主 题:关注数字安全 主办单位:中关村IT协会 www.zitpa.org
主持人:女士们、先生们,大家好!感谢您光临第40期IT沙龙,我是紫上。 本期沙龙的主题是“关注数字安全”。随着计算机网络在各个领域的广泛应用,数字安全也越来越受到人们的关注。数字安全,不仅指黑客和病毒的入侵,还包括隐私保护和信息安全的调和、如何使设备及网络工作更稳定等范围更广的常态研究。我国政府把刚刚过去的2000年定为“网络安全年”,把网络安全列入到重要的议事日程。而今天,我们非常容幸地邀请到了五位主讲嘉宾,他们都长期从事信息安全领域的工作,这些嘉宾各有所长,相信能带给大家不少收获。 下面由我为大家来介绍一下: 著名防病毒专家、江民公司董事长王江民先生 中联绿盟公司总经理沈继业先生 安络科技公司市场部经理林存山先生 北京三和公司总经理杜彪先生 书生公司开发部经理姜海峰先生 让我们以热烈的掌声欢迎他们的到来,也对他们的大力支持和协助表示衷心的感谢! 下面我们将进入主题演讲时间,我们的每位主讲嘉宾都有大约10到15分钟的主讲时间,同时在座的各位也有大约5分钟的提问时间,希望大家能够从这种交互性的交流中有所收益。 王江民:谢谢大家,也谢谢书生公司王东临能给我们准备这样一次信息安全IT沙龙。 本来跟我联系的时候,我感觉沙龙大家都是来讨论,来交互交流的,我也没准备发言,到了这儿一看,一本正经坐在这儿。我的意思大家都是对信息安全非常感兴趣的,来了以后大家相互交流,大家有什么自己的意见也可以发表发表,我也没准备,也不准备多讲,大家如果对我有什么要问,我发言完了以后,大家可以写一个字条递上来,或者在后面的几位来宾发言完了以后,我们再进行交流。 大家对病毒是比较感兴趣的,我简单把病毒的情况跟大家介绍一下。 根据这些年,我自己的感觉,特别是互联网飞速的发展,也对计算机病毒带来了新的活力。其它信息安全由后面发言的专家来讲,我就讲病毒这块,就是说,现在病毒防不胜防,越来越多。 防病毒没有好办法,互联网带来了病毒的飞速发展,我们又没有什么好的方法。 我们研究反病毒软件就是没有办法的办法,也就是低层次情况下,我们是用防病毒软件,杀杀毒,或者防止一些病毒。那么,对于新的病毒来说,这些一点用都没有,半点用都没有。一个新病毒从网上传过来以后,你的防病毒软件根本没用,你机器不启动或者不正常了,可能发现是新病毒了,再升级版本来那么杀一杀。但有的时候数据已经破坏了。 怎么办呢?根据这些年的经验,就是一个数据备份!是唯一的好办法。一备份、二备份、三备份、一直到四备份,其次的办法,就是灾难恢复或者修复。 这是沙龙,就是随便谈。不能光说反病毒软件怎么好,能给你解决什么问题。 关于计算机病毒到底现在有多少ⅶ给大家一个数据,我去年12月份参加了亚洲计算机安全会议,这个会议基本上可以说是世界性的,因为亚洲最大,欧洲的美洲的都来了,在日本东京开的,我参加了。在那个会上有一个统计数字,大会进行了报告。 我简单把这个数跟大家介绍一下。 总的计算机病毒到去年的十一月份统计的是55000多种计算机病毒,这其中老的DOS病毒占了四万多种,Windows3.1的病毒才有15种,Windows95、98是600多种。Windows2000、NT是200多种,Word宏病毒是7500多种了,这是现在发展速度最快的病毒,Excel病毒是1500多种。现在随着网络的发展,一些脚本病毒如.VBS病毒等,现在已经是发展到500多种。 苹果机病毒是50多种,Linux病毒去年十一月份统计5种,大概计算机病毒就是这些,总数是55000多种。 但是,随着网络的发展,给病毒提供了广泛的天地,也就是说我们将来跟病毒共存,而且病毒越来越厉害,越来越多,现在可以说我们每天都在杀新的病毒。95、96年,基本上每年在中国就是100到200多种,到97年,病毒处于低潮时期,但是,到98年以后随着因特乃特网被用户使用越来越多,大家对与网络有关的技术也比较掌握了,那么,网络上的病毒也多了,而且传播的也快。网络新的病毒出现了以后,病毒的概念也发生了变化。过去我们知道,什么叫做病毒呢?简单的话说,具有传染性质的就称为病毒,也就是说,具有自我复制能力的可称为病毒。当然病毒有破坏不破坏的,有所谓的良性和恶性的,我们认为:只要是病毒都是恶性的,没什么良性的。 现在互联网飞速发展以后,对病毒认识的概念又进一步,也就是说"具有自我传播能力的就可称为病毒"。不光指是有传染能力的,既过去是指一个病毒传染到另一外文件上的一个传染过程,现在是通过网络传播,它不光是传染宿主,它是附着体不是文件,是计算机,在网上从这个计算机到另外一个计算机,具有自动传播能力的就可称为病毒,也就是我们常说的网络蠕虫(Internet Worm)这样的病毒。 今天就给大家介绍这么一点情况,大家需要知道什么在后面的专家发言完了,我们还有一段时间交流。 谢谢大家。 主持人: 感谢王先生的发言,下面是十分钟的问答时间。 提问:我是塞迪影视环球IT报告栏目组记者,王老师有一个问题比较乐趣,作为一个反病毒专家,您一直在从事病毒的沙漠运动,为了维护计算机的信息安全,您是希望病毒越来越多,还是希望越来越少。 王:这个问题我已经被问了十几年了,我前面放病毒,我后面卖杀毒软件,恶性循环。 当初,我1989年初参加全国计算机数据维护设备安全会议的时候,一开始,有些专 家是什么样认识态度呢?开始,专家们的论点是,我们国家程序员怎么怎么水平落后,连一个计算机病毒都编不出来,都是外国人编的病毒,连巴基斯坦还出了个病毒呢!这说明中国的程序员人水平太低了!专家们为了提醒领导重视软件才这样说的。这是89年年。91年后就是什么病毒都出来了,不得了了。 我那时,还经常发表一些反病毒文章。可是,那时的人有一个观念,大家相互之间人不相信人,那个时候,你怀疑我,我怀疑你。谁好?只有解放军最好,公安部门的人最好。所以92年国务院颁布了计算机安全管理条例,由公安部门来负责管这个事,大家都相信公安部是最好的,老百姓都值得怀疑。那时,只有公安部有一公司推出反病毒产品。谁也不能随便研究杀病毒,甚至也不能写杀病毒的文章,我就被"谈"了好几次话。 但是,我是搞工控软件开发的,我们的设备到了用户后,开始运行很正常,但没几天,用户来电说你的软件有问题啦。我们过去一看是新病毒闹的,当时的杀毒软件,没有象现在网络升级这样快,所以,我们自己编写杀病毒程序。我给用户一个程序,他一杀了就好了,以后程序就越来越流传出去,KV6、KV20,KV100一直到今天的KV3000。 从心理角度来讲,我们每天在跟病毒作斗争,这个兴趣是无止境的,你有毒,我们非杀掉不可,从心里学和推理上讲,我们不会自己编病毒。那么多心理扭曲的人都想编一个病毒玩一玩,那么多人在那儿编病毒就够我们累的,我认为所有的杀毒专家和反病毒的人士,从心里上推理上来讲他不会去编写病毒的,因为他自己收集的病毒就够他研究的。所以"卖杀病毒软件的人,肯定会编写一些难查解的新病毒出来",这种思想意识,应该改改了,我们不要用狭隘的思想意识来看待我们自己。 可是,这个问题走到那儿,还被问到那儿。谢谢大家。 提问:我是郝晓辉,我想问一个问题。随着信息安全逐步的发展,技术的逐步的发展,每一个阶段都会有一个每个阶段大家不同的认识,也会对信息,对病毒赋予一个新的意义,我想问一下,信息安全发展到现在,王先生怎么对现在的病毒,对信息安全是如何定义的? 回答:这个问题很难,我刚才说了,网络安全病毒没有别的好办法,防不胜防。以知名的病毒百分之百可防,但是对付一个新的病毒我认为没有好的办法。有些软件里面采取了一些虚拟机方法,智能广谱,神经网络敏感系统等等,最高,也就是80%以上的病毒可以防,也就是说普通的Windows和Dos的病毒80%可以防,未知的病毒99%防不了,现在,一种新病毒就是一个新样子,反病毒软件无法先知先觉。还是靠数据备份,也就希望在安全领域里面,把数据备份这个技术好好发展一下,保证会有前途。 提问:这个问题比较尖锐,请您斟酌回答。