总裁在线：NAI江永清谈网络入侵防御实录(二)

　　微软进入安全领域 要走的路还很长

    主持人：预防的话，常理来说就有一个准确率的问题，我们把恶意的信息都截掉了，肯定会阻挡一些不是恶意的信息，这种概率有多少？

　　华景山：我们可以参照一些第三方的测试，针对IPS的测试，我们的产品基本上是零误报率和百分之百的准确率。

　　网友：四年前，我就用过美国网络联盟公司个人的杀毒产品，为什么现在反而不见了？

　　江永清：其实我们正在积极地筹备个人的杀毒市场，其实在美国，我们在个人的杀毒市场里已经做得红红火火了。我家人最近回美国一次，在很多超市里面到处看到McAfee的产品，国内目前，我们先把注意力比较集中在最强项的地方，也就是我们的企业级市场，并不是说个人产品不是最强项的地方，接下来我们在个人消费市场上也会进行相当大的投入。

2003年9月8日上午，美国网络联盟中国区总经理江永清作客新浪谈网络入侵防御 左：NAI公司技术顾问华景山 右：NAI公司中国区总经理江永清先生

　　网友：请教两位专家，一个企业如何去构建IPS战略？怎么样才能做到有效地把这个系统用到企业中来？

　　华景山：目前来说，IPS市场有两大类产品，一类是基于主机的入侵防护系统，一个是基于网络的入侵防护系统。通常情况下，选用网络的比较多一些，在关键网络和出口上都会部署一些基于网络的IPS系统，可以实时检测一些攻击，把这些攻击阻挡掉。但是针对比较安全的网络情况下，单纯基于网络的防护系统还是不够的，还需要配一些基于主机的，为什么要基于主机呢？主要原因是，现在的攻击最终目的还是攻击服务器，服务器的防护是最后一道的防线。比如有一些攻击是靠传统的网络防护检测不出来，一个企业在构建IPS系统的时候，首先考虑基于网络的防护是必不可少的。在我们的骨干网中，一定要部署这样一些产品防护攻击，另外在比较关键的服务器上，比如说数据库服务器，我们的WEB服务器上，一定要布一些基于主机的防护系统。

　　江永清：管理上来说，分四个层面，一个是防垃圾邮件，一个是防病毒，内容的过滤是第一道，还有网络入侵的防护，接下来病毒还是会进来，所以有一个真正的防护体系。关于系统防入侵的问题，有这样四道闸门，关键的一个综合管理者就是我们政策管理，管理和技术在一块的产品，可能还会出问题，我们有一套法医的分析系统，可以事后看谁在什么时候在网上做了什么活动。这样四个门，组成了一个深层次的防护系统。

　　网友：我们美国网络联盟公司在IPS方面做得比较好，有自己比较独特的理解，请问在中国市场推广这个东西到底有哪些策略？美国市场目前应用IPS大概是什么样的状况？

　　江永清：美国的市场，上一段时间大多数用的还是IDS的产品，但是现在大家都对这一类产品感到不满足，纷纷往IPS方面靠。在中国来说，可以跳过不必要的投资的机会，中国正在积极地跟一些网络的投入比较大的最终用户进行一些沟通，因为这个投资量比较大一点，而且实施的时候在技术方面有一定的了解，所以我们在电信，在、同时跟传统的一般的IDS，有大量的误报、漏报当中有什么样的不同之处，这样有更深刻的印象。所以我们的策略是，在国内找到几个比较成熟的应用之后，我们就会大规模地跟大家进行宣传，因为我们现在不想把这个跟国内的东西进行促销，这还不是一个负责任的做法，我们希望在政府的部门、重点的行业找到一些成功的例子，在这个基础上，在国内进行比较大规模的巡展。我们希望是先找到完全成功的例子，因为在市场上，我不得不说，有一些鱼目混珠的产品存在。

