图文：McAfee北方区高级工程师陈纲演讲

图为：McAfee北方区高级工程师陈纲演讲 (骆磊 摄)
点击此处查看全部科技图片

　　新浪科技讯 12月21日2005年中国电信业网络与信息安全研讨会在北京举行。本次研讨会由信息产业部电信管理局、国家计算机网络应急技术处理协调中心、中国互联网协会主办，通信产业报社承办。

　　图为：McAfee北方区高级工程师陈纲演讲 (骆磊 摄)

　　以下为陈纲的发言实录：

    各位下午好，相信大家在刚才演讲中了解一部分McAfee东西，事实上McAfee在最近这几年中间一直以来做的更多的事情是全面安全解决方案，包括一些关于入侵防御和风险管理的内容。所以McAfee从现在来说将是一个全面的安全公司。

　　现在国内还是国外看到很多的用户在使用McAfee相关的东西，首先看 一些关于McAfee的介绍，现在McAfee和以前也不一样，以前大家看到是McAfeeNZI之下的品牌，作为我们核心做相应研究的团队，将继续成为我们技术核心。

　　今天会围绕几方面来讲，我们首先看到一些漏洞的描述，和相应的网络状况，这小组是几年分析的比对结果，通常当大家想到漏洞两个字的时候，可能想到几种解决方案，我们会一项一项看各自优点和缺点，最后McAfee会告诉大家哪个方案会有优势，或者什么形式结合会带来新型的管理模式，最后看一些McAfee成功案例，所有相关产品的用户不管国内国外都可以从这中间看到。现在面临的威胁越来越复杂，就病毒而言，越来越多通过邮件，或自行传播。在2003、2004两年内，AVERI小组推出标记中级高级威胁一共66个，这些病毒和蠕虫行为是大家熟知的，使你机器出现被关机或应用程序停掉了，事实上除了这些可能以外，剩下10%往往让大家最头疼的，这10%依赖系统漏洞，或网络中间的相关漏洞而出现的所谓蠕虫，对于这部分的攻击来说，或这部分的蠕虫行为来讲，最终带来的是采用传统黑客攻击的手法入侵计算机和相应的网络，并且获得相应的控制权限，基本上在这个环境中间会面临最大的威胁来源于这10%，根据AVERI小组统计40%损失由这10%蠕虫带来的，这些都是让大家很头疼的问题。

　　刚才大家一直谈一个问题，现在蠕虫攻击和各种各样的问题，响应的问题，爆发的时间越来越短，从最初长达288天的病毒，到现在从发现到全球造成损失的时间已经低于两天，对于这样的时间差来讲，很多管理员不管电信类还是SP，或者网站管理员都很难有效控制这些威胁，能够进一步抵挡它，可以保护自己安全的资产。正因为有这样的问题，才会不断有各种各样的安全技术延伸出来，几乎主流的安全技术都跟漏洞和弱点有关系，最传统的想到一点发现弱点我们需要做什么？

　　对于McAfee来讲会提出新型的方式，谈到IPS大家都有一个概念，它跟IDS很像，的确IPS的词和定义正是来源于IDS的定义，针对IDS和IPS不同，我们会提出一个类似于架构为主的核心，从而提供高性能支撑，保证所有运营商级别企业网络可以得到很好的保障，同时为了避免相应出现的误判和漏判，会提出所谓协议分析的概念，会做深层协议分析和分包检测，保证我们逮到每一个攻击是事实的攻击而不是假冒的对象，针对现在很多运营商可能出现的

　　面对网络的复杂我们很难定义一个边界在哪儿，我们利用防火墙隔离的时候很难找到一个好的地方，这时候可以找一个虚拟边界技术划分，对特定的网络段，或制定的范围做出相应的ACL的控制，可以对不同LAN做出边界控制的要求，从而划分成一个最小的单元，也可以考虑对于很多计费的主机或对外提供都可以划在不同的LAN里面考虑。

　　作为IPS核心是网络和主机两方面的结合，McAfee在整个IPS技术除了网络以外，在主机方面也会帮助用户得到全面的保护，因为Entercept针对是网络环境，这可以针对一些重要的服务器可以实现对设备的防御，结合刚才说的网络防御的手段，加上Entercept主机防御可以做到全面的防御。我们阻挡一个攻击也是要考虑用户的范围，当一个网络特别大往往成本很高，我们很难确定什么位置部署可以节省成本。另外阻挡效果怎么样？取决管理员策略配置，只有做好相关配置才能做好，这都是大家面临的问题。对于McAfee来讲，我们更多的建议是考虑前面所说的这些问题，应当采用一些特殊的技术手段判断出网络中间什么是最主要的，什么区域是你值得投资和防御的位置，因此我们称为漏洞管理，或者风险管理的措施，利用风险管理和漏洞管理的行为，帮助用户找到你的核心资产面临非常严重的威胁，如果进行相关的控制，找到在整个漏洞管理和风险管理过程中，最危机的部分。从而决定你的投资！决定你防御对象和过滤对象所在。

　　传统意义上风险等式都看到过，对于资产漏洞和威胁都有各自对象存在，如果抛开整个风险管理，针对每一个个体也有防御措施，这些防御措施单个利用也会帮助我们达到防御效果，但是没有一个可以融合在一起看待，正是这样的原因，如果只是单一的产品部署，或者跟一个能够实施漏洞管理体系的企业莱比，效果往往会有很大的差别，这样的差别既然存在，我们自然需要考虑找到一个切实可行的漏洞管理措施，或者漏洞管理方案帮助我们做出相应的控制。在漏洞管理的过程中通常面临的问题，或者整个过程中间可能分了一些步骤，最容易出现的问题，往往是出现在如何指定相应的人员进行漏洞管理，如何指定相应的人员做漏洞的修补，以及如何校验这些问题在你网络中存在多长时间，由于这些问题存在，会帮助用户做好全面的管理，我们需要一个工具帮助大家，在发现问题以后指定给具体的人员做，我们也希望有一个可以非常直观和清晰的了解，这事情进展如何，我们作为主管来讲，希望到实施了效果如何，有没有满足企业的要求，正因为有相应问题存在，才能帮助大家在多方面做出完整的控制和保护。针对整个漏洞管理生命周期，相信大家在很多的安全标准中间看到类似的技术和经验，只有企业制定你的管理要求才能做出更好的控制，McAfee的管理漏洞意义在于帮助用户找出网络管理漏洞资产，并且计算出你的风险值，从而帮助运营商找到网络中间值得投资的方位，利用相应的管理人员，技术人员对发现的问题进行弥补，应用现有的技术或者采购新的技术方案对它进行弥补和控制，从而达到全面的漏洞管理和风险管理。单一的漏洞管理是非常低效的技术也是非常被动的技术，只有厂商发布了漏洞相应的补丁才能进行相关的保护，由于它的相关问题，自然而然像刚才说的，可能结合一些高效的方法，例如漏洞管理，也可能利用刚才说的入侵防御技术，从而实现主动的保护，结合这三者才是真正高效的解决方案，利用漏洞管理、风险管理，帮助运营商发现网络中真正需要投资的对象，利用相应主动防御技术帮助在大的方面解决相应的问题，同时利用相应的技术进行相关漏洞的保护，从而实现对各种补丁的控制，Foundstone漏洞管理系统找到不同业务单元出现的问题，并且告诉大家找出相应的问题，最终的意义在于我们能够让工作人员可以介入到相关漏洞管理中间，可以做出相应的控制，同时对做的每一个事情有各自对应的分值和数字可查。

　　结合这三者形成一个完整的漏洞消除、和补丁以及阻拦，作为任何投资来讲，也不可能保证风险完全是零，所以需要不断完成这个过程，保护你对应的资产。McAfee不论在电信行业还是其他的国内知名的企业中都有良好的客户群，可以看到国内外运营商对McAfee产品的应用。

　　今天关于McAfee的内容就到这里，谢谢大家！