安全释放应用活力 时间:2008年4月8日下午 地点:新闻大厦酒店二层 主持人: 女士们、先生们,大家下午好!首先允许我代表《网络世界》报社欢迎大家光临今天2008年网络世界巡展,今天巡展的主题就是“安全释放应用活力”,今天非常荣幸邀请到业内的安全专家跟大家一起分享安全建设的经验。 潘永花 《网络世界》报社执行社长兼总编 主题:安全释放应用活力 尊敬的各位来宾,各位朋友大家下午好。很高兴在生机勃勃的春天里和大家一起探讨同样生机勃勃的话题--网络安全。 首先,请允许我代表此次大会的主办方计算机世界传媒集团和《网络世界》报社,对朋友们的光临和支持表示由衷地感谢。网络安全近年来的增长十分迅速,一方面国内外多家权威机构预测,未来几年中,网络安全领域是企业IT采购的重点,这意味着一个充满商机、潜力无限的市场。另一方面,网络安全产业链条中的特殊意义和地位也决定了它的发展成为制约和影响其他IT领域发展的一个关键因素。同时,也对我国的信息化进程起着至关重要的作用。我演讲的内容大概主要分为三个方面: 第一,主要安全威胁分析。 第二,典型安全产品选购建议。 第三,网络世界的安全情结。 国际化的组织提供了2008年10大安全威胁的预测: 1,针对浏览器的威胁,尤其是针对Flash和Quicktime的插件攻击。 僵尸网络、网络间谍、手机和VOIP系统、内部攻击、身份信息窃取威胁、恶意病毒、网络漏洞、混合型攻击、USB设备攻击。 今天主题是“安全释放应用活力”,为什么定这么一个主题?因为安全毕竟是要成为企业IT系统能够真正成为为企业的业务提供支撑的最关键因素,同时对于应用层的攻击越来越多,我们分享针对应用层的安全威胁。 第一,Web安全,Web逐渐成为恶意软件传播的首要途径,编写威胁程序的黑客不断寻找提高成功率的新方法,而通过合法网站传播恶意软件无疑是一种非常有效的方法,这种动态攻击的最后一次发作是在3月初,当时数百个合法网站都被用作生产僵尸的中转站。 当前活跃的Web网页数量超过100亿个,其中2%和10%都是恶意网站,这些网站传播的恶意软件和间谍软件能够造成机密的泄露等等不利因素。 大家可以访问网站,网站不仅有原因,还有解决的办法,有一些事例。可以看到针对Web应用的攻击越来越多。 第二,针对应用层攻击的例子。 僵尸网络不所不在,基于网络的安全威胁,最快速的传播途径之一就是利用那些受到攻击的主机,就是僵尸网站,这些僵尸服从于来自控制网络,即僵尸网络的指令。 恶意的僵尸网站通过自身已有对等的网络进行自我繁殖,通过招聘电子邮件和垃圾邮件进行传播,僵尸网络彼此协调来创建包含被感染的登陆网页的垃圾邮件,僵尸网络和网络系统是一个可重用并充分自我防御的职能恶意软件传播平台。业内普遍认为有7%连接到互联网的计算机都成为某些僵尸网络的一部分。 目前有一个趋势就是很多僵尸网络的职能化程度相当高,单一的僵尸网络能够滋生出数以千计的含有恶意软件的僵尸网站,它们在任何地方都很活跃,但活跃的时间从几分钟到几小时不等。 随着恶意僵尸网站的增加,包含各种新型的恶意软件的URL的数量正在增加,这些URL大量涌现,在过去12个月增长到300%,但是大部分企业还没有完全获得有效的解决方案。 目前基于URL的威胁主要是充当恶意软件传播的僵尸网站、垃圾邮件,不安全的Web2.0站点以及恶意广告传播网络,遗憾的是,现在的那些依赖于传统URL的解决方案,效果有限,原因就在于主要依靠人工分类技术,而遭到感染的网站则隐藏在许多良性网站类别的背后。 针对应用层的攻击大家比较了解,垃圾邮件正泛滥成灾,我相信每个人都会有收到垃圾邮件的经历。地球上每个人平均每天收到20份垃圾邮件信息,现在垃圾邮件和以往不一样,威胁性更大,以往的垃圾邮件是主要目的是销售某种产品。截止到今年一年度,83%以上的垃圾邮件含有URL的链接。 前几天我们登了一篇文章,在国外由于某个用户收到了垃圾邮件,垃圾邮件中的信息是关于某中药品的信息,然后这个人就相信了这个信息,订购了这种药品,结果导致他的死亡。实际上地址就是通过垃圾邮件实现的。 垃圾邮件的损害不仅仅是像以往仅仅是垃圾。从2007年初开始,基于图片、Excel、PDF等也逐步出现此消彼长的趋势。 混合攻击改头换面 以前是独立的垃圾邮件,混合攻击主要发展趋势就是提高复杂度。 越来越多的攻击者放弃了专门设计的单点攻击的方法,转而采用可重用平台,周期性、同步地发动动态攻击,垃圾邮件越来越多地进入公司网络的无害网关,并利用社会工程技术使最终用户将恶意软件带到网络中。 恶意软件不再使用单步感染,新的攻击.分为多个阶段。 基于上面这些攻击,很多用户已经采用了各种各样的防火手段,抵御这样的攻击。防病毒软件,防火墙大家都很熟悉了,我仅仅选择了两种比较典型的产品。IPS的建议就是: 即插即用的安全性非常重要。即插即用就是IPS默认一些过滤的规则之下,其实性能应该是最好的强大的防DOS的攻击能力。 在深度检测规则方面支持广泛的协议,但不片面强调数量。协议方面数量相当多,主流协议还是有限的,在深度检测规则方面,只要是支持比较主流的协议就可以了。 低误报 IDS出现的时候,也是因为误报率高,有很多客户的指责。 日志告警与管理维护 当你选购了产品之后,这个层面才是用户真正感受到产品好坏的一个方面。 关于UTM的建议: 不能仅用传统的“并发用户连接数”来判断UTM的性能。 病毒与攻击过滤的准确性。实现高度安全性条件下的性能:更小的延迟。 内容过滤与内网控制,选UTM的时候,如果用户有比较多的需求,也需要考虑到,因为毕竟UTM会整合了像防火墙,甚至是IPS的一些功能,甚至还有防病毒的功能。 用户在选择的时候关注UPN隧道内部流量的攻击过滤。 简单对于两种典型的安全产品给大家的选购提供一点建议。 网络世界的安全情结 网络世界一直在关注网络安全最新的进展,通过四个平台为大家提供最新、最快的信息,平面媒体周报有专门的网络安全栏目,多年来持续报道网络安全领域的权威信息。 网界网的安全频道:为用户以最快的速度获得网络安全领域的专业信息提供服务平台。 会展活动:安全巡展已经连续7年强势品牌,为安全商场与用户提供面对面的交流的机会。 评测实验室:定期进行网络安全产品比较测试,为用户选购安全产品提供客观依据,在2008年将会进行UTM和SSL VPN的比较测试。 谢谢大家,希望大家有空常去网界网坐坐,会有更多的安全信息为大家提供帮助,谢谢。 主题演讲:现代企业借助ProCurve Networking实现内网高级防御 惠普ProCurve网络技术顾问 李凯 各位同仁大家下午好。刚才潘总编对网络安全、病毒问题做了非常详细的高屋建瓴的介绍。我主要介绍惠普网络,针对于网络内网安全所做的自己这方面的努力以及可实现功能的介绍。 整个网络实现互联互通的过程中,网络作为最根本的物理连接方式,最开始只是一个联动性,随着网络逐渐应用提高,网络上的安全越来越受到诸位的注意。 今天议程包括: 第一,网络的趋势以及面临的挑战。 第二,惠普ProCurve主要防御的策略。 第三,网络的解决方案,包括基础架构的方案。网络可持续性方案、网络控制性方案以及免疫性方案。 第四,统一安全有线和无线。 从网络历史来说,惠普网络到现在有26年的历史,2004年进入中国。惠普网络成立的时候就叫做惠普网络交换机,品牌在惠普里面也是独有的,叫做ProCurve,以后看到惠普对网络宣传,包括ProCurve,这样就是惠普网络交换机,ProCurve的意思就是上升、上扬的体现。 网络发展过程中,从10兆的网络是由惠普发明的,千兆网络也是惠普发明制造的。从2003至今,惠普网络提出了边缘性、适应性架构,以这样的架构理念生产惠普网络交换机,现在有主动防御,与整个网络的协调一致性。现在市场排名全球第二名。