登录
主持人:大家好,我是北京华英技术通信公司的张翔,受IT168的委托,我来做今天下午我们这个论坛的主持人。
我们今天下午这个论坛主要还是网络、通信、安全方面的话题。从日程上来看,我们看到今天咱们的论坛和其他几个分论坛不一样,互动的时间非常长,环节也比较多,甚至于主办方都没有安排休息时间。后来说,还可以休息一下。希望,咱们在下午嘉宾演讲过程中,大家能够真正跟嘉宾互动起来,达到咱们面对面交流的效果。首先,我们有请Juniper网络公司的系统工程师梁小东先生给大家做一个演讲,演讲的题目叫如何面对未来的网络威胁。大家欢迎!
梁小东:感谢大家,感谢IT168给我这个机会,能够让我和大家坐一起做一个安全方面的交流。
我在Juniper主要负责安全的产品。我知道在座的各位来了很多安全界的网络专家,可能对我讲的会有一些不同的看法。没关系,咱们可以最后沟通一下,互相交流一下。毕竟,网络的发展可以给我们生活带来更多的快乐,所以我们的网络安全,我们应该更加重视它。
我把现在目前网络发展的方向,就我个人的理解,简单介绍一下。
我觉得十年前的网络基本没有搭建,当时很多事情不敢想象,在十年后的今天,很多已经变成现实。当时,我们想象不了咱们网上可以看电影,今天这已经是很普遍的事情了。说明网络发展非常的迅速,十年后网络发展会怎么样,还不太清楚。但是从目前的网络发展现状来说,安全已经被列到非常重要的日程上。前段时间看有部电影,叫龙胆龙威4,这个电影讲的是英雄的事情,核心是围绕着一个网络安全的事件。故事的大概是美国有一个安全专家,他发现美国所有安全系统的漏洞,他给美国的高层提建议,没有人接受他的建议。于是他组织了这个组织,组织很多的相关人员去控制美国整体的网络,最后他真的达到他的目的了。最后还是被这个英雄,把这个坏蛋抓起来了。
这个电影给我们描述了一个故事,但是我们可以从这个故事看出来,我们现在的生活、工作离不开网络,一旦我们的网络被一些不法的人员所利用,对我们将来的国家、社会会造成很大的威胁。
今天,我想讲一下如何去面对我们可能有的这种威胁的挑战。包括一些Juniper的思路,在安全体系上建设的一些思路,包括我个人对安全的一些见解,当然这种见解可能会比较粗浅,因为一个人的智慧是有限的,所以最后大家可以交流,看看如何把我们的网络做得更安全。
可以先简单分析一下网络安全的发展方向。
其实网络发展最开始是从系统漏洞出现的。记得当时有一个非常经典的事件,就是在2001年,有一个中美的黑客撞击事件,这个事件爆发之后,中国黑客和美国黑客互相攻击,就是互相攻击对方的网站、服务器,最后演变成一种病毒。这种病毒爆发的时候,大家知道很多企业那时候已经安装了防火墙,后来发现装了防火墙之后,服务器还是被黑掉了,就很不理解。后来又遇到了一些事情,包括像2003年的冲击波病毒,包括一些溢出的漏洞等等的安全事件,给我敲响了很多的警钟。
从目前的发展现状,又看出一个新的趋势。对于终端来讲,发展方向已经不是去入侵你,而是采取病毒、木马结合起来的方法去实现入侵的行为。前段时间发生的事件基本都是围绕病毒和木马去攻击企业的网络,包括大家非常清楚的什么熊猫烧香,黑鸽子等等,它都有很多的木马特征。实际上现在黑客的攻击对象,已经向下后门的方向去发现。
我觉得从我们的防御来说,应该从几个方面考虑。
一个是病毒的一体化防护。现在很少有单一的攻击手段对机器入侵,往往是综合的攻击手段实现入侵行为。包括管理,1月8日微软发布了两个非常重要的漏洞,一个是LASS的漏洞,一个是PCP的漏洞。大家都应该打上补丁。你安装防火墙的措施,来实现终端的防护。
