信息化觀察網(wǎng)

日前，由中國(guó)信息協(xié)會(huì)主辦，信息化觀察網(wǎng)、國(guó)潤(rùn)互聯(lián)信息技術(shù)研究院、中國(guó)信息協(xié)會(huì)傳媒中心承辦的首屆中國(guó)電子政務(wù)安全大會(huì)在北京成功召開(kāi)。東方通副總裁武耀輝受邀出席大會(huì)，并帶來(lái)了題為《助力政務(wù)應(yīng)用云化及等保合規(guī)性，構(gòu)建應(yīng)用安全基礎(chǔ)設(shè)施》的主題演講。

東方通副總裁武耀輝

以下是演講內(nèi)容實(shí)錄：

現(xiàn)在2.0已經(jīng)變化是非常大的，相對(duì)于1.0來(lái)講，事前、事中、事后，防不住的要審計(jì)，出了問(wèn)題要做事后的溯源。與1.0被動(dòng)保障來(lái)看，逐漸向感知預(yù)警、動(dòng)態(tài)防護(hù)、安全檢測(cè)以及應(yīng)急相應(yīng)進(jìn)行轉(zhuǎn)變。東方通的重點(diǎn)是希望通過(guò)產(chǎn)品內(nèi)生的安全來(lái)實(shí)現(xiàn)數(shù)據(jù)的主動(dòng)的防御以及自我防護(hù)，構(gòu)建整體的應(yīng)用基礎(chǔ)設(shè)施。

首先看一下安全的計(jì)算環(huán)境，主要是針對(duì)邊界內(nèi)的各個(gè)方面的安全控制要求所做的設(shè)定，主要控制點(diǎn)包括身份認(rèn)證、訪問(wèn)控制、安全審計(jì)和入侵檢測(cè)。安全管理中心的控制點(diǎn)包括系統(tǒng)管理、審計(jì)管理、安全管理和集中管控。東方通的應(yīng)用服務(wù)其主要從這兩個(gè)方面，安全計(jì)算和管理中心上做進(jìn)一步的努力，聚焦于這兩個(gè)方面，為客戶提供等保2.0的合規(guī)支撐。

目前應(yīng)用安全面臨的挑戰(zhàn)，首先是面臨多種攻擊，單純防御逐漸失效，外部程序有天然的開(kāi)放性，是安全防御體系中最薄弱的一環(huán)，相當(dāng)于短板。第二方面網(wǎng)絡(luò)編輯的消融，傳統(tǒng)安全控制點(diǎn)逐漸消失。目前超過(guò)3/4的攻擊正在由網(wǎng)絡(luò)層轉(zhuǎn)移到應(yīng)用層，應(yīng)用層所有攻擊中，超過(guò)八成左右的攻擊是充分利用應(yīng)用層的安全漏洞，隨著業(yè)務(wù)的發(fā)展傳統(tǒng)的理念不再適用了，云計(jì)算的發(fā)展，應(yīng)用系統(tǒng)之間相當(dāng)?shù)倪吔缬幽：?，傳統(tǒng)防火墻的部署也是困難了，要求越來(lái)越高，不但是重點(diǎn)行業(yè)，所有的社會(huì)的機(jī)構(gòu)都要對(duì)等保進(jìn)行復(fù)合型檢查，對(duì)我們帶來(lái)的挑戰(zhàn)也是越來(lái)越大。

專門針對(duì)外部安全來(lái)講，總結(jié)出來(lái)這么幾個(gè)問(wèn)題，首先是受到攻擊時(shí)的問(wèn)題是不知道，缺乏攻擊分析的溯源能力，應(yīng)用層的攻擊，利用漏洞攻擊實(shí)際上是主要攻擊數(shù)據(jù)庫(kù)、文件系統(tǒng)和主機(jī)等等，現(xiàn)在防御來(lái)看并不是匹配的特別準(zhǔn)確，對(duì)溯源來(lái)講有難度。其次不管用，現(xiàn)在很多防護(hù)是基于網(wǎng)絡(luò)流量的，根據(jù)網(wǎng)絡(luò)流量特征來(lái)進(jìn)行防護(hù)，有一定的概率，黑客繞過(guò)流量，直接攻擊進(jìn)來(lái)，缺乏深入的防護(hù)能力。不好用，缺乏靈活的處理機(jī)制，比如當(dāng)我們發(fā)現(xiàn)應(yīng)用漏洞攻擊進(jìn)來(lái)之后，沒(méi)有快速的進(jìn)行應(yīng)用漏洞的封堵機(jī)制，快速修復(fù)漏洞?？床灰?jiàn)，缺乏告警和態(tài)勢(shì)感知能力，尤其是應(yīng)用自身的安全風(fēng)險(xiǎn)的等級(jí)、風(fēng)險(xiǎn)的類型還有應(yīng)用被攻擊的具體的點(diǎn)，這些在態(tài)勢(shì)展示方面還是能力比較欠缺的。

