第九届信息安全大会 2008年4月22日 51CTO.COM_技术成就梦想

51CTO直播小组 : 一年一度的信息安全界的盛事--“第九届中国信息安全大会”将于2008年4月22日隆重召开。本次会议由中国电子信息产业发展研究院主办、中国计算机报承办，并得到了中国计算机学会计算机安全专业委员会、国家保密技术研究所、国家信息中心信息安全研究与服务中心、国家计算机网络应急技术处理协调中心和中国国家信息安全产品测评与认证中心的大力支持和指导。

51CTO直播小组 : 本次大会以“可信安全生态融合”为主题，聚焦网络社会可信环境与秩序，企业业务与安全管理融合问题。并组织了“应用安全深度防御”和“安全融合产品创新”两场主题分论坛。为期一天的中国信息安全大会聚集了信息安全界精英人士，针对当前信息安全领域中的热点话题和热点应用进行集中而深入的探讨。

51CTO直播小组 : 大会的主题是“可信安全生态融合”，为有关部门领导、安全专家和业界同仁提供一个交流的平台，大家共谋信息安全的发展，共商信息安全的策略，共绘信息安全的前景。

51CTO直播小组 : “可信安全生态融合第九届中国信息安全大会”即将开始！主持人

主持人 : 大家上午好，欢迎大家来到我们本次大会，出席本次会议的有公安部第一研究所原所长研究员严明；电话电子信息产业发展研究院院长刘烈宏；国家信息化专家咨询委员会常务委员曲成义；Secure Computing大中华区总经理蔡勇；天融信战略方案中心总监杨庆华等嘉宾。

主持人 : 下面有请公安部第一研究所原所长严明同志致词

严明 : 尊敬的刘烈宏院长、尊敬的刘保华副社长，各位领导、各位来宾、各位专家，女士们、先生们上午好！由中国电子信息产业发展研究院主办、中国计算机报承办的第九届中国信息安全大会召开了，我在这里向大会的主办、承办和协办单位表示衷心的祝贺！向出席大会的信息安全界的同行们致以崇高的敬意！

严明 : 2008年是我们国家不寻常的一年，“十七大”召开以后，全国人民在以胡锦涛为首的党中央领导下，继续高举社会主义大旗，为全力多群小康社会的新胜利而奋斗！今年，新的改革举措陆续出台，在整个国家加速发展的同时，我国的信息化步伐继续加快，全国人民正在迎接举世瞩目的2008北京奥运会。

严明 : 当前，作为涉及国家安全最具有非传统安全特色的信息安全，面临着更加突出的挑战和更多的机遇。我想，列举几方面的事例供大家思考。

严明 : 计算机病毒的威胁和防范是大家耳熟能详的话题，前不久，几家著名的防病毒产品服务商相继发表声明，提出依靠特征码扫描的手段来搜索和清除病毒的技术，很快将失去过去的这种地位。大家知道，计算机病毒自产生以来，经历了单机DOS病毒，网络传播病毒，蠕虫病毒，然后融入了木马技术，等等几个发展阶段。相应的防病毒技术也在一步步的进化，包括最新的操作系统在内都把防病毒当成必须的安全防范的功能来界定。但是，病毒技术发展及快，目前每天产生的计算机病毒比起当初已经高出了好几个数量级，最近这些防病毒厂商发起的声明，向我们提示病毒技术可能又将进入一个新的发展阶段。

严明 : 美国前不久提出了网络风暴2的大规模演习，这个演习具体操作时间虽然只有6、7天，但是整整准备了18个月，参与者涉及9个州政府、18个联邦机构、40个专业企业，演习范围除了传统的IT和电信以外，化工、管道、电力、铁路都被扩大到演习的范围之中，实际投入达460亿美元。涉及的场景达1800多个，参与据称达到2500余人。

严明 : 此外美国的盟国英国、澳大利亚、加拿大、新西兰都参与了演习，演习在风暴1中以社会、反政府组织为主，但是在网络风暴2中以成为了恐怖组织为主的演习。据传这里中国被列为假想敌之一。在这次演习之中利用了很多新的技术，比如使用了DNS攻击，这次所使用的DNS攻击达到了7G的带宽，而且有放大70倍的杀伤能力。

严明 : 大家知道，我们的奥运火炬在欧美传递的时候，出现了让人非常不愿意看到的情况，少数“藏独”分子利用这个契机制造打砸抢事件之后又抢夺火炬，因此一些国外媒体大肆攻击中国，这击起了全国人民的极大愤慨，境内外的网民纷纷发起网上的抗议活动。

严明 : 新浪、雅虎发起的网上签名活动，参加签名的人数已经超过了770万，表示对西方媒体的抗议人数也已经超过了570万，网民还自发的组建了ITCNN的网站，抨击和批驳那些辱骂、诬蔑中国人和中国政府的媒体机构，但是大家知道这个网站在上周三遭到了攻击，它的英文页面直到上周六还没有完全恢复。而CNN也宣布了他的网站遭到了来历不明的攻击，并且宣布他已经限制了来自亚洲的流量。严明

严明 : 在现在的背景和情形下，事态的发展和网民的情绪会达到什么程度？虽然我国政府已经提出，希望大家理智的表态，做好自己的事来表达我们的地位。但是，是否会引发网民和西方网络的具体对抗，对信息安全的影响是什么？值得大家关注。

严明 : 奥运会本身对于我国的信息安全也是一个极大的挑战。运动会的信息系统和我国重要信息系统的安全保障问题面临着各式各样的威胁，他们设法制造各种事端制造麻烦。

严明 : 为了保证国家安全、办好奥运会，平安奥运、绿色奥运，我国的信息安全界也在不懈的努力。据有关方面提供的信息，目前奥运信息网络安全保障工作已经全面启动。

严明 : 15个部门参与了明确的分工，开展了风险评估和安全防范工作，加强检测，组织应急处理，互联网管理工作也取得了明显的成效。主要在网络的文化建设和管理方面，安全监督管理和行业监管以及行业治理方面开展了一系列工作。

严明 : 同时，信息安全保障工作也在逐步深入。比如，等级保护工作现在在全面的展开。对国家重要信息系统的检查、风险评估和应急保障工作也在积极的推进。国家也在努力的推进和开展强制的信息安全产品认证、认可工作。

严明 : 我国的信息安全基础工作和基础设施的建设工作目前也在稳健推进，包括从法制、规范、标准、科学技术研究、管理技术研究和基础设施、防护体系建设方面在全面推进。

严明 : 我想，在这个时候，我们中国电子信息安全产业发展研究院和中国计算机报工作发起召开第九届中国信息安全大会，组织高峰论坛和主题论坛，大家到一起来研究问题、交流技术、沟通信息，对于我们分析形势、迎接挑战、抓住机遇、争取发展有非常实际的意义。

严明 : 在大会期间，还要办法2008中国信息安全产品创新值得信赖品牌等奖项。我代表中国计算机学会、计算机安全专业委员会，表示对大会成功召开的热忱支持和诚挚的祝贺，预祝大会圆满成功、预祝被得到肯定。让我们为保证国家安全、实现国家的信息化、现代化贡献自己的力量！谢谢。

主持人 : 谢谢严所长的精彩致辞，下面就让我们有请本届年会的主办方领导，中国电子信息产业发展研究院刘烈宏院长致辞，有请刘院长！

刘烈宏 : 尊敬的严所长、女士们、先生大家上午好，刚才严所长发表了热情洋溢的致辞，为我们的信息安全提出了重要的目标和要求，作为本届会议的主办单位，非常高兴能够跟业界同仁一起来渡过一天美好的时光，共同分享信息安全领域发生的重大事件进行分析新的机遇和挑战。

刘烈宏 : 本次会议是由中国电子信息产业发展研究院和中国计算机报共同发起，在此我谨代表主办单位对各位领导、各位专家对本次论坛的关注，对长期推动信息安全的发展表示衷心的感谢和欢迎！

刘烈宏 : 目前，我国信息安全产业正处在一个历史发展的机遇期，国家以建立网络世界可信环境与次序为发展目标，从整体上为我国信息安全领域发展创造了良好的政策环境。国民经济和社会发展第十一个五年纲要中明确提出，加强国家重要信息安全系统的防护，推进信息安全产品的产业化，发展咨询、测评等专业华信息安全服务，建立风险评估、安全准入制度等方面的政策。同时行业信息化建设的不断发展，也为我国信息安全产业带来了巨大的市场发展空间。

刘烈宏 : 十多年来，我国信息安全产业已经涌现出一批敢于开拓、勇于创新的优秀企业，他们通过市场的磨炼已经成为我国信息安全产品研发、安全服务、科技创新、产业结构调整、标准化制定等各项工作的主力军，本届信息安全大会的主题是可信安全与生态融合。旨在为信息安全领域打造一个平台，共商信息安全的策略，共汇信息安全的前景。我相信本届大会必将对我国信息安全领域各项工作的顺利开展起到切实有效的推进作用。

