避免的选择,那么就只好多花点培训经费了。最后,验收的公司呢也找一个无限接近于”编程安全专家”的专家来借助工具的辅助,把这个测试搞得稍微专业一点。类似的测试工具比如AppScan,他是专门用来测试web应用的安全性的,可以测试系统中的一些输入输出验证、数据交换加密设置等等。
上面这些是从传统的老三样来看IT系统的安全,有这几样,对于防范从外部网络发起的攻击也应该可以抵挡一阵子了。当然还是有一些难缠咚咚,DDOS,rootkit,~~~ 道高一尺,魔高一丈。
而且这更多的是在防范外部攻击,内部员工权限管理,行为审计,系统管理员监控和审计,~~~~ 这些内部安全问题也是永恒的话题。怪不得一个从银行走出来对银行作审计的朋友走到哪儿都是一叠巨额现金带在身上,看来还是这样更加安全一些 :D
其实作为银行这样的公司,他们对于IT系统的依赖以及这些系统地对外开放性决定了他们需要比一般企业要多花更多的精力来保护他们的IT系统。而从技术层面来讲,IT系统中间最容易出问题又最难管理的还是应用系统的安全问题。
这些机构对于IT系统的依赖无需多述,这就导致一个后果,他们的IT系统复杂,应用众多。同时现在网上银行,各种各样的中间业务,使得他们必须对外开放更多的接口。上面的第二个特点增加了攻击渠道,增加了银行IT系统被攻击的可能。那么上面的第一个特点呢就增加了银行自己的管理难度,尤其是对于IT系统的管理。
[separator]
银行的业务发展趋势决定了银行网络对外的开放会越来越多,那么银行要做好信息安全就必须要管理好他们自己的IT系统,这比在一般企业来说要更加重要需多。
这么强烈的IT系统安全的需求,需要考虑到哪些方面呢?主机安全是必须要考虑的,此外,还有包括网络层的安全,应用层的安全。其实这些都是我们做安全工程师时的必修课程,但是他们最大的用处还是用来防范这些对外开放网络带来威胁,比如现在银行新兴的网上银行业务以及越来越多的中间业务带来的威胁,而不是像我们以前那样推销给所有客户。
[separator]
呵呵,扯远了,还是来说一下刚才这传统的老三样,关于网络层安全的东西,传统的防火墙、IDS技术似乎已经发展到一个相对高峰,在防范黑客故意攻击方面目前暂时没有革命性的进展。
关于主机安全的东西,也已经相对成熟,虽然很多银行管理的不好,但是那多半是运行层面的问题,而不是说主机安全的技术不到位,毕竟Unix技术的发展已经成熟了很多年,这些银行大机更是十数年如一日的在运行、维护和审计,就连小弟弟Windows也是自windows2000之后各种各样的安全配置、安全研究出了N篇。楼主提到的CA、中航的这些安全产品不知道是不是指针对主机系统审计的一些安全产品?如果是的话,其实个人觉得这些安全产品也都已经过了高峰期了,记得当年初入安全行当,对Axcent主机安全的产品ITA也是研究的如痴如醉,不眠不休。但是时隔多年,smantec买来之后也已经慢慢在向他自己的日志管理平台转移。说这么多,只是想表达这个方面的技术真的也已相对成熟,只要管理得当,站在前人经验的基石上,这些系统管理员即使没有主机安全产品的辅助也能做得不错。所以这个更多的是一些运行层面的事。当然,如果有这些主机安全的产品而又运用得当的话,系统管理员的安全管理工作会减少不少工作量。如果非要在系统层面再提那些黑客团体内部掌握的系统漏洞,我觉得那是在难为系统管理员。就像不能试图让体校的百米教练一定赢过百米飞人一样,顶尖黑客就那么几个,而管理员则是千千万万。
个人认为,最难的就是最后一个部分,应用层安全的东西了。我相信l0pht兄所言故事多半由此而起,而且以前看过的入侵案例分析也多半都是由此而入。现在越来越多的web应用,以及越来越多的web交互应用,让web攻击的机会变得无处不在。所以要想防止银行这些网上应用不被攻击,最重要的还是要保证有一个安全的web应用。那么怎么才能有一个安全的web应用呢?个人觉得理论上说起来很容易,7799的系统开发安全一章也已经把开发一个安全的系统讲得头头是道,开始要做安全需求,最后要做安全测试,中间要保证整个开发过程中文档、代码、测试数据等等的安全。还提了一些像是输入、输出验证、信息交换加密等等的安全要求。这些听起来蛮像是那么一回事,但是真正实施起来哪有那么容易。个人感觉这中间难度最大的是缺少既精通编程,又熟悉安全的专家,为了后面称呼方便,赞称为”编程安全专家”。从这个流程上来讲,安全需求在各种“八股要求”的帮助下仔细的做得话应该可以八九不离十,但是写代码的时候既要保证这些安全需求能够实现,同时又要保证写出的代码本身不能够有安全漏洞。现在很多写代码的都是刚毕业的小伙子,这样的要求显然有点高。最后,还要保证写出来的代码能够有人从安全角度进行测试;既要保证前面的安全需求得到了实现,还要保证系统中没有安全漏洞。对于银行这样习惯于把系统外包开发的机构来说,安全验证与检测也是至关重要。这时需要的就是我前面说的”编程安全专家”。
现在既然需要专家,又缺少专家,那么是不是说,应用层的安全就无解了呢?好像也还有那么一点点办法。首先,我刚才说的那套流程好像很多公司并没有严格实行,那么如果能够实施这个流程,我相信情况一定能够改善,即便没有特别合适的人员,有这个形式总是好的开始。其次,写代码的机构或者公司稍微负点责任,找几个稍微资深一点无限接近于”编程安全专家”的专家定义一点编程安全规范培训一下那些小朋友们,既然为了节省开支使用小朋友是不可避免的选择,那么就只好多花点培训经费了。最后,验收的公司呢也找一个无限接近于”编程安全专家”的专家来借助工具的辅助,把这个测试搞得稍微专业一点。类似的测试工具比如AppScan,他是专门用来测试web应用的安全性的,可以测试系统中的一些输入输出验证、数据交换加密设置等等。
上面这些是从传统的老三样来看IT系统的安全,有这几样,对于防范从外部网络发起的攻击也应该可以抵挡一阵子了。当然还是有一些难缠咚咚,DDOS,rootkit,~~~ 道高一尺,魔高一丈。
而且这更多的是在防范外部攻击,内部员工权限管理,行为审计,系统管理员监控和审计,~~~~ 这些内部安全问题也是永恒的话题。怪不得一个从银行走出来对银行作审计的朋友走到哪儿都是一叠巨额现金带在身上,看来还是这样更加安全一些 :D
扫一扫
4万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