整个过程中惠普网络交换机有新的技术、新的专利不断引进。 整个国际的安全标准协会里面,惠普在很多组织里面都是占据了领导者以及决定者的地位。 惠普的边缘性、适应性的架构,主要重申两个策略:中心命令,边缘控制。所有的网络命令的执行,从硬件层次上,从硬件控制方式,从安全的控制方式都是可以通过中心软件进行配制,进行控制。所有的这些控制的指令可以发布到所有接入层的产品上去,实现整个网络身份认证、安全认证以及网络免疫能力,这样的解决方式。 以后的边缘适应性架构中,边缘交换机架构非常强,核心交换机都放在边缘架构中,在很多TOP连接上是在核心的位置上,在整个策略配置上可以放在边缘位置,很多配置的方式都可以通过中心进行这方面的设计。 网络面临很多挑战: 第一,网络内部如何运行? 现在内网是在如何运行,我们能够感觉只是内网,办公数据、业务流的数据,真正数据流,从网管层次上来说,尤其是安全角度来说,数据流从发起端,到最后的终止端,数据流如何进行运作,在不同人的身份登陆过程中,会采取什么样的策略,采取什么样的控制方式,这是网络厂商业绩能力提供的解决方案。 第二,如何避免内部威胁? 以前大家听到网络威胁来自外部和内部,内部网络威胁占据很大的层面,网络内部安威胁上,从交换机特性上如何增加网络的性能?这也是安全遇到的问题,因为大多使用安全的时候,如何交换机厂商,从硬件层次上不能提供这样的安全,对于用户来说只能选用这样的软件进行安全设置。如果交换机厂商能提供这种安全性设置,并给予很多第三方软件厂商,安全厂商进行配合设置,整个网络达到很高的性能。 第三,对于不同的企业内部人员,这种移动性,位置的变化,包括职位的变化,包括不同的工作职位的变化,有不同的移动。对于这个如何有统一的解决方案? 第四,如何满足新业务的要求。 所有网络设备,我们看到是一个箱子,或者是一个EU的设备,这样的设备,在数据流运转的过程中,如何使业务数据流让交换机硬件设备有这种交换方式,也是对交换机厂商提出很大的要求。 第五,用户在部署网络安全的时候,是不是考虑到整个预算问题? 网络安全划分当中,对用户实施主要考虑到: 第一,硬件厂商,也就是交换机、路由器这样的厂商,硬件厂商提供的解决方案。 第二,对于软件安全厂商所提供的解决方案,可能是在跟硬件不同的层面上。如果硬件厂商能提供很好的解决方案,很多的软件的功能配合可能会更好一些。对于用户来说,因为不同种类的应用,不同的投资需要,所以很多投资都是在不断地一步步地累计、增加。 对于惠普的网络交换机,能够提出控制这样的网络费用,能够控制用户的网络的访问,包括非法的入侵这种访问,包括对于业务的应用以及制度的要求,在整个部署上也是非常简单。刚才说到中心命令,边缘控制,部署是非常简单的。在实施起来也是非常便利的。 主动的防御解决方案中,惠普提出安全只是一个流程,安全产品并不是一个产品,安全是通过产品来逐渐实现的。在整个网络的策略实施过程中,首先要定制整个网络策略。整合策略和定制过程中不断进行更新,首先是监测整个网络,对于网络监测事件进行使用,然后进行网络的保护。整个三个过程是不断地循环、修正的过程。在这个过程之中,最后找到一个很好的网络安全的解决方式。 惠普的安全适应架构分为几个层面: 第一,安全性的基础设施架构。包括硬件层次的设施架构。 第二,网络安全访问控制。 第三,网络主动免疫能力。 在这个基础上实行主动防御的体系。下面对整个体系对大家进行介绍。 基础设施的建设,设备的稳定、可靠、高性能,尤其对网络管理可视性,可视性不仅是流量可视性,还有对硬件厂商、硬件设备、数据传输安全上的保障。 访问控制,连接到网络设备中的接入端如何对它进行安全访问的控制,什么样的人可以访问什么样的权限,可以访问什么样的资源。非正常用户可以采取什么样的策略。 网络的访问能力,对于已知和未知的入侵手段、病毒的攻击,惠普能够主动防御,能够提供主动的免疫能力。现在可能对于主动能力、主动防御与以前提到的IDS、IPS还有一些区别,这种主动防御注重免疫,并不是通过病毒库的升级,或者是代码的升级,是通过网络流量的行为来进行整个网络的判断,然后进行主动免疫。也就是说这种行为可以对已知的操作和未知的病毒、未知的攻击可以做到主动免疫。类似于单点对多点进行多次扫描,比如一秒钟对一百个信息点同时进行扫描,这种行为可以做主动的防御、主动的判断。 解决方案、主动防御中有五个解决方案。 第一,从硬件厂商、硬件的设计、硬件芯片上的解决。第二,主动防御这样的软件。第三,对于端点准入,身份认证的软件。第四,整个网络管理平台。第五,整个网络流量可视性分析。 惠普网络交换机与其它厂商不同之处。第一,在交换机里面有的时候在销售过程中成本非常高,销售价格非常高。为什么?交换机最贵的也是价格最高的是ASIC芯片,很多芯片不是自己独立生产的,要购买ASIC的芯片,然后装到自己的机器里,按照自己的设计进行设计。惠普所有的ASIC都是由自己的独立生产制造研发应用。所以在很多成本里面,最贵的成本,惠普是能够把它做到自己完全的独立生产自主研发,在整个网络性能控制上,也可以做到芯片的各方面性能的多手段进行配置。 惠普交换机从核心到接入,可以做到终身免费保修,很多厂商只能做到三年、五年,甚至加服务费,惠普做终身免费保修。之所以做到就是因为最昂贵的芯片是自己研发,这个芯片坏了之后没法进行维修,可能维修成本比制造成本还要高。所以惠普交换机做到硬件层次终身免费保修。保修的意思并不是这个机器要拿到惠普去,惠普进行维修,如果通过前一个工作日进行维修,第二个工作日可以有新的机器,这种保修概念是保换的概念。 这种ASIC芯片有很多特性,这些特性包括对于数据的校验,对于功能的管理,包括各个模块之间的协同工作,包括数据包、内存都要校验。 举一个例子,在病毒抑制的过程中如何进行实现。如果一个病毒出现了,这个病毒要进行分类,如果只是单一问题出现这个病毒,惠普交换机认为是合法的数据文件,真正对于网络侵害最大的是类似于蠕虫病毒文件,蠕虫病毒最大的特性是单位时间内对多个地点进行扫描、发送数据包,就像以前遇到的冲击波,这种类似特性的行为,整个交换机的层次,CPU,内存已经利用满了,虽然端口都在量了,数据完全被堵塞了,或者是数据非常乱。 惠普网络交换机对于这种行为进行主动监测,如果发现这样的行为,有很多这方面的策略,比如对于接入的交换机,这样接入点进行端口IP的封杀,直接进账。 第二,服务器出现这样的故障问题,可以把服务器连接速率自动降低,避免这种病毒或者行为进行扩大。 硬件在购买交换机的时候已经购买这样的功能,不需要另外进行投资购买这样的功能。这个技术也是在惠普安全领域里面独有的硬件技术。 对于网络的可视化,惠普采用国际标准的sflow,现在作为国际标准,我们在1991年欧洲物理粒子实验室首先进行研究的Sflow技术从2001年惠普网络产品就开始使用了。包括我们用到的无线设备和有线设备都可以进行时实的分析。 主动防御体系里面,所有用到这些软件平台在惠普里面叫做Manager Plus的软件,类似于这样的网络软件,在这个平台上做到身份的认证,无线、有线统一管理,包括主动防御的管理。 它提供这种主动管理,对于用户是一个统一的界面,无论对身份的管理、安全的管理、认证的管理、无线的管理、有线的管理都是在一个界面上,可以统一完成。 对于网络最基本的设备状态的察看,网络设备故障分析,我们都可以在一个界面下看到所有网络连接设备,首先是网络TOP,用到的协议、网络状况,如果连线出现问题,很多地方的线变成红色、蓝色、黄色,如果设备出现故障,整个设备就不会出现绿的状态。通过网络TOP结构,就能看到现在网络之间大致的网络状况。 对于每一个具体的设备的具体流量进行分析,现在是一个分析的界面。