我原来是做.com,现在来自软件报做IT专栏。我想问一个问题,我跟需许多IT人士聊天,感觉现在黑客和防毒专家都在跟一些.com公司,就像过去一样,过去倒盐的跟官商勾结像一家人一样,有些网站被黑了,然后马上就收到一封新,就说你的网站什么方面出现了什么问题,我卖一些什么软件,给你一些什么建议,这些问题在我们业界经常出现这样的问题,不知道你的公司有没有出现这样的问题,还是哪些公司请你提一些看法。 回答:这个问题跟我没关系,跟我旁边坐的几位有关系,因为病毒无法测试你的安全问题,病毒只是被动的,主动攻击那是我旁观两位他们会来回答这个问题。 提问:如果防病毒的软件本身有漏洞,它会不会变成一个大病毒。 回答:去年有传说美国一家防病毒软件有漏洞,但是厂家没有承认这个事。从我们自己的防病毒软件来看,我们不会跟这些环节上打交道,那么漏洞也是在操作系统上,防病毒软件毕竟是两层。所以我觉得防病毒软件不应该有漏洞存在。 提问:王先生我有一个问题: 以王先生长期从事防病毒的工作的话,刚才曾经谈到病毒的产生大部分是由心理扭曲的人编写出来的,那么以王先生的研究经历,你感觉除了心理扭曲人编写病毒以外,编写病毒的人还有哪种心理支撑他来编写病毒的? 回答:我说的心里扭曲就是一种贬意词的说法,当然人很聪明,很正常。但是不能把这些人说他是一个好人,我就说他心里不正常,他想表现自己,他想看到别人被伤害了,他感到心里有一种满足感,然后,看到他的恶作剧在社会上闹的人仰马翻,他心里是一种痛快的感觉,他这不是一个心里扭曲的状态吗? 提问:现在杀毒软件,您的、瑞星,还有诺顿,他们都面向网络有一些解决方案,您刚才也提到,网络出来以后病毒传播也是非常严重,像您公司您的软件有没有一些举措,或者说您对他们有什么看法,从单机版向网络的转变。 回答:现在网络是一块市场,但单机是一块市场,从我们来考虑,单机市场很大,网络是企业级用户。但是网络在国内我们认为我们的技术还很差,外国的网络版毕竟它在技术上先走了一步。 江民公司现在是在网络版杀毒软件开发方面还慢了一步,但是我们已经在跟上海复旦大学,上海光华信息安全公司合资成立了一个反病毒公司专门研究开发网络版了。现在基本上开发出了。我们提供杀毒模块技术,对方网络开发方面的技术,双方的技术结合起来,然后做成网络版,相信今年不久就会推出一个网络版的防病毒产品。其他反病毒厂家在网络版方面都走在我们前头了。 提问:王老师请教一个问题。 防病毒主要的技术有没有比较正规的技术,现在国内还有国外很多防病毒公司凭什么说这家公司比哪家公司好,它凭哪些方面来说这个评判。 回答: 第一个是看你杀病毒的种类; 第二个看你跟操作系统的结合融洽的程度; 第三根据现在一些特殊格式文件,比如压缩软件的格式,再一个就是各种电子信箱的压缩格式。你是不是都能识别这些压缩在内部的这些病毒并将其查出来。 再一个是智能化查毒程度方面。 最重要的还是跟踪新病毒的反应速度问题,也就是对杀新病毒的服务问题。一个反病毒公司,没有几个杀病毒高手,那么你在国内这块市场你拿不到第一,连前几名都拿不到。国外的防病毒软件我认为个个都出类拔萃,都能杀几万种以上。但是我们的用户往往一年当中也就遇到那么几种病毒,那么染毒了以后,他要买杀毒软件,买回来不解决问题那就没有用。 那么国内公司里有几个杀病毒高手,那么公司的产品肯定卖的好,因为,对新病毒的反应速度快,一个是当第一个用户遇到了新病毒,他杀不掉,马上反馈到公司,第二个也遇到了,第三个也遇到了,那么在三四天之间内,国内的防病毒公司马上就可以加到软件里头去,然后在一个星期内通过网络,通过地面,通过光盘等等给全国的用户升级了。那么97%的用户感觉到这个软件没有杀不掉的病度。 国外厂家,我丝毫没有贬低国外厂家的意思,水平都很好,但是在国内遇到新病毒的问题上,你的升级库跟的速度慢,用户就感觉到你杀不掉这些新病毒,那么它的市场就下降,它的市场一直就赶不上国内的。 你说国外厂商有技术,有资金,宣传力度也非常强大,大家也认可你的技术就是好,可是就是杀不掉用户手头这一、两个新病毒。 国内通过这一、二年努力和与外国厂商和专家合作,防病毒技术水平已经达到了国际化,应该说达到国际水平。在这些方面,我认为达到国际水平一个有我们,一个有上海的创新公司等。 所以,达到了国际化水平,那么,我们的水平跟世界上是一个档次的。我们的软件被日本测试以后,认为非常好。还认为我们有独特的灾难恢复功能和数据备份功能,这是十几年反病毒体会到的一些经验。 数据已经破坏了怎么办?还需要灾难恢复,这在日本非常欢迎。所以150万人民币的预定金先给你。 走向日本不等于走向世界。但是,我们已经在国际化的档次上了。 谢谢大家。 主持人:谢谢大家的发言,如果大家还有问题,可以在自由交流的时间里跟王先生继续交流。 下来介绍第三位嘉宾,来自中联绿盟公司的总经理沈继业先生,沈继业先生毕业于清华大学自动化专业,1992年创办了北京挚友计算机公司,从事计算机网络设计和安装。1999创办了中联绿盟计算机网络安全技术公司,也就是现在的中联绿盟信息技术公司。他今天发言的主题是“数据安全与系统安全的关系”,现在有请沈继业先生。 沈继业:大家下午好!严格的说我们公司并不是做数据安全的,这个原因下面我会讲一下。 我先讲一下国内目前这方面的现状,数字安全按通常的理解应该是集中在数据的传输加密、身份认证、数据备份等方面,我们公司本身涉及这方面并不太多。国内比较早的网络安全公司基本在95年开始出现,例如天融信等,他们当时的任务就是给国家Internet上出口上提供安全过滤产品,以后发展成为防火墙厂家。在2000年以前,我们统计国内的安全公司包括政府背景的、军队背景的,还有一些纯商业公司也就在30-50家,在2000年2月美国出现大规模针对雅虎、亚马逊的DDOS攻击以后,经过媒体的大力宣传,网络安全行业就热起来了,去年十月我们参加国际网络安全展的时候,有一个数字公布,国内有四百家网络安全公司。 还有跟安全相关的人的群体来分。就是政府还有军队这是一直延续下来的一个部分。还有一个国内基本上原来有一些研究这方面的人员就向专业的安全公司靠拢,还有一部分越来越多小的对这行也比较热衷,从人群就有这三个群体。 下面解释一下为什么我们算不上进行数字安全研究的公司。从世界上所有的国家来看,咱们国对于密码就是数字安全这部分政策是最严格的,咱们国的政策是不进口不出口,美国的政策是出口有限制,进口没限制。从国家角度来讲,把这个密码或者纯粹安全放在很高的位置,最近WTO谈判也涉及到这个问题,因为国内基本上采用自己的CA系统,或者一些核心的加密算法,这样在开关以后,跟国外很多的电子商务很多的交易会出现比较严重的问题,现在也在仔细的进行这些方面的谈判。还有国内对密码定检厂商第一批宣布只有7家,包括信息产业部的三零所,国家的骨干企业就是有资格进行密码方面的研究,商业公司本身没有这个资格,你研究可以,但是不允许销售、生产。 数据安全跟系统安全的关系。从基本的理论来看,数字安全只是整个系统安全的一部分,它是核心的部分,国内现在出现的各种厂商场或者各个部委很多建有自己的CA,或者整体的安全系统,从我们两年来商务实践来看,我觉得国内提倡的数字安全偏早,这是什么概念,并不是说这不需要,因为国内现在大量的问题还集中在底层的安全问题,比如像网络设备的安全,操作系统的安全,主要是这些方面,在座的IT企业比较多,很多网络公司包括很多大的证券公司,或者银行系统他们可能相对说内部的网络安全重视一些,因为它并不是一套公开的网络。 这方面问题比较严重,国内在2000年初的时候,市公安局监察处有一个会,当时国内一个大站提了一下说,当时说到拒绝服务问题,国内当时一个大站的技术人员,一直再讲这个问题,当时有一些人说,说的比较直一些,说你们这个公司可能还谈论不到拒绝服务的问题,自己先研究自己的邮箱的加密算法去。 那位先生提的问题我在这里也解释一下。那位先生问题的意思可能会不会像那种你的网站会收到什么信呀,你的网站有问题,需不需要我们来解决呀,这种情况可能会有,很多会是比较小的小孩比较有兴趣给你写一下。