严明：漏洞与创新

主持人 严明：各位领导、各位来宾、女士们、先生们大家下午好！欢迎光临2009第十届中国信息安全大会，我们这个分论坛的主题是应用安全。在今天下午的主题论坛中，我们设置了交互环节，在演讲嘉宾演讲结束后提供一个听众提问的机会，由演讲嘉宾来回答。提问者可以得到一份由中国计算机报提供的精美礼品。关于信息技术产品的漏洞问题，时至今日关于信息技术产品的漏洞问题几乎是一个业界尽人皆知的一个问题，我们所进行的大量的补漏的操作不但没有根治各个主流计算机软件产品的缺陷问题，反而使我们发现漏洞问题不仅是广泛存在，而且是要长期面对的，已经成为研究信息安全威胁的一个重要的主题。

现在我来和大家分享一下信息安全的一个重要的课题，漏洞问题与安全的问题。我是公安部第一研究所的严明，现在在兼任中国计算机学会计算机安全委员会的常务副主任，今天下午的会议我来主持，希望大家可以适应。

软件产品的漏洞和补漏的问题已经成为一个让人头疼但是又无可奈何的经验，要及时的进行补漏程序的下载和运行已经成为保障安全的一个常识和基本的操作。但是我们所进行的大量补漏操作，不但没有根治各类计算机软件产品的缺陷问题，反而使我们发现漏洞问题不仅是广泛存在，而且是长期面对的，它已经成为研究信息安全威胁的一个重要的组成部分。

例如，微软的产品在我们国家计算机软件的漏洞问题很多同志喜欢说操作系统漏洞问题是从微软的漏洞摆到桌面上开始的。微软产品的漏洞和补漏产品操作已经成为一个可以和更新反病毒程序相比美的，不断的，有时还是大量存在的。

思科的软件缺陷，能够使黑客威胁思科的交换机和运行该公司各种版本机器的安全。赛门铁克公司旗舰式安全软件诺顿网络安全大师本身就存在着安全漏洞，黑客可以根据后门进入个人的电脑系统。还有很多同志喜欢的软件FoxMail，这是一个广泛应用的产品，还有大家所熟知的Adobe的产品系列，Oracle等等。所有供货商的产品无一不需要极端的关注对漏洞的发展情况并及时的修补漏洞。移动通讯的普及则使网络应用工程进步给了我们利用无线通讯手段享受信息化的充分的空间。大家知道，截止2009年2月，我国的手机用户已经达到了6.59亿之多，有人估计2009年中国手机支付市场的规模将达到19.74亿元，手机用户的规模将达到8250万元，就是利用手机支付的用户。无论是金融机构还是电信运营商，都对这一庞大的市场跃跃欲试。我向大家提供一个对比的数字，日本的手机支付已经相当普及了，但是日本手机支付的用户也只有5000万，但是手机生产商使用的手机的操作系统以及应用软件同样也由于漏洞的存在经常受到病毒的袭击。在移动通讯开始推广3G和移动支付的应用背景的推动下，漏洞问题带来的威胁将会更加让人担忧，可以说安全风险是严重阻碍手机支付发展的一个最为复杂的问题之一。

据有关单位的调查，国内只有15%的手机用户表示完全信任手机支付，而65%的手机用户拒绝通过移动网络发送自己的信用卡资料，几乎所有的用户都受到过欺诈性的攻击。还有，病毒的制造者和散布者们已经将掌握和利用漏洞视做一种常规的手段，利用软件漏洞传播的病毒木马和各种有害程序的数量日益激增，技术也不断的更新，监测一个新的软件漏洞和试图利用该漏洞之间的时间差也越来越短。曾经以月为单位，然后以群，以周，以日，现在以小时，最新的观点要以分钟为单位。在软件漏洞的帮助下黑客将是病毒软件的掌控者，利用各种的攻击手段大行其道，疯狂的侵略社会的财富。面对用户和各国政府的强大压力，软件厂商们尽力检测漏洞并不断的发布补丁程序。

为了应付这种挑战，人们还投入了大量的资源，对如何减少信息系统的漏洞以及如何降低其带来的系统的漏洞进行研究，同时处于各种不同的目的进行研究的个人和集团也大有人在，他们研究如何利用应用漏洞，甚至是如何制造漏洞，他们将研究的结果作为对信息作为攻击的资源，掌握在自己的手里秘而不宣。这就形成了在漏洞研制中的对抗和博弈。