通过这样的网宽软件,通过对企业内部的交换机进行安全设置的时候,可以根据部门划分一个组,每个组又可以有不同的交换机的分类,在整个显示就是一个Office,不同的交换机到不同位置上去,有多种形势显现出来。 在主动防御里面做到网络访问控制,主要通过以下几个方面实现。 基于身份认证,就是IDM2.0,这个软件做到基于一个用户、一组用户,在一个时间、任何位置、任何设备进行检查之后,可以控制这样的用户以下行为。 用户端口,用户的微量,用户的贷款,包括用户的访问控制,通过这样的软件,就可以做到任何用户访问以后,对用户所有行为,在网络上真正的流量可以进行可视化,可以做到可管理、可监控。一个来宾到一个企业内部之后,只允许做一个策略。对于用户企业内部不符合规定,比如应用层次每年升级,病毒库没有升级,这样的应用可以跟软件配合,只有在完成工作要求之后,才能够正常访问企业网络中去。 有断电性检查的功能,就是以这个相配合,在每一台机器上安装一个软件,能做到很多功能,包括对Windows系统升级的监测,对硬件系统升级的监测,包括对软件系统升级的监测,包括对整个安全层次、浏览器、应用层次,都可以在这上面进行设置。这里面要求,完全基于端点式的访问安全,每个客户必须安装这样一个软件。 主动防御体系中,有一个网络免疫能力这样的软件。可以控制现在网络是保护网络不被内外攻击,主要通过网络行为监控。另外能够监测整个网络运行状况,网络数据走向,每一个网络数据内部的具体数据流业务的分析,达到最大化的网络运营时间,适应网络要求。 通过两个技术实现,一个是sFlow,第二个就是NBAD,对于网络异常行为监测。 软件主要功能就是硬件厂商与惠普交换机进行配合,病毒出现主动性攻击,从软件层次,通过中心的ProCurve Manager软件,通过网络免疫能力相配合使用,对于每一个端口以及端口下面地址直接进行控制。采用的控制方法以及控制策略,就是上面介绍的病毒行为进行控制。 对于有线和无线的统一访问,通过惠普有线设备及无线设备做到完全统一,有线无线用户达到什么样的安全性,控制达到4个W,who、when、where、what,谁?什么时候?在哪儿?做什么事情?如果这些行为都被监控到之后,整个网络管理、网络安全就在可视性安全之内。网络流向分析都可以达到公共的层次。所以惠普能提供网络的有线、无线的安全解决方案,就能达到4个W的要求。 有线接入网络,身份认证、网络安全、网络免疫,惠普无线产品,是密切、安全统一在一起,是通过一套身份认证,而不是通过不同的身份认证,网络控制也是通过一套策略方式,而不是通过多套控制方式,达到有线、无线完全统一。 很多厂商在实现这样形式的时候,都是在有线和无线分割的层次,惠普策略就是能够达到有线和无线有相同的策略、相同的口令、相同的访问控制。 很多厂商对于无线厂商管理只能管理一部分,针对有线管理,针对无线管理。通过打造小的ProCurve,在这个基础上加很多访问控制,免疫这样的软件之后,可以做到在一个平台上管理到所有有线、无线。所有有线、无线、硬件设备、流量、性能、监控、安全设置,达到这种策略完全统一。以前我们进行无线配置的时候,尤其在项目实施的时候,很多工程师或者很多技术人员都会遇到一个问题。 无线范围可视性,进行网络实施的时候这是一张图片,这张图片在惠普网络,PMM无限管理软件当中,把工程图纸扫描、拍照输入到计算机,以软件输到这个位置,在不同房间之中,可能预先定义不同的AP的设备,实施的时候,无线网络插到网络之后,整个网络软件直接检测,我们可以把网关设备定义在不同的位置,同时手动无线信号也是非常麻烦,非常笨拙,通过这样的软件,不同的位置有不同的隔离墙,有几个区域,不用手动配AP的位置。 在位置选择上可能是这样的位置,大家在无线AP选择的时候,在一个中间的位置,大多数是这样的。有了这个软件之后,很多情况下AP放在这个位置,这个位置会自动选择,找到一个最高的信号匹配点,达到最高的网络应用性能。如果一个AP出现了问题,其它的AP经过策略控制之后,功率可以自动放大,覆盖掉以前出现AP的位置。这样设备的信号,增大功率的发送,增加信号的范围。达到无线范围设备的可视性,在应用里面做到安全访问控制是非常好的。比如说有一个外来的AP到网络上去,可以定义成一个非性能产品,如果一旦出现这样的状况,一旦出现网络调节,通过网关软件直接进行检测。同时,进行这样设置之后,对于有线用户可以采取相同的方式。 在惠普这样一个硬件设备以及软件网管设备统一平台基础之上,我们能够达到这种统一的网管平台、统一的报表、统一的安全数据显示。在一个平台之上,我可以做到中心的命令,边缘的控制。中心发出一张指令,边缘交换机就会对边缘的接入点、一群用户和一组用户采取相同的动作。 惠普提供设备平台,包括网关方面的平台,提供很好的安全解决方式。 主动防御体系之中,惠普能提供安全基础性适应架构、网络免疫、网络访问控制、可视性网络。在很多业界之中能够达到无线和有线的集中管理。 惠普的安全统一的解决方案,管理上安全能够做到核心到边缘,有线到无线,统一的网管平台,统一的策略分发,统一的访问控制。在网络访问控制之中,一个是要增加安全性,第二要增加性能,在增加安全性和增加性能的时候,永远是一个非平衡的关系,通过这样的统一网管平台、统一的配置、统一的策略,我们能够达到在性能上、在安全性上完美的统一。 最后,介绍惠普产品的主要九大特点。 惠普网络产品完全是自主研发,是有自己独立的生产制造研发体系,是100%的惠普的产品品质。 整个产品线,从硬件产品线有很强的颗粒度、稳定性、可靠性,能有很好的主导方式,否则如果没有这种稳定性和可靠性做支撑,惠普网络交换机,也不会做到终身免费保修。 惠普交换机能够做到完全的自主研发的硬件,ASIC芯片和软件自主开发能够自主研发。 有线和无线完全完美统一。去年提出主动性的网络解决方案,就是希望通过从硬件厂商这个层次下,为很多的软件安全厂商提供更好的接口,提供更多的更相近的从硬件厂商这种对数据流量的细分化,使软件达到书记的时候更准确,更实施。 从产品角度来讲,惠普有几个主要的优势: 第一,从硬件厂商,厂商可以直接承诺,硬件产品从核心到接入,做到终身免费保修。能够保到电源和风扇,做到终身免费保换。 第二,从软件操作系统,交换机软件特性不断更新,会有两款交换机,其他交换机在购买软件能免费。 第三,所有的交换机产品,在进行升级的时候都是免费的终身升级。 第四,厂商服务免费的终身技术的电话的支持。 惠普专门有这样的服务对用户的授权问题,产品问题、技术问题、配合问题,做详细的厂商层次的直接基础设施。 演讲内容:面向结构安全,让网络更可信。 谈到可信,其实比安全可能更重要,因为所有的网络所发生的一切的事情如果能够建立在可信的基础之上,整个网络就安全了。怎么看待这个问题?先从几个层面来说。 首先,安全建设的发展趋势。首先要总结目前安全建设到底是什么样的趋势,从网络角度解决问题,也有从终端角度,从服务端角度,从各种角度都在解决安全问题,但是它到底是围绕着怎么样的思路和趋势在做,可能并没有我们想象的那么复杂。 安全建设实际上目前主要围绕两大趋势在开展: 第一,从脆弱性安全向结构性安全过渡。这句话听上去稍微有点抽象,但是我们以往大多数考虑到,在我们考虑某一个安全问题的时候,往往局限在脆弱性这个问题上,往往没有考虑到结构性安全。 第二,从风险控制为核心,逐步发展到以风险管理为核心。这是退了一步,以前我们的想法都是在想尽一切办法去解决风险,我面临什么风险,就一定要严格控制他,到底为什么要逐步发展到以风险管理为核心。 最主要一个原因是脆弱性实际上是永远存在的,突破任何防御只是一个时间的问题,如果把时间信号加到安全里边,实际上安全就没有永恒的了,可能是暂时的,也可能是长期的,但是突破一个脆弱性的安全,脆弱性是永远存在的。