新浪首页 > 科技时代 > 滚动新闻 > 正文

第76期IT沙龙:中小企业走出信息安全困境

http://www.sina.com.cn 2004年07月16日 17:39 新浪科技

  中小企业:走出信息安全困境

  时间:2004年7月10日

  地点:翠宫饭店三层明政厅

UC立体声聊天 无限下载MP3作K王
海纳百川 候车亭媒体 财富之旅诚邀商户加盟

  主办:北京书生公司

  协办:新浪网

  本期支持:

  CBI《中小企业IT采购》

  北京佳创易人顾问有限公司

  特邀主持人: 张辉东 CBI《中小企业IT采购》主编

  特邀嘉宾: 刘春阳 国家计算机网络与信息安全管理中心 副处长

  特邀嘉宾: 刘宁胜 北京书生国际信息技术有限公司研发部 经理

  特邀嘉宾: 曾嵘 趋势科技网络(中国)有限公司 行业总监

  主持人(张辉东 CBI《中小企业IT采购》主编):

  各位来宾,各位业界的同仁,第76期IT沙龙现在开始!我首先做一个自我介绍,我是CBI《中小企业IT采购》主编张辉东,今天来负责“中小企业:走出信息安全困境”的主持,我们今天邀请到的嘉宾有国家计算机网络与信息安全管理中心的刘春阳博士,还有趋势科技网络有限公司的曾嵘,还有书生公司的刘宁胜经理。

  最近有一个美国的电影叫做《特洛伊》相信大家都看到了,它以恢弘的场景、大胆的描写征服了不少国内的观众。这让我们想到网络供应商以及消费者和病毒制造者及黑客之间的战争,信息安全提供商和中小企业也在想方设法的进行防护,以免病毒入侵。

  我们今天共同探讨“中小企业:走出信息安全困境”,中小企业在不如特洛依城固若金汤的情况下,如何保卫自己,走出困境,成为今天主要讨论的话题。

  同时,中小企业信息安全存在哪些问题,什么样的信息安全最适合中小企业,中小企业应该如何采购信息安全产品,中小企业有哪些具体的需求,在投资回报上,中小企业应该如何去衡量。首先请大家听听我们台上邀请到的嘉宾大家的一些看法。首先请国家计算机网络与信息安全管理中心刘春阳博士谈谈他的看法。

  刘春阳(国家计算机网络与信息安全管理中心 副处长):

  谢谢大家!我单位就是国家计算机网络与信息安全管理中心,是99年成立的,在我们国家,当时感觉到安全有必要进一步加强它的监管,和对安全进一步的运作,怎么说呢?就是对安全理解的过程中,怎么遏制互联网上恶意代码这一类东西,所以这个中心就诞生了,在中央的关怀下。主要是推动我们国家信息产业的安全,保驾护航,因为安全必定是构成网络的威胁,所以我们希望通过我们的努力和业界同事们的努力,创造一个好的互联网的安全环境。

  安全有几个方面,一个是从语义这一块,还有逻辑层面,还有网络层面,再下来就是环境层面。

  环境层面就是指我们提供安全的机房、抗电磁波干扰、抗震,过去我们机房做得很好,也有相应的标准遵循它。

  另外一个就是基于网络层面的,我们说的网络安全就相当于病毒。

  接下来的层面就是逻辑层面,希望我们的数据传输过程当中,不要被别人获取,或者篡改,密码加密防篡改之类的技术。

  还有一个就是语义层面,语义的理解,我们不能在互联网上有不良的信息,特别是不良的黄色信息、谣言之类的东西我们也是要遏制的。

  我们现在经常出现手机上告诉你,你已经获得大奖了,一等奖、二等奖,几十万。然后你播电话给他,他说是啊,你获奖了,说你来取奖,办理手续吧。然后你说行啊,他说我在广州,坐飞机你要几千块钱,坐火车几百块钱,那怎么办?代办,你把钱寄过来吧,邮过去之后没影了,其实是一个骗局。这种信息是我们要遏制的,还有一些黄色信息,特别对于我们的青少年构成了很大的危害,这种危害也是非常非常厉害的,而且西方也有好多专家也提出来一定要遏制它。最后一个语义是从这方面理解,希望从这四个层次给用户提供一个安全的环境。

