总裁在线：NAI江永清谈网络入侵防御(一)

9月8日上午，美国网络联盟中国区总经理江永清作客新浪谈网络入侵防御

嘉宾：美国网络联盟中国区总经理江永清

主持人：新浪科技编辑周雪峰

安全要做彻底必须加强管理

　　主持人：各位网友，大家上午好，今天我们新的一期嘉宾聊天现在开始，今天的嘉宾聊天室非常荣幸地邀请到了美国网络联盟公司的中国区总经理江永清先生，还有美国网络联盟公司的技术顾问华景山先生，先请两位嘉宾跟网友打个招呼，介绍一下美国网络联盟公司。

　　江永清：各位网友，早上好，很高兴在新浪就网络安全问题跟大家分享一下我的心得，美国网络联盟公司可以算是网络安全领域里的领头羊，全年的收入将近11亿美元左右。

　　华景山：各位网友，大家好。

　　主持人：我们今天的话题围绕着网络安全问题来谈，网络安全可能分两块，一块是防病毒，一块是防黑客，第一部分我们先谈一下防病毒这一块，网友们和我们公司都体会得比较深的是最近的冲击波病毒，给我们带来了很多的麻烦。国内市场上也有很多防病毒的产品，用户们也都安装了，很多用户都在问，我安装了这些东西为什么还出现被病毒侵袭的情况呢？

　　江永清：防病毒的问题，其实是管理跟技术的综合问题，从一个漏洞发布到病毒的爆发，往往会有一段周期，这也就是我们公司说的漏洞之窗，你是不是有效地利用了安全技术和以往的经验，可以把这个漏洞之窗关起来。因此，在一个大的病毒爆发之后，一个成功的用户往往没有什么感觉，但是管理上面，哪怕是非常小的一个漏洞，都会造成非常大的损失。同时，防范病毒跟一般的IT技术管理之间的协调也是非常重要的，我最近在上海听说一个五百强之一的公司，他们使用了我们竞争对手的产品，他们网络安全部门和IT部门，在大病毒爆发的时候没有及时沟通，网络病毒的小组就看到一些恶意的代码从端口进来，他们就把端口给封了，IT部门很重要的一个应用系统跟这个端口有关，半天也找不出是什么问题，所以，病毒发生的时候，综合管理失控的话，就会造成非常大的影响，结果他查了一天，造成很重大的延误的损失。

网盟对“冲击波”病毒的防护

　　主持人：您刚才说的综合管理，对用户来说是很专业的问题，网络联盟公司有这么一项服务，能不能给用户介绍一下？

　　江永清：美国网络联盟公司在防病毒这一块最有名的技术就是对有规模的中大型企业的协调管理，有这么一套成型的技术和产品，因为我们意识到，防病毒是七分管理、三分技术，管理上往往很难要求每个IT管理人员都有非常多的经验，因此我们利用一套成型的技术来制定病毒防范政策，你可以按照企业自身的情况来管理，但是如果太严了，性能就可能有问题，太松了，自然就会有漏洞，所以我们有一套成型的技术来帮助用户协调这两方面的矛盾。就这项技术而言，应该说我们的技术沉淀是最深的，超过五年以上了。跟我们打得最厉害的竞争对手相比，他们的技术可能要落后我们两年左右的时间，这不是功能之间的比较，而是技术的比较。中国大部分的商业银行，都比较成功地采用了我们这项技术，现在基本上是离不开这项技术的支持了。