举一个例子,在去年国内有一家公司,纳斯达克上市准备开庆祝的一天,沈阳一个小孩的直接到找到这个公司的CTO,CTO看了一下也没说什么,请了小孩吃了顿饭,就把问题解决了。很多人对这种情况比较有热情,国内还没有涉及到什么威胁你呀,国外这种情况会比较多一些。比如说我拿了你几万张信用卡号,回手来敲诈你信用卡公司,国内基本上还没有,从给客户服务情况来看,还没有发现纯粹的网上职业犯罪,你偷到信用卡,破坏交易系统,或者网上移钱这种手法为生的人。国外会多一些。 听国家政府部门相关人员讲过,世界上最大的网上犯罪集团是拉登的集团,大概一年通过网上移走的钱信用卡公司的损失在几亿美金左右,国外大巨头做信用卡的公司是怎么处理的,他们觉得一年都是几百亿,几千亿美金的流动,几亿美金划为成本。 在国内目前产品的应用,因为可以接触到一些用户,所以会涉及到一些。现在大部分应用的比较好的,就是大家从网上电子商务来讲,我觉得国内用的最好,普及最迅速的应该就是证券的交易,因为它本身就排除了网络交易的几个比较难解决的问题,尤其是最重要的信用体系,它本身不需要建立信用体系,本身你的钱就存他的帐上。从证券公司现在大规模投在投资网上交易系统,咱们国家网上交易比来占到总体的1%,世界上最高发展比较快的就是韩国,韩国网上交易量已经占到总量的35%,国内为什么会发展慢一点,因为当初也有权威数字出来,国内网民占股民的比例不到1%,就说在进行股票交易的人里面可能只是1%的人上网,所以这个速度会差一些。 现在证券公司在它的交易系统里面,像数据安全所涉及的东西,像CA等等,基本上还是一个初级阶段,可能你去开户,那家证券公司给你一张软盘,里面放着你的密钥。还有从证监会来讲,CA还不是强制要求,你们可以做也可以不做。从国际上做的比较好的就是ETRADE,它没有这些东西,它只是保障你在传输过程中,传输加密它来保障,究竟你的密码丢了,别人知道了,产生什么后果他是不负责的,它只保证你传输是加密的,还有第三方认证,我能保证你访问的是我的服务器,如果你访问的不是我的服务器,转到别的服务器这种责任是我负责,还有传输过程中如果被截取了我来负责,你的密码忘了,或者让别人知道了,这个责任我们不负,国外是这种方式,就是纯WEB的交易方式。 因为我也没准备太多,因为不知道大家涉及什么问题。总结一下就是数字安全可能是整个网络安全体系一个核心,还有从目前国内现状来看,纯粹的研究数字安全还偏早,现在数字底层的东西还太不完备。谢谢大家。 主持人:谢谢沈先生的发言,现在谁有问题可以提问。 提问:谢谢沈先生回答我那个问题。我再想问一个问题,英特尔公司现在推出了奔腾4,我的感觉与IT业界人士聊天当中感觉到,举一个例子来说,我们买了280迈速度的汽车,但是周围都黄土道,车也跑不快。但是从你计算机专家的角度来说,您觉得我们的计算机现在应该达到奔腾4时代吗? 回答:我觉得这个问题跟我没太多关系,因为这位先生是有几年网龄,你要是从98年上网过来就会觉得现在特幸福了。因为我们在当时进行研究的时候,很多都是黑白颠倒,并不是说他喜欢黑白颠倒,因为基本上到早上8:00以后,你就无法上,读一个网页可能要10几分钟才能出来,那时候一个月光网费就差不多1800。我们现在公司的条件来讲,还是在一个写字楼里还是很快的,我们测试过当一个八兆大概有27秒就可以下来了,现在所以已经很幸福了,对电信或者整个网络体系我们觉得应该感谢人家,没有太多的怨言。 提问:您能不能简单的介绍一下绿盟公司现在所从事的哪领域比较多的? 回答:因为我们公司在国内做的时间稍微长一些,而且我们公司不是传统公司,我们公司完全是网上组织起来发展的,就在99年初发展到现在,我们有60人,在上海和广州有分公司。我们和别的公司不太一样,我们对网络安全底层研究的比较多一些。比如说去年微软操作系统,它发布了100个补丁,其中有6个补丁是我们公司通报给微软,协助微软把这个补丁制作出来的,这在国内也是唯一一家公司这么做的。在国际上它评价一个国家网络安全水平非常简单,就几点,一个是国家有世界顶级的网络安全产品,第二你有深层的网络安全研究的水平。我觉得咱们国家硬件的基础比较薄弱,所以在纯粹网络安全产品还差一些,剩下的那么纯软件的东西,我觉得可以先做一下。还有一个,也是我几个月前知道的,也是值得中国人挺自豪的,世界上现在排在第一个硬件是NETSCREEN,在硬件份额也是最大的,而且各种性能指标都是很靠前的,NETSCREEN也两个清华无线电毕业的学生在美国创办的,所以我觉得中国人从事网络安全方面比较有天才,我觉得中国人在五年之后会在这方面会占有特重要的位置。 提问:沈先生我觉得绿盟这个名字怎么看都好象都跟黑客组织有关系,我想问一下公司跟黑客组织有关系吗? 回答:对于这个问题的回答我可能比王老师回答的次数还多。从整个情况来看,就包括排在世界前几名的公司,包括ISS等等基本都是差不多,我们也一直认为很好的顶尖的公司一定要有黑客背景的人来加入进行研究,还有黑客的定义,这个就比较复杂了。简单点说,定义的问题可能就造成了理解的问题,还有评判掉标准不一样,最早国内很多媒体对这个方面不太了解,在中国占了黑就不太好,黑社会,黑道,所以国内觉得这个词比较一下子给带的比较偏一些,因为国外也主要分几类。我们公司基本主力人员在97年、98年可能都参与过国内的一些组织,在99年中以后转为商业化公司之后,开始严格的遵守网络安全公司,商业公司的制度。当初人家会觉得,是不是你这个公司使用这种背景过来的,会不会告诉你这个有问题我们帮助你解决,去年7月份我们公司内部就严格的规定,谁在商业实施过程中,就是你对任何一个公司商务活动,如果没有对方授权是不能从事的,违背这点是自动开除的,不要有任何借口。 还有从网络安全攻防角度来讲,对攻击没有任何的研究你做防护基本上是开玩笑,我们参加会也参加很多了,也不是贬低很多人,见的最多的就是两种人:一种是算法专家,可能几十年的数学基础的专家,还有一类人最拿手的就是讲网络安全重要性。 主持人:谢谢沈先生的发言,当黑客成为红客的时候我们就放心了。 提问:您刚才提的问题涉及到顶层问题,但是中国很多还是底层问题,现在还顾不上。你估计一下,包括硬件、软件各方面的发展速度,要碰到顶层的问题,或者上层的问题大概还需要多长时间?作为你们公司有没有预先的考虑,或者由于现在人才或者财力的原顾不上,还是什么其他的原因,或者有没有将来对这样的,因为它对病毒不一样,病毒你预先不知道,无法预期解决它,但是这个问题我们现在已经有了,你们有没有这方面的考虑? 回答:可能我说得不太清楚,它不是一个先做哪个,后做哪个问题的,它是同时并存的问题。我说底层的问题,是因为国内底层问题多一些,不是数字安全不需要做,现在网络安全从国内商业公司来讲,基本上分偏重两类,一类涉及密码的,一不涉及密码的。我们公司在这方面不做过多研究,是因为国家政策问题,就是对商业公司,或者生产、销售有严格的限制,所以我也不过多的研究。我们采取什么办法呢?我们跟世界桑做的最好的,加拿大的ENTRUST合作,等于是紧密群捆绑的企业,还是说商业上进行一种转化,现在问题就是纯粹说的CA现在国内应用的也很广,不是说不需要,主要问题是,你传输加密,或者你认证,所有是建立在操作系统本身安全的基础上,你再强加密码,你在Windows上跑的或者你在UNIX跑的,本身操作系统有问题,比如说被黑客攻击,那么你再强的密码都不能解决实质性的问题,我是这个意思。 主持人:谢谢沈先生的发言。下面的时间留给来自安络公司的市场部经理林存山经理,安络科技公司的前身是三大知名的网络安全研究组织的联合体,经过长期的摸索和发展,安络公司现在成为以开发网络安全产品和提供综合服务的高科技公司。林先生今天发言的主题是“架构一个安全的网络”。有请林先生。 林存山:感谢书生公司提供这样一个机会,在这里跟大家讨论一下架构一个安全网络的话题。 