刘烈宏 : 最后预祝本次大会取得圆满成功，谢谢大家。

主持人 : 谢谢刘院长，通过两位领导的致辞让我们深刻的认识到促进信息安全发展对于国家有现实意义。下面就让我们有请国家信息化专家咨询委员会常务委员曲成义先生发表演讲，他演讲的题目是“可信计算与可信网络接入”。

曲成义 : 大家好，关于大会的要求我就做一个可信计算与可信网络接入的发言与大家一起研讨。

曲成义 : 从大家的发展上看有这么几种动向值得关注。一个是信息安全正在早期的从防外为主，开始转向内控。第二，由OSI的底层防护正在向多层集成联动管理平台过渡。第三个值得关注的是，就是基于威胁特征向基于威胁行为防空转变。第四，由静态防御向动态防御发展。第五，由单域防空向跨安全域可信交换防空迁移。第六，由边界防空向源头与信任键防空转移。我今天主要讲的是第六点，就是由边界防空向源头与信任键防空转移。

曲成义 : IT发展迅速，互联网广泛应用也得到了渗透，在网络上出现了木马、病毒、蠕虫、僵尸网络、劫持等犯罪猖獗，现存几万种恶意代码，每年千万台计算机被感染，犯罪性也越来越隐蔽。

曲成义 : 可信计算机在1999年提出来以后，一直到2003年成立成立了国际的可信计算组织。可信计算组织在全球有上百个大型企业，我们国家有几个知名的IT产业也已经成为了这样一个可信组织的成员。可信计算的理念就是要把信息安全从源头抓起，从体系抓起，从行为抓起。使我们在使用实体安全的结果是能够预期的，这是它的期望值。所以可信计算就建立了基于硬件的信任根、基于密码的身份认证、基于标签的强制访问，要执行代码的一致性验证，另外通过可信计算如何使一个系统向我们的客户端做到最小的优化配比，使资源得到严格的控制。另外从各种角度安全建模，所以方法论和理论模型也在快速的发展。另外在可信网络接入中提到了对异常行为的检测和隔离。

曲成义 : 那么在可信计算的领域，当然这是从可信计算模块TPM起步，在这里面集成了可信变量与验证的基点，另外进行了密码、存贮，另外它对完整性数据进行了存贮、度量，并且完成了签名认证。目前正在进行的工作中包括PCP可信计算规范正在进退维谷的制定当中，另外TSS软件站也有望出台，另外相关框架已经基本形成，另外可信服务提供也正在推进，有些厂商正在搞可信的操作系统，有些厂商正在搞可信的终端、可信的服务器、可信的手机、可信的移动平台，等等大量的可信产品正在研发、试用、推出。正在往下走就是可信的网络接入，现在从TCG这个角度正在考虑，如何实现可信接入的控制，TCG组织正在搞TNC，包括思科、微软和国内的网络厂商也都在研发推动可信技术的软件和硬件平台。对于未来的可信网络，当然也要在可信的根、可信的链进一步研发和推进，那么如何推进可信的管理和可信的应用，这都是可信计算领域需要推动的使命。可信平台的架构大概从TPM作为一个基础，到TCG，到TSP一直到用户。

曲成义 : 那么可信计算平台的基本功能有哪些？这是可信计算从源头抓起的核心。第一，要有保护功能，就是要把完整性的度量放在寄存器里面。第二要有证明功能，证明可信身份的多重、平台环境合法性、完整性的验证，大家知道完整性的度量是很重要的，这是基于可信根与PCR进行比较，确认对方配置可信度，然后才允许你接入。

曲成义 : 所以可信计算对系统安全功能进行了很大的增强，从可信的安全引导过程我们也可以看到这是一个每一步都要核查认证之后才能往下走，另外也增强了数据完整度和进行了充分的身份认证，另外对用户的进程进行了有效的隔离，也通过一系列技术的方法建立了可信路径，等等这些思路和想法，以及技术途径都为可信计算系统安全功能带来了增强。

曲成义 : 完整性的度量就是平台完整性的特征，然后把度量存贮起来，然后把度量的摘要放在保护区中，需要的时候提炼出来，可实际的现状进行比较。完整性度量的方法从测量、存储、报告，到最后要提供评价。可信计算是以密码算法作为根基的，把它放在核心的模块之中，其中包括非对称的算法和对称的算法，我们国家现在正在搞我们自己的可信计算用的核心算法。

曲成义 : 刚才我提到在可信的端机基础、可信计算机的服务基础上，如果向网络延伸第一步可能遇到的问题就是可信网络接入的问题。现在我们的网络对于来访者的安全性控制是很脆弱的，所以PC机对于可信计算来讲，我们还需要进一步研发，当然一些厂商包括思科、微软和国内厂商也都在紧锣密鼓的对可信接入开展研发及产品。

曲成义 : 可信网络接入可信要素都是基于TPM，就是可信的生态模块，它对于要接入我网络终端的完整性和安全性进行了检测和控制。像远程来访的终端（TNC）客户必须要提供完整的信息，而且这些信息要放在TPM模块中，TNC终端必须要对这些特性进行验证，只有遵从了预先设定的策略，这个端机才能去访问该网络的安全域。这样就对所有用户的安全带来了明显的可靠增强。如果用户的行为异常、软件没有授权，都可能在网络接入的验证中被发现、被认定，而拒绝和隔离这种网络终端的接入。

曲成义 : TNC可信网络规范有明确快速的进展，包括一些规范、标准和相关制度都正在推进当中。TNC这种核心网络的特色，第一是安全性，是通过完整性校验与主机认证保证结合起来的。第二是隐私保护，不需要用户身份，并支持匿名网络访问。另外是灵活性和兼容性。总体来看TNC，它对于网络认证技术的应用是很有意的尝试，它很有借鉴意义。另外对PC机发送的可信运用模块进行认证，进行可信度量这样很好的解决了可信网络接入问题。所以可信网络接入是解决安全网络接入的一种方法，当然它也在发展之中，还不能从根本上解决核心网络的根本性问题，但是这是一个很好的过渡期。

曲成义 : 刚才我说到可信组织以及接入可信网的各种标准，很多企业都在大力的跟上，包括思科的网络安全防御控制，另外微软也搞了一个网络接入的协议。不管是NAC和NAP，它们都在遵循一个大的框架和基础，我们国内几家大的厂商也在紧锣密鼓在推进自己的网络各种接入技术和方案。

曲成义 : 不管是从哪个角度去做，总之遵循TNC的一些思路、规范和标准，就会明显的提升网络接入的可信度。那么可信计算我在上面做了简单介绍，应该是信息安全领域中的一次重大创新。它的创新点就在于，它的信息安全是由外延的防御转向源头内控的，刚才我提到这是由硬件、密码集成的TPM根作为源头，这是一个创新。再一个，由过去被动的防御，它攻什么我们防什么，而向主动防御转移的探索。可信计算是从体系、机制、模型、标准、技术全局入手，过去头疼治头，可信计算力图在这方面有所突破，当然通过像身份的严格鉴别、资源的严格管理、行为的严格控制，希望有利于提升系统自身的免疫能力，当然这是一个重大的创新，也是一次很有利的尝试。

曲成义 : 从国际上来看这几年发展的还是很快的，由于这种理念的出台，引起了产业界广泛的重视，我们国家的产、学、研界也给予了足够的重视，大家知道我国的信息安全标准化委员会，我们的TC260/WG1工作组，这两年也在紧锣密鼓推进可信计算标准化体系的研究，比如说TSS、TNCTSP、TCM等标准规范，大家共同在探索这方面的进展。

曲成义 : 我国科技部的“863”信息安全重大研究专项中，信息可信计算是在其中名列前茅的，对可信计算各种产品的检测、评估，对可信计算的重大问题、技术都在紧锣密鼓的推进、研发。

曲成义 : 我国的“十一五”信息安全规划中，明确提出了，我国要加快步伐，推动，例如像可信终端、可信的软件站、可信的网络接入，等等关键技术和关键产品的研发和推动。

曲成义 : 大家知道可信计算中很重要的，它是基于密码和硬件结合的根，所以我们国家密码办也加紧推动了可信计算密码支撑平台相关标准规范制定研究。另外我国信息企业界，正在推进TPM芯片、可信终端平台，我国已经有很多大型企业介入了这个领域。