什么是漏洞呢？我想回顾一下我们对漏洞认识的简要的过程。最初，人们是从技术层面和质量的角度认识漏洞问题的，认为漏洞是系统中软件产品中存在的技术不足，是客观存在的现象。那么，它的表述经常用漏洞、错误、缺陷、弱点、失败、失效等来讲。这个是从主观判断上进行的认识，从客观层面的结果来认识问题。随着这些漏洞问题的深入研究和归纳，大家提出了系统脆弱性的概念，我认为从比较科学理性的层面给出了一个定位。

我记得在21世纪初，我们微软的首席执行官在交流中国的信息安全界和公安部对微软产品漏洞的看法的时候给出了定义，我们不仅认为系统软件存在漏洞是质量问题，我们更认为它是一个安全的问题。我们认为软件和系统的供货商要么对自己产品的缺陷承担责任，也要对它引起的安全引起关注。微软的首席安全官表达了这样一个观点，我认为计算机软件的缺陷不是主观检测就可以的，我们应该积极的寻求解决的办法，结果就是我刚才跟大家介绍的逐渐的发布漏洞，发布补丁程序，宣传和动员大家形成一种按时下载漏洞以及补漏的操作习惯和机制。

国内外各研究和管理机构都就漏洞给出了自己的定义，美国计算机事件影响组织CERT/CC定义说，漏洞是技术或者技术应用中的缺陷或错误，它会导致漏洞产生安全的影响。微软的安全中心将漏洞定义为及时使用者在合理配置了产品的条件下，由于产品自身存在的缺陷，产品的运行可能被改变以及产生非设计者预期的构成，并可最终导致安全性被破坏的问题，包括使用者系统被非法侵占，数据被非法访问，并泄露楼系统拒绝服务等。我们将这些缺陷称为安全漏洞，请大家注意微软的这个定义还是局限在缺陷的问题上。

美国国防部5215.2文件将缺陷定义漏洞，他说存在于硬件、软件和固件中导致AIS系统遭到潜在利用的缺陷。漏洞是指在计算机系统中硬件、软件及协议的具体的实现或系统安全策略上存在安全方面的缺陷，从而使攻击者可以非法入侵系统或者是未经授权访问或者是破坏系统。

我们看一下专家的定义，Denning在一篇文中从访问控制的角度给出了漏洞的定义，就是系统中主体对对象的访问是通过访问控制矩阵实现的，这个访问控制矩阵就是安全策略的具体实现，当操作系统的操作和安全策略之间相互冲突时就产生了安全漏洞。当然他把安全漏洞局限在操作系统和安全策略上，我们现在认识到远远不是这样的一个范畴。

RFC2828把安全漏洞定义为可以被恶意攻击者用来突破系统的安全策略，从而访问未授权的资源和数据，并达到一些非法的目的。这个定义是在更大的范围里描述了漏洞。

1966年，Bishop和bailey给出的关于计算机脆弱性的定义最为理论化。他说计算机系统是由一系列描述构成计算机系统的实体的当前配置的状态组成，系统通过应用状态变换实现计算，从给定的初始状态使用一组状态变换可以到达的所有状态最终分为由安全策略定义的两类状态，已授权的或者是未授权的。

保密局从技术和管理的角度给出了定义，保密局将脆弱性安全的管理和技术分成技术脆弱性和管理脆弱性。其中技术脆弱性包括管理安全，技术安全，安全保密等等这些内容，大家已经比较熟悉了。管理脆弱性包括了人员管理，物理环境和设备管理，设备与技术管理，运行与开发管理，保密管理。我个人认为无论是技术的脆弱性和管理的脆弱性，其实都构成了我们信息安全产品的系统构成，归纳以上的定义，我觉得所谓漏洞是不是可以这样理解，就是信息安全漏洞是信息系统肌体内存在的影响信息安全属性需求的内在隐患，它可能包含在技术方面与管理方面，人为或者是自然的威胁可能利用其危机系统安全造成系统的损害。

漏洞的发现或寻找。目前致力于发现和寻找漏洞主体大体上有这么几方面的内容，首先是从事信息安全的技术专家，还有对我们信息安全起了很大的推动和促进作用的，但是往往让我们很头疼的，还有用户，还有保护自己的资源和信息。如我前面所说，这些寻找的主体出发点和落脚点各有不同，所以做法以及结果的处置也各不相同。漏洞发现的环境和条件，应用系统研究的分析，开发一个应用系统当中以及研究分析完善，我们认为应用系统事件的驱动，当出现一个安全事件或者是一个安全威胁的时候，对这个事件认真分析，找出可能存在的漏洞，以便改进我们的技术，我认为这属于被动的，亡羊补牢型的。