在这种情况下注重结构性安全就有一个模型,可能大家很清楚这个模型,就是P.D.R模型,这个模型也交换了我们,如果防护的时间大于监测和响应的时间,那么结构式安全的,这里仅仅是防护的话,并不能完全是安全问题。 举一个例子,像银行的金库建在地下,墙很厚,门也很结实,其实它有没有弱点呢?其实突破它就是一个时间的问题,但是为什么它的结构是安全的,因为它有监测和响应的机制,它能在你突破它的防护之前就能做很迅速的完成监测和响应的过程,这个时候它的结构是安全的。可相而知,如果有这样一个结构在我们的网络中,在我们应用过程中,是不是我们可以认为在很多时候防患于未然。 为什么要以风险管理为核心?这个问题有各种各样的答案,但是我们从一个理论模型的角度来看,构成风险的主要三大要素。第一大要素是威胁,威胁多了会有风险。第二大要素是弱点,弱点多了也会有风险。第三大要素非常关键,可能很多人都会忽略这个要素,就是价值。一个东西的价值如果很高,它本身也会有风险,这对于一个人来讲,我走在大街上可能会面临危险,因为我面对各种各样的人,各种各样可能会危害到我的事情。对于人来讲,肯定有弱点,这是一样的,但是唯一不同的是,我本人可能跟领袖伟人面临的风险不一样,为什么他们需要那么多的保护,而我可以不需要?因为价值不一样。所以这个问题讨论的时候,我们所有信息建设过程中往往会忽略一个什么过程,我们在不停的架防护,不停的控制,但是我们并不知道哪些信息系统是最重要的,这对很多企业都还是一个未知数,但是目前很多企业才开始逐渐摸索,哪些资产对我来讲是核心,是非常有价值的,这些东西的到底保护的程度怎么样,大多数都在顾着Intelnet这个时候很多工作都没有做到位。 威胁我能够控制得住,我天天待在家里不出去,就没有威胁。弱点我也可以天天避免,天天锻炼。但是价值你能够控制得了吗?所有的信息系统、所有的IT坚决的过程今年从现在开始,三年以后你的信息系统价值一定是在膨胀、一定是在上升,没有人告诉我过三年以后所有的信息系统就没有价值了,当然没有价值就安全了,但是并不是这样。所以风险不可能被绝对控制,你就必须要进行管理,所谓管理就是要了解你的威胁、了解你的弱点、了解你信息资产的价值。这就是为什么用风险控制逐步转移到风险管理。 现在的启明星辰公司和产品是什么状况。 今天的启明星辰拥有国际一流的攻防技术研究团队,也是专业安全产品、解决方案和服务提供上。目前员工超过700人,是国家级网络安全技术研发技术总部在北京中关村软件园。现在在国内入侵检测、UTM、审计、安全管理平台产品技术的领跑者,在IDS、UTM、网络审计、漏洞扫描、专业安全服务国内市场占据第一。启明星辰服务的行业,主要是政府、金融、电信、大企业,启明星辰服务的客户绝大部分都是非常关注风险管理。 很多人认识启明星辰都是从IDS开始的,都知道启明星辰IDS很有名,很多年都在中国市场上占据第一的位置。启明星辰也经过了很多年的研究过程,对入侵技术的研究,启明星辰随着这么多年的积累,已经不仅仅停留在单纯的入侵了。现在的入侵已经不仅仅像过去黑客攻击的形式,我们用一个最准确的词就是威胁,包括违规、异常、漏洞、入侵。 从监测技术的研究,监测技术拥有的领域越来越多,监测和响应这个环节必须要和防护结合在一起。监测技术延伸到各种安全设备中,通过监测来实现防护、管理、审计、扫描,很多安全技术开始逐渐利用监测技术,所以启明星辰也构建了这四大安全产品类。安全网关、应用监管、威胁管理、安全工具。这是启明星辰的产品家族,每一类都有不同的型号和对应安全问题的一些设备。安全网关一直到上面的泰合平台,越下面的是风险控制,很单纯也很直接,应用的方式也很突出,越往上就开始发挥监测响应的作用,像IDS、审计、漏洞扫描、管理平台、安全运营,都在帮助用户尽快了解你的威胁状况,了解你的弱点状况,了解你的信息资产价值所对应的危险到底是什么,你应该做哪些改进来进一步完善你的风险控制措施。 我们把通常的一个网络划分成15方格,有生产终端、远程终端等等,服务端也分成众多的服务端,在这么多端的面前,对安全的需求各不一样,各有各的要求。启明星辰目前的产品基本把网络端、终端的安全需求几乎覆盖了,除了服务端的灾难备份、数据恢复和终端上面的防病毒,启明星辰没有覆盖,其它已经全部覆盖了。 在这种覆盖的前提下,启明星辰可以随着企业整个建设的各个阶段,都有相应的促进措施。前面我谈到的更多的是产品,其实启明星辰还有一个专业安全服务的团队。建设的初级阶段信息化建设过程中,要解决安全问题并非从脆弱性安全来考虑,因为信息建设是动态的,安全也是动态的,必须要建立一种闭环机制来解决持续的安全问题。所以在企业的建设通常围绕这么几个阶段来做: 第一个阶段,自我认知,你首先要知道你面临的什么威胁,你的系统里面到底分别是什么样的价值,这些系统面临什么威胁,存在什么弱点,你必须得知道。靠什么知道?一方面靠专业的安全服务团队帮用户了解,这里面有专门的风险评估的专业谈对。 第二个阶段,从启明星辰用户部署的IDS上用户扫描器上获取你所面临的威胁的记录,你所面临的弱点的评估。当自我认知了以后,可以进行基础的改进,可以进行安全域的划分、网络的规划等等,在控制设置更严密的控制措施,这个阶段里面基本是安全控制的设备,比如安全网关、IPS都是在这个层面上发挥作用,进一步发挥风险控制。 第三阶段,开始要关注的是定义内控流程,加强和规管理,对外好防,对内可能更难一些,所以你要很清楚的定义出来内控的流程。很多企业有内部规定,不允许员工做什么,不允许管理员干什么,不允许审计员干什么,不允许财务干什么。有很多要求,这些并非属于安全性的问题,但是一旦突破这些要求,对企业可能造成损失。所以可以需要安全监管类的来辅助,让企业员工符合企业运维的要求,符合企业对系统操作的要求。 第四阶段,有一个泰合平台来帮助实现运营管理,这个运营管理其实就是安全运营管理是IT风险集中管理、集中监控,能够快速的让用户能够了解到他面临的危险,他遇到的问题。这些安全设备会汇报给泰合管理平台。这个目的到这一层并不结束了,到这一层可能是新的开始,因为它能够有效帮助企业迅速自行驱动,或者通过突发事件迅速驱动你在哪个环节需要改进,是在内控流程上需要改进,还是在基础设施上需要改进,形成一个永恒的闭环,才能帮助我们完成持续的完全。 注重结构性安全产品应用。 我给大家摆出了几个例子。首先看安全网关,这一类产品从最底下开始说,启明星辰安全网关产品统称为“天津汗马”家族,这个产品族里面一体化安全网关主要是UTM产品,集成了FV、VPN、AS、ISHAV,在防病毒上获得了新的突破。目前注重的是策略实施简单和管理维护简单,很多指标是都符合了更多用户的心理需求,我们做了几百个用户的调研,发现60%的用户提出的50%的问题都说网关太复杂,很多功能我用不起来,我希望简单的能够解决我所有问题的网关,我们发现网关需要简化,所以在启明星辰开发这个软件的时候,先开发了管理界面,后开发了产品,开发界面以后再回到用户那儿,再开发产品,所以整个过程很简单,虽然有很多功能,但是80%的功能在一个界面里都配置完成了,只有20%的功能可能需要到两个界面。 在这样一个产品支撑下面,是安全网关。另外一个就是IPS,这都是需要做风险控制的。IPS注重什么?注重少误报,启明星辰对IPS是深层防御,精确阻断。要设置发挥阻断作用的研究,启明星辰要百分之百确定这个是攻击才会阻断,所以IPS放在用户网络上,用户不需要干预太多,只需要干预企业不允许做的,比如P2P,一些IM软件,可能这些软件在企业里不希望使用,这些需要企业选择,但是对于入侵来讲,企业的使用用户不需要干预,完全是按照趋近于百分之百的精确阻断的原则才对用户做判断。 精确阻断Web威胁,SQL注入,这是最重要的威胁,利用对数据库的阻断来阻断攻击。跨站脚本、服务器DOS攻击。这都是IDS阻断的攻击。