曲成义 : 另外展望一下在中国的可信计算喻可欣网络领域，我国有很明确的口号，叫加大创新力度，在标准规范制度中要占有一席之地，在新一轮可信计算产品市场竞争中要掌握主动权，所以国家标准化部门、研发部门和企业，都正在对可信计算新问题加速探索，比如说像密码政策调整问题、信任链控制权问题、隐私保护问题、普适性与易用性问题，都在全面展开，我想我国也会取得很好的成绩。

曲成义 : 我的发言完了，谢谢大家。

主持人 : 谢谢曲研究员，下面有请Secure Computing大中华区总经理蔡勇发表演讲，他演讲的主题是“主动安全，厚积勃发”。

蔡勇 : 非常高兴参加第九届中国信息安全大会，我们作为大会钻石级合作伙伴也说明了我们对安全领域的关注，我们希望通过这样一个平台能够进一步推动可信安全在中国的独立性。我今天演讲的主题是“主动安全，厚积勃发”。

蔡勇 : 首先我介绍一下我们公司，我们是全球最大的专业安全厂商之一，存在已经有20多年了，在纳斯达克上市已经有10几年，我们是全球最大的专业安全厂商，全球在106个国家部署了SC的解决方案，拥有20000个用户，1800个渠道伙伴，财富500强有60%的客户，全球10大银行8家是我们的客户，所以我们在全球的客户基础是非常雄厚的。全球有大约1000名员工，同时具有良好的运营状况，在全球我们有80多个安全方面的技术专利，包括这次谈的主动安全方面，我们有一个全球实时信域的网络，这也是我们的一个技术创新。另外在市场方面，我们在IDC等方面我们都是市场的领导者。我们过去在电信、金融、教育、运输、电力等行业都有一些长足的进步，举例来说我们为中国移动打造了一系列的网络安全产品，另外给铁道部做了一些非常高端的安全解决方案。

蔡勇 : 刚才提到了我们在技术方面也是拥有非常多的专利，刚才专家提到了思科有一个网络安全防御体系，那么我们也正要颁布这样一个标准，包括逐渐我们跟“华三”要签另外一个安全领域的协议，我们有相当多的OEM合作伙伴。

蔡勇 : 我们可以说是权威分析师认可行业领导者，Sidewinder被作为美国政府认证最高安全级别的应用层代理防火墙，IDC统计全球中高端UTM市场份额之一。另外我们还有Webwasher和IronMail两款产品。在Webwasher方面，我们连续五次AV.TEST全球杀毒引擎评测第一，IDC统计全球内容安全网关市场份额第一。

蔡勇 : 今天谈的是主动安全，大家都知道现在网络安全的状况是非常非常严峻的，大致提一下，最近12个月有什么变化。电子邮件方面大家知道垃圾邮件是越来越泛滥，去年是70%，但今年已经超过了90%以上。僵尸主机也增加到了60%。CERT/CC也是一个信息安全机构，他报告说现在漏洞攻击增加到了35%，钓鱼类网站也有所增加。所以现有的防御手段已经完全过时了，这是全球范围之内绝大多数的企业，97%都已经部署了防火墙，百分之百都已经部署了防病毒软件，包括对IDS入侵检测软件，据FBD统计64%的企业2006年造病毒侵袭，DTI分析84%特大型企业07年造恶意代码攻击。目前来看，修复每台造攻击的PC的成本，约30美金，但其实这些并不重要，最重要的是比如政府引起了对形象的毁坏。

蔡勇 : 怎么去做到安全呢？我们认为要在扎实的应用安全基础尚不熟独有防御模块。比如说web安全威胁，包括“僵尸网络”、“肉鸡”和安全威胁等，我们过去12年来统计下来，唯一的主流品牌里面是没有安全漏洞的。

蔡勇 : 介绍一下我们的WebwasheSecure产品，叫做TrustedSource信誉系统，可以说这是我们的主动防御的基石。大家会听到越来越多的厂商谈到主动安全防御，他们会设计这样一个主动安全网络，绝大多数我们的竞争对手都是在做概念方面的探讨，真正做到有效的主动安全，他们只能做到基于对IP地址的分析，我所谓的“主动安全、厚积勃发”，我们的UI库用户现在将近2600万，对URL的积累，包括我们做防垃圾邮件，我们都做了综合的评估，我们的智能化可以说是从某种意义上大大超过了我们的竞争对手，从某种意义上来说我们是最有效的。

蔡勇 : 这是实时检测的结果，如果用IP来显示防垃圾效率的话，我们的有效率是60-67%，如果进行综合评估的话我们的有效率达到了89%，在国内因为我们实施这样一个体系非常广泛，因为我们需要花一段时间去部署TrustedSource的网络，我们可以做到的有效率在90%以上。

蔡勇 : Webwasher连续五次获得了AV-TEST防毒测试第一名，这就说明我们的主动防御已经能够做成现实。刚才说了TrustedSource这块东西，我们认为我们可以把它做成行业的标准。TrustedSource提供了网络边际的首层防护拒绝来自Internet的恶意连接。再说一点，我们的理念是在非常扎实的应用安全基础上面部署主动安全防御的模块，我们在所有产品上都部署了我们的操作系统，叫做SecurOS，这是美国安全局制定我们开发的防火墙操作系统平台，另外这款产品也是完全可以商用的平台，可以供全国各地的客户使用，另外我们照顾到了这款系统已知和未知的漏洞。

蔡勇 : QOS是基础，我们的产品线是非常非常长的，包括安全的Web通讯、安全的邮件通讯，包括数据和用户认证，包括中央管理，所以我们提供的是全面的一个整体的网络安全模块。我们在全球拥有2万多个客户，然后国内的客户基础也非常广泛，我们认为我们针对日益严重的信息安全问题提供了非常有效的整体解决方案。我们认为今天我们需要要进行一些针对自身漏洞的主动防护，包括对外部威胁的主动判断，包括对应用层的分析，这是我们公司非常强的强项，包括做双向流量的分析和安全审计、审核，符合国家的一些国家安全法律法规。所以我们Secure可以部署多重防御，提供全面的安全解决方案，所以我们才取得了今天的成功。

蔡勇 : 下面总结一下我们公司的理念。我们感觉传统的安全、只是基于被动解决问题的安全产品是无法做到保证安全的，应用安全深度防御 Computing二十多年安全行业的历史使其拥有与众不同的资源来实现有效的主动防御。我们在今天已经拥有大量的客户来享受TrustedSource更高级的安全。这就是我今天的演讲，我们拥有广泛的渠道基础，如果各位有需要可以跟我们取得联系，谢谢大家。

主持人 : 谢谢蔡总，下面有请天融信战略方案中心总监杨庆华发表演讲，他演讲的题目是：可信网络、安全世界携手天融信，攻坚可信网络世界。

杨庆华 : 各位来宾上午好，刚才前面几位专家都在讲可信网络，我今天的演讲题目是怎样构建一个相对可信的网络。

杨庆华 : 我今天谈的这个题目是可信网络接入，为什么会提出的问题？我们首先看一下信息安全发展趋势，这个趋势不是我总结的，这是美国国防部总结IT20年的总结报告，我们看这个报告中，从单一的技术部门需求发展到整个网络世界的安全，从面向脆弱性的安全，发展到现在是面向结构性的安全。现在发生了这么多的安全问题，实际上很多问题是我们在替操作系统厂商、替主机厂商、替协议的协议发起方，我们所有的工作是在为他们买单，为什么？因为我们过去完全是被动的，所以我们要向主动性转变。从这里面我们可以看到，在这个报告中围绕着从过去的信息安全要转向网络安全的发展。

杨庆华 : 我们在这里给可信网络一个定义，刚才曲老师讲了可信网络未来的结构。我们说是通过各种安全手段和措施，在开放的网络系统中构建一个边界清晰和安全网络，那么现在如何构建一个安全的边界？这是安全业界一个非常大的难题。在这个网络中我们应该满足什么？第一个要满足边界的安全、满足主体的安全、课题的安全、满足行为的安全、监管的安全，通俗的解释我们要做到，网络边界安全、用户身份可信、数据资源安全、访问行为可控这样一些目标。

杨庆华 : 我们以生活的实例解释一下什么叫可信。我们看到这个人如果去银行去办理一笔业务，我们知道储蓄所任何人都有权利进去，但是对于银行来说不知道他这个人是不是安全，他具体要做什么我们不知道，所以我们需要做到主体的可信。同时对于储户来说，这个银行是不是可信的，我进这个银行是不是黑屋子，你这个银行是否是可信的。所以生活中无时不刻都存在着信任的问题，那么如何构建合法用户，到合法的银行网点，办理合法的业务，那么我们才说这是一个可信的事件。