互联网到底安全不安全,大家都知道,2001年2月9号中美的海底光缆意外中断,2001年3月9号再次发生阻断,光缆并非坚不可摧,你说网络安全吗? 我是从三个角度来谈网络安全问题。 首先我先介绍一下公司,安络公司确实很年轻,成立于2000年1月,它的背景是"深圳辰光工作室、福建天行软件王国和湖南ChinaHack网络安全组织 ",三个大的技术核心,是长期从事软件开发,致力于软件安全事业。 技术特点: 不断跟踪世界最新黑客技术和网络安全动态 自行研发大量网络安全漏洞和新技术 四年来积累国内最全网络安全漏洞数据库达4GB 长期的攻防实践中积累了丰富的反入侵技术经验,协助有关部门做了许多国内网络安全工作,并提出大量建设性建议。 公司现在已经开发出自己的产品: 1、网络安全在线评估系统 一套提供在线服务的主动的网络安全检测工具,它用黑客的角度去全面检测客户整个网络系统存在的客观隐患,能准确发现易于遭受攻击的薄弱环节,整个的检测体系由几种操作系统组成,是一套完整的黑客实战工具。 "网络安全在线评估系统"目前是安络科技独创的世界上第一套网络安全在线扫描产品。该产品由三个系统组成,包括网络安全数据库、网络安全工具库和中心服务器。 2、网警入侵检测系统 一套在技术上处于国际领先地位的网络入侵检测系统,采用先进的嗅探技术、底层的协议分析技术以及智能规则技术,实用性及强的监控网上黑客和可疑行为的安全产品。 我从三个方面来讲架构安全的网络。 首先一个安全的网络首先就是安全的评估。网络是否安全,你要对你网络的基础进行检测,如果你的网络本身存在一些漏洞,就存在安全的隐患,实际上现在包括服务器,路由器,交换机,操作系统,还有应用软件,都存在一些漏洞,都存在安全隐患,在网上大家也会看到(www.chinafirst.org.cn)提供提供最新的漏洞,安络公司www.cnns.net在每天网页上也会有新发现的漏洞报告,提供给大家作为参考。 安全的普查是评估的一种方式,安全的普查就是说目前在国内国际上基本上都是采用一种工具进行普查,有的是采用软件进行漏洞扫描,扫描你网络是否有漏洞,存在漏洞的话就要把这个漏洞补好。现在国内很多公司的网络安全都存在这样或那样的问题,安全意识还很淡泊,国内的网络实际上是一个千疮百孔,有的人问为什么,说很多专业网站上了一套防火墙,实际上你的防火墙就相当于一栋房子的门,你门关好了,但你的窗户是开的,所以很多人可以从窗户轻易进来,网络是很不安全的。 前几天有这么一个例子,有一个公司他们的网络被攻击了,为什么被攻击了?很简单,他们的网管利用它的服务器发了一个邮件,IP上了黑名单,结果短期内就被国际上的黑客组织捕捉到了。这样他虽然加了防火墙,但是并没有逃过黑客的攻击。从这方面来讲,网络的漏洞是一个基础,如果你的漏洞不补好,黑客会利用漏洞进入你的网络。实际上网上安全普查对你发现和补漏洞很关键。 第二个安全产品的使用,现在网络安全产品很多了,包括网络安全评估系统、防火墙、入侵检测系统、网络防病毒、安全认证、加密技术等。 目前安全产品国外的有美国ISS漏洞扫描和入侵检测系统;美国NAI的防火墙和Macfee防病毒以及Sniffer;美国趋势科技防病毒;NETSCREEN防火墙;CA安全认证等安全产品。国内的有天网防火墙;东大阿尔派防火墙NETEYE;天融信防火墙;安络公司的网络安全在线评估系统NSOAS和网警入侵检测系统;江民公司KV3000;瑞星防病毒产品等。防火墙现在国外和国内现场相对很多了,安装放火墙这个网络也不一定安全。防火墙它可以防外但是不可以防内,据统计很多网络受到攻击造成损失50%以上是来自于内部,防火墙何以把屏蔽外部一些入侵,内部人想出去就很难管理到,采用了IDS入侵检测系统,可以弥补了防火墙的不足之处,它和防火墙配合在一起使用,可以进一步提高网络的安全。 在你上网过程中可能下载一些软件,还有可能感染一些网络病毒,现在病毒也很厉害,通过电子邮件可以进行传播,防病毒特别是网上病毒由为重要。安全认证的产品,这实际上像微软他们也有数字签名的产品,还有像CA公司的认证,实际上就解决了端到端的安全,这种端到端在金融业,网上银行用的相当多。VPN的应用也是很好的网上安全技术。网络安全产品的应用为用户提供了更为多的安全策略和安全手段,安全产品保障网络一个不可或缺的部分。 第三个讲一下安全管理,这是最重要的。你用了好的产品,你有先进的技术,人和管理是薄弱的环节,你这方面处理不好,你的网络安全产品和安全技术行同虚设。 一个网络的安全主要是在管理上,你用了再好的产品,你有很好的技术,但是你在人这个环节上不做很好的管理,那么你的网络还是不安全的。就像国外的一些产品,它的产品技术很先进,但在它在应用的角度来讲,涉及到人的素质怎么样。我们人在安全意识上如何,实际上这涉及到非常非常严峻的问题。 国内的网络安全,起步就晚了一步,很多从事网络的管理员的安全意识淡泊,现在很多公司,上了一套防火墙,认为这个网络是安全的,其实不然。有安全的产品,有先进的技术,没有人这个关键的环节,网络依然不安全。 信息安全在研究开发、产业发展、人才陪养、安全认证等方面问题已经迫在眉睫。 下面我有一点资料给大家介绍一下。现在国内安全产品的现状,国内现在安全产品主要是以安全软件为主,包括一些杀毒软件,防火墙,授权认证,加密等等。据统计网络安全这个市场非常大,它大概从2000年2.6亿美金发展到2004的46亿美元,所以这个商机提供了很多机会,相继而出的网络安全公司都成立了,据统计,在中国每三天就有一家安全网络公司成立。在99年提出来是政府上网往,2000年是企业上网年,2001年就是网络安全年。2000年末出现一个经济新词叫IDC数据中心,据统计IDC在北京就有30多家,IDC的基础业务是接入服务和主机托管,上千台的服务器托管在IDC中心,他们的发展对网络安全都带来了一些更为严峻的课题,网络发展越大,网络安全存在的问题就越突出。 我们现在国内产品的现状,是产品线不断地在丰富,为用户提供了一些全面的解决方案和大的厂商的一些竞争优势。国外的产品它进入中国市场相对的早了一些。发达国家在信息安全高技术产品出口方面对我国进行限制。由于我国信息系统产品基本依赖进口,这使我国在广泛与国际接轨时缺乏基本的自主。发达国家普遍对我国实行信息安全技术出口限制。 所以说在我们国内对网络安全的产品它的一些用户确实有一个严格的规定,包括我们在相继会有一些在法律上会也有一些东西要限制这些。 我这儿有一个关于法律上限制网络安全的事情。美国它的法律非常严格的,在网络信息安全方面非常全,这里面有个人信息法,自由隐私法,反腐败行径法,计算机欺骗乱用法,计算机安全等。它之所以规定这么完善,它的网络构架体系已经形成,我们国内在网络安全整个构架上,在法律上并不是特别健全,相继出台的法律也不是很多,我们在今后也要做很多工作。 那么我们网络到底安不安全? 在这里大家都很关心这个问题,从事网络安全的公司怎么看待这个问题。安络公司正是由于目前大家关注的问题,从1999年就已经开始对网络安全进行研究,公司有一批优秀的程序员、网络安全专家,安络的网络安全产品的每一条源程序、每一条驱动程序、每一个原代码都是自己开发,具有自己的知识产权,安络公司鲜明的特性就是技术/产品的民族性。安络公司都是在网上认识的,这些人从1999年就开始从事网络安全的研究和开发,相继开发出来世界第一套的"网络安全在线评估系统"和技术比较领先的"IDS入侵检测网警系统",是目前国内唯一取得在线扫描、入侵检测产品销售许可证的网络安全公司,安络的的目标就是想营造一个中国的网络安全评估基础平台,在中国建立一个网络安全评估中心,为大家营造一个安全的网络结构体系。 在这里我想大概说这么多,可能大家对安络公司也不是很熟悉,方便的话可以访问我们的网站"www.cnns.net"。大家有什么问题可以向我提问,也可以会后交流一下。 主持人:谢谢林先生的发言。 