人类步入了二十一世纪,信息产业飞速发展,互联网正在迅速地发展和普及。伴随而来的是计算机病毒的日益猖狂。尽管许多企业已经具有了一定的安全防范意识,并且部署了网络版杀毒软件和硬件防火墙,但是在面对诸如SQLSlammer等新的蠕虫病毒时,仍然显得力不从心。面对现今恶劣的互联网安全状况,防毒墙的作用就愈发重要了。
时间:2009年9月9日 下午15:00——16:00
地点:赛迪网 嘉宾聊天室
嘉宾:华凯兴 技术总监 林凯
主持人:赛迪网 副主编 李磊 先生
主持人:
各位网友大家下午好!欢迎大家再次来到赛迪网嘉宾聊天室。今天请到了华凯兴的技术总监林凯先生,聊天主题是从网络形势演变看当今的防毒墙。
林凯:
大家好,我是林凯,是华凯兴公司的技术总监,专门从事防病毒相关技术领域的研究。
主持人:
您个人资料写的是研究高速internet网的。
林凯:
开始主要是研究Internet高速路由器,路由器是属于互联网基础设施,搭建好以后我觉的网络安全是业界所需要面临的问题,也是网络设备相关产业发展的重要方向。就像高速路修好了以后要加强高速路的安全特性一样,所以后来转向了这块。
主持人:
进入今天的话题,开始还是想请林先生介绍一下,您觉得09年上半年有哪些比较重要的安全事件,为什么会出现这些安全问题?
林凯:
从我们公司所部署的安全监控网来看,09年包括08年在内,到09年。有两个特点,第一个是从我们监控到的病毒事件来看,新病毒数量有一个比较大的增长。跟以前病毒增长的趋势来比的话是成倍的增长的关系。另外,我们发现很多网站和网页被挂马。前一阵中央电视台新闻联播报道,据相关的统计资料显示,约2%的中文网站被挂马,或者被植入过恶意程序。这是另外一个重要的安全威胁的趋势。
还有一个前一阵大家可能知道的,关于暴风音影软件漏洞引起南方一些省市大规模断网的安全事件。这也是由于软件自身安全性的问题被黑客所利用引起的。
主持人:
您刚才提到央视提到2%的中文网站曾经被挂马,剩下那些是很安全还是只是还没有被挂马?
林凯:
只是还没有,并不是说它们很安全。
主持人:
网页挂马确实是很突出的问题。还有您提到的暴风音影的问题,应用安全是引发或者诱发网页挂马的诱引之一。
林凯:
对,因为浏览网页是通过IE。它也是Windows上的一个应用程序,正因为它的解码程序或者解码部件有问题,比如图象引擎解码,或者视频解码引擎有问题,就会导致你的计算机被感染。所以网页挂马可以归结为一个应用程序的安全性问题,只不过这个应用程序是用的最多的,可以单列出来作为网络安全威胁的一个主要类别。
主持人:
去年有一个JAVA漏洞,是顶级劫持,明明是浏览一个正规网页,单位上面有一个透明的页面看到你的信息。
林凯:
最早出现的比如说钓鱼网站,这个网站我曾经遇到过。因为我太太在家访问网银时,她打开这个页面以后告诉我说,今天笔记本电脑的屏幕有些发灰,当时我就觉得这个事情不太对。我让她第一把网线先拔掉,第二步不要进行任何操作。我来去看她所访问网站的IP地址,最后验证一下IP地址和实际的不相符。他做了跟银行主站一模一样,只不过配色上稍有差异。所以那天看网页,显得电脑的屏幕发灰,这是早期的做一模一样的网站。后来大家发现做这个成本也比较大,因为比较麻烦,也容易被人发现。所以就出现了透明的覆盖,你去点击的都是透明的页面,我上研究生的时候做过一个的小程序,执行以后会覆盖到你的Windows桌面上。但实际上是在我的框架里进行的点击。基本原理就是这样。
主持人:
今年国内社交网站特别多,最火的可能就是开心网,您觉得社交网站对09年安全形势变化有什么影响?
林凯:
社交网站是得益于WEB2.0技术的发展带来的交换式的网站。05年我们所看到的互联网应该还算是静态的互联网。你所能在互联网上浏览的信息大多数是由网站的组织者或者所有者来发布和提供的,这样一来它的安全性是有一定的保证的。因为作为任何一个商业机构或者媒体机构来说,一般情况下不会随意的发布恶意程序。但是05年以后由于技术的发展出现了社交网站。这种技术把互联网的模式进行了一次变革。互联网由原来静态式的互联网变成了交互式的互联网。我们叫第二代互联网,下一代互联网可能是基于智能搜索技术的智能式的互联网。目前处于交互式互联网的时代,每个人都可能是网站内容的贡献者。这样一来针对于海量的数据提交和被浏览,控制内容的安全性就成为了一个很严峻的问题。
像你刚才提到的交互式的社交网站还有一些购物网站,比如说拍卖,你要拍卖什么东西,可能会帖图片上去,我们知道病毒可以嵌在图片和视频里,这些有没有经过反病毒引擎的扫描检查?这会有些问题,主要原因就是因为交互式互联网让互联网的内容提供者是每一个坐在计算机面前的人。这样一来就有可能产生新的安全问题。
就像3G一样,如果普及的话,每个人都是记者,我看到的,拍到的,听到的内容都可以发到网上去。但我觉得世界总会朝着这个方向发展的。
主持人:
今年还有一个特色就是经济状况大家都知道,受经济危机的影响会对安全形势产生什么影响吗?