还有终端策略的强制执行。过去遇到,企业要求每个人装个人防病毒软件。有些人就是不装,最终机器还是会导致感染病毒。有些人觉得装上防病毒软件机器会很慢,这样就给病毒带来很多入侵的机会。
另外,对于服务器的一些防护思路来讲,应该把重点放在入侵这块。我们也是讲这个事情,就是黑客的入侵大概从两个方向去做,一个是终端这边。终端如果你管好了,你的企业网络问题会减少很多。但是对于服务器来说,我们要做的事情,就是避免我们的服务器被黑客直接入侵。过去我们说像Windows平台,会有很多黑客的入侵,但是我们又发现像Linux这种系统,也会经常有黑客入侵。
这是发展方向,一个是客户端,一个是服务器。
另外一个层次,跟讲的这个东西有点区别,但是我觉得应该提一下。就是关于网络的泛洪攻击。我们应该有能够抵御的安全设备,抗DOS攻击,进行整体的保护。
达到这三种,在现阶段来说,才不会受到太大的网络安全威胁的影响。
下面,我想重点讲一下,这种网络安全设计的一些思路。
我们讲了,客户端是一个薄弱环节。因为现在对于客户端很多用户、使用者他本身对安全的认识就不够。他并不知道自己上网就会感染木马,你不需要下载附件,打开了附件,只要你上网就会种木马和病毒,这种事情大面积的在出现。我个人感受最深的是上网的时候,假如我装了防毒软件,我从网上看电影,这个电影打开的时候,它会自动弹出窗口,然后病毒软件就开始报警。一看病毒描述就是木马。
对于我们企业用户来说,我们要求每个员工的放毒软件必须实时启动,不能有任何的疏忽行为。
另外,补丁管理。现在大部分人都知道需要打补丁。但是对于企业来讲,你还需要做一个综合的管理措施,来实现对那种终端用户的补丁维护,包括你对每个人的补丁是否是最新的,有一个监控。否则的话,可能会造成一个人机器被黑了,会造成整个企业内网的资源泄漏。
还有个人防火墙系统,还是有必要部署的。包括一些策略,避免了一些基于Windows的蠕虫在内网的泛滥,尽量能够病毒基于Windows共享的窗口。有条件的话,可以考虑屏蔽掉。
另外一方面,如何确保每个员工、用户都能够做到这三点。企业要求一个制度,写好了,写在墙上了每个人都做了,包括软件都给用户了,但是用户没有最终执行,这是我们面临的最大问题。他就是不打补丁,虽然有Windows的自动升级,但是还可能会出现补丁没有升级,有可能他没有装放毒软件。我们做的一个思路就是保证你的这三项每个用户都要做到,如果做不到这三项的话,你这个用户在企业内网就不能获得任何的上网权限,就是一个准入的控制。如果你不满足企业的要求,你不能连接到企业的内网。包括对用外来员工也是一样的,如果外来员工首先你没有装企业要求的防病毒软件,你可能会主动的发起一些攻击。还有无线网络的管理,包括我们现在去很多的大厦,你在星巴克上网,星巴克本身可能会给你提供一个无线的网络,但是你会发现你收到无线信号的时候,有很多公司的无线信号会飘到星巴克来,而且有些无线信号是没有加密的,你可能随便选一个就可以上网了。这是非常不安全,你可以直接进入企业的内网。包括现在的无线网络做得非常的方便。我那天买了一个苹果的无线的AP,插上网线,找个地方插上电源,无线信号就出来了,非常的简单、方便。像这种问题,我们都要避免。对于企业网管人员来说,他不知道哪个用户插了一个无线AP,他如果知道了他可能会管,但是他往往都不知道的。
另外一点,如果企业规模大一些的情况下,我们要采取一些安全区域的划分。毕竟,我们企业可能会有一些访客,比如安全检查通过了,身份检查也可以给他授权,但是我们毕竟认为访客不是我们企业的员工,如果他带有一些威胁性的攻击,对于我们企业内网还是会造成比较大的威胁。所以说我觉得安全区域的划分,包括通过一些内网的访问控制的设置,给一些访客他们做一些权利的划分。你可以到我们公司上网,你可以收发一下邮件,但是对我们企业内网的访问要做到可控。