　　网友：我们的入侵检测和防御对网络有什么影响？

　　华景山：目前来说，入侵检测系统对网络不会影响应用，主要的原因是有监控，过一个数据包，我把你监控，不是像防火墙，入侵检测不会影响任何的性能，防火墙会影响一些性能。

　　网友：什么样的企业，在什么样的情况下，需要这种解决方案？怎么去选择产品？

　　江永清：从IPS的角度来说，如果你的业务是在公众关注得比较多的，服务质量要求比较高的，在这样的情况下，IPS可能是非常重要的一个关注点，我说一个小的插曲，不知道网友是不是注意到，上一段时间，台湾有很多网站有被黑掉的问题，我们的公司得到了很多需要IPS产品进行测试的需求，有一些网站有两个特点，一个是公众关注率比较高，同时也比较敏感，同时服务质量也要求很高的，这些东西要进行很好的保护。

　　主持人：我们这个产品是一体化的解决方案，是不是需要跟硬件厂商合作？才能让这个产品很好地用起来？

　　江永清：我们的产品基本上是独立的，我们确实跟一些硬件厂商和网络厂商有一些商业上的合作，但是并不是技术依赖性的合作。

　　网友：我们国内有一些用户有这么一种看法，装了这个产品以后，结果这个产品由于管理上的问题，或者别的方面的问题被病毒或黑客入侵了，他就否认这个产品，认为没有达到效果，您怎么看待国内安全领域的情况？对用户有什么样的建议？

　　江永清：从厂商的角度来说，我是今年1月份进入网络联盟公司的，非典以后，公司总部第一次有高层的管理过来跟我们进行交流，讨论中国市场应该怎么做，我提出最关键的概念就是服务。如果这这些都做好了，这个合作是一个长期的合作，黑客也好，病毒制造者也好，跟厂商补漏洞，是你追我赶的形势，这个形势不会改变，这个形势下，必须采取应对的方法，厂商跟客户之间的服务支持和技术管理方面的配合。

　　网友：是不是可以说我们对安全防护存在一些认识上的误区？

　　华景山：认识上确实有一些误区，有一些用户认为，我们买了你的防护软件，我们的企业就不应该有病毒出现，安全也不是百分之百的安全，需要我们的产品，我们的技术，我们的管理结合在一起，需要我们厂家的服务结合在一起，才能不断地提升我们安全的级别，你没有装防毒软件，可能一周有一百个病毒出现，装了之后，可能只有一个出现，装了之后，可以大大降低被攻击的几率，这也是一种安全的提升。

　　网友：每次病毒爆发的时候，用户都有措手不及的感觉，安全意识也都提高了，但在病毒爆发以后，安全问题又放在一边了，怎么样看待这个现象？

　　江永清：这是让我们比较关注的，尤其是一些重要的用户，也包括个体用户之间，我们要不断保持沟通的需求，包括今天这样的聊天。我们看到，病毒发生的时候，一些潜在用户对购买这个产品有很大的愿望，过去之后他就感到没有问题了，这等于是我们自身身体健康状况的一个投资，所以这是认知上面需要不断加深的方面，如果你自身的健康，自己的防御系统，自己的卫生系统都感到是至关重要的，你就会进行长期的投入，而且长期不断地关注这方面的动向，这样发生的时候就不会措手不及，如果发生的时候，你没有感觉，证明你的抵御能力很强，说明你的投资是对的，还应该继续投资。

　　网友：我想了解一下黑客的入侵主要是体现在哪几方面？会干哪些事？

　　江永清：我简单地说一下，一般的黑客进行攻击的时候，他的攻击行为都是很简单的一些行为，招数一般都是比较简单的，但是反复地做，所以有一些招数通常有一些方法，当然，这个方法你知道了，就很容易防护住。但是往往他出来一招是你不知道的，出现这样情况的时候，往往动作会特别多，因为他不会那么容易一下子就进来了。所以你看到，正常的时候网络流量应该是多少，但是突然流量大了很多，这是可以关注的地方，所以从我们所谓的方式和经验上，都会得到比较有效的防卫。黑客技术上会采取哪些方法，华工可以简单介绍一下。

9月8日上午，美国网络联盟中国区总经理江永清作客新浪谈网络入侵防御 左：主持人 新浪科技编辑周雪峰 中：NAI公司中国区总经理江永清先生 右：NAI公司技术顾问华景山