提问:我想请问一下,你们怎么样看待目前不是由于黑客入侵,也不是由于失密的问题,而是正常运行崩掉了,服务器什么的,怎么样维护服务器的稳定,包括网络传输的稳定,目前有没有什么好的解决办法?,比如像COD什么的? 回答:这个问题好象跟网络安全问题不是特别的相关。它是稳定的问题,应该这么讲,它的系统崩溃了有几种可能性,一个它硬件本身就不是很好的兼容,另外系统上有一些没有优化系统资源,另外一个在网上传输它的带宽不够,这些都会导致它的机器超负荷的运载,最后导致这个结果。 现在目前没有更好的办法使你所有的机器都不死机,每个机器都有它的宕机时间,包括最好的电信机的服务器,它也有它的宕机时间的,只不过它的宕机时间可能非常非常的短,他的工作效率要达到99.99%我们才会使用它,它才能符合电信的标准。 提问:我想问一下,到现在为止,好象大家也没有谈出来对网络安全问题有一个什么方式来解决,大家同时也知道中国电子商务这种发展状态,很多人都知道,这个网络安全是中国电子商务发展的一个主要的点。可不可以这样说,是不是黑客阻碍了中国电子商务的发展,能不能把这个罪名归结到黑客的身上? 回答:我不赞成这个观点。实际上在国际上,国外的黑客比国内黑客要凶的多。据统计在美国网上银行他们第一家成立网上银行的公司,在两千年它因为黑客的攻击使它遭受的损失达到上千万的美金,但是它这个网上银行依然做的很好。所以黑客不断发展,黑客有不同种的黑客,他有的是为了获取某种利益,有的是为了故意炫耀一下自己的技术。电子商务发展肯定是一个趋势,电子商务在网上进行交易它有一些效益,它省掉了很多中间环节,它把全世界的人拉到一起,这种技术我想大家都会认同的。 主持人:今天出席我们出了这几位上宾之外,同时出席的还有启蒙星晨公司的代表,信息安全与保密杂志社,中华实务网的代表,方正任教电子商务有限公司,青花紫光,北大青鸟,……,今天到沙龙的还有一些媒体的朋友,他们是记者智囊杂志社的,塞迪影视,人民广播电台IT中国,校园周刊,以及北方娱乐线报……。 提问:是不是现在现在的计算机你们都可以进去?第二个问题,现在的网络安全公司防(英文)的网络安全公司市场都说那么大,你们赚没赚到钱?第三个问题,我了解一些朋友也是做网络安全的,他们手里都有很多公司的漏洞,有资料。必然的时候黑你一把,造一下声势,就是引起业界的重视,怎么怎么重要,然后你们这些公司知名度就被提高了,然后大家网络安全产品还得买。 回答:第一个问题主要是入侵。可以这样说,网上有人说,如果他有足够的精力和体力他每天可以黑掉100个网站。专门从事网络安全的技术专家,从技术根底上要黑掉一个网上很是很容易的事。但是我们成立安络公司以来,我们有行业的规矩,安络是为了网络安全来服务的,从黑客的或反黑客的角度来进行安全的维护。而且现在从网上可以下载一些小工具,很多想在网上营造声势的人就可以利用小黑客工具很容易去攻击一些网站,实际上这种行为在我们安全网络公司,在安全服务运作网络安全公司是不会存在的。 第二个我们网络公司赚不赚钱,市场是很大的,美国的数据公司IDC提供的数据确实很大,但是我们赚不赚钱,我们现在有很多产品,包括8848,包括深圳电信,深圳市的公安局,还有中国科学院专家数据中心都在跑。它的产品依然很稳定,我们已经在这方面投入了很大,而且也取得了很好的业绩和口碑,可以讲我们在华南一代大家都很认同的。 在一个营造声势,就是黑你一把然后有商机,实际上你作为一个网络安全工程师程序员编了很多程序软件,用你自己的产品,用你的技术反黑成功的话,这时候你的价值才能你体现出来,而不是靠你黑了某一个网站而提高知名度获取利润。就像你修自行车,撒了一把钉子,然后再修自行车,这种方式是不符合市场运作规律的。如果我们这么做,最后倒霉的是我们自己,我们要墨守我们行业的规律,要依法办事。 提问:第一个问题还没有解释清,我的问题是你们所有的计算机你们都可以进去,没有进不去的计算机。我前两天在网上看到了有这么一个帖子,因为我的网站一天到晚被人黑,现在你们说有进不去了,那我跟你们合作给我按上去,给我按一套防范设备,如果都可以进去我那就不按了。 回答:王老师提出了一个难题,是不是所有的计算机都能进去?我不是黑客,我也不能表示就是说我们公司确实有没有这个能力。但是我可以讲,因为网络你要安全,要稳定,稳定的网络并不是一个安全的网络。网络你只要开放,只要跟外界取得联系,那么是实际上你就留给了黑客攻击你的隐患。那么能不能进的去,可能是因为他水平现在不到,可能将来会到,只要你跟外界建立网络,那么你就存在不安全的因素,那么能不能进的去,那可能就是留给网上的人来说吧! 主持人:在座的各位哪家公司能不能跟王先生做一个生意,能保证进不去的。有吗? 回答:我在这里可以跟王老师说一声,在去年雅虎和亚麻逊被攻击的时候,当时国内安全公司也成了网上黑客的攻击的对象,我们的安络公司也曾经经受四十个小时的DDOS的攻击,它依然运行,但是网站依然可以浏览,可以看。 提问:我并不是说没有防的,肯定要进来,网络安全不敢说绝对的,只能是相对来讲,一般黑客低水平肯定是能做的,特别像黑客又发明了新的攻击方法安全产品也需要不断地升级,也是这个道理。 提问:我想问一下两大组织,你们对印泥和日本做出什么贡献了出来?就是说我们在中国人很多人都攻击印泥和日本网站,那么你们这两个公司的程序员其中做出什么贡献出来,能不能给我们介绍一下。 回答:我到日本去了一下,日本的软件很差,日本的安全产品方面的书没有,就买了一本回来,上面写着,中国黑客怎么怎么攻击日本,我挺骄傲的,赶快买了一本回来。不知道有没有在座的贡献。 林:这个问题我可以说这样一件事,巴以战役,(每天如果你们访问网站的话可以看的到),巴以冲突确实很激烈,在信息站上交流的确实也很厉害,所以涉及很到敏感问题,最好不要在这公共场合来说。 主持人:下面有请第五位主讲嘉宾,来自北京三和科技公司的总经理杜彪先生,杜彪先生年轻有为,北京三和公司主要致力于模式识别技术算法的研究,他们在这方面尤其是手写识别的技术居于国际先进水平,今天杜先生的发言主题是“模式识别与数字签名”。 杜彪:前面几位讲方向讲的比较多,我讲的是其中一个具体技术的实现。这个题目是模式识别和数字签名的关系,我们认为信息安全很重要的一个方面就是在于对信息发送者和访问者身份的认证,就跟我们传统的情况下会说领导签没签字,经理签没签字,就是说签字就起到一个身份认证的作用,在法庭上这个签字是有效的。在电子时代,电子合同、电子公文越来越多,身份认证越来越重要,所以数字签名就成为互联网时代一个重大的技术。在国外这个数字签名非常受重视,99年11月份欧共体投票接受数字签字作为欧洲电子商务发展的一个重要的组成部分。美国更进一步,它签署了电子签名法案,就是所谓<电子签名全国与国内贸易法案>在2001年10月1号正式生效,它决定数字化签名和普遍合同签名在法庭上有同样的法律效益。当时克林顿签的时候,是用电子笔来签的。数字化签字可以用在各种信息上。大家关心比较的多的就是电子商务,因为电子商务牵扯到资金的来往,网上交易量迅速发展,电子签字的技术就越来越受重视。 数字签名技术主要包括签署技术、加密技术和验证技术。加密技术有很多种,有公开的和非公开的。我们主要研究签署技术和验证技术,这两个技术是对应的。那么电子文件的签署技术一般包括证书式数字签名和生物特征的数字签名。证书式很好理解了,就是一个密码,你有一个密码你就可以验证你的身份。但密码你可能会忘掉,也有可能被其他人知道,这是很常见的,而且密码有一个问题就是位数越短就越好记,当然就越容易被人家攻破,位数越长当然安全性就大一些,但是更容易被忘掉。 我们现在谈的是生物特征的签名,就是利用信息发送者的生物特征指纹签名或者什么方法来进行验证。这种方法实际上在传统商务上运用比较多,签字画押,这种方法很早就有,我们只是讨论这种方法的电子化的问题。 介绍一下我们三和公司,我们三和公司92年成立的,主要致力于模式识别技术算法的研究,我们主要是做手写识别的研究,这两年我们开始研究签名的识别,签名的识别就是用手写识别的算法来解决签字识别的问题,这方面包括国际上都没有一个很权威的东西,就是可以达到什么样的水平,大家都是在探讨,我们也做了一些实验,我说一下我们在这方面的研究心得和看法。 