很多用户都会提到,UTM里面也会有IPS,IPS也是能够完成固定防御的功能,他们是互补关系还是什么关系,对UTM来讲,是一个网络网关、安全网关,要覆盖的是网络到网络之间的入侵,IPS覆盖的是网络到目标主机的入侵,这两个是完全不一样的。我的保镖保护的是一个建筑、一群人、一个大厦、一个大院,一个保镖保护的是某一个人。可想而知,一个能做到很精确,一个是需要他做一级访问控制,他们保护的目标不一样、内容不一样,也导致他们所保护的方法、方式有区别。 IPS主要是对服务器进行保护,因为客户端一般是不需要太强的保护的。服务器里边分两类,CS、BS两种结构,目前CS很多加密协议,保护需求也不突出。所以IPS最大的保护突出点在于BS服务器上,包括Web界面、网站等等,所以所有Web威胁里面很重要的威胁都是启明星辰最关注的,而且现在已经把Web威胁最重要的三大威胁已经解决了。 “天津汗马”USG利用网络资源进行入侵的,都在UTM里面完成了。它们之间还有互补和促进。假设IPS保护了一个服务器,我们曾经在一个公务员报考网站里放了一个IPS,发现在一天里边发生14次攻击,很可能是替考、注入的人进行的控制,但是IPS给它拦截了。如果在流量最高峰的时候,对它过滤一个小时、两个小时,它的一个配合的过程,一个从网络角度,一个从对目标保护的过程。 如果站在网络的全局角度来讲,IPS跟USG、跟UTM的关系,把访问控制更贴近于目标主机,但是可以把它的控制可以分解到网关上控制,能够提前把一些攻击完成控制。 启明星辰还有一个非常著名的产品,入侵检测系统,很多人都了解启明星辰都是从入侵检测开始的,但是对入侵检测的产品价值很多人曾经质疑过,到底这个东西是不是应该被IPS取代,它只是个检测,起不了作用。但是启明星辰对它的看法是,全面检测、有效呈现。并不是为用户控制入侵,它的作用是检测和响应。入侵检测产品对用户最大的帮助是,通过一个旁路检测全面的网络能够有效的呈现出来你到底在哪里发生了入侵,发生了多少次,位置在什么地方,曾经有很多企业使命启明星辰入侵检测产品覆盖了全国,能够很快速定位出来,到底在哪里、哪个区域、那个地方发生了什么样的入侵,快速定位出来,用户可以采用访问控制措施,改进它的基础控制,可能需要部署IPS,也可能需要设一个ACS就可以解决问题,这个时候可以通过风险管理的手段来指导风险控制措施,这种安全措施更有效。 IPS、IDS、UTM里的IPS利用的检测技术,启明星辰到底怎么看?启明星辰有两个团队是非常厉害的团队,在中国来讲都是非常宝贵的。一个是国家级实验室,攻防实验室。第二是信息安全的博士后工作站,是在中国成立最早的博士后工作站。这两个组织在干什么?一个组织在研究各种攻击的特征,每一个攻击性发现了以后,会快速研究出这个攻击有什么唯一性的特征,一旦有唯一性很好防御。有的病毒基本上没有唯一性,看上去跟一个访问网页没有什么区别。博士后工作站在研究什么?在研究攻击躲避的一些原理,它为什么能躲避IPS、IDS,凭什么躲避,在研究这些东西,在研究设计抗躲避的一些算法,这两个机构的组合能够使检测技术,能够从本质、速度上得到提高。 IDS跟IPS是什么关系?从趋势看区别,一个是站在控制的角度来防御入侵。一个是站在管理的角度了解入侵。这两个角度本身对用户的需求不一样。很多用户网络里既有IPS,也有IDS。它们两个的部署目标不同,定位也不同,导致了一个是深层防御,一个是全面检测,两个角度不一样。 从需求看也是不一样的。IPS也取代不了IDS,因为核心应用不同。一个是为了精确阻断,必须百分之百确定是入侵才阻断。而IPS不需要,是帮助用户了解你的需求,比如一个用户输入了十次口令,但是它不是攻击,IPS并不能告诉,而IDS必须要告诉。 从发展看区别,两个各有侧重,从报表、检测、管理等等。 工作模式也不一样。 天阗IDS和天清IPS之间,整个网络运营中,可以通过IDS看到这个入侵非常多,要加以防护。用户就知道,在这个地方我发生过多起入现象,我需要在某个地方、某个关卡布置IPS产品,能够进一步降低。比如这里经常发生异常,我就知道在某个地方设置一个ACS就可以控制风险地。 应用监管类,实际上网络安全审计系统。这个系统从应用举例的方式说,它所要复杂的主要是对企业的违规,对各种各样企业设定的各种违规来进行监控。比如不允许早上十点钟之前对核心路由器进行操作,不能做,这是企业的规定,安全运营的一个规定,即使你是管理员也不能做,需要把这个设定进去,设定到审计系统的策略里面。审计系统一旦看到某个人在这个时间做了某件事,他会阻止。 另一方面它会把这个人做的所有事情都记录下来,他记录是什么样的?会把用户终端上显示的所有东西都列出来,最近我们发现通过这个产品在中国移动发现过一起,曾经有一个用户在一个不允许做这个事情的时间修改了一个核心路由器的,很快他得到审计署的审查。这虽然不算违规,有正常的访问,有合法的身份,有合法的访问途径和渠道,只是对企业来讲,不允许这么做。所以这个产品开始,厂家所提供的是半成品,另外一半是企业的规定需要按照这个产品的规则输入到这产品策略里,目前这个产品策略已经总结了几百条策略,大部分都是对UNIX主业,已经有现成的模板,但是对不同的企业要求深度会有不同。 刚才是站在网络的角度进行监管,所有流过这个网络察看网络的这些信息,我都能够监管起来,并且进行审计和记录。另外,从终端的角度也需要监管,比如终端不允许通过红外线、蓝牙传出去,也不允许外连网上网,这种控制通过网络角度做控制是不够的,所以要从终端的角度进行监管,但是终端和网络如果结合到一起,会发现整个网络力量会做到更强,全过程业务安全与合规性保障会更强,很多网络里面经常会遇到这样的机制来监控和管理内部网络。 应用监管类的产品,一个是从终端、服务端、网络,能够实现强审计、强溯源、协同监管。强溯源的意思就是我一定能找到发生这个网络信息的人究竟是哪个终端,什么时间干的,一定能找到对应的人。审计的目的是为了快速的溯源,而且有很多仿真回放的机制,都可以作为取证的信息。还可以结合访问控制进行配合,就是安全网关和终端产品,当你的终端不符合某种安全要求的时候,不允许接入网络,或者不允许跨入到另一个安全域里面去,就需要网络终端进行配合。实行协同网络控制和可信的接入控制。 安全工具类。主要是对终端、服务端的扫描,主要是让用户能够了解到企业里各个补丁可能还没有打,可能有漏洞,通过扫描器全面的扫出结果。通过扫描以后对每一个扫描的脆弱性进行定性,这个弱点是几级,应该打多少分,危险程度是多少。再配合资产,如果你的资产很重要,这个重要的资产有一个很低的漏洞,可能级别也很高,但是一个不重要的资产可能有一个很高的漏洞,但是级别并不高,定性了以后有一个专门的修复策略提示你,按照策略进行修复,再进行审核,再扫描一次,进行比对,得出一个报告,看修复之后整个安全风险降低到多少,会有一个按照国际标准的评分过程,让你量化的知道,你的安全效果是什么样的效率。 漏洞扫描也可以和其它产品配合,比如可以和启明星辰IDS产品进行配合,这个产品根本没什么漏洞,但是有一个攻击在利用这个系统的漏洞产生攻击,IDS发现了,IDS如果没有漏洞扫描的输出IDS是应该报警的,但是有漏洞扫描说这个已经不存在了,IDS就不需要报警了。存在此漏洞入侵,就优先报警。 到了更高的层面,网络中有各种各样安全产品,分散的到处都是,这个时候怎么办?有泰合平台,可以从不同的角度进行管理。总的来说,它是一套软件,有不同的部件组成,有采集部件、分析部件等等。这些系统都应用到国家很高级的一些应急中心上去监控一些很重要的对象,都是采用这一类软件。 将来网络安全产品一定是能够实现多引擎、多代理的相互关联,刚才只是两两组合产生的价值,如果整个网络中检测类的产品、控制类产品、管理类产品进行多方面组合和关联之后,整个网络结构可以做到更进一步的安全,这样也能够使网络更可信。 