　　华景山：黑客目前分两大类，比如说一些高校的学生，或者电脑爱好者，基于一些兴趣攻击一些网站，比如说试图进入一些系统，试图修改一些网页，没有什么直接的目的。还有一些黑客，比如说间谍，他是有目的的，他会侵入敌方的网站，把页面改掉，或者做一些宣传，攻击的方式也是两类，一类是我们通常说的拒绝服务攻击，把系统搞瘫痪，比如说战争期间，把对方的系统搞瘫。第二方面，是侵入对方的信用卡的资料，或者是侵入对方的军事系统，探听军事情报。

　　网友：微软现在也开始做网络安全和杀病毒软件，我们怎么看待这个竞争对手的？

　　江永清：其实在这方面，第三方的分析家评论已经很多了，在这个场合上，作为一个厂家跟厂家之间的分析不太合适，我刚开始的时候说了几个情况都比较明显，第一个情况，微软所处的目标不会改变，第二个情况，他现有原代码的量，不是一个小组能够控制得住的，因为五年十年的开发量的沉淀。另外，在他将来做的过程中，易用性和安全性永远是一对矛盾，我相信他们会更加注重安全方面的东西，比如说我知道微软在2005年的时候将有一个比较大的发布，相信会有比较大的改善，但是整个过程也是道高一尺，魔高一丈的过程，所以我们没有太大的担心，而且从最终用户的角度来说，在一段时间里面，一定会感到专业的厂商会更加踏实一点。

　　网友：以前微软每进入一个领域，这个领域的竞争可能就会更激烈，微软现在要进入安全和防毒领域，你怎么看待市场的发展趋势？

　　江永清：现在微软购买了一个罗马尼亚的做安全的公司，他也在新的一些操作系统版本中测试这方面的功能。这样就要从两个方面来看，首先是法律方面，我不是这方面的专家，有很多第三方的评论，就是他是不是可以把这些产品可以嵌到里面去。另外他也想提高自身安全方面的功能。其实他已经很长时间在关注这些问题了，事实上也有这样的情况。这么大的目标，常年积累下来很多的代码，这是他很大的包袱，除非把他的操作系统和应用程序用安全的方法全部都做好，这个可能性大家可以想象一下，如果能做到这样的话，我们就没有事情可做了，否则的话，安全本身是服务和管理之间的结合，因此，现在来说，我们不感到这个行业会变得非常惨烈，又变成微软以前做的一些行业那样，这是一个独特的行业。

　　网友：我们什么时候可以买到网络联盟公司的个人安全和杀毒产品？

　　江永清：很快，应该是在今年。我们的产品，本地化产品都做好了，之所以没有很匆忙地推出来，主要是要有一个比较好的服务支撑体系系统，借这个机会，希望有消费渠道的，一些大的国内的分销商跟我们联系，我们也正在跟他们联系，如果你们有这个意愿的话可以找我们，我们希望找到比较好的分销服务体系之后才把产品拿出去，因为个人用户对这个技术方面往往没有很高的水平，如果没有这个分销服务系统，不能服务于最终用户。

　　网友：目前我们中国的网络环境，应该如何利用IPS来实现有效地黑客入侵？

　　华景山：各个单位的网络都建好了，在IPS的选购上需要了解，我要保护的东西跟我的投资成不成比例，比如说我的价值只有五万元，不会花五十万元去防护它。第二个问题，企业一旦要部署这个产品，就要看在哪个点上部署，在我们的出口上还是网络上进行部署，另外还要看这个产品能不能满足我的要求，一个是检测率的要求，一个是防护的要求，还有性能上的要求，你这个设计能不能满足我这个吞吐量的要求。