同時(shí)在安全縱深方面也是不足的，這是一個(gè)安全防護(hù)體系的縱深防護(hù)體系，可以看到對(duì)于應(yīng)用層次來(lái)講，大部分是空白的，我們需要對(duì)防護(hù)體系進(jìn)行一定的優(yōu)化和改進(jìn)，優(yōu)化防護(hù)模型，增加應(yīng)用層的防護(hù)能力，完善縱深的防御體系。

根據(jù)剛才分析的問(wèn)題，接下來(lái)我就簡(jiǎn)單介紹一下東方通所給出的解決方案。

大家看一下這是利用東方通應(yīng)用服務(wù)器構(gòu)架的應(yīng)用軟件基礎(chǔ)設(shè)施的技術(shù)架構(gòu)，可以看到應(yīng)用在容器里，如果有攻擊發(fā)生，從邊界到網(wǎng)絡(luò)到攻擊在擊穿服務(wù)器之前，通過(guò)TongWeb，進(jìn)行業(yè)務(wù)檢測(cè)對(duì)攻擊進(jìn)行防御。通過(guò)網(wǎng)絡(luò)流量采用的模式，大家都知道，在網(wǎng)絡(luò)流量防御過(guò)程中，每條流量都會(huì)進(jìn)行全類型的攻擊檢測(cè)。內(nèi)置的防御能力，可以通過(guò)內(nèi)置的算法結(jié)合相應(yīng)的上下文的信息進(jìn)行針對(duì)性的攻擊檢測(cè)，這樣大大增加準(zhǔn)確性，同時(shí)增加性能的影響。

通過(guò)TongWeb內(nèi)置的安全防護(hù)能力，把它注入到web運(yùn)行時(shí)，這樣對(duì)web應(yīng)用系統(tǒng)來(lái)看，相當(dāng)于自己具有了一定防護(hù)能力，大大提高防御的準(zhǔn)確性。同時(shí)因?yàn)槭沁\(yùn)行時(shí)，到被攻擊的時(shí)候能特別精確的定位到被攻擊的是業(yè)務(wù)系統(tǒng)的哪段邏輯，哪一個(gè)模塊，哪一個(gè)邏輯，這樣能夠提供一個(gè)對(duì)戰(zhàn)信息，讓開(kāi)發(fā)和維護(hù)人員精確定位攻擊發(fā)生在哪里了，怎樣快速修復(fù)這個(gè)漏洞。

同時(shí)TongWeb也提供了防篡改機(jī)制以及虛擬補(bǔ)丁功能，進(jìn)一步增強(qiáng)，保護(hù)應(yīng)用系統(tǒng)的安全。接下來(lái)看一看TongWeb容器云版大致情況，TongWeb容器云版主要致力于為構(gòu)建新一代軟件基礎(chǔ)設(shè)施而提供強(qiáng)力的支撐，具有很高的安全性，容器云版可以高效利用系統(tǒng)資源，具有更高速的啟動(dòng)時(shí)間，可以進(jìn)行持續(xù)的交互和部署，實(shí)現(xiàn)更輕松的前移以及更便利的維護(hù)和擴(kuò)展。