　　主持人：冲击波病毒是一个十六岁的少年做的，从我们这些外行来看，一个十六岁的少年都可以攻击网络，是不是说明我们的技术和产业都是很脆弱的？

　　江永清：从产业上来说，我觉得这并不是一个脆弱的东西，比如从操作系统层面来讲，很难讲哪个操作系统是更安全的，大家都知道目前我们使用得最多的操作系统，它的目标一定是最大的。第二，它的很多应用已经积累了五年、十年的时间，开发这个应用的时候，可能安全并不是最主要的考虑，而且它本身对安全的认知和对安全的态度有一个转变，现在是非常积极的，有什么东西出来，他会非常积极主动地告诉你漏洞在哪里，也不是说几年前就是这样做的，这是一个过程，但是往前走确实还有一段很长的路。同时，安全的特性和产品的易用性也是一对矛盾，所以使得在技术产品里找到漏洞并不是太难的事情，好象上个礼拜微软又公布了五个漏洞，其中一个是很重要的。像冲击波这样一个造成比较大损害的病毒来说，在发生之前的将近一个月的时间就知道了，如果采取了积极防卫措施的用户，就没有很大的损失，往往是用户当中的管理有漏洞，另外一些中小型用户或者个人用户，都没有经验。所以我们现在不是说产业怎么更成熟，而是说总体的服务体系，总体的对病毒的防范的意识，怎样在管理方面能够加强，病毒者制造者和我们一般用户之间你追我赶的赛跑，我们还是不会输掉的，但是还会一直跑下去。

　　华景山：最早的病毒都是编辑起来非常困难的，都是使用汇编语言，现在网上病毒代码非常多，对病毒不是非常懂的人，下载一个代码，编一编就能把新的病毒编出来了，这就是现在病毒比较多的原因之一。

　　网友：对待冲击波病毒，美国网络联盟公司是怎么样防御的？能不能介绍一下美国网络联盟公司的用户是不是也受到冲击？有没有具体的数据？

　　江永清：具体的数据我手上没有，但是我可以简单地来说，作为网络联盟的员工来说，我们公司完全用自己的产品，所以冲击波发生过程当中，我没有感觉，这是肯定的，至于具体的统计数据，以后可以跟我们联系，如果有的话我们可以进行沟通。

　　主持人：安全要做得彻底是不是还要加强管理？

　　华景山：对，为什么我们一直倡导安全呢？严格来说是管理的概念，产品占三分，管理占七分。我们是做安全的公司，我们在IT方面的管理都非常严格，我们安装操作系统的软件都非常统一的，会打上安全的补丁，这样冲击波也好，或者什么病毒也好，根本没有办法影响我们，所以管理是最重要的一点。

　　网友：这次冲击波病毒，在市场上我们看到的是国内的厂商反应得比较积极，包括如何截获，或者发放的软件，动作非常迅速，反而是国外的大厂商，从我们的感觉上不是很积极，请谈一下其中的原因？

　　江永清：其实我们也做了很多的工作，从两个角度谈这个问题，一个是促销营销的角度，另外一个角度是客户服务的角度，不是说哪个角度是对的，哪个角度是不对的。美国网络联盟在中国来说，大部分的精力还是放在企业级市场，当时病毒爆发的时候，我们呼叫的电话多了一倍以上，关键是把企业用户的这些问题做好，同样一个企业，一个小的漏洞，一下子把网络就塞住了，所以两拨冲击波发生的过程当中，我们的技术人员忙了很多。同时，我们也很荣幸有这么一个机会，在这里告诉大家我们也希望提高品牌的认知度，但我们大型企业的用户比较多，我们的重点可能放在服务客户上。

　　网友：以前的病毒只针对单机，冲击波病毒出来以后，对网络上的攻击多一点，从技术上来看，今后的病毒的发展趋势是什么样的？

　　江永清：我从行业方面简单说一下，技术上请华工再补充一下。从红色代码到现在的冲击波，时间越来越短，速度越来越快，我感到网络本身的吞吐量上升也是一个联系。我感到，从用户方面来说，更关键的是怎样有一个行之有效的手段和技术，把这个漏洞之窗关掉。我在别的地方聊天的时候也说，我们有一个说法，把病毒发生之前作为战前阶段，然后是战争阶段。其实在这之前，是一个疫苗的播种的过程，病毒出来以后就是抗生素的问题了，所以做疫苗非常健全的卫生系统，把应该播种的地方都播到的话，病毒再来的时候，发病率就会大大降低。另外，对这些特征也应该有充分的了解，就好象非典的时候一样，最大的特征就是体温，因此每个进出口的地方都装上了体温计，然后就是十天的隔离期，在这两个地方下工夫以后，一段时间就解决掉了。其实很多漏洞出来以后，这些特征事先都知道，问题是你不把它当成一回事。我们看到非典前后的过程，重视不重视，有没有行之有效的管理手段，情况一定不一样。不可否认，病毒来的时间越来越快，而且病毒的频率越来越高，这是一个趋势。