  我们现在在反思,国家怎么做更合适,做到什么程度最合适,这里面就有一个尺度的问题,特别是网络上面的安全跟我们的效率是背道而驰的。我们究竟用多大的尺度,安全到什么程度才能符合我的安全,才满足我的安全需求,这里面就因地制宜。特别是对中小企业而言,涉及到国家机密的几乎没有,真正涉及到国家机密也就是国家领导人部级或者业务部门。中小企业追求是用到网络之后提高我们的效率,使我们投资有所回报。那么我们怎么提高它?这里面有相应的策略。因为我们是中小企业,如果让你建一个网需要投资,有时候投资根本就划不来,所以更主要还是要采取托管、借用的方式是最合适的。说到托管,我们一般来说有三个层次,这种托管有物理性的托管、安全的托管、业务的托管。

  什么叫物理性托管?就是电信给你提供安全的环境,这环境不是安全层面,而是物理环境的。你可以把你的服务器放到它那儿去,或者他给你提供服务器开辟一个数据空间,你在里面远程做你的业务,这是一个很好的办法。但同时有一个问题,安全怎么提供?你也可以把你的安全委托给它,特别是网络层面上的安全。你托给它就是安全托管的。除此之外,还有业务托管,比如我有一个很好的想法,运营一个网站,根据我的主题完全托管给它,把要求什么告诉他,他来帮你实现、定制,这是更高层次的托管方式。

  托管是中小企业今后应该走的方向,这样才能把我们的投资降下来,而且免得我们为了业务而业务,使得我们自己老为安全而困惑。

  还有一个是借用,我们都知道网络跟我们吃饭一样,网上喜欢扎堆,所谓扎堆效应。比如我们饮食街,尽管建了几百家的饭店,但并没有因为饭店建得多而生意不好,反过来而是大家都奔过来接受服务或者吃饭。网络也有这种情况,我们可以根据行业扎堆,大家都上一个行业的平台,基于这种平台来给我们提供服务,这就相当于业务方面的思路、解决办法。你比如说你需求,我觉得中小企业需求一个是要资料获取,一个是中小企业有一些信息要发布出去,让大家了解我。借用这个行业平台就可以达到这个目的。还有一个需求就是我的交易,相当于我原材料能不能在网上实现,订购这些原材料,或者签协议,再深一个层次就是付帐、支付。你再建一个平台划不来,你就应用行业的平台、服务做这个事情,这样节省你很多的麻烦。有一些企业需要自己那可以做,但语义层面的安全不能完全交给别人,要跟别人互动起来,网络层面的安全可以交给别人,语义比如简单的防务控制要自己掌握,我们任何一个企业毕竟都有秘密嘛,不用说别的,你客户的服务对象,甚至你提供给人家的价格,都是你的秘密。如果让同行知道,那得了。要注意这方面的安全,不要泄露出去,别人知道你给张三100块钱,你同行80块钱就给他,这样客户都跑了。这些都是要认真去考虑的。

  我感觉中小企业这一块,真正要走出安全还要正确理解安全,正确认识是我们摆脱这种困境的基础,安全我们追求是一个过程,而不是一个目标。为什么这样说呢?我们保证这个过程的安全,我运行现在安全就是安全的,并不意味着我百分之百安全,世界尚没有百分之百的事情,而且我们现在处理网络安全的机制,以及现在面临的方式都不可能给你提供百分之百的安全方式。比如我们的病毒,或者被攻击了,有些病毒你要遏制它很困难,特别是新病毒,你要先有牺牲,然后才进一步分析,分析完了之后才能遏制,但这种牺牲希望不要落在中小企业身上。但肯定有牺牲,首先要对病毒进行分析,如果是病毒再去掉,如果是新你比对不出来,而且有一些病毒是很危险的,比如红色代码、蠕虫,既是病毒,又是攻击型的病毒,它对我们威胁非常大,一旦被感染这些病毒就有可能把你的资源对外开放,甚至把你的一些服务器被它掌握了。曾经有好多被攻击的对象往往做坏事不容易发现它,往往又是受害者,又是害人者,他可以用你的服务器攻击别人,在同一时间内,在同一个端口发起攻击包,最后大家看到都是你服务器供给别人,但你自己不知道,因为你的资源被别人掌握,这是非常重要的,希望大家正确的认识它。