在这种基础之上,产品会发生一系列的变化。如果要两两组合,产品必须有一个统一的结构,以前大多数网络安全产品都会有不同的结构,随着工作模式、应用角度不同,会有不同的结构。但是将来网络安全产品里,网络安全产品的设计思路和基本结构会相当类似,只是它的工作模式不一样。都会有引擎,有引擎的管理,有数据,有互联的接口,还有显示组件,到了显示组建会形成定制化,不同的业务会根据不同的需求定制出来你关心的是什么,这些东西显示出来就可以了,这才是将来安全走向结构化产品必须具备的基础。启明星辰已经在实现这样一个目标。 启明星辰是在以不断创新的技术,面向结构安全,使网络更可信。 演讲人:罗海龙 趋势科技(中国)有限公司技术经理 演讲题目:Web威胁下的网络安全主动防御 大家下午好,我是趋势科技的工程师,很高兴有这个机会跟大家见面,跟大家介绍防病毒方面的知识。 演讲主要内容包括趋势科技的一些简单介绍,Web威胁下的一些应对方法。主要包括一些Web威胁的应对,ARP威胁的与应对,及时响应与服务的内容。 趋势科技是专业致力于防病毒方面的服务的厂商,包括四个层次,网络安全部分、Web安全、邮件安全、终端安全。这四大块又包括很多小块,包括ARP的概念,包括Web安全方面的东西,主要是Web网关部分、病毒过滤等等。邮件安全主要是邮件病毒过滤、内容过滤、垃圾邮件过滤。终端安全部分包括更多内容,包括病毒防护、间谍软件防护、桌面防火墙等等。 针对不同的用户,个人用户,一种是单机版、还有合作型的版本。发展型企业有很多解决方案。中大型企业里,通过防护战略,提升企业完整的防护。可以根据不同的用户选择不同的解决方案,就是说它可以覆盖全部的企业用户及个人用户。 趋势科技是1988年成立于美国,是一个美资企业,现在遍布在15个国家,有800多个威胁的分析点、信息采集点。是全球唯一经过ISO9001和2000认证的机构,它的后台防护体系和支持体系是完全符合质量考核内容的。 趋势科技近几年提出的观点是服务的方式,我们在防病毒领域发现,只有产品只能解决防病毒一部分的功能,而现在新的威胁之后产生了新的需求,而企业并不能完全解决防病毒的内容,需要厂商提供强大的服务,才能够真正提供完整的解决方案。一般分为三个层次:已知病毒的解决方案、未知病毒的解决方案、服务方面的内容。 趋势科技2001年到中国到现在已经七个年头了,也获得了业界的认可,包括一些客户、宣传的机构和报纸、报刊等等,其中有一些企业方面的认可,有一些产品和服务方面的认可。具体的客户方面,在中国最成功的一个用户是中国工商银行,还包括大型的用户,包括电信行业、机械制造业、电力行业等等,都会有我们的成功案例。国际上也有很多成功案例,比如爱普生这样大型的企业。 趋势科技自从进入中国以后,一直强调的是本地化,趋势科技是全球三大防病毒厂商之一,它在中国投入非常大,一直在强调本地化的内容,在强调本地化内容的时候做了三件事。 第一,在中国区域成立了中国区的病毒实验室,中国区病毒实验室是做全中国的所有的病毒案子,这是病毒处理的核心机构,可以不出中国范围就可以解决所有防病毒问题,所有工作都是由中国人来做。为了解决中国区域的特殊现象,比如中国区域ARP病毒问题,提出了区域性的防病毒代码,这个病毒码只覆盖中国区域,为什么会有这样的产生,主要有两个部分的原因,而不是全球的爆发,比如ARP病毒只有在中国区域里才能大范围的爆发,在国际商爆发的很少,发展一个特殊的例子。 第二,中西方人的思维方式完全不一样,西方人的观点认为,如果你发现一台机器上有病毒,一定要明确这台机器上的病毒确实是病毒的时候才可以做动作,而我们的观点是,当我们知道计算机上有病毒,只要不影响应用,完全可以把它给删掉。一个是精确度方面的东西,再就是查杀力度、反对的能力。由于区域性思维方式和做法不一样,所以要有区域性的解决方案。趋势科技为了实行中国的市场,研发一种新的产品。 第三,趋势科技为了解决升级问题,升级服务器都是在国外,在升级过程中会碰到很多问题。举简单例子,在去年台湾地震造成了很多国际连路短路了,病毒库不能升级了,再就是升级速度的问题。为了解决这些实际问题,趋势科技在中国成立了一个升级服务器,我们把它叫做ChinaCDN,中国用户只需要上这上面去升级。而且它还增加了很多功能,比如U盘防御功能,ARP防病毒的方法,都会放在中国区CDN上自动升级下载,形成了中国人支持的响应机构。趋势科技是一个全球的三大防病毒厂商之一,致力于中国做本地化方面的工作。 Web方面的内容。凡是会上因特网的,上网的时候第一个用到的就是Web,就是HTTP,会通过这个上网访问一些信息。现在病毒方面主要是Windows系统的病毒很多,Unix和Linx系统的病毒很少,为什么?因为Windows利用率在全球具有90%以上的使用率,只有这些拥有大范围使用率的产品和设备被攻击,才会真正产生影响效益和经济利益。利用Web发起攻击是最常见的方法。在这种过程中就势必会有一些病毒进来。如果一个病毒一种是通过网络传播过来的,另一种是用U盘传过来的,U盘的病毒可能是插到那台计算机上产生的,那这个计算机上的病毒又是哪儿产生的?可能又是英特网上传来的。统一的显示的结果是中国区恶意网站数量是最多的,一到七八月份或八九月份病毒泛滥很严重,为什么会出现这种现象,很简单的道理,很多大学生或者一些中学在八九月份都放假了,放假一般都会去做一些闲暇的事情,而现在大家经常做的事情就是上网,我们年轻的时候都很有好奇心,在这种好奇心驱使下,都会做一些特殊的动作或者特殊方式,而现在病毒门槛越来越低,以前要想做一个病毒,都要会编码,写一个程序或者会编语言或者VB、VC的概念,而现在他只需要上网下载一个病毒生成器,插入自己想要的东西就会产生病毒,他会想尝试获得自己想要的东西,所以八九月份经常有病毒的泛滥。大家想要攻击它,都很容易用Web去攻击,我们怎么去解决这个问题就是一个比较难的课题。 如果你是一个攻击者或者你在网上看到一个信息,怎么去攻击Web网站。用《孙子兵法》的说法是“知己知彼百战不殆”,他第一个想要做的就是你要攻击对方的弱点,找到这个弱点之后,通过这个弱点植入一些他想要注入的东西,比如注入式攻击或者文件的更改等等。他注入完了以后,把某一个网站的某一个链接,重新定义到另一个链接着上面去。当你去访问一个网站点击一个链接的时候,就会自动访问到另一个链接上去,就会链接到一个病毒种子上去。他想要你什么资源就要你什么资源,想发什么包就发什么包。这是通过Web的攻击方式。 病毒是怎样产生的,在我们企业中病毒是什么状态?现在一些威胁的变化在我们企业中的状态是什么样子。如果一个传统的防病毒处理动作或者一个防病毒处理周期是什么概念,首先可能你中了一个病毒,它是一个向上的抛物线损失不断增加。当有了病毒码以后,把这个病毒种植下去,把病毒清除,就是一个抛物线的损失比率。 随着一种新技术的产生,就是整个病毒周期完全被混乱了,如果这个客户端中了一个病毒,会访问应特网会更新一个新的变种,当它还没有被杀掉的时候,又去访问应特网,又下了一个病毒,这个病毒中了第一只病毒以后,就一百只病毒都进来了。对于一个防病毒厂商来说,处理一只病毒是这样的流程,处理一百只病毒还是这样的流程,那么对于他们来说,怎么样把所有的病毒一起都处理掉,这就很困难。我们的防病毒往往是矛与盾的关系,病毒是矛,我们是盾,矛永远决定盾的方向。在这种情况下,我们怎么采用主动的方式解决问题呢,这就是防病毒需要思考的问题。 Web威胁不断在增加,病毒不断在扩散,传播方式不断在变化,病毒感染几率越来越大。我们有什么方式来防御呢?一个企业里面有网关,有邮件服务器,分很多子网,有很多应用服务器所有的终端。整个过程终端要连接因特网,再连接服务器。