签名识别和手写识别是相反的,手写识别是把不同人写的很多字归纳成一个,签名识别正好相反,他要确定在某个人上,当然算法是上很多是相通的,我们最初的实验是30人的范围,每个人先收集了20到30个签名,第一步是扫描输入,我们进行了神经元网络的算法进行统计归纳,然后进行小范围实验,在不刻意模仿他人签名的情况下,正确率是,就是30个人每人连续写三次,一共有一人次的误识率。误识率较低,证明这种方法可行,但是它有很大漏洞,因为它很容易被模仿,所以我们在这方面又增加了很多数据特征,比如把签名的格式由图象转为矢量,我们使用压杆的手写笔,就是它能感受到你写字的力度,加上了一些方向信息,就是把你写字的方向和用的力度作为一个特征值,放在笔迹的信息里,也就是说不光是给你一个写字结果,我们实际上把你写字的过程作为数字签名的整体数据打成一个包,拿它来做鉴定的指标。我们在小范围测试过程中用这种方法基本上可以说到目前为止没有什么误识,包括你模仿,你看到别人签字,你去模仿,你模仿出来的肯定是不对的,我们在一定范围的的实验中没有出现问题。 为了进一步提高它的可靠性,我们又使用了硬件验证方法,在国际上做手写笔最有名的是日本的wacom公司,它有一个型号的手写笔favo,它每支笔有一个ID,我们又把它作为一个验证号,把它做进去了,这样我们进一步提高了验证的可靠性,就说你这只笔你写,别人拿别的笔写,写的再一样,他有硬件信息他和你不一样。 我们同样也用指纹识别做过这个方法,我们拥有指纹技术,但是这个指纹识别的技术我们不是领先者,所以这方面我们就不说了。 我们通过研究认为模式识别方法,用于签署和认证是可行的,而且是很有效的,第一它可以保证很高的稳定性,第二它依靠与签署人紧密相关的生物特征,不会丢失或被模仿,如果把这种方法和数字验证的方法相结合,我们觉得拿它进行身份认证就会非常的有效。另外,,这些东西是我们研究的成果,离广泛应用还有一段距离,也希望跟业内有经验的朋友进行交流,希望能快速得到应用,我们也希望国家颁布数字化签名的相关的法案,让相关的企业在这方面可以下一些功夫,推动数字化的进程。谢谢大家。 主持人:谢谢杜先生。 提问:你还可以介绍一下贵公司现在从事的工作。 回答:我们现在主要是模式识别,主要是手写体的识别,因为手写识别这种东西已经很商品化的东西,就是产品都有了,公司主要靠这个来发展。签名识别只是一个研究方向,国家还没有签署这个法案的时候,技术没有多大商品价值,只是和大家进行探讨,像手写识别,,在pda、手机移动设备上的应用已经是很成熟的。 主持人:下面是自由发言时间,大家可以围绕主题发表各自的观点。 提问:想请问姜先生一个问题,因为我本身是这家公司,这个问题也是大家所关心的,我要是买一张光碟我只要不拿到电影院去放,朋友之间互相转借是可以的,但是你电子书我换一台机器就行了,那么这个机器宕掉了,我这个书就没了。 姜:现在卖电子书不会让你装一部机器,一般是三到十份左右。你下载下来,不是一个机器,像咱们国内普遍家庭家里只有一个机器,但是我们很快家里就会有两台、三台,就允许你装在多个PC上,即使你原始数据全部被破坏了,你不用再到买家下载了,这就浪费一些下载的财力。 主持人:下面是自由发言时间,大家可以围绕主题发表各自的观点。 提问:我国的技术研究和人文研究脱节现在本来就比较严重,从此出发,加密公司是否认为对病毒研制者的心理研究是否是一个平均的机会,是否有利于咱们公司的未来发展? 王:我们根本研究不到读者心理方面,我们杀病毒都忙不过来,没研究这些东西。 提问:你们谈的时候,好多处于发展被动的状况,不管是做什么的,他们占有主动进攻状态下,得防止,特别是防止将来的所有的攻击,这是做不到的,原因在哪儿?原来在于因为只是操作系统的不安全性,还是在(英文)原理上就导致问题存在,你们认为原因在什么地方? 回答:刚才王老师也说,说是不是所有的系统都是可行的,这怎么讲呢?可能我们给很多用户服务的时候,用户也提出个问题,这个没有绝对把握,就像你坐飞机一样,谁能保证飞机不掉,你就选择一家信用良好,飞行安全比较长的,这样来做选择。 为什么敢下这个保证?在美国有叫(英文)的黑客,最早他提出来的,最狠的一招叫做社会工程学,他一旦要决定攻破这个网站,如果他技术上实现不了,他就到这个办公楼翻垃圾,到那儿去找一些线索,翻一段时间以后,从一些废纸上就对这个公司也就清楚了,有什么人,就打电话说我是谁谁,我密码忘了,怎么怎么样,所以任何一个公司不敢保证。纯技术就简单了,比如你内部公司人员他是网管,你开了他,内部东西他都知道,而且密码系统是他设的,他进行这种操作,造成的后果也不是安全公司所负责的。所以是三分技术七分管理,管理还是最重要的。还有内部的问题,不是安全公司本身所能解决的。 提问:我们如果只技术来谈,病毒也好,黑客也好,现在不考虑现在情况,重新构筑一个计算机系统,有没有可能做它是一个比较安全,甚至是一个绝对安全? 回答:要是纯粹设计成理想化应该可以,因为国内和国外都进行很多网站的有奖攻击就很多,包括去年海信,如果设计理想状态,可以完全保证,哪家公司都可以拍着胸脯上。可是真正运行到大系统,因为大的系统问题就越多,你作为一个企业来说,你不可能自己有十几个人安全小组来负责安全问题。可能网管都很忙,所以这种情况就造成了任何一点的漏洞就会造成整个系统的一个全面的崩溃。因为安全和管理是矛盾的,我作为网管我管100台机器,不可能一台服务器一个密码,涉及到流量问题,包括国内大的网站,大家知道排在前几命基本上没有用防火墙的,那么大带宽,这种效率的影响就是巨大的。现在在国外还有使用千兆防火墙的,现在在国内还没有使用。现在种种原因最后造成这种情况。 从我们一致认为,三分技术七分管理,三分技术可能网络安全产品,买一些产品,这种还要占到再小的一个份额,重要的还是一个整体的防范意识。 提问:传统的企业如银行、烟草、制造、冶金等实现电子商务的过程,来自数字方面的威胁有哪些,有哪些突解方法去预防解决这些威胁?大约的花费成本情况如何? 回答:在实现电子商务过程中,来自数字安全方面的威胁有哪些,无外乎一个内部的一个外部的,内部的威胁主要是一些它的数据和信息的威胁,实际上就是把你的机密资料和原代码泄露给其他人。另外外部就是实行电子商务中他想获得一定的利益,如他在网上有一些信用卡的帐号,或者其他卡的密码,如果想获得这些东西,就是在电子商务上进行交易,实际上这个就是非常危险的。 他有哪些途径和方法可以预防,第一个就是我们在管理上,就是你在设置密码过程中一定要科学设置,现在统计七位以上的密码就比较好一点,而且密码要经常更换,在一周内最少更换一次,才能保证你的密码不被人使用,也不要设置的特别简单的。再一个你的密码和帐号名一定不要统一,这就是一些预防的方法。还有一些你要对你的网络进行检测,就是提高网络管理人力的管理意识。 大概花费有评估和整体的普查,还有采用产品,还有安全的管理和培训,美国公司都有他的做项目的预算,如果感兴趣咱们会后交流。 提问:目前还有的企业安全实际情况如何,有哪些需要具体的问题,能否举一个例子? 回答:目前在北京的IDC市场,他现在所用的软件可以统计就是你的网络是否受到攻击,攻击多少次,是用什么方式进行攻击,它可以记录下来的。在世界互联大会上也提出这个问题,他们客户也经常会收到这种攻击,怎么办呢?我对你用了产品,我提供了服务,这个就用一种方式把它记录下来。现在网络上安全因素,就是它的安全情况并不是很高,而且虽然电子商务的进一步发展,网上银行,网上证券,网上购物业务新兴的起来的话,安全的因素会越来越大,所以安全意识就要进一步提高。 有哪些具体的问题,你可能信用卡今天有一万块钱,你明天再查的时候,就丢了五千块钱,可能让别人用了。这是你在上网的过程,你查你的密码,这时正好被一个黑客把你的信息窃取掉了,使你失去财产上的损失,还可能失去一行企业机密的信息。 