從架構(gòu)圖來(lái)看，提供了增強(qiáng)，包括等保2.0安全服務(wù)能力和其他的組建服務(wù)能力，能夠?qū)崿F(xiàn)應(yīng)用的集中部署，為應(yīng)用集中部署系統(tǒng)的集中監(jiān)控和運(yùn)維，統(tǒng)一監(jiān)控和運(yùn)維以及彈性伸縮提供了運(yùn)行環(huán)境，同時(shí)也支持了一鍵部署，加速商業(yè)云和基礎(chǔ)設(shè)施建設(shè)的過(guò)程。容器云版等保的安全特性主要是低誤報(bào)，TongWeb容器云版能在每次成功的被攻擊過(guò)程中，能進(jìn)行精確的機(jī)動(dòng)，并且進(jìn)行及時(shí)的報(bào)警。第二點(diǎn)我們能發(fā)現(xiàn)更多攻擊，邊界設(shè)備只能看到請(qǐng)求的信息，而TongWeb引擎不但能看到請(qǐng)求信息，還能看到完整的，可以結(jié)合運(yùn)營(yíng)時(shí)的上下文進(jìn)行關(guān)聯(lián)，如果有更多的攻擊信息可以進(jìn)行及時(shí)的發(fā)現(xiàn)，相當(dāng)于能發(fā)現(xiàn)更多的攻擊行為。第三點(diǎn)對(duì)抗未知的漏洞。防護(hù)引擎可以識(shí)別系統(tǒng)執(zhí)行過(guò)程中異常邏輯，比如反序列化漏洞中執(zhí)法非法的命令，因此可以來(lái)對(duì)抗未知的漏洞。

TongWeb容器云版的核心功能有哪些？我們可以看一下，首先它是提供了Java EE運(yùn)行環(huán)境，支持主流標(biāo)準(zhǔn)規(guī)范。有細(xì)密度的運(yùn)維管理能力，能對(duì)運(yùn)營(yíng)商的狀態(tài)進(jìn)行監(jiān)控和集中管理，同時(shí)對(duì)各個(gè)節(jié)點(diǎn)進(jìn)行監(jiān)控。在業(yè)務(wù)連續(xù)性保障方面提供知事的故障隔離和秒級(jí)自愈能力，實(shí)現(xiàn)業(yè)務(wù)連續(xù)性提供很好的保障。連或性和可運(yùn)用性方面，提供彈性伸縮的支持能力，支持智能的負(fù)載均衡策略，提高性能的同時(shí)，有很高的高可用性。在安全方面來(lái)講，支持國(guó)家等保2.0合規(guī)要求，能提供多層次的安全防護(hù)和準(zhǔn)入機(jī)制，保障容器、應(yīng)用服務(wù)其、應(yīng)用的多層級(jí)的安全。當(dāng)然還支持其他功能，包括IPV6的支持等等功能。

作為TongWeb容器云版的核心價(jià)值，可以看到低成本、高資源利用率，快速響應(yīng)，敏捷高效集成，更好支持開(kāi)發(fā)運(yùn)維一體化，提升運(yùn)維的便捷性，更細(xì)顆粒度的進(jìn)行監(jiān)控和運(yùn)維，好多云平臺(tái)大部分是粗顆粒度的，不知道具體應(yīng)用服務(wù)器以及應(yīng)用運(yùn)行的狀態(tài)和資源占用情況，更細(xì)力度的管理和監(jiān)控，是越來(lái)越必要的。同時(shí)，能夠提高高可用性，這些特點(diǎn)都是我們作為軟件基礎(chǔ)設(shè)施所必備的特性。

利用TongWeb容器云版的安全收益，重要的是能夠提升應(yīng)急處理的效力，能實(shí)時(shí)將風(fēng)險(xiǎn)預(yù)警和監(jiān)視，同時(shí)能提高應(yīng)用的安全防御能力。這些都是為軟件基礎(chǔ)設(shè)施整體的安全體系進(jìn)行了很好的完善和改進(jìn)，保證整個(gè)應(yīng)用基礎(chǔ)設(shè)施的安全。

東方通作為一家基礎(chǔ)軟件廠商，過(guò)去20多年一直致力于中間件技術(shù)的研發(fā)，在今后我們會(huì)更加注重在核心技術(shù)的突破和創(chuàng)新，為現(xiàn)代軟件基礎(chǔ)設(shè)施以及國(guó)產(chǎn)軟件的發(fā)展貢獻(xiàn)我們的力量，我主要講這些內(nèi)容，謝謝大家。

（本文是東方通副總裁武耀輝在首屆中國(guó)電子政務(wù)安全大會(huì)上的演講內(nèi)容實(shí)錄，略有刪減，未經(jīng)本人確認(rèn)。）