林凯:
这方面的影响我觉得是有的。从我们公司来说也感觉到出现了一些影响。主要体现在几方面:如果企业或者是机构的业绩不好的话,可能削减反病毒或者网络安全方面的预算开支。这样会有比较大的风险,对于个人来讲比如收入有影响,花费要更有计划。比如说个人版的反病毒软件到期了,该续费了,不着急,可能等一两个月再说,这可能会带来安全的风险。
反病毒软件最重要的是依赖病毒特征库的不断更新和升级,反病毒库是每时每刻都在更新的。如果该添置安全设备,更新设备没有做到位的话,很有可能导致病毒在你的个人电脑或者企业内部的扩散,反而给你带来一定的损失。
主持人:
我去很多公司跟他们交流发现一个问题,比如今年股市比较火的时候会发现很多人上班时间炒股,还有的自己开淘宝小店,这样处理的业务会越来越多。你觉得公司员工在公司内部做这种事情的时候会对公司整体安全有影响吗?
林凯:
会有的。以前我有一个朋友在美国一个保险公司做程序编码,他告诉我十年间他的电脑只中过一次毒。原因是把USB拿到家里用了一下,然后又拿到公司用了,就这一次,十年之内他公司使用的电脑没有中过病毒。后来我们俩坐在一块仔细分析了到底是因为什么?最后分析得出的结论是员工使用网络的习惯不一样。他们那边可能上班时间很少有人去访问跟工作不相关的事情。比如我是开发人员我可能只访问一些技术类的网站论坛,这类论坛不是娱乐或者网上交易的论坛,一般来说内容比较单纯一些,所以被病毒感染的几率很小。但是员工如果在公司内部访问一些私人所需要的网站,尤其是访问了交互式的互联网,包括处理一些私人的事情,或者跟工作无关的网站,这样比较容易感染。你的电脑被感染了之后很可能散播到你周围的其他同事那儿去。
俄罗斯有一个著名的黑客,他列了十几条避免中病毒的条例,其中有一条尽量避免访问一些涉及到枪支、黄色、或者以很低的价格进行商品拍卖的网站。这些网站他认为都是有风险的。
主持人:
我以前看到低价CPU或者低价硬盘这种网站。
林凯:
他都可能通过一个噱头吸引你来访问。但是它后面隐藏的内容,普通用户没办法察觉到。有黑客专门在互联网上开吸引人的店,但他不卖东西,他就是要把你的计算机植入病毒,因为有人雇佣他干这个事情,以成功被攻击的主机数目计算相应的报酬,这对没有专业计算机知识的人来说很危险。
主持人:
您觉得09年上半年个人安全问题和企业安全问题之间有没有明确的区别或者变化?
林凯:
这两个问题跟前一个问题有关。当你的计算机病毒被感染,这种事情是在公司或者企业内部发生的,感染了病毒,这就不是你一个人的问题。就可能导致整个公司的互联网安全现状面临威胁。
主持人:
09年这种发展形势客观因素促使单个人与安全的关系越来越紧密。我们可以想到打个比方以前大家最多在公司炒炒股,但是现在淘宝和开心网,接触WEB2.0行为太多了,给了太多的黑客攻击的机会。
林凯:
我们不是说淘宝或者开心网有问题,这两个网站的安全性是比较高的,其他类似的网站是可能问题的,因为做到安全就要投入大量的人力和资金成本。
主持人:
在您看来,Internet技术都经历了怎样的发展?