　　华景山：病毒的发展，大家知道，最早的是单机病毒，只是感染自己的机器，不会感染到其他的机器，现在的病毒向网络化发展，自己感染，也感染其他的计算机，是通过系统中的一些漏洞进行传播，一个是危害比较大。第二是传播速度比较快。最早的一个病毒在美国发现，甚至一年以后就传到中国来，现在是一个病毒在美国发现，一分钟就传到中国来了，下载防病毒软件已经远远不够了，所以传统的技术要和新技术结合，把后门和漏洞都堵上，即使有病毒，漏洞补好了，就感染不了我们的系统，这是我们倡导的主动防御的概念。

　　主持人：国内企业都慢慢意识到黑客问题，这个行业里面有一个很热的概念叫IPS，这个概念一些人还不是太了解，能不能介绍一下这个概念，这个概念什么时候提出来的？跟以前的IDS有什么样的区别？

　　江永清：IDS是八十年代初期提出来的，九十年代以后就有一些技术出现。但是，从IPS的角度来说，需求和技术上的成熟是最近的事情，一个是技术上的成熟，一个是需求上的越来越迫切。IDS和IPS基本上是不可分割，IPS是IDS的进一步延伸。刚刚我们讨论了一下，比如说防火墙，从物理上阻挡了一些东西，但是没有办法阻挡这里面的可以进来的，但是内容里面有恶意的东西。我们也做过一个不是完全恰当的物理比喻，你装了墙以后，还有人会翻墙进来。从物理上来说，可能是装了一套监视的系统，IDS是被动的东西，在旁边看着，这样就会有一些问题，一个问题是它会不会是多报了，或者漏报误报，装多少才够，这是有缺陷的地方。因为IPS是入侵预防系统，检测到防卫是被动到主动的演变，IPS入侵预防系统是一个主动的东西，从一个旁边监测的东西，接入到系统当中来，我们支撑这样一个量上的东西，是有一个专利的技术，可能把很多不应该阻挡的东西阻挡在外面了，我们看到一些潜在的用户，用一些已有的产品，最大的问题是很多东西需要隔离，很多东西需要报，每天都很烦。所以IDS和IPS，我们提供的技术，从肤浅的层面做一个简单的介绍。

网盟防护最新的安全攻击

　　华景山：IDS出来很久了，已经有十年的时间了，大家对这个概念比较熟悉了。这两个具体有什么区别呢？从以下几点说一下，首先IDS是入侵检测系统，不是实时阻断，IPS有实时阻断的意思，当发现攻击的时候，马上就把攻击阻止。传统的IDS出现得比较早，是在带宽比较低的情况下比较好。现在大家都知道，很多关键业务都已经千兆了，往往会出现一些丢包的现象，检测率不是很高，主要原因是IDS都是软件的产品，需要纯硬件的产品，在千兆的情况下，达到百分之百的不丢包率。需要一个工具库，做一些匹配，这种方式的好处是检测得比较精确，缺点是不能检测位置，没有这个工具库就没有办法检测。传统的IDS有大量的误报现象。我们的管理人员这么多的报告，检测出来真正的攻击可能会比较麻烦，会浪费很多时间。现在的IPS，一是基于特种匹配，第二是基于行为分析。比如说我们访问WEB主页的时候，我们读取这个网页是正常的，通过浏览器去修改这个主页可能就是不正常的，我们会把它认为是一个攻击，这个好处是检测WEB攻击。

【评论】【收藏】【告诉好友】【打印】