发现的组织实施这些前面已经讲到了，现在对于漏洞研究的技术体现国家力量的研究机关和对比，包括国家安全部门，公安部门和其他机构既要保密，也有其他的机构，当然还有从事信息安全的研究机构包括高校的实验室的研究机构。还有从事信息安全事业的企业，这个形成了总体上的一大方面。另外还有对黑客信息，处于某种利益和目的对于非法侵入某一个系统的，这些人研究的积极性和投入很大。

漏洞形成的原因我想跟大家分析一下，计算机系统或者是信息技术产品的安全漏洞大体上我们可以从这四个方面来归类。首先是逻辑错误，大家知道有这么一个规律，任何一个团队或者是个人在编程的时候，在一定数量的代码当中有可能出现引发问题，这当然和企业的管理水平，和编程者的技术水平和敬业程度有关系，但是有一个事实是无论如何一定会出现错误，这种逻辑错误可能会导致我们系统的环境的错误，系统的配置的错误，还有直接编程语言的错误。

信息技术产品有它的安全策略，那么安全策略和管理策略的失误可能会形成比技术上的错误，逻辑上的错误更严重的漏洞，这是属于管理的问题。

第三是系统弱点。所谓系统的弱点经常能够看到的比如说加密的问题，弱口令的问题还有隐晦手段。我举一个例子，2000年我得到了一个让我非常震惊的消息，上海某一家大公司的机房的墙说张贴着它所有用户的保密文件，那时候我觉得非常的吃惊，我相信他们现在不会这样做了，那时候是在2000年。包括我也喜欢用我的生日、电话号码，最多组合组合，变化变化做我的口令，因为好记。给我一个不规则的口令太难记了，这样好像很难接受。隐晦手段，比如说有一些厂家为了防止盗版做了一些手段，至于说有意识安这个后门和攻击手段就更加危险了。

21世纪初我曾经得到这么一个信息，但是未经证实，我们一个学计算机软件专业的归国留学生告诉我，在某信息大国的一个重要的研发企业里，他打工的时候发现有一支团队没有一个人是亚洲和有色人种，非常神秘，不知道在做什么。当他快要离开这个公司的时候，终于打听到那是一个专业的做后门的团队，但是这家公司的产品在我们的信息化的通用当中是我们的基础，所以我曾经问过这家公司的首席安全官，他说我敢保证我们不会在我们的产品里做后门，我问他说你敢保证我们美国政府也不会做后门吗？一分钟没有回答我，不是说我敢保证，当然也不会说我不敢保证。

从这个角度来讲，我们从漏洞的角度来认识它，当然你那种缺陷，或者是由于系统的配置不合理或者是安全策略的失误造成的漏洞更加危险和更加的险恶。社会工程这个就不再展开讲了，还是侧重于在管理上修补漏洞。

漏洞的特点，首先我想我们应该认识信息技术产品漏洞存在的必然性，刚才我已经用了大家很多时间来解释这个事情，我觉得从两点来强调已经足够了，这是我们必须认识到的。信息技术产品漏洞的存在不仅是广泛的，而且是长期的，因为到现在为止，我们还没有找到一个办法来杜绝在我们的系统和产品当中存在漏洞。第二，形式的多样性和隐蔽性这个也很简单，了解一些计算机软件的同行们就会想到，如果某人在编程的时候把一个恶意代码分散在数以亿行为重的这么一个软件里面隐藏起来，而且设定它启动的条件，在不得到启动的指令的时候是静止状态的，没有激活，那么我们试图在这样的一个软件产品中找到这样的漏洞的难度有多大。我认为就算我们能找到，这个版本的软件也早已落后了。至于说到多样性，比如说漏洞里大家经常遇到的一种缓冲的漏洞，简单一点的我刚才说到的弱口令状态的漏洞等等等等。发现的可能性到目前为止已经上市的计算机和信息技术产品发现的漏洞数量已经非常非常多，所以大家会觉得漏洞是可以发现的，是有可能发现的，但是我认为我们也只能把话说到这儿，是有可能发现的。