林凯:
我们换一个角度来解释这个问题,从病毒技术的演进来看Internet技术的发展。早期的计算机系统都是单机,我们叫它单机时代。那个时候的计算机病毒也是单机的,通过软盘等移动存储介质进行传播。后来发展到了局域网时代,人们把若干台单机在有限的地域内进行相互的连接,那时候出现了新型的局域网病毒,比如蠕虫病毒会导致整个局域网瘫痪。再到后来发展到整个Internet时代,人们把若干个局域网连接起来,变成一个覆盖全世界的大网络,这就是我们现在在使用的Internet网络。这时候病毒的主要类型变成了Internet病毒,这是随着人们使用计算机的习惯而改变的。
Internet的发展99年以前是属于基础设施建设的时代。那时候互联网上的应用还不是很广泛,有静态的网页,有FTP,还有E-Mail,即时聊天通讯,随着网络技术的发展有了视频点播、网银交易这些新的Internet内容。后来网络跟人们的日常生活更进一步紧密起来了,像IBM做的广告一样,几十亿美元在网络上飞来飞去。这在很多年以前,可能觉得是不可能的事情,但是现在就是这样。再到后来就出现了咱们前面提到的社交网站。是交互电子化,或者社交电子化的具体体现。你不用在长途跋涉去另外一个地方,你使用摄像头就可以走到世界的任何一个角落。这是互联网到近几年的一个非常大的变化。
主持人:
您提到一点让我想到以前,您提到计算机从单机时代,那时候大学旁边都有很多电脑房,那时候倒没有特别多的病毒,到现在目前通过视频进行即时通讯。网络发展拉近了人与人之间的距离,但是人与人之间包括我们认识的不认识的或者潜藏在我们看不到的角落中的人在我们不知不觉的情况下对我们进行威胁,或者控制电脑。您从病毒的角度介绍了网络的发展。我想到一个概念几年前有一个防毒墙的概念,我们今天的主题也是从网络安全形势演变看当今的防毒墙,那时候的防毒墙和当今的防毒墙有什么变化?
林凯:
现在有一些交换机设备,防火墙设备,攻击监测设备都有病毒和防病毒的功能。我们可以叫防毒墙。但是就现在的防毒墙,是一种全解码全扫描类型的新型网络安全设备。早期简单型病毒,可以通过病毒特征码被检测出来。随着技术的发展,病毒开发者也会想办法绕开防病毒软件,防病毒软件也会想办法避免被绕开。所以就出现了很多变形、加壳,加密等这种复杂的病毒形态。用传统的或者简单的方法检测,识别率已经不能达到安全的要求。所以目前防毒墙代表技术应该是流式扫描全解码技术,它可以完整下载用户所请求的互联网信息,对整个原始文件数据进行一些必要的前期处理,比如剥壳技术,然后在进行一个全特征码的匹配,查找出病毒。目前防病毒网关的准确性,包括病毒的检出率都有比较大的提高。
主持人:
有网友知道有这个访谈想让我代问一个问题,有些厂商90年代防火墙卖的不错,但是防毒墙大家就觉得它们是一样的还是有什么区别?
林凯:
这是防病毒网关或者防毒墙面向市场必须要回答的问题。它跟传统的网络安全设备,包括防火墙、包括IPS之间到底是什么关系,包括个人版的防病毒软件之间到底是什么关系?我觉得用户都会很关心这的问题。从技术上来进,防火墙和防攻击设备传统上属于三、四层的检测设备。我们知道Internet协议是按层次来分的,标准是分七层,现在是分为五层。TCP/IP扫描叫第四层,传统的防火墙都是三、四层的网络安全设备。它能做网络及时转换,能够检测比较简单的攻击的类型或者是恶意代码的类型。
目前我们看到病毒其实对企业的威胁是蛮大的,使用传统的设备对病毒没有很好的防御作用,因为病毒在应用层,比如藏在压缩文件里,被加壳,加密处理以后才呈现给用户。防火墙对于这类传播方式没有很好的保护。有时候甚至我们说应用层的数据都未必足够,可能应用层之上进行压缩的。应用层是个压缩包,但是病毒还藏在这一层上,因为病毒传播越来越带有隐蔽性,就是为了避开客户端病毒软件的扫描。我们可以看到网络安全也是随着安全威胁的层次在变化的,也需要不断的向上进行防护的。我们可能在TCP/IP层做了相应的防护,但是今后的网络安全所处理的数据,是向着更高层发展的。
主持人:
防毒墙个人端和企业的防火墙软件产品有什么区别。
林凯:
我最近看到公安部的一个统计报告,装有客户端防病毒软件的操作系统被病毒感染的概率是85%。曾经有客户也问过我这个问题,为什么安装了防病毒软件,还需要防病毒网关?曾经在一个培训的现场,我也问大家,没有安装防病毒软件的人举手,没有被病毒感染过的人请举手,这两个问题都没有人举手。这说明什么问题呢?目前的计算机病毒,根据我们网络监测的统计数量,类型和种类也在不断的增多。对于企业来说,我们可能需要考虑立体的,层次化的病毒防护体系。而不仅仅是个人单机版杀毒软件能解决的问题。这个逻辑上有点像比如说一个小区住户每家每户都有防盗门,这应该是目前的现状。但是一般来讲小区也会有相应的保安措施。防病毒网关在层次化的病毒防护模型中,就相当于小区的外围的防护措施,桌面版杀毒软件相当于家里的防盗措施,两者相互配合,构成病毒防护的立体化的,层次化的防御体系。
为什么那么多人装了桌面版防病毒软件仍然会被感染呢?这里面原因很多。主要是因为第一,升级不及时,再一个是误操作。比如防病毒软件可能经常提示你,某个进程正在修改注册表,提示你进行选择,绝大多数人可能会选择允许操作,因为正常的操作流程被防病毒软件阻挡了,大多数人会选择是,让流程进行下去,这样一来有可能会被感染。
主持人:
企业内部很简单的架构到我们的员工是最终终端,防毒墙是架在员工终端和服务器之间还是服务器和互联网之间?