杨庆华 : 这是一个真实发生的案例，因为特殊的关系我们不能说这位用户的名称。这个案例大概是06年4月份发生的案例，一个很重要的单位网络突然中段，中段了26个小时，在3天之后恢复了整个的业务，作这个网络中我们看到它的安全措施已经部署的非常多了，但是就在那天突然间整个网络，核心交换机发生了网络瘫痪，整个网络带宽全部被淹没。归其原因，非常非常简单的一个原因，就是因为一个业务部门的小伙子把一个女朋友的电脑拿到单位里面拷电影，这个电脑接上去没多久，这台电脑里面含有“SQL尾虫”，大家知道“SQL尾虫”是03年爆发的，那么经过了三年再一次在这里发生了安全事件。

杨庆华 : 我们说这样一个问题，我如果带一台电脑接入其它公司的网络，你能相信我的计算机吗？如果你能相信我这个计算机，你相信我的计算机不带有病毒吗？这样的话就非常容易把带有危害性的病毒带到你的办公室来，这就是所谓不可信的安全行为。另外绝大多数的安全事件都是来自于内部，而恰恰在现在的网络安全系统里面内部防护是非常脆弱的。另外，主机系统的漏洞没有得到及时修补。另外内部缺乏可信的监控与分析制度，也就是发生了一个安全事故没有及时解决这个事件。那么我们可以说对接入行为缺乏严格有效的可信监控措施。那么我们如何对主体可信和个体可信做一个全面的安全认证！杨庆华

杨庆华 : 我们最后看一下我们要做什么？第一，我们要禁止外部非法设备的接入；第二，我们要限制合法设备的非法接入；第四，限制合法接入设备的非法详文，你可以接进来，设备也是合法的，但是你的访问行为是不合法的；第四，网络行为的监测和保护。另外我们要分为主体的可信、行为可信与客体的可信，对于主体可信我们做接入来源认证控制，对于客体的访问做访问对象的监控。我们看怎么来做？第一，我们要根据安全级别的不同来划分不同的安全域；第二，我们要在不同安全域之间划分边界隔离与访问控制；对内部的昂落我们要做基础的一点就是做IP与MAC绑定；第四个部分要对每一个计算环境做安全管理；第五，对远程接入的用户要做控制；第六，要对所有接入行为进行监控。

杨庆华 : 我们看对于经常有人来访或者进入的单位，我们建议你可以设计一个第三方独立的防御趣闻，可以保证既保证服务又不受到侵害，所以我们就要设计一个第三方网络区域。另外我们还有很多的划分原则，比如说按照业务类型划分，按照资产属性划分，安全单独的接入规律划分。另外我们有多种的技术，包括防火墙技术、网闸技术、入侵防护技术、UTM、病毒网关等等技术。而对于内网这种接入的话可以由多种方式，比如说最基本的方式是在计算机上设IP和MAC的绑定，对所有入和出，可以在网关处这样做，但是这样做只能限制最基础的用户，因为IP和MAC是可以互换、修改的，我们在每一个终端上可以装一个终端管理系统，而它能够保证每一个接入点、每一个系统环境自身的安全，来保证在整个计算机系统的每一个源头都是安全的，来验证我的整个接入网络的安全。

杨庆华 : 对整个网络中，不管是内网还是外网，所有的接入我们要有一套系统来进行所有各个单点信息的汇总，来还原出它的行为、验证它的行为是否是可信的，比如说这个用户它的全县只能访问到这个网，但是他访问到了另外一个网，那么他的行为是否是可行的，所以我们要对他的行为进行监控。在这里面我们解决了几个问题，第一个问题，解决了非法接入的问题，这是我们做可信客体的鉴别；解决了合法设备的非法接入问题；以及解决了远程设备安全接入的问题。这是我们天融信公司为大家设计的可信的安全设计方案，我的演讲就到这里，谢谢大家。

主持人 : 谢谢杨总，大家知道我们这个世界已经进入了一个信息爆炸的年代，那么我们如何面对安全环境更加复杂的趋势呢？下面就让我们有请东软软件股份有限公司安全解决方案部曹鹏发表演讲，他演讲的题目是：面向未来的安全运维。有请曹部长。

曹鹏 : 大家好，下面的20分钟时间交给我，在我开始介绍的时候，我一直很想问大家一个问题，这个问题也是近两年我不停问自己的，我想问的是，如果在座各位都是非常称职的信息安全管理员，我们可以想想在过去两年或者三年时间里面，作为对安全防守者这一方，我们也没有真正构建起一个真正了不起的安全框架、有一个特别了不起的安全产品、技术上的升级，帮助我们彻底解决了安全领域的某些问题。我经常在想在过去这些年里我们是不是真的做了很多了不起的事情，在安全领域的技术上有了特别大的飞跃？我觉得可能是没有做到这些，但是我们想给大家看看攻击者，我们的对手，他们过去做了哪些事情，他们有了哪些飞跃。

当我们做系统维护、升级的时候，大部分的用户口令我们是可以得到的，Windows系统口令是最长是14位的，最变态的口令如下是N73k-a7……，我们称之为这些口令是变态的，有人说这些口令也是变态的，他说正常的人怎么可能把这些人用脑子记下来，我说这是不可能有人把这些作为自己的开机口令。我做过一个调查，这种口令有多大的可能。Windows的口令是7位一段存放的，但是我后来发现为什么很重要的信息系统要每隔一段时间就换一换口令，是因为黑客也在努力的发展，破解口令的时间越来越短，在06年我们做了一个调查，最厉害的我们发现到花多少时间？只花5分钟，只花5分钟就可以把我们不可能想象的口令破解了。 :

曹鹏 : 另外更多的口令甚至连暴力破解都不再需要了，口令的本地HASH保护算法在过去几年遭受到了前所未有的破解实力冲击，安全隐患不断被发现和曝光。最近又有很多黑客公司也好、黑客团体也好，把2的4次方也好，5的6次方也好，他们只要10秒钟就可以完成这种破解，他们从11天到10秒钟，也仅仅是用了一年的时间。在操作系统之外，硬件设备的驱动HACK也逐渐被更多人认识到其中的可怕。所以我们说20年密码攻防战很可能是以安全一方失利来谢幕告终的。不知道大家认同不认同这些观点。

我想今天我们的网络银行还有很多单位都在选择SSL-VPN作为自己的主要应用防护的加密手段，当我们正在用SSL-VPN保护自己的同时，那我们来问，SSL-VPN真的安全吗？这个界面是我在上个星期出台的时候，我的朋友在另外一个房间上网，而我在自己的房间上网，他上网络银行所有的过程都被我监控下来，最后我可以做到马上登录中国银行，登上操作界面，进入转帐页面都非常顺利，我们可以看到他的帐户还有9000多块钱。 :

曹鹏 : 我经常在机场、酒店大堂、时尚的咖啡厅看到很多人很自在的她着笔记本电脑在享受网络冲浪访问。很多电信运营也在积极的推进无线AP，那么我们请问这些无线的AP都是安全的吗？器用安全的无线网络用嗅探的方式我们可以看到什么东西？我旁边的兄弟的所有行为，被我用嗅探的方式查到了。所以无线网络真的是我们想象的那么安全吗？我知道有很多电信运营商在全国城市里面覆盖无线热点，好象看起来很方便，但是安全性问题我们是不是需要来考虑？

我想说的是什么呢？在过去两年或者三年里面，好象作为我们安全防护者的我们好象没有做出太了不起的事情，因为我们的对手攻击者在不停的颠覆我们对于安全的控制、理解、保护能力。随着网络建设不断的扩容，现在很多客户开始建第2张网络、部署第3张网络，今年还有4个新系统可能要上限，可是或许安全的维护人员连5个都不到，技术与人的比例开始逐渐的失调。 :

曹鹏 : 再来看一下，我在3、4月时间里面我都在出差，我问我们的理工，我们有没有定期，每天上午、下午或者下班前看那些安全产品系统的布置，因为安全问题被越早的发现就会被越早的解决。我想如果问大家这个问题，有没有去看一看这些日志呢？我想在座的有95%的人都会摇摇头。但我经常反过来问，今天我们不做是因为我们自身的能力也好、我们的工作压力也好，是因为各种各样的原因，但我想问的是我们这辈子是打算不打算做这些事情？如果我们打算做的话我们是不是要想一种方法、手段去做到，而不要每天抱怨说没有时间、没有精力，我想这些应该是我们思考的。

曹鹏 : 现在的安全管理团队，我这些天走过很多单位，我说你们的安全团队到处解决问题，但是风险意识跟控制意识不太好，我觉得在01年的时候出现了无数次的信息安全的报道上的问题，我们都说3分技术、7分管理，管理是重中之重，但是很可惜在过去这5年时间里面，我们的信息安全管理领域没有什么了不起的增长，没有什么真正有效的信息安全管理，我一直在思考这个问题，终于有一天我领另五到了其中一个的道理。作为今天的技术人员，我们解除了很多技术的标准，尤其是安全领域的标准，这里面分为两派，技术的一派、管理的一派，技术的标准拿来升级是很容易的，我们只要把美国、老外最新的芯片买来就可以实现升级；但是管理的标准呢？我们好象很难把老外管理的标准拿到中国来管理中国的人。在2001年我参与了埃森哲7799，但是我发现我们很少有人是按照7799去做的，我也没有看到做的是很成功的。我发现原来老外经过了4、5百年文明的发展，他们总结出来的管理标准想来管我们今天5、6千年的中国文明、想管我们中国人，几乎是不可能的。我们说3分技术、7分管理，管理应该一定是要有我们中国特色的，而不是仅是直白的把这些拿过来到中国做，因为那些细节要点你会发现既没有生命力、又没有执行力，我们说一个电信运营商的日志仅是一台机器的日志就有1个G，你拿什么去分析？不要说分析，你用什么工具把1个G的日志把它打开都是一个问题。我曾经遇到一个用户，原来每天的日志里面的细节是这样复杂的，原来在每天8个G的日志中可以看出这么多的问题。

曹鹏 : 好了，我想对信息安全说什么？它过去是一种对抗，那么这就体现着一种东西。在过去这几年时间里面，两年到三年时间里面，刚才给大家讲的一些案例，这些都是我06到08年我所实际经历过的，而且我们所看到的攻击者的技术、进步都是非常快的，而对于我们作为安全的防护者，我们一定要在这方面有所增长，那么我们东软在08年连续第三年攻防实验室规模增长超过150%。站在另外一种角度上，用一种技术去对抗一种技术，这种驳议的双方其实都很累，双方都在不停的变化，永远是今天他好一点、我们今天好一点，很难达到一种平衡。所以我要写我的第二本书，就是《信息安全的博弈》。那么我们如何增快我们在安全领域实际的效果？由于时间有限，我只举两个小例子。

曹鹏 : 第一个就是我们公司，我们公司跟所有公司都一样，有一个小规定，在上班时间不允许员工随意访问Internet，但是结果我们发现在IT的公司里面很难做这件事情，如果你卡的很死总是有些人想去百度、Google搜索一些资料会很困难，但是领导又很为难，如果真的放开了，就无法控制这些人上跟工作无关的Internet。那我就给老板提了一个意见，为什么不放开？但前提是，你什么上都可以，但是公司每个月要把监控你日常所登录的内容反馈给你一份，后来我们发现这样做非常有效。

下面讲风险管理，我想说风险管理在过去几年时间里面我们一直做的是不好的，为什么是不好的？第一，大量的报警信息、威胁信息，我们很少有人去察看它，我们很少把弱点把这些关联在一起分析它，我们很多时候就像救火队一样，是事后的去解决这个事件的发生。但是如何让安全的意义真正发挥出它的供销呢？并且我们不能让每个人每天看几万条日志，今天东软在我们推出的安全管理体系平台框架上，通过我们找出所有的资产类别，把类别进行区隔，每天我们不要就事论事的去看这些，把这些都关联一起去看我们，我们看到有所谓高风险的攻击是跟它的攻击类别不匹配的，如果每天我们很忙，忙到了我们累死了也做不到所有事情，那么我们好，我们把最重要的10个事情做好，那么这10个，重要事情是什么？我们就要通过这些分析找出我们最需要做的事情是哪些。 :

曹鹏 : 我想不管到什么时候安全都应该是一种责任，安全的合作身后应该有深厚的友谊，今天的安全产品也不应该再是传统的安全产品延伸，我们不应该一再买很多安全产品，而不去注重它们，而导致自己依然瘫痪。安全管理平台应该是面向未来非常好的管理方向。对于厂商来讲，对于东软来讲或者在座的有商来讲，我们必须要承担起这个责任，我们在过去十年时间里面走过了国外厂商所走的路，但是我们说拐点应该出现了，我们必须要走出具有中国特色的信息安全的道路。

最后也预祝今后几个月要举办的和东软将要参与的奥运顺利圆满的举办，另外我还希望在09年的时候我还站在这个舞台上，在那时分享我们在信息安全方面的努力、工作，我相信所有的人都举起手来，说我们真正的做到了！
:

谢谢大家，我就说到这里。 :

主持人 : 谢谢曹部长的精彩演讲。下面有请网御神州科技（北京）有限公司执行副总裁宋斌先生演讲，他的演讲题目是“环环相扣，安全可控”，有请宋总。

宋斌 : 尊敬的各位领导、各位来宾上午好！今天很高兴站在这里为大家报告网御神州的安全理念和解决方案，我今天报告的主题是“环环相扣，安全可控”。

首先我们来回顾一下2007年安全态势，可以看出各种网络安全实践与06年相比，有显著增加。我们可以看出07年的安全事件总量是06安全事件总量的将近4倍。那么我们不禁要问了，经过近两年安全网络研究，为什么没有取得多大成效呢？我们首先看一下，网络犯罪的守丹、规模不断提升，黑客往往利用仿网站、伪造邮件、盗号木马、后门病毒等，盗取大量用户数据；第二个特点，僵尸木马成为了我国遭受攻击的主要威胁，07年发现有超过350万台主机被僵尸程序所控制，僵尸网络控制员主要来源于美国和台湾。
:

回到我们刚才的问题，我们可以看到这些网络攻击的特点都隐藏在正常的网络访问行为中，而我们现在的安全产品是各司其职，造成了在安全产品之间缺乏相互的协调、互动，攻击正是利用这样的弱点来使安全系统丧失了它应起的作用，造成了攻击大规模的泛滥。 :

宋斌 : 那么我们需要一个什么样的安全环境呢？怎样才能避免安全威胁带来的后果？那么我们需要的是有实效的安全、可驾驭的安全、可持续发展的安全。简单用一句话来概括，就是需要一个可控的安全。

那么接下来我将介绍网御神州可控安全的理念。我们将用户的安全系统归纳为这样一个模型，主要分为业务系统服务区、网络系统、内部用户区、分支机构以及远程个人接入，我们如何做到可控的系统安全呢？
:

这是城市边缘地区的一个用户去银行取钱的过程，那么城镇相当于业务边界，银行相当于业务系统核心，警察会保证到你安全的取到钱。从这个过程来看，用户需要取钱就要进城，进来之后有人去逛街，有人去取钱，而有人去抢银行，那么对于银行来说这就是风险，对于所有的警察来说他要了解到所有的状态和监控所有的信息，这就需要掌握所有业务流程的状态。我们分为了行为、接入、状态、风险，网御神州就是要实现从这4个方面做到系统安全的保障。 :

宋斌 : 什么是安全可控呢？安全可控是根据组织的安全目标和安全计划，对实际安全工作进行动态调整，简单的讲就是对可疑问题进行纠正、调整。安全可控分为三个阶段。第一个阶段是发现目标；第二个是过程的可控，对可控目标进行监控和管控；第三，是结果的检查。从安全事件的角度来看，我们就要做到事前、事中、事后的安全可控，事前尽量避免安全事件的发生，事中及时响应和消除安全事件可能带来的危害；第三，事后，对安全事件进行解决，之后进行总结，避免这类事件再次发生。

我们讲了我们的安全理念，那么我们运用什么样的产品和什么样的方案来实现对安全的可控，来保证用户业务系统的安全性呢？网御神州的整个产品研发策略都是紧紧的围绕着安全可控的理念进行的。网御神州的产品分为两大类，第一大类是硬件产品，覆盖了防病毒、安全网管、防火墙、入侵检测产品等等。网御神州另外一大产品是安全管理产品，包括网络行为的审计、终端服务器补丁系统、事件关联分析系统、网络设备情况检测系统等等。那么我们的安管系统不仅仅是只能进行安全状态管理的工具，它还是可以进行对行为监控的工具。这样就可以说，虽然各司其职，但却又环环相扣，来保证用户业务系统的安全。
:

下面介绍一下我们的新一代防火墙，通过细粒度的内容可控，实现对威胁、弱点和行为的检测和管控能力，这是针对用户的网络行为、针对协议的网络行为，针对数据流量离散特征的网络行为，用户的网络行为特征模型是通过访问目的地、频度、位置、时间、深度、偏好建立的一套完整的异常行为识别体系，通过这个技术可以准确的甄别出恶意访问行为。 :

宋斌 : 我们的防火墙主要是要对用户行为访问进行可控，同时它也收集用户的行为数据，对这些行为数据进行处理，另外对安管设备以及应用进行关联的分析，从中识别出异常的行为。

那么我们的安管产品主要包括三大部分。一个是我们的安全信息管理系统；第二个是安全网络监控系统；第三个是安全行为审计系统。安全信息管理系统是我们这套安管系统的核心，可以做到我们可控安全。
:

基于时间的我在这里举一个简单的例子，来演示一下我们的可控安全的实现过程。一个恶意攻击的用户，他通过一个正常的网络，把它的攻击隐藏在一个正常的网络访问中，访问到了防火墙的核心数据，这时候核心业务服务器把访问安全的行为给了安管系统，安管系统通过状态监控、状态分析、行为审计、风险评估，再加上用户的行为模型识别出这些恶意攻击，同时防火墙会实时阻断这些攻击，同时告警给公司安管人员。 :

宋斌 : 实现可控安全主要分为三个步骤。包括单点可控、局部可控，全面可控。点可控要具有网络边界的风险控制能力，安全域划分及防护，重点业务应用边界防护最后全面可控要实现强化行为可控措施，建立统一的安全管理平台，强化事件关联分析能力，完善以保障业务为目标的可控体系。

我的汇报就到这里，谢谢大家。 :

主持人 : 谢谢宋总，下面有请捷普公司副总经理张永斌给我们演讲，他的演讲题目是：服务器安全与防护。有请张总。

张永斌 : 各位专家、各位领导、各位来宾上午好。今天我可能跟前几位同行沟通的角度不一样，他们沟通的都是面的问题，而我选择的是一个点的问题。我今天的主题是服务器与安全防护。

我沟通的内容主要包括4个方面。第一，应用安全边界；第二，WEB应用系统安全防护的必要性；第三，WEB应用攻击分类；最后一点我想介绍一下捷普的解决方案。
张永斌 : 在进入正式主题之前我们先回顾一下网络安全边界的发展历程。过去从我们部署防火墙，到我们现在部署IPS UTM。那么我们现在在思考一个问题，我们建设这些的目标是什么？我想是两个层次，第一是保证我们的网络应用正常的运行；但更重要的是保护我们企业核心数据的安全。那么对于这个问题我们首先看两个安全事件。2007年8月世界最大的职业中介网站Monste.com为遭到了黑客攻击，黑客通过WEB服务器窃取了数据库中的注册的数百万求职者个人信息，并用恶意程序攻击其中160多万求职者的电脑，向他们勒索钱财。同年9月份网络股票交易商TD-AMER itrade公司遭到黑客攻击，有超过630万名客户的联络资料从数据库中被窃取走，造成的损失高达2200万美元。
我在这里面只写了两个典型案例，在07年也发现了很多类似的安全事件。那么我们会忽略我们的安全网络建设呢？我想这是我们在安全理念上的问题，就是我们往往认为网络的安全边界就等于应用的安全边界。这两年随着网络的快速发展和WEB应用不断成熟，越来越多的企业利用各种各样的数据系统，包括MIS系统、CRM系统以及我们的门户网站，根据调查我们目前大概有70%的攻击是基于WEB攻击进行的，而跟为严重的是，我们信息被窃取了，而我们丝毫没有察觉。

张永斌 : 这是我们一个典型内部网络建设的拓扑示意图，在网络出口处可能部署了一个防火墙对外部的攻击进行防御，在内部网络我们会有一个数据中心联合这些应用系统，这些应用系统一方面提供业务服务，另外也为我们的互联网用户提供服务。大家知道WEB访问我们的用户是通过浏览器访问WEB服务器，通过WEB服务器获取相关的后台信息，通过WEB服务器来实现信息录入。那么我们的WEB服务器安全防护被突破之后我们会出现什么问题？也就是我们各种各样的内部信息会曝光在攻击者面前。也就是说WEB服务器已成为应用系统的安全边界，如果这条安全边界被突破，那么我们的信息强会暴露在攻击者面前。
下面看一下WEB防护的必要性与自身的缺点。早期大家知道一些黑客攻击者的攻击目的并不是为了盈利，只是来炫耀自己的能力，而这两年越来越多的都存在着商业的目的。那么我们从WEB应用程序的安全性来看，它总体比较脆弱。在这一块应用程序领域缺少安全性，开发者往往忽视了最关键的一点就是对应用系统安全性考虑，攻击者可以利用他的一些漏洞获取系统明显的信息，对系统进行攻击。我们说WEB开发这个门槛相对比较低，进入这个领域的开发人员要求并不是很高。

张永斌 : 根据FBI调查表明，由“内部人士”而外来黑客所引起的安全事件高达总安全事件的70% ，然而目前很多企业在信息化建设中，内部安全建设重视不足，虽然在企业与互联网之间部署了防火墙、IPS等安全设备，投入了很大的资金，但是在企业内部各种服务器是直接暴露在内部网络的，暴露在所有内部用户面前，这使得各种应用服务器很容易遭到内部攻击和越权访问。
再看一下传统设备对WEB应用系统防护，一方面看一下它的工作原理，我们看一下防火墙，它的最基本原理就是对你的地址或者端口进行数据保温的过滤，有一个特点，它无法检测到应用层的攻击。那么再看一下IPS-IDS，由于它缺少协议完整性检测以及应用层的运行状态，导致了对于一些伪冒正常的请求特定攻击无法检测，比如SQL、CC攻击等。
传统的网络设备缺乏对用户身份和基于角色细粒度的授权管理，对威权访问方面的控制能力很差。同时我们在另一个角度来看一下，就是我们自身，我们往往为增强WEB应用系统的安全性，往往每个应用系统都会建立自己的认证系统，导致一个实际用户有多套用户名和口令的现象，造成用户帐号或密码遗忘现象时有发生，或者一套简单用户名和密码多个系统使用，造成口令过于简单、保密强度降低、用户身份管理混乱等问题。也为我们应用系统安全带来了很大的隐患。

张永斌 : 最后一点，大家都知道我们现在有各种WEB服务器和应用服务器的种类很多，包括开源的IS，包括j2ee的应用服务其，这对管理人员提出了很高的要求，如果我们对各种配置不当也会造成很大的安全隐患。那么WEB攻击已经成为了不可忽视的问题，也曾经了我们后续安全网络建设的重点。
首先看一下WEB攻击的分类，总体上可以分为三大类：输入攻击、授权和访问的攻击、可用性的攻击。下面我们看一下捷普针对这个问题提出的完整解决方案。先介绍一下服务器安全防护系统，它可以说是一种多技术的融合体，包括防火墙技术、VPN技术、检测管理技术、认证审计技术，通过不同的层次为用户提供全方位、多层次的防护。这是一个非常简单的系统防护图，可以看出安全网关实现了服务器系统和访问系统的隔离。下面我们看一下在产品设计上的主要思路，这可以归结为三点，第一点我们可以实现服务器网络与访问网络的隔离，建立服务器群组的物理安全域。从另外一点来讲，就是说，最简单的一点，我们建条防线，不要把我们的内容暴露在所有人、所有用户面前。第二，从网络层到应用层安全防范整体考虑，以便有效的对各种安全攻击进行防护，提高WEB应用系统的安全性。第三，根据用户信息身份进行授权管理。

张永斌 : 在网络层上我们有自己的防火墙模块以及抗DDS攻击模块，在几个层面上去抵挡网络层的攻击，在VPN层面上我们会保证我们数据的完整性，在网络层上我们有日志检测、授权管理等应用模块。
下面看一下对一个简单的应用请求的防护过程。首先用户发起一个请求，那么我们会对他的信息进行审核，如果通过之后我们就会进行更深层次的分析，分析这个请求是否合法，另外一方面会对他的内容进行深层次的检测，看这个请求是不是潜在着安全攻击，另外我们还会对他的行为进行检测，只有通过这些才能使请求进入到WEB服务器。
那么现在看一下，WEB服务器安全了？后面的数据是不是达到安全了呢？今天的主题是可信安全，那我们在部署当中有些层面还没有达到安全的部署，我们的服务器系统也在强调安全接入，我们虽然强调可信接入技术，最基本的也就是身份认证，通过了才能访问我们的资源。

张永斌 : 大家可以回忆一下，不管防火墙、IPS，我都是基于我IP地址的目的，进入到原端模块和我们的协议，而在这些产品设计上我们强调了面向资源的东西，对于应用系统来讲强调的是资源的安全性。
大家可以看一下这是一个授权的过程，我们可以授权这个用户对服务器A上的资源1进行访问，同时我们也可以授权这个用户对服务器B对资源2不能访问。
我们前面提到WEB攻击的三个分类，下面介绍一下对于攻击的检测，系统检测引擎根据IETE规范，对HTTP、HTTPS等协议进行完整性检查，对不符合协议规范的非法、恶意访问进行过滤。第二个方面，基于特征的攻击检测，我们这套系统建立了丰富的攻击特征库。我们可以看到对跨站脚本攻击、SQL注入攻击等都可以进行过滤。第三个攻击检测是基于访问行为的攻击检测，系统检测引擎建立了一套完整的基于会话的攻击检测规则，对用户的访问行为进行分析。
今天我向大家介绍了捷普对应用安全的一些应对措施，谢谢大家。

主持人 : 谢谢张总，刚才严所长在致辞中也说到，依靠特征码扫描的手段清除病毒的技术可能要失去它原有的地位，那么什么样的技术能够取得这个技术呢？下面就让我们有请著名信息安全专家刘旭先生为我们演讲。他的演讲题目是：反病毒之路将向何处去？

刘旭 : 各位专家，各位朋友大家好，我是刘旭，今天我演讲的题目是：反病毒之路将向何处去？
大家对病毒和防病毒应该都是非常熟悉了，在病毒出现10多年来，大家现在也广泛在应用防病毒产品，我想全国几乎绝大部分的用户都配备了杀毒软件，那么既然大家配备了杀毒软件，那么现在病毒的危害性是否有所下降？或者我能否成功遏制这样一些病毒呢？我们看一下现实的情况，首先我跟大家讲，目前病毒的危害情况是相当严峻的。
国家计算机病毒应急处理中心07年中国计算机病毒疫情调查技术分析报告中显示，我国计算机病毒感染率07年高达91.47%，也就是说10台计算机有9台以上的计算机被感染，是相当高的，而且实际上我们从这张图上可以看出，这张图是国家计算机病毒应急处理中心从2001年到2007年调查的一个曲线图，我们可以看出2007年是高居首位。

刘旭 : 病毒感染三次以上的用户数量达到53.64%。现在计算机病毒一个非常显著的特点就是病毒的数量急剧增加，也就是病毒泛滥。说话看一下国外的情况，在今年的3月20号，美国一家著名的媒体就发布了一篇文章，在这篇文章里面他采访的主要是国外的几家公司，其中一家是德国的防病毒测试实验室，根据它的统计可能新出现的病毒数可能大大超过大家的想象，根据他们的统计，去年新增的病毒超过550万种，这是06年的4倍，是05年的15倍。根据这家公司的统计，今年头两个月他们新发现的病毒数量就超过100万个。而在Qus（音）同一篇文章中还预测了一个数据，现在新增的病毒数量每小时是2000-3000种，这个数量是非常非常可怕的。这个预测图是从1985年开始统计的，可以看出1985年到2003年几乎是在同一水平线上，从04年这条线开始抬头，到06、07年我们看到这条线已经非常非常高了。

刘旭 : 据F-Secure介绍，现在每天都能收集到2.5万个左右的恶意软件样本，为历史最高水平，照此下去，各类病毒木马数将在08年底突破1000万。
我们再看一下卡巴斯基最近的预测，卡巴斯基07年总共发现了222万种新病毒，跟刚才德国那家公司相比的话少了一半，是06年的4倍，这跟德国这家公司是一样的，都说是4倍，根据他的分析师预测，08年新增病毒数将超过2000万种，这个数是07年的10倍，也就是说现在病毒数的增长要快于前几年。
我们应该来看一下几乎国际上绝大部分防病毒公司都有一致的看法，08年新增的病毒数量将超过1000万种。我们刚才说了病毒数量现在是急剧增加，那么为什么会急剧增加呢？那么我们下面介绍一下病毒的特点。
病毒的特点最关键的一点，为什么现在比原先大很多，而且还在快速增长，最主要的首要是病毒编写目的不同。以前的病毒是“损人不利己”的，现在的病毒的一个特点，现在绝大部分的病毒或者新出现的病毒大都是以“以盈利为主要目的”的。由于这样的目的不同，所以导致了病毒的特点有很大的不同。
那么我们来看一下一下现在病毒的第二个特点，叫病毒编写的组织化。以前病毒编写绝大部分是个人行为，现在越来越多的是团伙行为，甚至一些病毒是企业行为。那么我们来看一下，比如说大家熟知的木马软件，也可以把它归为病毒类，把它归为恶意程序类的话，实际上它就是非常典型的企业行为。

刘旭 : 那么另外一个特点，现在的病毒已经形成产业链。病毒上游可能会提供一些加壳工具、免杀工具，下游利用这些工具对病毒进行加工，以逃避杀毒软件的查杀；上游编写病毒，下游销售病毒。
另外病毒现在有一个非常突出的特点，叫多变种、小批量感染。为什么会这样呢？就是说以前的病毒编写者利用一种病毒感染所有计算机。但是采用这种方式一旦病毒被发现，杀毒软件升级后就可能全部被查杀掉，这样的话，病毒的生存能力就不是很强，而现在，病毒编写者为了避免编写的所有病毒被杀毒软件全部清除，采用不断变种病毒的方式进行感染。即使某些变种病毒被杀毒软件清除，仍然保持相当多的病毒不被清除。这样的话，杀毒软件可能发现其中一些变种，但是它有可能清除不完全。
变种要需要大量的人力物力，大家知道很著名的熊猫烧香病毒，它在短短的几个月里面编写了几百万个，投入了大量的人力物力，那么这样他们也意识到了这是一个很复杂的过程，所以现在他要进行对病毒编写自动化。以前病毒主要是手工编写，现在已经开始自动化，利用自动加壳机和自动免杀机自动生成。这样就能使得这个病毒有比较好的生存能力。我们国内某些网站被病毒感染，这个网站会每隔59分钟病毒就自动升级。也就是说你头59分钟用户访问这个网站的话，感染的是这个病毒，下一个59分钟感染的是另外一个病毒，之所以选择59分钟，病毒编辑者认为现在的杀毒软件升级再频繁，你升级的间隔至少在1个小时以上，而我相信现在还有很多杀毒软件厂商还没有达到一天24小时，那么这种他就能确保他的病毒不可能被全部清除。

刘旭 : 第六个特点，病毒数量呈几何级数增长。以前的病毒数量非常非常少，以前像06年一年只有几种病毒，后面就变成了几十种。大家使用杀毒软件，最早的时候杀毒软件厂商怎么说呢？要求用户说半年内必须升级，后面说你三个月必须升级，为什么？就是说在这个时间段里面病毒数量增加了很多，而现在要求用户是每天升级，主要原因就是病毒数量在急剧增加，数量太多。
另外一个特点，病毒的危害性更大，以前病毒主要是破坏计算机信息以及一些数据，那么你如果采取备份的方式就可以避免或者降低损失。那么现在是以商业兴为目的，比如说窃取商业秘密、金融财产、虚拟财产为主，这样直接造成的损失更大，而且这一旦遭受损失，就很难以挽回。以前说的是亡羊补牢，那么亡羊补牢的效果究竟有多少作用？这是一个很大的问题，因为就算你亡羊补牢你还是损失了一些东西。

刘旭 : 90年代初病毒都具有发作时期，而现在的病毒都不再这样。比如说计算机病毒之所以被称为病毒，是因为它与生物病毒有很多类似之处，它也有潜伏期，也有发作期。比如著名CIH病毒（1.2版本），发作日为每年4月26日，即使计算机被CIH感染，只要将计算机的时钟调过4月26日，病毒也不会发作，也就不会破坏用户的信息。再比如“黑色星期五”病毒，其发作日是十三号同时是星期五的日子。也就是说你跃过这个发作日，即使病毒在你的机器里面也不会发作。那么现在的病毒没有这种说法了，一旦被病毒感染，病毒将随时窃取用户的主要信息和财产，损失可能立即造成。比如说你采取的是QQ，机器里存在盗号木马，你刚一使用QQ，你的帐号就已经被盗了。
病毒现在有这么多特点，那么我们看一看作为主要防范病毒的工具，实际上就是杀毒软件，而我认为杀毒软件现在还面临着很大的尴尬。杀毒软件主要的特点是什么？它主要是利用病毒特征码发现病毒，而病毒的特征码是从病毒体里面提取出来的，比如防病毒发现了这是一个病毒，那就从病毒体里面提炼出几段或者一段代码，然后他就跟机器里面的文件做比对，发现相同的就是会报这是病毒。这就注定了杀毒软件只能发现反病毒公司已经收集到的病毒，对于未收集到的病毒没有防范能力。当前，病毒是呈几何级数的增长，因此在任何一个时刻，病毒软件不能防范病毒的数量非常多。
杀毒软件的尴尬最关键的一点，就是因为它的这种方式是滞后于病毒的，而病毒是在层出不穷的发展的，这已经成为了其致命的缺陷。我们刚才讲以Qus（音）来说，他每小时都要处理2000-3000个病毒，为什么？也就是你刚提供给用户，你就发现自己已经滞后于病毒了。