反过来说，是不可能都发现的，就像我们的一个医生在检查身体做透视的时候，他喜欢写的四个字是未见异常，X光片出来了，未见异常，他不会写保证没有问题，未见异常是我没有看见，至于说有没有我不保证。我们的纪检、审计包括我们公安办案的时候经常在查一件事情的时候也说没有发现可疑现象，绝不会说不可能有，哪怕是DNA鉴定也说多少分之多少的符合率。

至于说漏洞发现的可能性，是可以发现的，但是经常是我们发现不了的，或者是目前还发现不了的。由此，就导致了发现和利用的重要性和受控的必要性，我有发现和利用的重要性。我这里所说的利用不是我们厂商对这个漏洞的问题来推出新的产品，占领市场，这不叫利用，是一种应对。漏洞的危害我想从几个方面向大家介绍一下。

第一，计算机或者是信息技术产品存在漏洞，无可辩驳的会损伤系统的完整性。第二，有可能会影响到系统的可用性，这要看什么样的漏洞在什么样的条件下，帮助谁实现了什么非法的目的没有。第三，有可能破坏系统的机密性。第四，可能会旁落系统的可控性，我们的网管我们安全主管觉得对这个系统控制的很好，但是没有想到木马早就已经挂好了，而且很多信息已经被人家拿走了，系统的控制权早被人家接管了。最后当然会降低我们系统的工作的可靠性。

我想用黑客经济这一件事情来说明一下漏洞对我们的威胁，据有关调查机构提供，国内的黑客经济年产值早已过亿，根据国家计算机病毒应急处理中心今年早些时候的估计，目前这条黑色产业链的年产值已经超过了2.38亿元人民币，造成的损失则超过76亿元人民币。我个人的感觉这个数值是相当高的，根据IBC数据现实，目前市场失窃市场的规模已猛增至10亿美元，在过去的5年中，恶意软件市场极尽扩张之能速。目前全球在经济危机，美国一家媒体报道，经济危机虽然使很多行业遭受打击，却没有打垮美国的网络信息盗窃业，根据西在呢？他引用了赛门铁克网络安全副总裁的话，黑市信息完全没有降价的压力，这表明盗窃信息的购买者跟以前一样多，就是说经济危机没有影响黑市上盗窃信息的销售。信息指向是什么事实呢？提供了一个价格，信用卡号一张30美元，但是如果一次买一万个，可以低到每一个6美分，盗用的银行账户10美元-1000美元，还可以雇佣他人领现金，报酬是8%-50%，视风险和难度而定。

由于网络安全的加强，信用卡号要和身分证号码和社会保障号一起出售，要买就得捆绑在一起买，有四分之三与银行的账户信息有关，从去年开始仅仅对两亿多使用该公司的防病毒软件的电话观察中发现欺诈邮件对金融业的攻击已经增加了60%。

再看瑞星公司提供的信息，瑞星的云安全系统再次接获一个肉机销售网站，据介绍，这家网站至少已经控制了近4万台电脑，目前已经形成了一个产业链，2008年一年就制造了各种盗号、盗隐私的木马800万个，据说挂马集团通过一个木马的整体运作即可年收入超过千万元之多。

4月16号就是几天以前，瑞星公司公布了一个最新的数据，2009年1-3月，互联网上出现了挂马网页累计达1亿9000多万，累计有8亿人次遭木马攻击，有24202个大型网站被植入了木马。大家注意，所有这些操作的基础或者说土壤就是漏洞。我们必须看到各种产品的应用系统中对非法入侵的各种需求就是他们的土壤和阳光雨露，这些条件普遍和长期的存在，就是市场会长期的存在，很长一段时间都会有需求。

漏洞引发的思考，在哪儿找漏洞？从技术层面，管理层面，系统的互相依赖和互相影响。谁在利用漏洞，我刚才已经提到了，怎样减少漏洞，这个刚才也提到了一些。怎样修补和封堵漏洞，怎样利用漏洞，这是我们要思考的问题。针对漏洞，开展了一系列的创新性的研究，包括了对漏洞库的构建，对于补丁库的漏洞，测试床的研究和使用，对各个安全事件的分析和深入研究，相关标准的制订和相关法规的制订与发布等等，这些也都是我们现在正在从事的创新研究的方向和内容。