　　网友：我们公司的产品在中国市场的价格是什么样的？中国市场的战略是怎样的？

　　江永清：我们今年推出的一个新的价格体系，以往我们给大家的印象好象我们的价格非常高，新的价格体系推出以后，按照我们对市场的了解，我们没有比竞争对手贵。

　　网友：IPS是新出现的一个热点，我想了解一下，在安全领域当中还有没有其他的热点？美国网络联盟公司跟杀毒软件产品的厂商相比，核心竞争力是什么？

　　江永清：IPS是防入侵战略，防范垃圾邮件也是很重要的。我们在上海电信做过一个测试，他们看到服务器里面，垃圾邮件的量特别大，我们一般的业界里考虑到垃圾邮件如果没有行之有效的防御和过滤的功能，那将来就有70%或者更大的量，这不一定是热点了，但是这是非常需要关注的地方，不然你投下去的带宽和内存，全部用来放垃圾邮件了。我们跟国内厂商也好，跟国际的厂商也好，我们的长处，主要还是在全方位、深层次防卫系统上的多年积累。另外一方面，我们希望把这样一些经验和服务行之有效地，价廉物美地推到中小企业当中去，我们正在跟一些大的电信运营商协商，看有没有可能通过电信运营商传递到各种中小用户那里。

　　网友：我是工程师，做Check Point防火墙，网络联盟公司在深圳有没有招聘计划？具体招聘的要求？

　　江永清：我们在广州有办事处，在华南地区的业务开展得也不错，可以在网上找到我们广州办事处的地址，跟我们联系一下。

　　网友：你怎么看待国内安全市场的竞争？

　　江永清：市场方面来看，市场的空间是很大的，而且大家走的面也是不一样的，另外一方面，大家的侧重点和特长一般来说不是很快就把对方的特长马上就学到，一些渠道的覆盖面和价格上的优势也不是我们很快就能得到的，相互之间我们都各有一些自己的特长。

　　网友：美国网络联盟公司在美国做得很好的企业，在国内为什么这么低调？这是有意的还是蓄势待发的状态？

　　江永清：我坐在这里跟您聊天就已经回答了这个问题了，作为网络联盟公司的员工，我们都期待着把市场做到网络联盟公司应该有的份额，这也是我加入这个公司的首要目标。

　　网友：我们安全领域的市场今后几年会是什么样的状况？市场趋势会是什么样的？

　　江永清：我感到是这样的，在我看到整个IT行业里面有很多分支机构，随着网络的突飞猛进，随着IT应用对生产力提高扮演越来越重要的角色，有两个领域将来的量会越来越大，而且增长的速度会比较大。一个是数据的安全性，一个是数据的存储量。现在很多的业务和服务，基于IT之上，用户的安全性得不到保证，存储量得不到保证的话，有很大的问题，所以我对我现在所处行业的前景还是很乐观的。

　　主持人：今天由于时间关系，最后请两位做一下总结。

　　江永清：从产业的角度，我感到从发展国内民族软件产业来说，我非常欣喜地看到，国内防病毒软件厂商都做得非常好，这一块是比较孤立的，不像大型的应用软件需要很多的应用环境才能使产品更加成熟，所以做得非常好。整体的发展来说，这个行业的发展其实也说明整体的IT行业是有脆弱性的，这个脆弱性不会轻易地消失，所以这个行业，我们作为IT的守护者来说大有可为。对网络联盟来说，我们公司有十年以上的安全行业经历，而且我们在财富五百强里面也有十年的经验，对于国内的大型企业子来说还是很有借鉴之处的，我们自身来看，怎样运用一个适当的成本，让中小型企业，让个人用户，很快地享受到这个服务，显得比较重要。

　　华景山：大家知道，网络安全已经有十年的历史了，对于用户也好、厂商也好，都在提整体的网络安全解决方案，而不是单纯的某一个产品，但是对用户来说，一下子把所有的安全产品都放在网络上也是不现实的，所以在选择安全产品的过程当中可能分几步来走，第一步，防病毒是必须的，尤其是最近病毒比较厉害。第二步，首选的是防火墙的产品，在内外网之间做一个比较有效的隔离。但是随着网络的发展，越来越重要的数据放在网络上，就要选IDS和IPS的系统，将来还有VPN的产品、加密的产品，每一类产品都有一个发展的历程，比如说防病毒产品，从最早的单机产品到网络产品，从被动的防御到主动的防御，IDS系统到IPS系统，都有一个向前发展的过程，将来各个领域，都会有更多技术的新产品出来，更好地防护我们的网络。

　　主持人：时间的关系，今天的聊天就到这里了，非常谢谢两位嘉宾来到我们聊天室，非常感谢各位网友积极的提问，再次谢谢大家，也再次谢谢两位嘉宾。

【评论】【收藏】【告诉好友】【打印】