互联网协会举办网络安全主题沙龙(2)

　　主持人：今天第一个问题讨论差不多了，今天我看了有四页问题，问题不少，我把问题归类，作为网站服务商，我们如何处理服务器攻击问题。

图为绿盟代表

　　观众：先讲它一个流行的背景，我先用简单的几个数据讲一下目前互联网的服务公约情况，第一个是运营商经常遇到4到5个G的流量。应对服务器攻击一个是通过流量清洗方式，还有一种方法我们叫避让式策略，通过流量分布达到回避攻击的效果。

　　下一页有个问题，关于SYN/UDP等供给问题，实际对于攻击源的确定不是主要关注的问题，我们要关注的是哪些IP被攻击了，这样我们可以进行流量牵引，像UDP攻击源不会是欺诈的IP地址，这样基本可以确定攻击源，有一些攻击，像spoof攻击，用欺诈方式攻击，这样你即便确定攻击源，实际攻击源非常分散，对于你真正防护没有太大意义。我再讲一下网站如何防范CC类攻击，这是典型的网站攻击，目前比较好的手段也都是通过流量清洗的方式来把攻击清洗掉。

　　主持人：今天有新浪、搜狐的朋友，我相信大家有很多问题可以分享。

图为新浪周琛

　　观众：我是新浪的，刚才你提到攻击源，你说攻击源不太重要，当时我们有一次是超出了流量，而且是持续性的，那次代价非常大，最后依靠法律手段解决问题了，如果不这样做是持续攻击，非常难受。

　　主持人：你找到攻击者了？

　　观众：很侥幸的找到了。

　　主持人：你发现攻击源是什么？

　　观众：有家庭的，还有被控制的服务器，很多。

　　主持人：说到服务器攻击，从我们日常工作来看也很头疼，很多部门找到我们要求我们协助，有时候处理不来，你会发现攻击源上万个，处理不完，我们也开了一次会，请了公安部、信息产业部官员，也请了受害网站，一起来讨论如何应对，不同角度有不同的想法，但是结果也不是很有效，信息产业部希望及时报警，并且进行举证，但是我们发现查起来很难，运营商能做的事情就是把网络带宽调高，但是如果攻击量超过了那么就只有把你关掉去保护别人，运营商认为我是为所有人服务，不是为某一些人服务。从我们来讲，不论是关闭受害用户也好，这些都不是非常好的办法，为什么呢？因为攻击流量总会增长变化，今天可能100M，明天可能5G、10G，这次攻击后可能会有更高容量过来，没有办法，不管你提供多少成本，平时没有攻击也是在闲置资源，解决用户攻击有很多方面，包括找到攻击者进行处罚，另外让运营商能够将攻击源关掉。

　　观众：我澄清一下我刚才的观点，我刚才讲追查源是没有太多意义，这是从纯技术角度说，对于我们怎么追究攻击发起者的法律责任问题，实际上我们的产品，这实际是电子取证的问题，我们也做到这一点。另外你说攻击流量把带宽打满了，这说明什么呢？现在国内很多IPC在网络安全建设方面有很大欠缺，我想一方面我们要通过完善法律体系，通过加强用户者、受害者的法律意识，通过法律手段进行自身权益的维护，还有一方面也不可避免的要用一些流量清洗的安全技术手段，就像你家里除了安防盗门，另外被偷后还要保护现场、去报警，这两方面都要注意到。另外AIP欺诈问题，这在很多企业的内网存在，内网一旦有这种病毒发作会严重影响网络，网络会一会儿通一会儿断，这个防范目前还是应该有办法解决的，通过流量复杂手段复杂哪些地址异常，像思科路由器已经可以支持输出二层信息了，只要运行一个命令后，可能把二层信息输出出来，然后分析信息很快可以发现AIP的情况。

图为腾讯季昕华

　　观众：AIP这一块本身可以防止，带有这种功能，但是比较贵，目前国内企业来说有个性价比问题。

　　观众：我刚才不是说打开欺诈防护功能，是加一个检测设备，利用流量检测技术检测到AIP欺诈的情况。

　　观众：我补充一个案例，如果导致路由器中断，如何解决这个问题？对于两三G内，我们通过清洗。遇到紧急流量有没有好的方法？

　　观众：道高一尺魔到一丈，这是不断循环上升的过程，对于用CDN这种方式做避让防护措施，我个人觉得也不一定十分可取，你现在采用避让，他可以攻击没有采用避让的网站，一样可以把带宽打满，如果退让到不可退让时，所有网站都采用CDN方式，那么成本也是承担不起的。我个人认为，除了技术手段外，还要通过法律手段，实际上这是一个公共权利，需要政府，政府职能是维护公共权利，现在大的流量攻击没有人来管，或者没有有效防护，显然是政府在某些工作方面缺位的。

　　主持人：政府其实也没有办法，确实是立法跟不上时代发展，尤其是跟不上信息产业的发展，没有办法。今天来的还有其他运营厂商，不知道其他运营厂商有没有高见？

图为音联动讯屈植

　　观众：这里面提到CC类攻击，这比较多，是用比较小的资源来攻击带宽比较大的服务器，对于这类是需要大家一起来做，从技术手段、法律手段来解决问题，不是政府厂商的问题，我有个想法，可能不太成熟，要解决这个问题最根本是要找到攻击源头，从以前事件可以分析，可以用监控软件，另外是政府控制的服务器，还有是自由的服务器，目前很多IP都是动态的，如果要采用一对一的来控制源头不太有效，我想是不是有一种手段来监控来源，然后实时进行查询，对于每个IP做个细致记录，比如我要买房子，可以查询你的信誉。以前曾经有个厂商想去实现它，但是实施性比较差，因为监管时间只有七天，所以我们要有手段，通过实时动态的跟踪IP，然后反映实时行为，这也包括互联网协会，也包括国内外联合建立一套基础设施，共同维护网络安全。目前我们也在做基础研究工作，如果在座的与我有一样的想法也可以一起来做。

　　主持人：我也说说我们中心在做的事情，最近我通过自己的密码系统捕获了非常多的代码，这都是自动扩散的，我们就跟踪，看它干什么，能够知道这些被黑客控制的要干什么，可以看到黑客发了什么命令，比如下载恶意代码，命令受控计算机发邮件，目前我们研究成果是可以发现我们所监控的大概有数千个，并且可以知道它在攻击什么，并且可以定位他在哪个城市，我们也会通知受攻击的用户，如果是新浪的，我们就告诉你你现在遭到攻击了，原因是什么，是什么什么网络攻击你，更重要一步是处理它，让它停下来，就是把控制的服务器从黑客手中夺回来，这个事情我们怎么做呢？目前黑客免费注册一个域名，然后指向一个服务器，再换域名指向，那么我们可以申请新浪把这个域名取消，但是新浪有顾虑，因为他是一个用户，但是如果用虚假的身份注册域名，那么有权利取消，我们可以靠这个法令来做这个事情。另外诈骗、色情、广告等非法信息的封堵问题，我们经常接到电话，说你们这个网页带有色情、诈骗，希望你们停了，服务商会说我技术上可以做，但是我做了后用户告我怎么办，我们讨论这个问题。

　　观众：这方面完全有法律规定的，你作为运营主体完全有权利停掉。最明确的法律规定是体现在信息网络条例上，主要归置的是版权侵权问题，一旦网站存在侵权问题，你作为权利人，你运营商可以有初步的证据就可以停掉它。这有司法解释，互联网安全条例，但是没有具体的针对色情、欺诈方面运营的问题。

　　就像刚才我说的虚拟财产问题，都没有细则规定，法律往往用宏观的基本原则来调控。

　　主持人：比如公安给我打电话，你这个网站上有个网页被人放病毒了，你要把这个网页删了，这时候一个电话给我行不行？或者给我一个文件来确定我没有责任了。

　　观众：这样肯定不行，这叫权利通知，你要有初步证据证明对方有侵权责任，你是版权人，对方侵权，你要保存好证据，并且传给服务商，这时候才能确定确实侵权了。

　　观众：诈骗分为两种，主动和被动诈骗。比如偏远山区有个网站被入侵，别人利用它做坏事，然后打电话让他删了，但是因为很困难，一个月没有删掉。

　　观众：有两种情况，你找不到侵权者，另外是你找到侵权者发现问题，你刚才讲的偏远山区问题，如果你通知他他不删，这是他的责任，这有明确规定的，如果不删是服务商的。

　　观众：如果入侵那么没有责任吗？

　　观众：如果他知道了，那么是共同侵权，如果你不知道你被别人利用了，那么你没有责任，但是我已经告诉你了，你已经侵犯了我的权利，这时候你已经知道了，如果你还继续这样做那还是有责任的。

　　观众：因为我们都做技术的，法律不是特别了解的，但是我觉得法律这方面要加强是毫无疑问的，对于安全即是产业，对于安全运营商肯定会注意，并且要有一定的公益性质，安全厂商如果有这方面技术，可以配合做这方面工作。安全厂商尽快把这方面知识也要做共享，每个人既把安全当产业，又把它作为公益事业，这样对于解决大的环境问题会有帮助。我做个比喻，比如DDOS问题，有点像北京交通问题，你不可能无限制扩路，你既要有一定的投入，也要有一定的牺牲精神。

　　主持人：刚才说了处理网站不良信息责任问题，最近我们处理时发现国内一些大网站被黑客挂满了，我想网站信息供应商是不是也承担一定的社会责任义务，比如你是为公众提供信息服务，公众为了享受服务必定访问你的网站，从这角度讲网站信息供应商也会承担责任，那么网站供应商要承担一定的义务责任。网站安全多数都是由于网站数据库、脚本不安全作为的，今天刚好有几个话题是提到网页脚本安全问题，下面我们谈这方面的话题，如何保障脚本安全。

　　观众：网络脚本这一块，前面提到虚拟货币这个问题，运营商有责任加强这方面的安全性，对于我们运营商这一块也提供了很大的服务，我们也做到目前现有公开标准所能允许的所有情况，基本都过滤了，这方面我们投入了非常大的精力。

　　主持人：新浪论坛有一些有链接，但是有病毒，你指的是这个吗？

图为冠群金辰郑林

　　观众：像博客，会在博客正文中间插入传染性的病毒，相当于网页木马，国内同行这一年时间改正比较大的，大量缺陷被弥补，但是依然存在未知的情况，这跟杀毒软件一样，应该说网站也尽了全力在改善这个情况，联想到虚拟货币这一块，应该说我们自身也做了很多努力，大家集思广益一下，把自己新的发现共享出来，能够更好的改善这个问题，这可能是比较重要的。

　　主持人：在座有信息提供商，很多小网站有这样的问题，经常被人放木马，这方面有没有好的建议，既省力又可靠的，有没有这方面的经验介绍？

　　观众：对于安全我们有几个观点，第一是架构上进行了更改，禁止IP直联。我们对用户上传文件进行检查过滤，另外我们会限制用户引用别人资源，保证系统安全。

　　主持人：我想搞网站，每次信息一发布，过一下没有问题就放上去。

　　观众：我们主要为互联网服务的，如果大家有需要可以与我进一步深入沟通交流。

　　观众：涉及到第三方资源方面，我们现在也有个策略，我们会对博客这些资源比较开放的系统进行扫描，把重任放在第三方杀毒厂商身上，与国内病毒厂商有良好的沟通机制，我们会把每天新增的内容进行扫描，这样可以减少一些风险。

　　观众：刚才说国外有几种做安全检查的厂商，但是对脚本安全方面还不清楚。

　　观众：我说两句个人意见，因为大家都是服务供应商，自己提供的代码被别人利用了，我们有两个问题可以做，首先与用户交互的程序员有直接责任，如果不懂有安全编码这一块，那么必须有懂的人帮他们做这个事情，做一些所谓安全套件来做过滤以及权限查询问题。再有是引入代码安全培训，还有是把代码安全审计放入到测试人员身上，测试人员可以做很多测试，在测试中引入安全检查也是行之有效的方法，现在比较有效的是做一个套间，把过滤的脚本放到前端。

　　主持人：这方面还有没有人发表意见？

　　观众：大家好，我看大家很关注脚本这一块，而且大家的目标似乎都集中在客户端脚本，很多人其实没有想到过，之前讨论得很多问题，像服务器攻击、盗号，前一段时间我有个朋友，他为国内大型运营商进行了测试，发现十之八九都存在跨站问题，最根本也是个人安全问题，个人安全意识如果没有得到提高，对网络来说是颠覆性的，因为我们上网巨大群体还是个人这一块，这直接关系到各个运营商，运营商提供服务如何限制的问题。

图为启明星辰副总工吴海民

　　我在我们公司做测试这一块，我曾经对某一个网站进行了测试，他们有二十多个子站，全部存在跨站问题，有几个还存在脚本问题，发现他们都存在跨链问题他们很惊讶，问我有没有解决方案，就我来说几乎不可能，除非两点，一个是你的网站没有任何数据输入，另外控制用户的输入，允许用户输入知道的了解的安全字符。跨连出现了，大家会去过滤十个、百个，可能还有一千个需要你过滤。

　　观众：你说一个是限制允许的问题，这到了产品那边去了，对于服务提供商而言，有一些特性不是完全由开发人员完全控制的，有可能是产品层面的问题。我的看法是希望公司上班的人员，或者喜欢黑客技术的人员也好，安全公司人员也好，可能是共同协作的过程，尽量挖掘出恶意手法。

　　观众：还有一个解决方法，就是安全周期问题，人力、财力、物力投入都比较大，存在安全问题，这是现状，但是完全在开发过程中把安全加入到里面，从现在来看也没有哪个网站愿意做这个事情。

　　观众：我觉得网站安全问题毕竟还是要依赖于专业的安全厂商来参与，其实这是个专业分工非常明细的工作，如果你要求所有的网站开发商十分熟悉安全问题，这是根本不可能做到的。比如像某个公司，也不是说所有人都很熟悉安全问题，我们有专业人员，研究甚至网上没有出现的攻击手段。比如我们研究部对于IPS有可能产生的漏洞、攻击手段、防护措施，专业人员已经开始做了超前工作，如果我们要想在安全方面做的好，那肯定要有专业人员协助参与。

　　主持人：下面三个问题是入侵防护问题，大家就这方面问题发表自己的见解。

　　观众(搜狐)：我提这个问题目的是前面提到了，就是脚本安全问题，如果很难控制它，有这个漏洞，那么我如何避免把它放大，特别是第三点，比如WINDOWS被入侵，数据删除了，很难追踪它，大家有没有好的方案来分享一下？

　　观众：我简单说一下，入侵后删除日志，对于WINDOWS可以说没有主动审核，我们也经常会处理这些事，比如用户服务器遭到入侵，我们一般都用一些程序，更夸张的是等着别人再入侵来查找源头，对于Unix，因为它本身审核能力，日志不计其数，我还没有发现入侵者能够完全清楚记录。

　　观众(搜狐)：现在问题是WINDOWS能不能实现？有没有谁做了这个产品？

图为搜狐李凯

　　观众：从技术来说可以有加强的方案，对于产品这一块我不是很了解，从技术这一块，我们从加强审核这个角度来说有很多方式，但是没有特别好的办法。

　　观众：我们曾经尝试过定期把它的网络连接、进程状态、CPU、内存、流量每天定期做审计，实际上WINDOWS出现的漏洞，有时候会绕过，本身日志记不住，对于定期回报能缓解一定的现状，但是也没有办法完全避免。

　　观众：我们的原则是尽量少用WINDOWS。

图为安天实验室张晓兵

　　主持人：对于用户的安全教育培训，刚才提到了一点，我们各个网站一般都有互联网安全这个栏目，平时大家有意识的做了这方面工作吗？怎么做的？我有时候上新浪网站，会提示你今天流行什么木马。

　　观众：我们现在面对用户这一块受到很大挑战，之前提到了盗号、欺诈等，等问题出现骂声一片，说明第一我们的用户体验没有做好，用户教育没有做好，我们用户特点是年龄偏小，他们对计算机是小孩，对安全是小小孩，这是个现状，一旦我们做一些保护性的措施一定会导致用户使用的不方便，这样就很难做到平衡，这时候我们才想到说，我们应该在用户教育方面做一些引导，把我们的保护措施尽可能用萝卜、白菜的形式告诉用户，让用户从了解到理解，到最后达到支持我们业务上的安全措施，这是我们很好的愿望，可能后面的做法就偏硬了，跟业务有点类似，可能会想利用我们现有的平台，我们的BBS和相关的服务信息，推出信息安全的专题，当然不是针对网管的，让我们用户对网络安全有个基本认识。比如我们经常说绿色上网，政府部门也好，学校培训机构也好，都在讲绿色上网，但是把绿色上网具体下来告诉给中学生甚至小学生，告诉他们什么样行为是绿色上网，这个工作成本其实蛮大的，但是结合现有的平台和我们的初衷，设定这样的目标是把安全这样奢侈的消费品变成萝卜白菜的日用品，照顾我们的用户，像新浪、搜狐这样的门户网站，他们对于商用用户对于教育模式与我们也有区别，我们希望与他们做沟通，在教育培训方面能够得到互相的支持和分享。

　　观众：关于用户教育这一块我有想法，刚才也提到，现在最为普遍的安全问题是发生在普通用户身上，试想网站能不能提供一种强制性的或者建议性的东西来给用户，比如我今天发布一个新补丁，当这个补丁出现，我网站会下一个类似漏洞的东西，然后用户会检测到，你没有安装补丁，建议你去哪安装，如果他是这个网站忠心用户，一次一次，他会相信这个网站。

　　观众：万一有人控制了这套系统，那么后果不堪设想。

　　观众：可以告诉你在您控制前就已经有很多人控制了。

　　主持人：从安全角度来说，我经常想多一些措施就不会发生一些事情，在座都来自于公司，是用限制保护用户，还是让更多的用户来教育，挺难的，我也再想，微软又发了个漏洞出来，比如新浪首页发布了，强烈呼吁用户要注意，但是微软会觉得你针对他。

　　以上问题都差不多了，下面看看大家有没有其他的问题或者想法。

　　观众：我建议互联网协会以后多搞类似的活动，让大家联合起来多交流交流。

　　观众：2006年我们曾经想利用互联网公司的某些优势，比如我们看到所有互联网的发展模式肯定是在前20个互联网公司出现，腾讯也好，新浪也好、搜狐也好，他们以后运营的经验，安全的经验都会成为后面跟着的互联网的经验，如果把这前20强公司安全负责人也好，运营负责人也好，让他们有机会就某一个问题展开深入交流，我相信这些经验会非常有价值。

　　观众：大家好，我们是搞信息安全的，我看到搜狐、新浪、腾讯他们提了一些安全问题，我们也有一些安全厂商来参加，我感觉一些网站他们为了专注于自己的服务，希望把安全问题抛给安全公司解决，我看到题以后有一些不一样的感觉，比如我们的小区为什么不安全啊，安全公司就说我们加个围墙吧，如果大门不安全啊，那我们加个大门，如果说我们自己的房屋不安全怎么办，然后我们会建议加个防盗门或者加把锁，但是今天提出的问题是我们有了围墙、有了保安、有了防盗门，为什么我们的数据、资料还在丢，如果我们作为不负责任的安全厂商，我们会说这是法律问题，因为现在社会太乱，小偷太多，我们做了我们的工作后别的我们不管了。我们作为安全厂商我们不应该是这样的思维，在20%问题中在说BDS问题，这样的问题是不可避免的，解决这个问题会说加个设备，但是设备很贵，但是即使架设好了后也只能清洗一些攻击，对于实实在在的流量攻击你没有办法，那么如何解决？我们应该分开对待，对于BDS提供的厂商来讲，刚才那位先生说我们不需要分析攻击源，我认为我们恰恰要分析，我们怎样从安全厂商角度来说如何把僵尸木马干掉，干掉那么攻击源就少了。安全薄弱在哪里？第一是客户端，对于客户端每个用户安全意识也好，操作系统漏洞也好，他们很容易控制起来，如果把这问题解决了，那么僵尸网络就形不成了。对于出口网络，一个大的流量过来了，我们恰恰不知道这个流量是什么流量，我们应该对流量进行分析，因为我们是解决80%的问题，我们专业强项是对于病毒流量事件的分析，我们在网络出口处有个病毒监控设备，会对流量和大规模病毒实验进行定位。另外除了客户端和网络出口安全之外，网站更关心的是中间状态的安全，比如说一些网站乱码，一些大家发的小网站的挂网，这可以解决，比如QQ，他会提示你。对于反病毒厂商来说有很多问题不能解决，我希望如果发现一个链接，如果挂满我们摘掉。我们是想提供一个病毒过滤值概念，这个病毒过滤值架设好，希望病毒过滤后再发给用户，如果有病毒会提示用户。

　　另外我希望向大家展示一下我们作为安全厂商我们有哪些能力，我先告诉大家我们能做什么，然后大家看看是否需要我们为大家做，接下来我有一些资料给大家，不是做广告，是希望给大家提供服务。

　　观众：刚才提到病毒问题，其实现在病毒问题是防不胜防，比如一个不会用电脑的人，我可以花五个小时时间教会他制作病毒，其中四个小时是教他如何使用电脑，其实最重要还是用户的安全意识，现在用户随便信任一个未知邮件这是很糟糕的事件。另外提到BDS攻击源，这主要根源还是在普通用户这一块，跟刚才说的一样，大家没有安全意识，很可能大家在上网同时就已经成为了别人控制的僵尸主机控制中的一台，我也很无奈，现在网络这样的不安全。

　　主持人：谢谢大家！今天大家讨论得很热烈，大家也说了很多点子，最后我代表互联网协会对大家参加下午的活动表示感谢，另外向大家表个态，如果在座各位有一些好的想法，觉得可以通过我们互联网协会这个平台，能够搞一些有助于互联网安全性能的提高的活动，希望大家提出来。

　　主持人：今年我们也在做一个准备，希望为互联网企业推荐一些产品和技术，如果任何一个网站有这方面建议我们会非常高兴，我们会把这些做成宣传册，免费发给互联网企业。明天也在同一地点会做互联网技术沙龙，范围会更大，今天是专业的安全问题讨论，以后我们也会陆续根据大家的需求组织相关讨论，再次谢谢大家！