当我们发现访客发生的病毒,自动的扫描机器,也有可能他主动的发出访问的行为,想到你们公司去做一些坏事。这种情况都是一种威胁,这种危机发生的时候,我们需要有手段检测出来。有哪个用户在发出威胁,我们这种检测不能仅仅局限于IP地址。我们知道通过IP地址定位一个用户的话,很困难。企业往往通过DSCP,今天这个用户用这个IP,明天是那个用户用这个IP,你想知道哪个人干了有威胁的事情,几乎是不可能的。所以我们的思路,要定位到某一个人,某一个用户,是带着用户名的。通过一种技术手段,来实现这种能力。同时我们为了避免它进一步的威胁我们企业内网的安全,我们需要采取的措施,比如它发出一个攻击行为之后,或者发出几个,我们通过一个罚值设定,达到某个设定,我们就需要把这个人的连接跟内网断开。这样能更有效的保护企业网络。
往往有些时候,对于企业的IT人员,他们去分析问题的时候,总会有延迟,并不是说攻击一发出之后,这个IT人员,马上就知道是谁干的了。往往要有一天甚至两边的延迟,甚至一星期的延迟。这种延迟,对于我们网络来说也是一种威胁。所以我们采取一种措施,当威胁发出的时候,我们的网络要有一个自我抵御的能力,把威胁员我们要踢出去。同时,如果这个威胁员不断的去发出,你给他踢出去他又重新登录,又发出威胁的话,我们还应该有一种措施,把这个威胁员连接的帐号禁用。这时候IT网管人员应该能够收到报警。这是我们对威胁的一个控制。
在这方面,我们需要很多的产品。包括Juniper,现在有这种设计思路。我们的设计思路基本是围绕这几个方面做。
首先在你接入的时候,我们要对你的身份做检查。当你接入成功之后,我们要对你访问的相关内容做检查。当你发出威胁的时候,我们要对你的威胁可控,同时采取记录、日至、报警,甚至把你的帐号禁用,采取一系列的相关手段去保证企业内网的安全。这是我觉得对终端的一些内容。当然对于终端威胁来说,其实我觉得要研究的问题很广泛的,毕竟前段时间出了很多大的安全事件。前两天又出了一个病毒,这个病毒叫“千足什么”吧?中了病毒之后,它会自动去杀你平台的防毒软件,把这个防毒软件的进程杀死。这样你就无法防病毒了,这样病毒黑客可以通过这种技术,实现它自身的一个攻击行为。这种情况,我们也要采取这种措施。通过一些终端监测手段,实时发现,防毒软件进程被停掉的时候,实时去监测。我们应该有能力把你这个用户,我们认为你现在已经不安全了,虽然你刚才已经成功登录过一回,但是你现在的防毒软件可能被恶意的停掉,有可能是主动的被停掉,我们有可能把你的连接断开,这样的话,才能更好的、有效的保护我们企业内部网络的安全。
我现在简单再根据我个人的一些观点,包括Juniper的做法,跟大家交流一下,我觉得安全的发展方向。
我觉得最重要一点就是厂商的合作。
从我个人观点来看,目前来讲还没有一个厂商可以做到什么都可以做。在安全领域,假如我什么都可以做得非常好。这样的厂商目前还不存在。厂商之间,是有合作的关系的。因为网络是全人类或者说是全世界的,只有厂商之间的合作,才能把网络建成更好。像Juniper,你看我们有防火墙,有入侵防御,但是我们没有防毒软件。但是防病毒、防间谍、防木马这种,包括像一些黑客工具,这是安全领域的一个非常重要的组成部分。Juniper没有这方面?怎么去为企业做更好的安全保护呢?因此我们就是合作。我们跟几乎所有的主要安全防毒厂商都有非常好的合作关系。可以实现了对这种终端防病毒软件的检查,不一定检查你的进程,而且可以检查你的特征库,有没有到最新的补丁,而且可以帮助你去帮助这种用户,在防病毒上面,帮助你自动扫描等等,有很多新的措施。这些措施做的话,并不是Juniper自己就能完成的,肯定得跟许多厂商合作。因此在安全领域,首要的就是跟厂商的合作。