  另外就是安全服务和服务安全。有很多的安全公司给你服务是安全服务,同时你付钱你一定要判断这种服务安全吗?你要判定一下这个企业安全服务的资质、声誉等等是不是合适,不要随便将保护安全交给别人,实际上它本身就不安全,那就很悲哀了。总之,中小企业要走出这个安全,首先要正确认识它,认识好了之后我们采取托管、借用,然后再采用自建等方式是可以的。而且考虑代价,你要攻击我100万的利润,你用200万攻击肯定划不来。所以要量化的评估它。最后说一下,我们大家有什么困难,我们国家也在做这方面的努力,包括我们也建了一些应急体系建设,专门对大企业的服务。为什么这样做?因为太普遍了,病毒必须人人参与进来遏制它,才能达到你的安全。我大概就说这些,谢谢大家!

  主持人:

  谢谢刘博士演讲。下面我们请趋势科技的曾总,他在中小企业这一块也做过不少的案例、事情,请他谈谈他自己对中小企业如何走出信息安全困境的看法。谢谢!

  曾嵘(趋势科技网络(中国)有限公司 行业总监):

  各位下午好!我是趋势科技的曾嵘,我负责趋势科技北京行业客户的开拓,以及中小企业产品的经销。

  我谈一下我们公司包括我个人对中小企业信息安全怎么看的。

  从信息安全产品而言,蛮清楚的,买什么东西很清楚,关键是花钱买这个东西是否能达到效果,或者有不好的体验。困境就是一个麻烦,想走出它。我想讲那么几个方面的话题:

  第一,就是刚才介绍的,趋势科技或者我个人对中小企业市场怎么看待;

  第二,从个人角度给各位一些建议,如果你是一个中小企业的话,对于一个安全系统的实施碰到哪些问题,你可以从哪些方面着手。

  这是我今天主要想谈的两个话题。在这之前我想问一个问题,在座有很多中小企业过来的,我可不可以了解一下您的单位人数……

  超过100有5位,超过200有3位,超过500有2位。

  除了几个大的之外,一般都是在100人以内的。

  中小企业的概念是一个模糊的概念,什么是中小企业?我曾经多年在IBM公司做,IBM是家国际大公司。以IBM而言,TCL、长虹、海尔都是小型企业,IBM属于中型企业,中国电信、石化、工商银行是毫无疑问的大客户、大企业。我刚才讲了长虹也是200个亿的产值,上万的职工,但是根据地域的划分这个行业覆盖是否很广阔的区域,或者有很强的属性。到趋势专门做安全的公司,本身比较小,就是中小企业,我们在产品设计方面精确定位在100人以内的,我们产品设计面向我们认为是中小企业。但不排除有500人,我们也做过3000人研究所的安全问题,显然不是行业安全问题。研究所和公司是差别很大的,没有什么共性,不称其为一个行业。中小企业首先定义上的模糊性,我们设计产品会照顾100人,去年我们做的产品是照顾50人,50人我们以包的方式销售,现在到100人。

  第一个话题首先我们觉得中小企业是因为它行业的特性不是很明显,所以我们在做产品来满足客户的要求,或者把中小企业看成一个特殊客户群的话,它要有这么几个要求:

  一、产品要比较容易用

  二、功能上的多样性。

  企业级解决方案是针对性比较强,但到个人他巴不得把所有功能都有。最后就是经济性,产品的价值,你不可以说我卖一个防毒软件保护机器的数据不被损害,他电脑700块钱,我软件3000块钱,他不会买。这是他投入、产出的考虑。趋势科技是做网络安全的,是做网络防病毒,在整个信息安全工业里面,以前5大块,可以看成网络安全管理产品、防病毒产品、防火墙、监测、终端加密,现在还有新的内网的安全。基本上我们在看市场的时候,我们会发现每一个不同的市场里面都有一些好的厂家,提供一些特别的产品。这样对中小企业有一个困惑——我是不是要懂得很多的东西,我才能做整合。你设计的产品一定要抓住现在主要的需求在什么地方,抓住重心。我们现在趋势是专门做防毒,我刚才讲的市场防毒占60%多。而且每年的平均增长率是超过27%,一个防毒的企业低于20%多的话,实际上它是负增长,等于他的市场被别人拿到。大家也知道现在网络多么不安全,我们在迎来网络安全好处的时候,也付出代价。我们经常跟一些企业做交流,我说你现在花这份钱看到很多好处的时候,你要注意安全问题,至于安全问题占多大比例是需要拿捏的地方。

  第二,中小企业如何考虑安全的问题,趋势科技主要做防毒,首先第一个你要抓住你的重心在哪一个地方,重心怎么划分?你可以把内外分为两部分,你专注外面进来的威胁,还是内部的安全问题?目前国际上的划分和IT市场的构成,一般都是考虑外面,防火墙挡外面的,防病毒也是挡外面的。内部是最近最新的一个东西,内部信息安全问题实际上早在网络出现之前就有的,一个企业你怎么说信息是保密,不能让别人看见,或者说企业内部要有一种比较好的信息安全的管理机制。我不知道你们在最近单位里面工作多少年?我刚刚超过12年,我有四家单位,平均三年。我碰到信息安全国家重点实验室吕树旺老师,有一个公式,我现在没有进行推导。在一个公司里面工作,在开放的市场经济中,你平均多长时间?平均两年。如果对于一个中小企业而言,现在说中小企业是私企,你企业员工,如果企业要存活20年,你员工会换数拨人,你怎么保证企业中的安全,你怎么能说你企业内部的安全不是问题呢?他明年可能就成为你竞争对手的企业员工,这就是我们讲的内部安全的问题。这一系列东西会是一个整合的东西,我希望它也满足我刚才说的三种属性,最好一插就可以用。你经常通过互联网获取信息,外部更重要。内部更适合于跟规则管理。如果你内部管理得意的话,会在安全上面花很少的钱。去年像振荡波、冲击波都是根据漏洞进来了,如果你中小企业有一个机制,任何规定都遵守,都打补丁,都升级,他就没有安全问题了。哪怕你没有装防毒软件也不会被感染,内部的安全问题更多可以用管理来解决,这时你有要加强内部管理,然后看可以用什么IE工具可以弥补的,这就是为什么大量的投资都是用在外面,而且外面你要看一下哪些是你最专注的,是防毒,还是防火墙。Office安全问题就是几合一了,做了路由器,把防毒、防黑客结合在一起,当时促销价不到2000块钱,这就非常适合50人用。我花20万、30万做网络设备,花2、3万做网络安全是很合理的,再超过就比较贵了,而且看你公司网络安全出现在哪一个部分。产品之间是有涵盖关系的,多样性,这些共同厂商生产的产品有一些功能会重,你买产品就找哪一个是你的重心,如果你是防毒是重心,如果这个软件带有防火墙,那就更好了。如果内部安全比较重要,就着重做内部安全管理。网络整个的安全有一个大的公式,你知道这件事情的效果,这个效果实际上等于你做这件事情的能力,我们说高考有发挥好,发挥不好就是这个意思,你有这个实力就是考不出来,还有我实力不行超水平发挥就考清华了。买防毒软件的功能以及你实施的程度,你买防毒你不升级有什么用?就没用了。这是很简单的道理。里面有很细节的东西,我就不在这里面谈了。刚才像刘老师说的,新病毒来了,我们永远都是盾。我就讲这些,谢谢!

  主持人:

  下面我们有请北京书生国际信息技术有限公司研发部刘宁胜经理谈一下对“中小企业:走出信息安全困境”的看法。

  刘宁胜(北京书生国际信息技术有限公司研发部 经理):

  大家好!我是书生国际有限公司的研发经理刘宁胜,信息安全本身是很大的课题,像一开始刘博士是从很宏观的角度讲了信息安全的情况,后面趋势科技谈的问题更多是面向外网、病毒、防火墙等企业面对的问题。我认为这些年信息安全问题越来越凸现,大家也能够非常强烈地体会到安全的严重。之所以能够体会到,很重要的原因就是由于互联网本身高速的发展,病毒或者像蠕虫这一类的东西,对大家日常的工作带来了越来越大的影响,这是我们可以看得见的,机器的崩溃、单位网络的瘫痪类似的问题,我公司也在最近遭受了多次病毒的攻击,感受非常的深,大家清楚地看到安全对我们有多么重要,我们看到这个问题,然后我们感受到我们需要防火墙、杀毒软件保护公司的基础设施。

  但是,前面也说了还有很多没有看到的问题,这些问题藏在水平面下面,这比我们现在看到网络崩溃、机器不能工作一样都给中小企业带来很大的影响。美国FBI有一个统计信息,统计是2002年美国信息安全事故,这不包括网络病毒的情况发生。有83%的信息安全事故是由于内部的人员,或者是内外勾结的方式造成的,而且这种信息安全事故是逐年上升的。但对于受到这方面影响的企业、银行、政府机关一般对这样的问题都是比较讳莫如深的,一方面是技术层面,一方面是管理层面的问题。另外一个也是国家安全部2003年给的数据,我们2002年的70%的单位犯罪是来自单位内部电脑的泄露。

  在我们应用系统里面,现在各个企业比如硬件、网络都已经上起来了,比如电子邮件、外部服务器都做起来了,在基础设施建立之后,就会上一些办公自动化系统,像OA系统。实际上这样系统本身的安全度是很难得到控制的,因为这些系统往往是被客户定制的,并不像趋势或者瑞星防病毒软件,把安全作为最重要的成分来做,经过层层的认定、验证,是完全有安全保证的。更多的OA系统是怎么把现有的工作很好的做起来,关注的是效果,而不是安全。从网络上讲是病毒进不来,防火墙很安全,但简单的可以通过企业的门户网站一个用户名密码的登陆,比如在这个时候做的稍微有一点儿弱,这跟病毒、防火墙没有关系,堂而皇之就可以进入,这是企业做网络安全往往忽略的一块。还有现在信息安全只是做到存档的阶段,一个公司用的是办公软件像Office系列,政府的话会买WPS等,在这上面我们会完成大部分的工作,比如写各种的回报、表单、签署各种文件。我们企业核心的一些东西都已经变成了电子方式在企业内部流动,企业核心机密完全是在电子的方式流动,就很可能带来一个问题,这些数据谁去保护它,这些数据一旦泄露,比如董事会开上市之前需要哪些资料,我们现在只要一个Mail,甚至拿一个U盘直接拷贝就可以拿出去,这样的事情会发生的非常多。就好比当时曾总也提到了,12年换了四个工作,这在中小企业是非常常见的,员工离开之后,他在公司里面使用的文档怎么保护?在调查过程当中,我们发现绝大多数企业,特别是大型企业,像华为、中兴通讯等,或者规模十几人的小企业,由于没有特别专业的产品完成这项工作,可能就是通过行政、制度来保证大家说,必须把东西拷出去,或者电脑不准装软盘工作器等等来保证我们的机密不外泄。国外做的比较多,但在国内比较少,像台湾一个优秀的公司是专门做基于Office保护系统,就是我们在公司发布所有的文档,比如我是公司的高层的人,我可能写一份关于对公司明年的年度计划的规划,然后抄送给公司另外两个老总看一下,但不希望带给别人看,或者给公司外面看。他通过他的软件通过邮件发送,或者生成制作文件,他可以选择张总、王总可以看,其他人不准看。这样保证这个数据在有限范围内被使用。现在一些国外大的软件厂商也意识到文档的安全,文档的安全是目前信息安全很迫切需要解决的问题,在最新的Office系统里面,也就是Office2003本身就带有文档功能,就是信息版权保护。也是在制定文档的时候,绑定你设备或者域的账号等,保证你的文档在有限范围内分发,因为我们不能防止文件真的被拷贝下去,如果你真的拿出去,它就变成了无效文档,打不开。