林凯:
可以架在多个地方。一般来说标准的部署模型,都是架在企业内部网和Internet之间。
主持人:
在您看来目前网络防病毒主要存在哪些技术上的瓶颈?
林凯:
目前防病毒网关是全解码,全扫描的,它需要检查的不仅仅是数据包。需要若干数据包全部解码以后,进行病毒特征的查找和匹配。从这种流程来看,它的理论复杂度会比防火墙这种安全设备大得多。因为它整个检查的是每个数据包的内容。而且可能会遇到打包的病毒,加密的病毒或者压缩的文件,处理这些复杂病毒都需要进行反向操作,然后才能进行病毒的扫描。
主持人:
如果企业已经安装了防毒墙,还需要其他的吗?
林凯:
防毒墙只是对流经网络的数据进行病毒特征检查,但一些移动存储介质的读写,也是病毒传播的重要途径,对付这种方式传播的病毒,仍需要桌面的杀毒软件。它们两者是构成一个结构化的体系,这样才能充分保证安全。
主持人:
防毒墙从性能上和其他任何一款安全产品都不冲突?
林凯:
对。
主持人:
我们都知道华凯兴也是专门做防毒墙的,华凯兴防毒墙有哪些独门秘籍呢?
林凯:
它在处理网络优化速度上和扫描速度上做了比较大的改进。能够做到全解码、全扫描。我们知道传统的多个网络会话在应用层处理可能需要多线程、多进程的模式,随着进程数的增加,系统复杂度会急剧增加,系统反应会很慢。针对这种情况华凯兴采用了VPS技术,就是虚拟并行系统,对于每个网络会话,系统会虚拟一个逻辑上的处理单元,每个逻辑处理器无论是计算空间还是使用内存空间都非常小。可以做到几万通路的会话同时进行数据的接收,发送,扫描。这应该是华凯兴防病毒网关的一个比较特殊的地方。所以也提升了系统的稳定性。
第二,病毒扫描的方式跟桌面版应用的反病毒软件的扫描不太一样。桌面版的扫描可能是在硬盘里,调磁盘文件读写。磁盘是一个机械设备,防病毒是对内存块直接扫描,这等于是对高速的电子数据进行扫描,所以它病毒扫描操作的吞吐也非常大,做到了比较高的水准。
还有一个它采用了流式扫描。原始通用的技术可能是存储、扫描、转发的模式。华凯兴的病毒墙在VPS里增加了流式扫描引擎,它是若干个子步骤在并行着同步进行。这样有什么好处呢?比如打开网页时,用户响应的速度和没有加装反病毒软件的速度是一样的,原来什么样,现在也是什么样。这样会很大程度上改善用户的体验效果。
主持人:
刚才您提到VPS架构是不是可以简单理解为相当于在一台机器上虚拟出多个处理模块?
林凯:
对。
主持人:
华凯兴目前这套设备主要针对中小企业还是各个方面都有?
林凯:
我们产品线从低端中小企业到高端电信级的都有,是一系列的。要看用户总体带宽和连上互联网机器终端的数目。
主持人:
最后想问一下,您刚才提到哪怕在个人电脑上或者台式机上有防毒软件还是有85%的中毒,如果想做到非常安全应该怎么做呢?
林凯:
不管是购置防毒墙还是购买新的防病毒软件,对你来说只是新的技术手段,正确的方法首先应该养成良好的计算计和网络使用习惯才行。
国外的黑客网站曾经针对这个问题曾经总结过大概十几条:第一,要定期备份重要数据,第二,不要随意访问危险网站。第三,要经常更换密码,密码不要很难记。第四,要时常检查计算机操作系统和相关应用软件的补丁更新。第五、关闭计算计机不需要的系统服务,尽量少使用文件共享,打印机共享等危险服务。第六,定期检查桌面版防病毒软件的病毒库更新情况,配置信息,最好每周进行一次全盘扫描。第七,不要随意插USB或者这种存储介质。
主持人:
其实这些方法都很简单,比如打补丁,及时升级、及时换密码都应该是很好做到的。所以关键就是要有安全意识。非常感谢林先生今天参与我们的访谈,谢谢各位网友,大家再见!