刚才我说的都是例子。 提问:我想请王先生技术上的问题,你说对付新病毒的人,你们公司只有99.9%的把握,现在有一种办法可以对私自下载的文件下有百分之百阻止的作用。 回答:我说新病毒,比如网络蠕虫,Word病毒你可以预防百分之百,红不可能是毒,什么叫宏呢?没有传播性的,微软提供了这么一套开放性技术,读它有传播性的,我们可以称之为病毒,对宏病毒我认为可以百分之百的报,但是不敢报毒。我们过去用这个技术,现在实际上还用这个技术,我们反应这个文件有毒,不管是什么,它都报,但只说发现了红,不能说毒。所以在这个软件里头,我不检测其他的Word软件,只检测(英文),如果用户感觉到我没有自己编写宏,那么有可能它就是毒,当然也可能垃圾代码,就是残余的宏,或者你把(英文)删掉它,因为你再启动Word的时候,它会自动产生一个新的,如果这那还有宏,那就不是宏,那肯定就是毒了。那发电子邮件给我们,我们来分析,是不是毒。 宏病毒由于污染的特殊结构,也可以认为百分之百判断,但是不光是说新病毒,但是可能也包括宏病毒,也有很多新病毒,我讲新病毒的前提就是网络蠕虫。 提问:我刚才指出的是Word文件下的病毒,我知道一个技术可以阻止和预防Word文件性病毒的发作传播和直流内存。 回答:我认为这是不可能的,过去有人这样做过,如果你分析过100种以上,你可能这种观念会打消的。没有,不可能的,没有绝对的。 提问:我之所以来沙龙主要是因为看中这几个字:关注数字安全,所以我在这里想请在座的各位能不能为我们明确一下数字安全的定义是什么?因为我觉得对信息安全,网络系统安全我知道,但是对数字安全我不是特别的清楚,或者跟其他安全划分的界定,因为陈先生提到一句,说数字安全好象是集中在数字加密身份认证上,但是信息安全其中也包括这一部分。所以我特别想知道数字安全的定义是什么?今天咱们沙龙讲的都是数字安全讲的讨论题之内。我还是想明确一下这个定义。 王东临:数字安全这个概念只是代表看问题的一个角度,就像网络安全是从网络的角度来看安全问题一样,数字安全则是在数字时代从数字信息的角度来看安全问题。这是相对于原来模拟方式下的安全问题,例如原来电影里头的间谍。现在很多的概念其实都缺乏一个公认的、准确的定义,如"EBOOK",甚至包括"互联网"都一样。这个问题只能大致说它是从这样一个角度,数字和非数字的角度出发来关注这方面的安全问题,和信息安全基本上差别不是很大,只是看问题角度不同而已。 主持人:下面进入自由交流时间,再次感谢大家光临本次的IT沙龙。 谢谢大家。 江海客书面发言 超越技术视野的中国信息安全问题 文/江海客 摘要:构造一个严密的国家信息安全体系需要大量的高、精、尖技术,需要大批出色的专家和网络安全工作者,需要大量的设备和资金,但是否有了这些就足够,是否还应该关注一下技术视野以外的东西?本文作者作为一个年轻的信息安全工作者,意在通过本文,使大家能关注技术层面之外的东西,为中国信息安全创造一个良好的氛围和环境。 一、“热”度的背后 毫无疑问,目前信息安全是中国信息产业的热点,甚至是中国经济的热点,社会生活的热点,国家增大投资力度,信息产业部、科委、计委广泛立项;各路专家登坛说法;安全企业四处游说;传统企业纷纷转型。就连一些本来平常的事情也会因为挨上了“安全”二字,而成为热点:譬如一个普通的21世纪中国网络安全应用研讨会被国内媒体大量炒做成“中国黑客大会”;譬如,打车时,司机师傅也许会和你讨论一下“海信防火墙”事件。 但“热”,代表关注,绝不代表发达、先进,更不能代表健康。我想对于中国信息安全的现状与发展,以及相关产业的进步与差距。简单的完全肯定,或者武断地全盘否定,都是不够理智的。就我个人的看法,是欣欣向荣中也有相当数量的不和谐的声音。 我在《深刻反思海信事件》一文中曾经不点名的批评了一些情况,应该说其中很多现象决非个体问题。 几天前看到一则消息令人难以理解,多个版本的实现源码早已公开的椭圆曲线加密算法,竟然有人自称为国内首创软件实现,达到国际先进水平如何如何,而且被广为报道。 其实让踏踏实实搞信息安全多年的人士很难接受的现象很多,比如一个突出的问题就是很多过去根本与计算机网络和密码技术不沾边的专家甚至是院士,突然变成了所谓信息安全专家。拉项目、要投资、或者为企业做顾问。一位国内出色的密码学家,对此做了一个形象的比喻,一些人是羽毛球冠军,但突然羽毛球不热了,乒乓球热了,于是他们就改行去做乒乓球教练了。羽毛球打得再好,打乒乓球也是个初学者,哪有当教练的资格呢。 夏天的时候在北京遇到了一个朋友,他说他现在准备做网络安全了。他过去是卖保健品的,他觉得网站的热潮没赶上,不该错过网络安全这个机会了。而中国的很多上市企业更给人一种哪里有题材、哪里有概念就涉足什么的感觉,其实很简单,向所谓热点投资几百万(也许都未必到位),就能在股市上获得上千万的回报。无论ST也好PT也好,套上了概念,无论赢利与否,至少股票可以拉抬起来。 可悲的是,国内很多人对信息安全的关注并既不是出于对其紧迫性和必要性的关心、出于自己的责任感,也不是为企业寻找新的赢利增长点——仅仅是出于立项、申请经费、制造炒做热点的需要。如果信息安全不再炙手可热,而基因技术如火如荼的时候,我想恐怕就有一些网络股、安全股变成生物股,而又会多出一些著名基因工程专家来。 而看看国外的知名安全企业,无论是NAI、RSA,或者象CISCO这样应用与安全一体的设备供应商,哪一个不是在网络和安全界已经耕耘了很长的时间,有几个突兀而起或者半路出家的?而无论是生产汽车的通用,还是搞化工的宝洁,决不会因为信息产业热起来,就去转行搞软件开发。 不知这种反差能否让敏感的人有一种怀疑——中国的产业秩序是否有了一些问题? 二、谁是信息安全的主角 这个问题不同的人肯定会有不同的回答,各大高校、科研院所会保持一如既往的主角姿态,安全公司则将展示他们完善的产品与服务,民间的安全工作者和黑客同样会当仁不让的表现应有的水平和责任感。 但关键在于,谁是信息安全的主角取决于其所处的发展阶段。举个例子:大家也许记得,在计算机病毒刚流传到中国不久,关于反病毒技术的一些研究论文可以发表在国内很高级别的学术刊物上,甚至可以在全国科学大会上获奖。其实当时国外也是如此。但现在注定不行了。因为反病毒技术已经完全由科学研究阶段过度到工程实施阶段了,而且进一步的研究完全是以企业界为先导了。 这就是计算机技术发展的一个基本的定律:就是关键的理论性突破并转化为应用可能后,主要的进步和发展就是依靠企业的产业化实现和工程化实施了,而由于企业发展的进一步需要,进一步研究发展的实施者也必然由高校或者纯科研机构,转化到企业研发人员或企业自身的研发机构上。 应当说,目前信息安全的几大相关技术,都是基本成熟并可以工程实施的。此时,如果依然更多的把注意力集中到高校和科研机构上,试图通过大投入立项来解决信息安全问题,恐怕很难取得良好效果了。特别是中国传统的科研成果难以向生产力转化的问题,依然严重存在着。这种投入就会更多的转化为论文汇报、理论进展和实验室中的样品。而同时,如果简单的给高校和科研企业背负上产业化的压力,象当年高校和科研院所冒出了数十个版本的防毒卡一样,再搞出一堆高校院所版的防火墙,又有多大价值。国家经费理应大力保证高校和院所的基础研究。而应用性技术和工程实现的东西更多的交给企业去解决,这才能是一种良性循环。 对于民间力量的看法是,目前国内舆论和媒体对民间往往希望和追捧过高,类似伊拉克如果培养几个超级黑客就能逆转海湾战争的说法到处都是。对此,我着实不敢苟同。我非常尊重民间网络安全工作者的奉献和探索,但我依然觉得,民间的安全爱好者如果不最终和企业或者研究机构靠拢是很难发挥更大价值的。 三、中国信息安全紧缺的东西 对我此前的几篇文章中的观点收到很多反馈,有些朋友觉得其中很多是从“破”的角度思考,那么以下的内容就试图从“立”的角度思考问题。 第一, 需要健康公平的产业秩序 对此我们有一些建议。 1、扶植中小安全企业,特别是知识先导型的企业。