还有一点,就是用户意识的提高。其实你有好的产品、解决方案,如果对于这种用户的安全意识没有提高的话,可能是远远不够的。这样,我可以出两个例子。
第一,我原来遇到一个用户,就是中学。对于老师来说,对安全没有什么认识。给他讲安全,讲很多的方案,说安全有很多的威胁。老师说,我的服务器全锁在机房了,钥匙我有。大家一听,这个人真的不太清楚安全的问题。所以要给这些老师提高一些意识。
还有一种,那类人对安全有了解,有认识安全的问题。往往这些人知道什么都明白。其实没有一个人敢说自己什么都知道了,就连我自己都一样,我觉得自己知道的也很少。那个人非常的自满,他是某一个信息中心的主管,因为他是主管,平常别人都听他的。他觉得安全就应该厂商负责,他指的是微软。我们说现在微软问题比较多,经常会出现安全的问题,安全的漏洞。他讲微软的问题应该微软来解决。我如果出现问题,微软应该提供给我补偿。他给我讲一个例子,你看我买辆汽车,如果由于汽车质量问题,造成我出了车祸,汽车厂商是会赔我的。这点应该是这样的,由于汽车本身的质量问题,厂商应该赔的。既然是这样的话,微软出了问题,微软当然应该赔我了。后来我说,微软现在不可能做这件事情,它可能去查你是否盗版,但是这个人说一百年以后,微软是不是一定要这么做,我不知道这个人是抬杠还是真的不懂。你想一百年以后是这样,现在就不管了。
有些用户不能感觉说自己明白了,其实每个一个人,在座的可能是这样的,尤其一些用户并不是真正的了解,只是了解一些皮毛,于是就觉得自己的企业没有问题的。事实上,往往不是这样的。
另外一点,企业从管理上,包括两个层次。一个方面就是技术方面。技术方面需要有好的产品、解决方案,这是非常重要的。就目前来看,大部分企业,如果你没有一个好的解决方案,在企业部署的话,终究都会有一些问题。包括前一段出现的ARP,黑客被ARP发现了,后来演变称ARP病毒,ARP发作以后,全部用户都断网,如果没有好的企业方案做这种保护的话,你很难做ARP企业病毒攻击的。很多企业一说ARP病毒,他们都心有余悸。
还有一个解决方案,在这方面技术上有相关的产品、好的技术、解决方案,才能够为企业做更好的保证。
另外一方面在制度上也应该有保证。你起码应该有上墙的制度,公司员工不能做什么事情,如果做了,那你就是违法了,不能再讲其他的原因。
有些企业用BT,包括现在的迅雷,P2P的这种下载。这种下载本身没有什么危害性,但是P2P下载最大的问题会给企业正常业务带来问题。因为P2P严重消耗企业的带宽资源。企业的网管人员跟最终用户讲你用BT的话,会影响企业的其他人用。这个用户说,我为什么用BT,因为我要下载一个资料,你不让我下载资料,就是不让我工作。只要企业订立这个制度,你用BT就是违法的。所以说,规章制度一定要有,这两方面结合起来,才能够有效的保证企业的这种安全。
最后,其实安全任重道远。目前魔高一尺,道高一丈,不断有新技术提出来,要求我们在座的各位、包括厂商,不断去想出新的解决方案,为企业的应用做保驾护航,这个应该是我和在座各位大家一块共同努力。
今天由于时间限制,我就简单的说这么几点,谢谢大家!
| 第1页:Juniper网络梁小东演讲 | 第2页:瑞星史瑀演讲 |
| 第3页:自由提问互动环节 | 第4页:中兴蔡文晖演讲以及问答 |
| 第5页:AVAYA刘彤演讲以及问答 | 第6页:F5巩文坚演讲以及问答 |