在这个过程中,什么位置最容易防御,什么位置最容易起到效果呢,网关位置可能有五千个,如果说在客户端解决问题,我们投入五千个人能解决这个问题很快,如果我们管理员只有五个,解决五千个问题很难,如果在网关位置如果能解决防病毒问题,那我一个人只要维护这个网关设备就足够了。如果我们通过网关位置,所有病毒没有进入内网,这五千个客户端感染病毒几率很小,拿一个中医理论来解释,我们去看老中医的时候,老中医都会说,病从口入这个概念,如果你得病了,你去看中医,中医说你这是虚火上升,怎么办呢?你要注意饮食,不能吃发的东西,多喝水。这种概念就是控制你的饮食。如果我们把嘴和网关比做同一个位置,如果我们能控制自己的饮食,就能避免这种病毒的出现,自己身体上病毒的出现。如果我们在一个企业里边,如果能够通过网关控制哪些人可以进来,哪些人不可以进来,那么他感染病毒的几率就会下降很多,不仅各方面的成本投入和后期维护量都会下降很多。所以网关的防御是最关键的一种防御措施。 趋势科技针对Web方面的安全网关的IWSA,主要反针对的是HTTP和FTP进行防护,网络中HTTP和FTP是最常用的内容,我们通过真实的对未知和已知病毒进行外部信誉的实时评估,这种评估能解决什么问题?我们看到上面有一个图,会不断爆发病毒,那Web怎么去防御这种病毒呢。我们会去审核这个客户端所访问的地址是否可信,就是它的信誉值有多少,如果信誉值很高那可以访问,如果信誉值很低,那就不可以访问这个网站。就可以把一些已经有病毒挂码的链接完全排除掉,就可以禁止客户访问可能有病毒的网站,就可以除掉他可能感染病毒的机会。 还具备了防病毒的功能,比如我们访问一个网站里面有一个病毒,下载的过程当中会把这个病毒刨掉,告诉客户端这是病毒不能下载,包括防病毒软件都有一些软件等等的控制。Java和Applet与ActiveX防护。同时还要多扩张的功能,包括内容的过滤、UL过滤同时能提供非常丰富的报表,让我们了解在网络里面,在因特网所有的流量里面,哪些病毒的流量占多少,哪些正常的流量占多少,给我们一个比率,同时我们也可以看到,哪些客户端会经常访问一些部应该访问的网站,都有相应的统计报表出来,给我们一个事后审查的机会。 Web网关的产品会部署在网关的位置,可以用很多种方式去部署,包括一些网关的透明接入,包括一些旁路的接入,代理方式的接入都可以放在网关的位置上,客户端访问因特网,经过我们的外部网关,可以向趋势科技的站点说,他所访问的站点是否可信,趋势科技会给他反馈说这个是否可信,它必须部署在网关的位置。 我们是如何看待网络信誉服务的呢?网络信誉服务这种防御方式既能够防御已知病毒,又能够防御未知病毒,已知病毒就是这个厂商能够防御的病毒,下载的病毒病毒代码能够检测到,未知病毒就是病毒代码不能检测到的,不能检测到的也可以通过网络信誉服务器去阻断,使它不能感染。具备了已知病毒和未知病毒的检测方案,防御范围扩大了很多,会起到很好的效果。外部信誉评估,怎么判断呢?通过50几条判断Web信誉。如果一个域名WWW.123.COM ,如果每隔几个小时变一次,这个就是不可信的,一直变端地址的目的就是逃避封锁,这就不可信。本身解析的时候,本身这个地址或者域名已经在垃圾邮件的处理的黑名单里,可信程度也很低,我们通过很多条的判断方式,来判断这个网页是否可信,从而告诉客户端到底允许访问这个网页,还是允许访问那个网页。 三维动态平台。一个是在外部,通过信誉评估的方式阻挡这个链接,来阻挡这个的进入,如果这个可信的站点,也可能在某一个文件上感染病毒,我们起动内部的扫描,对这个文件进行展开式扫描,来确定这个文件是不是病毒。如果真的穿过客户端到了客户端的位置,如果这个客户端中了间谍软件程度,间谍软件一般都有回拨的功能,在回拨过程中,会抓住这个包,说这是病毒包,然后再强行扫描这个客户端清除病毒,设备外、设备内和网内的三重防御。 网关位置一般还包括邮件部分,我们的解决方案叫IMSA,是一个大型企业的邮件网关的解决方案。防御方式一般包括三个部分。在邮件部分里面,一般会包括三部分功能,一个是防垃圾邮件、防病毒、内容过滤。只有具备了这三方面功能,同时三方面功能都很完备的邮件网关产品,才是一个合格的,或者是比较完善的邮件解决方案。首先来看垃圾邮件部分,垃圾邮件部分有三重防御措施:1,邮件信誉检测,检测你发邮件的域名是否可信,看看你能否发邮件给我,可以挡掉很多垃圾邮件。2,IP连接控制,客户自定义的防护。同时也具备了一些垃圾邮件的防火墙功能,比如SMTP防火墙、垃圾邮件IHA的攻击,都可以进行阻挡。3,核心技术部分,是垃圾邮件扫描引擎。 在检测垃圾邮件的时候经常会碰到实际问题,就是图片垃圾邮件,图片垃圾邮件之前很多厂商没有办法处理,后来推出一个新的技术,是OCR技术,扫描仪就是把一张纸放进去一扫描,然后就可以把这张纸的内容读出来。图片垃圾邮件的扫描也是这种方式,读文字的时候误识别率很高,如果读出来再比对,误判率就很高,这是传统的OCR解决方案。趋势科技对图片邮件的解决方案采取的方式是象素以及整体布局、整体内容的点的检测,形成一种对比的方式来解决问题,我们把它称作为对抗式的ORC,实际上还要扫描,但是扫描的内容和核对内容不一样,增加扫描速度和准确率。 这部分是说邮件网关的评测的结果,邮件信誉检测技术在OPUS组织在评测过程中,无论是侦测率还是误报率都是最理想的。 我一直强调信誉检测这种技术,信誉检测技术达到的效果是什么呢?我们可以在用户去访问或者接到某一个请求,或者要接到某一个邮件过程中,去阻挡掉这个链接,看是否是可信任的通信,如果不可信任的通信对不起不可访问,从而阻挡掉,没有接触就没有感染的机会,就没有威胁存在。 ARP威胁与应用。 这是一个范例,ARP工作原理造就了ARP病毒解决方案很困难,ARP是怎么样工作的?当一台客户机想要访问一个IP地址,比如192.168.1.1的地址,会给它一个地址,两方握手以后就可以通讯了。ARP攻击或者ARP欺骗是怎么做的?一些客户端发出假的ARP包,当你发出请求的时候,我会告诉你你去访问的那个是假的地址,就使你在访问过程中受到了欺骗。如果一个机器中了木马程序或者ARP程序,假如1.3这台机器中了以后,1.2这台机器想要访问因特网的时候必须要去找1.1的网关,就是这边的路由器1.1,当他去访问的时候正确的地址是路由的地址,B就会发出一个ARP的包,告诉1.1说,感染病毒的是这个,当A要去访问因特网的时候会先经过B,B为了掩饰可能会出现的信息,会把这个包再转接给1.1,这样让A的数据流经过了B,A的数据流经过了B以后,B就可以窃取他所有信息,想要什么内容就要什么内容,从而达到窃取信息的效果。 这是一个正常的ARP表的内容,我们用ARP简化都可以显示出来。被攻击的客户端显示出来的是左边是1.11.1.2这些的地址,所有的MAC都是一个,如果这些所有的计算机都要访问到MAC里面去,是不可能出现这种现象的。如果出现这种现象,它就是一个被攻击的客户端。 ARP病毒利用了ARP这种动态的特性去做一种ARP的欺骗,就是MAC地址的欺骗,让数据流经过我,从而达到一种效果,在这种效果里面产生一种副产品,会发大量ARP假的包,造成网络负担很大,最后结果一个是你的信息被窃取了,另一个是网络瘫痪了。 趋势科技怎么样解决ARP问题?我们有一款NVWE2500的产品,会控制客户端装没装防病毒产品,还具备了防病毒网络攻击的措施。比如正在发网络攻击包,NVWE可以去给它阻挡。ARP解决方案和其它的是完全不同的,很多厂商都推出了ARP的方案,很多都是被动的防御,或者是攻击性的防御性措施。被动防御往往是通过一些ARP个IP地址的绑定来解决这个问题,这只是被动的防御。还有一种方式是我通过发大量的ARP正常的包去和中病毒的客户端比拼,谁发包速度快,让客户获得正常的包。