举个例子来说,对创业型的安全企业来说,公安部和商密委的相关审批费用还是一个压力,但交纳审批费用应当还是必要的,是否可以考虑允许滞后交费的,比如可以在年检时补交审批费用。可以减小中小安全企业的创业压力。 2、提高产业准入的技术门槛,形成严格的测评机制,鼓励建立第三方测评机构。据说在早先国内制定反病毒产品测试标准时有这样的争论,如果按照国际标准测试,国内的产品都无法通过,那么是按照严格的国际标准来规范反病毒产品市场,还是降低标准以适应国内产品,大家争论不休。但应当说,出于对民族产业的保护,实际行动比较靠近后者。如果日前的测试不是采用本土化列表,而是用国际公认的WILDLIST和BASE列表作为参照,可能名次就完全不同,客观比较目前国内安全产品和国际的差距,就可以看到这种保护的结果没有达到初衷。同时由于安全产品的特殊性,为了保护局部的产业利益,降低产品要求,实际上等于以降低信息化的安全性和可靠性为代价。另外,国家官方的测评机构把握的是产品的市场准入问题,我想这一体系应当有一些有益的补充。国家应当允许第三方对安全产品进行测试,中国也应当有自己的ICSA类似的组织。当然,对产品测试结构和行为本身也要加强管理。 3、减少国家干预,鼓励公平竞争。再次建议,国家应当把商用安全和关键部门、关键网络的安全分开来看,商用应用的安全问题交给安全企业自由竞争去解决,而在关键部门和关键网络再考虑通过国家行为实施一个比较系统的独立体系。这样,国内安全企业才有更少的限制和更大的运做空间。 4、抑制过分炒做。目前,中国信息安全产业整个的浮夸气氛比较浓,一些商业炒做已经到了无以复加的地步。对消费者、对上层决策都有很大的欺骗性。但如果仅仅靠媒体和民间对此的监督和曝光,是很不够的,但这些属于企业经营范畴的东西,不宜用行政手段,对此应当有法律的约束,比如广告法,应当对计算机和网络软硬件产品,也应当有适用性,必要时要增补一些新内容。对于科技新闻报道的真实性,也有必要考虑有法律规范。另外一些特殊行为,比如所谓安全产品公开测试问题,也应当考虑制定一些规范,避免刻意误导和欺骗用户。 第二、不断提高全民意识和应用水平 信息化决不是用钱买来的,信息安全也决不是用钱买来的。日前,在应有关部门之邀检查某政府网站和内网的安全性时很有感触,他们配置了高档的CISCO PIX硬件防火墙,但WEB服务器的administrator和数据库的SA却没有口令,这个例子很直观的说明了一个道理,那就是人的因素是信息安全的关键环节。信息安全没有资金投入好比赤膊上阵,但再先进的安全软件和硬件离开了一定的使用水平和安全意识也是毫无意义的垃圾和废铁。 必须提高意识和应用水平还在于必须提高鉴别评定能力。国内信息安全领域之所以良莠不齐,鱼龙混杂,除了有一些不健康的灰色因素存在外,立项审批等环节的人员自身的水平也是一个重要因素。 第三、建立宽松的舆论和政策环境、科学准确的立法基础 几天前收到一篇文章,里面讨论了这个问题,中国黑客为何“归正”这样的早?大意是,美国黑客一般接近三十岁才告别纯的民间安全爱好者身份,而流向安全企业和政府部门。而中国的民间安全工作者一般25岁左右就已经向商品经济(安全公司)靠拢了。我想这其中也是一种压力。 1999年的拉斯维加斯的黑客大会上,全美黑客聚会一堂,当时给我印象最深的是,名为死牛祭祀的小组发布BO2K,我一个朋友看了报道说:“这不是散布病毒么?为何不抓他们?”我无意在本文讨论远程控制工具和病毒的区别,我只希望大家考虑一下所谓“为何不抓他们?”。2000年的黑客大会更有美国政府要员到场,号召黑客为国家服务。 民间力量对维护社会信息安全的的体系来说,应该说是一个分支关节,不可能系统、全面、有保障的解决问题,只能起到补丁的工作,但从另一个角度来说,民间队伍是整个信息安全事业的人才源泉,是一个基础。由于民间力量的不确定性,如何规范和管理确实是一个问题。我觉得第一就是应当象美国一样,不要管得太死,压得太紧,在民间形成一种宽松的技术氛围和环境。为渊驱鱼,为丛驱雀式的严抓狠管是影响产业发展的。但不管死又不等同于不管,否则就会很混乱。第一就是要有科学的立法,觉得国家这方面有些还不够全面,不够准确,比如前阶段关于计算机病毒的那个条例,“不准提供含计算机病毒的介质”,说的很死,那么用户发现或者怀疑计算机有病毒而需要向反病毒公司提供样本呢?第二就是有明确的取向,国家对民间信息安全的研究和实践应当不加干涉,但要有立法约束,而对涉及金融犯罪、反政府反社会、恶意破坏等一些行为则要依法惩处。第三就是要有好的舆论导向,中国的很多媒体不是以一个对社会负责的态度来报道黑客等题材,不是恶意贬低就是大力吹捧,报道者自身对信息安全技术又一无所知,漏洞百出,无论从社会效应还是从对青少年科普的角度,影响都是负面的。媒体应当不断提高自己的责任感和水平,引导网络安全爱好者追求技术,遵守法律。而不是去一棍打死,或者制造出一些亦正亦邪的偶像出来。第四就是逐步使民间网络安全工作者或者黑客逐步自我形成一个道德约束的机制。 四、中国信息安全要有放眼全球的战略视野 应该说国家在信息安全方面一直处于防守的地位,因此对国外安全产品有很多的限制,这一方面是出于国家安全的考虑,另一方面也是出于保护民族信息安全产业的考虑。但把两者联系起来想一想,民族性=先进性么?民族性=安全性么? 无论考虑产业利益还是考虑国家安全,都有秦始皇长城式的防御思想,还是忽必烈铁骑式的进攻思想的区别。中国把安全产品作为突破口,成为印度式的软件出口型国家,我想并非没有可能。这要比我们全面对国外产品设立种种禁令,再让企业都扑到国内市场这块饼上好的多。如此,不用别人的安全产品和别人都在用我们的安全产品所构画的图景,是绝对不同的。 国家对于国内安全产品和技术的一个重要判定是正确的,那就是:整体技术上落后很多但在密码理论方面并不落后。有的在密码体系的研究和现有密码算法的分析方面,很多走在了国际前沿领域,可惜具我所知,其成果却一直未能产业化。 我理解国家商密保护条例制定的初衷,在目前的情况下,政策性保护作为一种临时性的无奈的举措,是必要的。但商用密码和核心密码是不同的,商用密码应当遵循商业规则,如果全面禁入,那么必然的结果是,中国的安全产品在角逐国际大市场时,必然遭到对等的待遇。同时,限定了商用密码算法为国家秘密,则就意味着密码学家和密码企业无法用专利保护自己的算法,更不利于维护自身利益。我想商密领域同经济竞争的任何领域都相同,关键的不是保护,而在于自强。 我想国家应该考虑以密码技术为突破口,加紧国内先进成果的产业化,逆转对美国密码产品的落差,就可以逐步放开进口禁令,而以美国之道还美国之身,采用准入限出的方式,反制美国。如果一味严防死守,闭紧国门,可能带来一时的安全,却必然会更加被动和尴尬。 中国和西方列强在信息对话的劣势根本症结在于企业间实力的巨大差距,理应对症下药,这种差距应该由健康的产业循环来逐步拉近。过于倚重政府立项和统筹安排,把高校和科研院所作为信息安全产业的主要载体,则往往取得的结果只是一纸汇报和鉴定而已,很难成为产业发展的推动力。整个信息产业是如此,信息安全产业更是如此,当中国信息安全企业可以与NAI等业界泰斗平等对话乃至有超越之势时,我们的安全恐惧症会自然消失,整个安全秩序自然会攻守易型。一句话,中国应当成为加密算法和安全产品输出大国。 结尾的话 信息安全是随着信息化建设水涨船高的东西,信息安全产业的小秩序也必定被信息产业的大气候所左右。中国信息技术的进步是惊人的,但差距仍然是巨大的;中国IT行业的秩序背后也潜藏着危机。因此我既不相信国家能脱离信息技术的格局和现有水准构造一个外挂式的技术框架,也不能期待信息安全领域是脱离中国IT大气候的纯净氛围。不知是否与人有同感,中国信息产业已经完成了一定的量化积累,但要完成质的飞跃,就必须强化秩序和建立公平合理的游戏规则,就必须找准症结,进行变革。关系到国家安全的信息安全产业,如何不能成为一个整顿IT产业秩序的突破口呢?
|
热门关键字: