图文：赛门铁克公司大中华区技术总监王岳忠

图为：赛门铁克公司大中华区技术总监王岳忠演讲 (骆磊 摄)
点击此处查看全部科技图片

　　新浪科技讯 12月21日2005年中国电信业网络与信息安全研讨会在北京举行。本次研讨会由信息产业部电信管理局、国家计算机网络应急技术处理协调中心、中国互联网协会主办，通信产业报社承办。

　　图为：赛门铁克公司大中华区技术总监王岳忠演讲 (骆磊 摄)

　　以下为王岳忠的发言实录：女士们、先生们下午好，我这里介绍一下利用早期预警可以提升企业和网络里固定安全产品。今天的内容第一个谈一下网络威胁现况，有一些是赛门铁克早期预警系统，以及技术应用与解决方案，最后有一个总结。

　　网络上面攻击事件是不是发生得很频繁，这是我们做的统计资料，目前平均在网络上发生57个网络攻击事件，单一的

　　这些攻击另外一个很大的问题就是因为有安全的漏洞，早上各位看到方主任统计的资料，其实安全漏洞数量大幅度增加，今年统计了一下，包括硬件和软件厂商都有一些漏洞，今年上半年统计发现1862个新漏洞，平均一天会发现10个安全性漏洞。比如昨天发现十个新的安全漏洞，哪些漏洞在各位的环境里是有影响的，这影响大不大？要如何修补，这些都是一个很大的挑战，为什么这些蠕虫、病毒这么有效短时间造成这么大灾害，目前采用都是漏洞攻击的手法，可以自动在网络上找寻漏洞，只要许多修补好的系统很容易遭受攻击。

　　从漏洞公布出来，目前有一些人会公布出来有问题，从漏洞被公布出来到实际利用一个攻击程序，平均只有6天，当一个新的漏洞被公布之后，如果6天没有补起来，在互联网上可以有攻击的方向。目前修补程序作为厂商来说平均要54天。漏洞公布6天之内攻击者准备攻击了，对于厂商来说还需要50天左右才可以推出补丁程序，这其中的期间是非常可怕的，这过程中系统几乎没有任何防范的能力。我们看到很多感染情况，常说道高一尺、魔高一丈，目前感染扩散的速度，作为安全厂商如果还是很被动的，如果一个病人被人发现了，厂商写出病毒样本，再发给所有用户，希望借助少数人的牺牲换取大多数人的安全，这现象几乎不存在了，目前大规模爆发的病毒，几乎没有一家企业可以逃过攻击，因为扩散速度太快了，现在一些从攻击到结束只花10分钟，如果厂商还是用被动的方法，必须等待一个攻击被发现，必须一个攻击被收到之后才能写出特征和代码是绝对来不及的，现在所有厂商的科技有自动化的，每一家厂商都有自动化的方式快速帮各位更新，这速度再怎么快的上限也是几个小时，这已经算很好了，目前的攻击可能几分钟就结束了所以这有一个很大的问题，一旦攻击成功就是很大营运上的损失，如果还是传统的方式，希望别人受害让我有足够的响应时间修补起来是做不到的，目前的缺失，因为大量快速散步的蠕虫，而且蠕虫造成非常大的威胁。事实上这些对于攻击者来说是非常好的教材跟典范，只要未来的攻击是用这些方式和手法发展，其实下一次攻击还是很有效的，所以未来的蠕虫情况只会更糟糕。现在安全产品多半是用来做修复的事后工具，必须依靠事后拿到特征和定义及想办法找出网上哪一些系统造成攻击。

　　要想办法清除修补回来，如果希望攻击来临前做有效的防御必须能回答这些问题。针对电信行业，特别中国电信行业有哪些国家和地区在对我们发动攻击，哪怕对数据库或网站威胁比较大，微软经常会发布一些安全性漏洞，发布的漏洞危险多大，微软会一口气发布很多明显的漏洞，哪些比较明显，哪些需要修复，这些资料如果愿意可以花时间在网上花一些时间搜寻都可以找到，如果要找的话点太多了，必须要通过不同的方式收集片面的资料来判断攻击来自何方，所以事实上做了统计，大概每天要花2.1小时到各个公司的站点寻找有没有新的漏洞和新的威胁以及新的攻击，再想办法找出新的防范，如果你花这么多时间搜寻，你本身真正做提升防御来讲，占了一天8个工作小时的2个多小时是搜寻资料。

　　孙子兵法有云：知己知彼百战不殆，不知彼而知己一胜一负，不知彼不知己每战必败。现在一般是不知彼知己，攻防来讲，有时候看见这攻击有可能挡不住，可能输掉一场，我们希望提升到知己知彼，才能把胜负概率提升到比较高一些。什么是早期预警，厂商提供这么多漏洞，能不能做准确的分析量化的处理，你了解的漏洞跟实际做一些修补来讲中间是有一个时间差，因为你不知道这个漏洞有多危险，一个漏洞被公布出来，到被有人利用之前并不是一个真正的威胁，但是一旦有人利用，原来可能是等级很低，小的漏洞风险性会提得很高，这是目前赛门铁克可以做到，因为要做这样的判断和分析，必须要有非常大的数据量。

    赛门铁克在全球超过180个国家有超过2万合作伙伴，在他们系统上防火墙信息和IDS记录都会记录下来。另外在全球有1亿个防病毒的系统送上来。这会在赛门铁克数据库做一个交叉比对，在数据库里面已经记录超过90亿次事件，和超过8千万个攻击IP地址，最后通过专家分析和调查之后，有办法准确预测和分析出来下一步攻击会来自何方。第一个做告警的服务，虚家厂商会告诉系统和应用软件发生一个新的漏洞，如果你的资源只能有效修补一到两个漏洞，现在一口气告诉你十个漏洞，你怎么挑影响最高的，所有漏洞由赛门铁克帮你进一步分析，所以可以根据他的方式，我们利用一个综合的评段给一个分数。

    因为有这么多产品和复杂性，在整个架构的做法，比如我是数据管理圆，今天发生在DB2或别的新漏洞来讲我没有新的兴趣，所以也有不同的版本，这所谓的报警可以定制到用的什么样系统什么样软件，什么样版本，只有跟你相关的漏洞才告诉你，其他一天平均10个漏洞里面如果没有跟我相关的，我就不需要花时间去产品的网站上看看厂商有没有公布新的风险和漏洞，可以在运用上发现只有跟你相关的漏洞资料送给你，如果跟你没有太大关系就不要太担心。

　　另外我们有能力实时在互联网上看到情况，有一些IP地址是目前在互联网上攻击别人IP位置，所有放火墙给你一个黑名单的能力，大部分企业不晓得该拦谁，因为攻击随时都在变换，其实这个资料要自己找是几乎做不到的，赛门铁克搜集全球实时的资料，可以很快告诉你，目前在互联网上哪些IP主动攻击行为，把哪些IP放在黑名单里面，你只要放在黑名单里面，他的任何攻击对你是无效的，防火墙会告诉哪些通信薄在遭受攻击量比较大的，这是不是在公司防火墙里开启，如果开启是哪个应用软件造成开启，这风险比较高的，所以要优先提升防范等级。

　　我们做法是会做一些统计，在互联网上存储超出异常，就发出一个报警，针对某个应用软件有大量的信息量，这通常是一个前兆，可能有人发动攻击了，因为大部分攻击者也不是神，他们也会找一个小的区域测试写出来的攻击码是不是有效的，有效之后再做一个修正，事后大量散步出来，如果这攻击在你企业里被侦测到，如果他在欧洲做测试可能中国的电信企业没有发现有什么攻击要来临了，现在通过全球性侦测，有效提早告知。另外还有很多的数据，有数据就要分析成有效的信息，比如可以分析电信行业里面，过去30天里面在哪类上攻击数量最多，或者针对中国电信网络来说，如果攻击来自美国大概有多少量，因为没有足够数据量判断，这样判断可以帮你知道什么地方要花更多的资源是一个有利的参考。在2004年4月13号当天微软发布了20项漏洞，我们就把危险等级往上提了一级，到了4月15号的时候，在网络上找到有人写出来可能攻击手法的范例供大家参考，这时候再一次提升了警告，我们已经觉得越来越有机会人们开始攻击了，到4月20号再次提升预警，原来只是漏洞，现在已经找到攻击程序了，这不再是一个漏洞，已经变成一个真正的威胁，到4月29号看到攻击行动，又再次发布，到了5月1号整个攻击正式展开，实际上从利用漏洞到攻击只有20几天，中间非常短的时间，按传统说法所有人挡不住措手不及的，如果有一个比较好的早期预警，它的攻击事先是有征兆。

　　攻击要来了怎么办？孙子兵法告诉我们，无持其不来，持吾有以持之，无持其不攻，持吾有所不可持。目前很多很被动，一定要攻击写出来才能办法阻止，在互联网上来讲，所有的通信协议是有标准的，如果知道标准是什么？只要不符合标准就挡下来，这是很好的关联，但是互联网上协议是一个建议值，最好照做，如果没有照做也没有强制性，这功能很多产品都有，但是这功能一旦打开，误报率太高，很多应用软件并没有完全尊重这个规范写。但这东西如果搭配早期预警的时候，平常这功能做记录不做真正拦阻的动作，如果早期预警告诉你网络危险等级提高，就可以把只是做记录行为做拦阻，等到厂商给你病毒定义码和攻击特征码之后，你再调回原来的等级，这方法有点搭飞机一样，你带行李，平常不是太满你多带一点航空公司不是太计较，但是到春节探亲的时候，你行李超大就一定请你托运。上个月份我国到北京刚好遇到布什来访，所以安检就很高，因为当你风险性提高，自然会提高相对应的防护措施。

　　漏洞实际上对攻击者是很好的工具，我们希望如果还是等着攻击程序写出来，再开发一样来不及，如果这样下一次发现的时候，结果会跟今天一样，所有人应声而倒，所以如果微软公布一个新的漏洞，实际情况大部分企业不可能有那么高的效率全部打起补丁。但是对攻击者来说，一个漏洞出来之后6天就有人写出攻击程序释放出来，等到厂商收集攻击码之后，对所有企业已经来不及了，这是以往的情形，现在观念是说，围绕这个漏洞，厂商根据漏洞写出所谓的特征，因为既然要利用这个漏洞，你程序里面要符合这个漏洞，就好像钥匙把锁打开，中间有一段钥匙要符合的，所以里面要有符合的东西，厂商就可以档下来，这种方法产品防御本身，不管入侵检测还是病毒检测，都可以挡掉了。这个观念也不难，难在对厂商来说一天十个新的漏洞，如果每天都要写怎么来得及，怎么写得出来。既然早期预警可以发现哪个漏洞最大，厂商本身就知道应该针对哪些风险先写出所谓的特征来做有效的拦住。这是厂商可以利用早期预警提升的效能的。

　　另外一个什么软件什么时候装的，有一些是员工从网上下载，我们平常只是记录一下，这软件什么时候装的，来源是什么？平常只做记录，一旦到了今天互联网上风险高的时候，就要把开关打开，只要过去72小时从互联网上下载的软件全部不准运行，因为可能过去72小时有用户不小心下载的攻击程序所以只要来源互联网，运行时间不超过72小时的软件全部禁止使用，平常用的不管电子邮件系统，还是其他系统并不符合拦阻的条件仍可以运行，等到厂商找出定义码，或特征可以把这个功能关掉，这时候表示这个攻击即使进来以目前的防御系统可以有效检测。

　　因为既然做安全，没有100%安全，还是希望整个业务领域不要中断，有这么多不同种类的威胁，一旦发生事情的时候，在最有效时间，最短时间让业务恢复，赛门铁克跟维尔卡斯合并以后业务不是完全吻合的，但是这是一个很好的解决方案，早期可以发现一些可能的攻击，既然厂商已经根据漏洞的特征给了你特征码，原来系统有做备份是不是应该把备份频率增加，原来是一个礼拜做一个备份，现在是不是应该改政每天做一次备份。同时既然知道威胁来自哪里要检查内部系统哪里有漏洞，要补起来，这样把赛门铁克和维尔卡斯做一个综合的管理。

　　做一个总结，今天上午方主任说，早期预警绝对不是万能的，我同意，但是网络安全没有单一的产品单一的技术是万能的，必须要搭配使用才能发挥功效，早期预警的好处就是针对目前产品可以做很有效的提升，可以达成业务的连续性，排定资源的优先运用等级，采取持续的行动。

　　我们常说天有不测风云，目前来说不是这样，比如去年12月26号南亚发生