这样并不能解决问题,ARP会在网络里大量泛滥,该欺骗还是会欺骗,造成网络拥堵。 如果我们能做到客户端不再发ARP包了,这才是一个完整的解决方案,也可以做一个免疫的解决方案。 NVW提供解决方案主要是两部分,一个是被动防御,可以把ARP地址和MAC地址绑定,甚至可以通过手工方式实现。再就是主动识别攻击者,阻断发ARP包的进程,阻断这个源,就不能再发ARP包,从而达到真正的ARP防御措施。能够侦测到哪一个进程在发ARP攻击包,同时侵入到ARP里面,从而解决ARP病毒问题。 主动式ARP欺骗免疫功能。安装PEAgnt设备,部署到客户端,发到这个里面,当去监测的时候,就会发现这个包是不是和真正的相符。检测到这个进程的时候,就会把这个进程杀死,从而解决根本的问题。还可以定位到是哪台机器在发包,可以定位到哪一台机器的哪一个进程。可以定位的这么详细。从而实现ARP欺骗的免疫。 同时还可以建立保护措施,可以做一些ARP静态绑定,放在网关的位置,可以自动部署到全网。是一个很方便的ARP的绑定的部署方式。 ARP防御的界面。上面这部分是进行监控阻断或者免疫这部分功能,下面的功能是实现ARP的防护,就是ARP地址和MAC地址绑定,就是ARP被动防御措施。我们主要强调的是上面这部分内容,它才是真正解决ARP病毒问题的功能。 当它检测到任何ARP攻击的时候,会通知客户端在发生ARP攻击,已经阻挡了你的攻击,会显示相关的信息,会弹出窗口让客户看到。 还会出现这样一个日志,什么时间、哪一个客户端、是哪一个进程、进程ARP是什么,会进入ARP规程,同时阻挡这个ARP,杀死它。 NVWE就这么重要吗?对企业来说。我们部署了防病毒软件,但是部署了一段时间以后,客户反映这个防病毒软件不好,老是出问题,可能就换了一款产品,或者就不装这款产品了。部署率很难控制,很难升级,它的防御能力在下降。这种情况下怎么强制它做?我们发一个红头文件说,你必须装这个软件,但还是有很多人不装这种东西,这种并不是技术层面的强制,这种情况下就需要技术手段的强制措施,保证所有客户端都装防病毒产品,都装了同一类型的。NVWE就可以解决这个问题。网络病毒经常造成交换机瘫痪或者网络瘫痪,但是如果你部署了NVWE这款产品以后,会形成不同的安全域,会在安全域网关位置把所有的攻击包打掉,同时对全系统的ARP有一个防御。是提高企业安全策略和企业安全措施的好的方案。 及时响应与服务。 前面提到了我们的产品可能是某一时间不能防御了,造成一些损失,怎么把这些损失压缩到最小,达到非常好的效果,靠的就是后台的响应和服务。如果想靠代理商解决这个问题是很难的事情,找到厂商,厂商可能写一个代码就能解决实际的问题,如果这种时间缩短,或者当问题没有发生的时候,我已经发现了这个问题,客户还没有感觉到,我已经发现了问题并处理了,这是及时的相应,这就需要厂商强大的服务。 我们在生活中、管理中会碰到很多问题,多少人员是5乘8小时工作,不可能每天是24小时的监控,或者有时候被病毒感染了,我们不可能7乘24小时监控,我们又不能阻挡所有病毒问题,你去问所有的防病毒厂商,你说装这个产品就可以不中病毒了吗?没有人会承认这一点。当出现了一个睿智病毒,你怎么去解释去处理,这也是我们要解决的问题。 我们的人员参差不齐,我碰到一个案例,当“熊猫烧香”刚爆发的时候,旁边一台机器中了一台熊猫烧香,屏幕上都是小熊猫,旁边一个人很好奇,说你屏幕上怎么都是小熊猫,真好看,给我两个,我也养两个。他没有这种防范意识,我不应该点这个,不应该中这个。我们IT人员的服务者,客户端的使用者就是我们的客户,在这种过程中,他不会感觉到这种东西,在这种情况下怎么提高他们的安全意识,又是一个挑战。当我们面临这些问题的时候,我们就会想防病毒产品方面有一个方案,还有这么多问题,我们应该怎样去解决防病毒的问题呢?我们要求一个完整的防病毒解决方案,而这种解决方案应该包括三个层次,一个是技术层次,我们选择一款产品或者某一个技术,然后跟我们实际环境相匹配,形成一个最优化的技术层面的方案。同时我们还要制定相应的流程,当一个病毒爆发的时候,我应该怎样去运作,由谁来处理这个东西,他的响应机制是什么,整个过程包括处理的什么内容,把谁提交给谁,最后谁来解决,谁来出报告等等,这种流程规定好了,当出现一个问题的时候,响应就非常及时。再就是怎么样去提高人员的水平,提高人员水平包括两部分,一个是所有人员的安全意识,如果你不去点击这个网页,你中病毒的几率很少,你不去点击一个相应的信息或者执行一个文件,你中病毒几率就很小。再就是管理员的水平,如果我们的管理员水平很高,当他判断问题的时候,用一分钟就能解决,而如果水平差一些,可能要五分钟解决,但是一分钟和五分钟的差别很大,因为病毒可能在一个小时之内就能传遍全球,何况在一个企业里面,几分钟可能就传遍网络了,如果人员的安全意识和安全水平都提到了,也会达到很好的效果。就涉及到三部分,技术、流程、人员。 趋势科技可以提供服务,TMES专家服务,能达到什么样的效果?三条曲线。当第一条曲线的时候没有部署防病毒产品,当病毒爆发的时候,肯定是上升的曲线。当部署的防病毒产品,就是波浪线。包括人员和流程方面的内容,达到什么效果,当有了防病毒产品,有了强大的服务,把损失控制在最小的范围之内,把它控制在直线的方式,最好是平滑下降的曲线,达到真正服务的目的。 TMES到底能给我们提供什么?前面提到了很多内容,包括我们碰到的挑战。趋势科技所有内容都可以应对这些挑战,举个简单的例子,你不能做7乘24小时的监控,把这部分工作交给趋势科技来做,趋势科技可以做到7乘24小时的监控,当出现任何问题,会通过邮件告诉你,并指导你去解决这个问题。它还具备其他功能,比如安全健康检查的功能,我们都部署了防病毒软件,也部署了很多产品,但是在整体的防病毒方面到底是什么效果,管理员老板都很难给出定论,说客户没反映就很好,有反映就不好。并不能完全反映出防病毒状况。 人员安全意识方面,我们可以通过演习的方式提高人员的安全意识,有一个TAS系统,发给所有人的邮件,当所有人点击邮件的时候会有一个记录,哪些人点击了,哪些人没点击,哪些点击了有害的,哪些人点击没害的,我们就可以统计哪些人安全意识比较好,哪些人安全意识很差,我们可以通过培训,再去监测他的安全意识,安全意识就提高了,可以改善他的安全意识。 还有弱点诊断分析,一个防病毒厂商怎么提供弱点侦测。我们可以收到你企业里所有防病毒的日志,可以统计分析,这一周或者一个月内你中的都是哪些病毒,中的次数是什么,比如我们中的是Lovegate病毒,利用是弱口令,利用网络共享去攻击。如果你现在还存在很多这种Lovegate病毒,那就说明你的口令有问题。我们通过这种方式来进行培训。 内容包括病毒的管理,当中了病毒该怎么管理,哪些机器感染,哪些机器爆发,产品使用率的问题,病毒码等相关的内容。可以提供日、月相应的报表,包括一些概要的报表,包括一些专家的报表等等相关的内容,给出我们一个指导性的内容。我们有质量控制的部分内容,有服务端在上门的时候保证我们的服务质量。 它提供的一个服务方式包括两部分,一部分是趋势科技一部分,一部分是客户部分。服务还具备一个内容是说对未知病毒的解决方案主动的服务内容,可以部署在客户端里面,通过一种行为检测技术检测在这个客户端上执行的文件是否是可疑的,是否是在写注册表等等相关的内容。如果我怀疑他,我可以通过因特网把这个文件上传到趋势科技,趋势科技中心会有相应的审核系统和人员去审核这个文件是否是病毒,来确认这个文件是否是病毒,然后下发相应的病毒处理工具。 介绍了三部分的内容,一个是趋势科技公司的部分,强调两点,一个是全球化的公司,是三大防病毒厂商之一,在本地化做了很多事情。在Web防御方面有很独到的地方。谢谢大家。 |