从管理上来看，漏洞问题向我们提出了谁来管这件事，那么我们应该管什么事情，还有我们怎么样对漏洞事件进行管理，当然也需要进行广泛的国际交流，要对独立的发现进行规范和收集分析，应该建立权威的国家一级的漏洞库，应该建立安全的和足以权威的漏洞和发布披露机制，前面我说到的原因对于一个漏洞发现之后进行不负责任的披露可能会造成对全社会的损失，我想这个原因是不言而喻的。

当大家都还没有反映过来的时候，突然有一个人宣布了我发现了一个漏洞，那么几个小时，几天之内有人已经利用这个漏洞开始攻击了，但是你的补丁程序呢？还有是不是大家都已经警觉了呢？所以漏洞不是随便可以发布的。

我们还是应该以创新来迎接挑战，面对计算机产品和信息系统漏洞问题的挑战，国家有关部门，各级科研机构和安全企业已经给予了相当的重视，近年来也投入了大量的资源进行应对和各个层面的研究，取得了显著的成效。国家信息安全通报中心将有关漏洞情况作为一个重要的内容给予了充分的关注，我们很多权威的相关机构和信息安全企业都在研究漏洞问题，并建立了自己的漏洞库和攻防实验室。绝大多数的安全产品已经将漏洞扫描、补漏功能作为基本功能向用户提供支持，而且水平也在不断的提高中。

但是漏洞问题是一个像影子一样的跟随着信息化的发展而深入的问题，带给我们的挑战和威胁是不断发生的，其表现得技术深度和复杂性也将越来越突出。因此我们必须要不断的研究这方面的问题，不断的拿出新的对策来应对漏洞问题的挑战，把新的挑战化为新的机遇。战斗正未有穷期，相信我们在座的各位同仁一定会为我国的信息化的发展提供信息安全的保障和支持，谢谢大家！

提问：严所长您好，我想问一下您个人对漏洞的看法是什么？还有现在这个漏洞之所以存在，如此的猖獗，您个人是怎么看待漏洞和预防漏洞以后的发展的前景的呢？

严明：我刚才研究的后面说了一下，简单来讲我认为漏洞问题从重点上来看是广泛存在的，当然不包括恶意制造，从技术发展的前景来看，我们可以看到的这个时间段我们还没有能够找到杜绝漏洞的措施。所以，这就构成了我们必须长期的面对漏洞的问题，不断的深入研究它和防止它给我们造成较大的影响。其实，很多研究机构在这方面投入的资源是相当的大，时至今日其实漏洞带给我们的威胁在很大程度上很高，我认为我们有志于研究信息安全的研究机关和企业一定不要忘记对漏洞的研究是我们非常重要的一个方面。

提问：我提一个问题就是我们在实际的安全服务中遇到的一个问题，明知道人家对方的系统是存在漏洞的，但是我们就是没有办法要对方去决策我这些漏洞是补还是不补，补的话对正常的运行有一些影响，不补的话漏洞又会产生一些病毒进行危害。我举一个例子，例如银行系统和电信的系统，我们已经检查出系统是存在漏洞的，但是也已经有补丁，我们又为了不对他的系统产生影响，我们又不敢说你这些漏洞必须补还是不补。

严明：我们这样理解你的问题，其实漏洞问题从广义上理解不同的漏洞反映了系统的不同的特点，不一定是软件的问题，可能是安全策略的问题，是你使用弱口令的问题，甚至是系统的问题，也有可能是软硬件技术水平的问题，究竟是哪种漏洞，要看你采取什么措施去修补。如果是下载补漏程序一般来讲是软件开发带的一些缺陷的问题，像这种问题我觉得我们现在的布丁程序一般设计的还是不错了，不至于由于打了补丁程序的系统无法运作了，如果是这样的话很多情况下可以比较被挂满了，或者是有其他的恶意软件。我认为总体来看现在有一个共识，就是要及时的进行补，可能你觉得麻烦，但是如果你放弃了补漏洞也是有问题的，千万不要有侥幸心理，我想说的是这样的问题。这要根据实际的情况看，到底是哪方面的漏洞有针对性的做。

主持人 严明：随着企业的不断发展，越来越多的变革带来了很多应用变革的挑战，近几很多企业面临的最大信息安全挑战就是信息访问的身份如何认证，对于信息全生命周期和身份周期的调整成为CIO需要重点考虑的问题，现在我们有请CA中国高级顾问肖洪波先生发表演讲，他的题目是谁动了我的信息，CAIAM解决方案。

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。