刘旭 : 下面介绍一下杀毒软件遏制病毒能力相对下降。另外是杀毒软件保护用户财产能力相对下降。我们说它保护财产的能力已经相对下降了，而现在发现病毒也越来越困难了。
因为现在有些病毒编写者会招聘一些高精尖专业技术人员，尤其现在杀病毒软件跟操作系统也有兼容性问题，所以通常情况下有很多病毒是不会被杀毒软件发现的。另外杀毒软件处理病毒的能力已经逼近当前电脑的极限，现在病毒库大概就要占到好几个G。
后面主要介绍主动防御技术，这已经成为了未来反病毒技术的主要方向。也就是说，杀毒软件主要是靠特征值来看的，那么我们能不能从他们的行为中察看到它是一个病毒呢？也就是说病毒分析人员可以分析出这是一个病毒，那能不能把它的识别做到自动化、智能化呢？我们认为是可以的。主动防御技术的三大判定原则，这不是具有监控程序动作就能成为主动防御，一如HIPS系统就不是主动防御技术，它只是动作报警器。主要防御技术作为下一代反病毒与其他反病毒技术一样，它必须对程序是否有病毒作出明确的结论。

刘旭 : 目前主动防御技术，我们公司发布了主动防御技术，到目前为止我们在网上已经测试了三年，对著名的熊猫烧香病毒，当然这个病毒感染的非常厉害，熊猫烧香病毒是2006年编写、传播的，而我们对它的防御非常好，而且能够熊猫烧香对我们的所有危害。
我们认为主动防御技术我们认为是未来防范计算机病毒的出路。我的讲话到此为止，谢谢大家。

主持人 : 感谢刘总，各位领导、各位来宾，下面我们就进入激动人心的颁奖时刻，本届大会评审委员会对信息安全领域内的企业评选出了一些奖项。

主持人 : 首先，我们颁发的是2008年度中国信息安全优秀方案类奖项：
AceNet Technology Inc.
2008年度中国信息安全制造业优秀解决方案奖
CP Secure Inc.
CSG系列产品
2008年度中国信息安全优秀安全信息系统建设奖
方正信息安全技术有限公司
国家无线电检测中心网络安全建设项目
2008年度中国信息安全政府行业优秀解决方案奖
网御神州科技(北京)有限公司
国家安全生产监督管理总局
2008年度中国信息安全优秀方案类奖项
AceNet Technology Inc.
CP Secure Inc.（CSG系列产品）
方正信息安全技术有限公司（国家无线电检测中心网络安全建设项目）
网御神州科技(北京)有限公司（国家安全生产监督管理总局）。

主持人 : 接下来，我们将要颁发的奖项是2008年度中国信息安全应用创新奖：
Blue Coat
网络安全和广域网加速
2008年度中国信息安全优秀咨询服务奖
2008年度中国信息安全技术创新奖
北京信安世纪科技有限公司
信安世纪NSAE应用安全网关
2008年度中国信息安全技术创新奖
华北工控
FW系列信息安全平台
2008年度中国信息安全技术创新奖
深圳市奥联科技有限公司
IBC密码体系创新
2008年度中国信息安全技术创新奖
西安安智科技有限公司
AngellPRO SDM 重要文档防扩散系统
2008年度中国信息安全技术创新奖
西安交大捷普网络科技有限公司
捷普服务器群组防护系统
2008年度中国信息安全应用创新奖
中国建设银行股份有限公司河南省分行
2008年度中国信息安全创新类奖项
Blue Coat（网络安全和广域网加速）
北京同有赛博安全科技有限公司
北京信安世纪科技有限公司（信安世纪NSAE应用安全网关）
华北工控（FW系列信息安全平台）
深圳市奥联科技有限公司（IBC密码体系创新）
西安安智科技有限公司（AngellPRO SDM 重要文档防扩散系统）
西安交大捷普网络科技有限公司（捷普服务器群组防护系统）
中国建设银行股份有限公司河南省分行。

主持人 : 接下来我们即将颁发的奖项是2008年度中国信息安全产品类奖项，2008年度中国信息安全优秀产品奖：
北京启明星辰信息技术有限公司
最佳web业务防御IPS产品
2008年度信息安全优秀产品奖
东软软件股份有限公司
东软NetEye网络流量分析与响应系统（NTARS)
2008年度中国信息安全优秀产品奖
方正信息安全技术有限公司
方正熊猫安全网关 PAGD 9500
2008年度中国信息安全优秀产品奖
思杰系统亚太有限公司
Citrix NetScaler 铂金版
2008年度中国信息安全优秀产品奖
上海颐东网络信息有限公司
英赛虎电子文档安全管理系统V2.0
2008年度中国信息安全优秀产品奖
世纪龙信息网络有限责任公司
21CN企业邮箱
2008年度中国信息安全优秀产品奖
西安交大捷普网络科技有限公司
防火墙 F4000系列
2008年度中国信息安全优秀产品奖
西安交大捷普网络科技有限公司
入侵检测系统（IDS N1000）
2008年度中国信息安全优秀产品奖
西安交大捷普网络科技有限公司
入侵防御（IPS-N1000）
2008年度中国信息安全优秀产品奖
侠诺科技股份有限公司
SSL002 企业级SSL/IPSec复合式VPN防火墙
2008年度中国信息安全产品类奖项
北京启明星辰信息技术有限公司（最佳web业务防御IPS产品）
东软软件股份有限公司（东软NetEye网络流量分析与响应系统（NTARS) ）
方正信息安全技术有限公司（方正熊猫安全网关 PAGD 9500 ）
思杰系统亚太有限公司（Citrix NetScaler 铂金版）
上海颐东网络信息有限公司（英赛虎电子文档安全管理系统V2.0）
世纪龙信息网络有限责任公司（21CN企业邮箱）
西安交大捷普网络科技有限公司（防火墙 F4000系列）
西安交大捷普网络科技有限公司（入侵检测系统（IDS N1000））
西安交大捷普网络科技有限公司（入侵防御（IPS-N1000））
侠诺科技股份有限公司（SSL002 企业级SSL/IPSec复合式VPN防火墙）。

主持人 : 接下来我们即将颁发的奖项是2008年度中国信息安全品牌类奖项，2008年度中国信息安全值得信赖品牌奖：
Secure Computing Corporation
2008年度中国信息安全值得信赖品牌奖
北京天融信网络安全技术有限公司
2008年度中国信息安全值得信赖品牌奖
东软软件股份有限公司
2008年度中国信息安全值得信赖品牌奖
网御神州科技(北京)有限公司
2008年度中国信息安全值得信赖品牌奖
西安交大捷普网络科技有限公司
2008年度中国信息安全值得信赖品牌奖
ArcSight
2008年度中国信息安全值得信赖品牌奖
北京国都兴业科技发展有限公司
2008年度中国信息安全值得信赖品牌奖
北京启明星辰信息技术有限公司
2008年度中国信息安全值得信赖品牌奖
北京天行网安信息技术有限责任公司
2008年度中国信息安全值得信赖品牌奖
北京信安世纪科技有限公司
2008年度中国信息安全值得信赖品牌奖
Entrust
2008年度中国信息安全值得信赖品牌奖
华北工控
2008年度中国信息安全值得信赖的安全服务品牌
绿盟科技
2008年度中国信息安全值得信赖品牌奖
联想网御科技（北京）有限公司
2008年度中国信息安全值得信赖品牌奖
深圳市奥联科技有限公司
2008年度中国信息安全值得信赖品牌奖
卫士通信息产业股份有限公司
2008年度中国信息安全值得信赖品牌奖
中国软件与技术服务股份有限公司
2008年度中国信息安全值得信赖品牌奖
傲盾DDOS防火墙
2008年度中国信息安全品牌类奖项
Secure Computing Corporation
北京天融信网络安全技术有限公司
东软软件股份有限公司
网御神州科技(北京)有限公司
西安交大捷普网络科技有限公司
ArcSight
北京国都兴业科技发展有限公司
北京启明星辰信息技术有限公司
北京天行网安信息技术有限责任公司
2008年度中国信息安全品牌类奖项
北京信安世纪科技有限公司
Entrust
华北工控
绿盟科技
联想网御科技（北京）有限公司
深圳市奥联科技有限公司
卫士通信息产业股份有限公司
中国软件与技术服务股份有限公司
傲盾DDOS防火墙。

主持人 : 恭喜以上获奖企业代表。最后我们要再次恭喜所有的获奖厂商，到此为止上午的议程马上就要结束了，今天上午我们既听到了宏观经济的分析，又听到了对产业的透视。2008年第九届中国信息安全大会上午议程就到此结束了，欢迎大家准时参加下午的大会，谢谢大家。

51CTO直播小组 : “2008年第九届中国信息安全大会”网络直播到此结束，请关注51CTO.com后续专题报道！