  在这方面有两个例子,我们公司正和这方面的公司合作,因为他们也发现文档安全是至关重要的,在2002年一个很重要的事件发生就是日本的富士通公司内部人员分享了共享的文档,把日本防卫厅Word文件复制出去,导致富士通赔偿日本防卫厅5000万美金,而且5年之间没有任何资格承担日本军方的项目。2003年亚信公司招标系统设计方案,还有IP的计划书,被做成盗版的光盘在中关村里买,每一个项目都是上千万,一旦泄露出去都无法挽回。我想对于中小企业来讲也是同样严重的,因为中小企业本身组织机构比较小,而且公司的管理层核心文档,放在公司服务器上谁都能看,看就看了吧。中小企业其实跟大型企业一样,很多核心的东西就是文档,我们现在接洽很多做咨询的公司,咨询公司所有的产品就是咨询报告,就是Word文档,做一年或者做半年就这些东西,如果这些东西被人拷走了,或者被人卖了,那生意就没办法做了,现在有很多公司跟我们讨论有没有更好的方案做这个事情。

  前面我说了一下关于企业内网的安全,特别是基于文档的安全,这是很迫于眉睫的,而且跟企业生存是息息相关的应用。作为我们书生公司是IT沙龙的发起人,我们现在这方面也做了很多研究,我们现在推出这么一个产品,同时我们也在这方面跟我们合作伙伴讨论,有没有更好的方式能够让大部分企业不需要用很高的实施成本,不需要有很高的培训成本,就能够把文档保护起来,至少在一定的程度上保护起来。因为安全本来就是矛与盾的问题。书生公司在这方面提供一系列解决方案,这可能在最近我们会有这方面的产品发布,我们主要的思想就是想通过把所有的文档,因为文档的格式很多,除了微软Office,比如咱们设计院、规划院的产品就是用别的,另外还有很多的企业用Excel等。我们采取的方案主要就是把所有这些文档,对于大多数文档来讲,主要泄密是怕文档被别人看到,而不是修改、编辑。我们会通过通用的转换系统,我们把所有的文档以这种原貌进行转换,变成某一种格式,然后通过数字安全保护技术,这是书生做了很久的技术,过去是做书生图书馆系统做这个事情,顺便说一下,书生图书馆系统是做电子书的,也有安全问题。但没有企业那么敏感。比如从出版社拿到一些书然后在公众网上发布,或者在校园数字图书馆里面发布,如果人家把这个书直接拷贝到外面去,或者直接拷走了,那出版社和作者肯定不干,纸制书就会受到影响,所以我们必须提供相应的版权保护技术,保证它的书不会复制、拷贝。我们现在把同样的技术进行改进和变通之后,运用到中小企业甚至是大企业,企业内部资料、管理的控制上,我们相信能够提供一定程度保护,使得重要的数据不会被轻易的复制出去,不会被轻易的分发,这种保护是很灵活的,比如可以和硬件,比如你们企业机器都是一批买的,保证这一批文档转发,如果转发到别的地方就无效。比如在企业内部布置一台的服务器,所有文档必须通过这个服务器认证,本身我们有防火墙,防火墙外部的请求是不能进入企业内部的,多种多样的认证方式和保证方式,都可以保证我们的文档在希望的范围内被分发、使用,而不是全世界都知道我们在干什么。我今天介绍就到这里,谢谢大家!

  提问:您谈到文档之后的分发过程保护,我想了解一下对文档发布以后再编辑、修改怎么控制?

  刘宁胜:老实说是挺困难的,我们采用文档服务器的方式,把所有的文档有一个提交的过程,会把原文档一起提交上去,如果需要编辑功能的人,实际上我们不能防止他复制文档,比如它是一个Word文档,可以对Word部分内容进行拷贝和复制,或者本身就需要把外面的东西拷进来,内部的东西拷出去,我是文档的创造人,如果不能拷贝出去是不合理的,但不希望别人看到,我可以授权,比如他可以看多长时间,比如今天到明天可以看,过了就不可以看了。或者可以打印,但只能打印三次,类似这样我们可以提供保护。安全一定是相对的。都是矛和盾相互的比拼。

  主持人:

  下面有请北京天融信网络安全技术公司谈一下他们对“中小企业:走出信息安全困境”的认识。

  天融信:

  我大概谈一下中小企业方面将来能够做的一些工作,首先从我们的产品线介绍一下。在防火墙这一块,天融信有一个爱瑞斯—S和—M的产品,主要是针对中小企业安全问题来设计的。另外,我们还做了一个规划,这个规划在实施,主要是针对个人安全。对于一些中小企业来讲,企业规模不是很大,企业中心点相对比较集中,安全的要点相对会比较集中,我们产品针对这个问题开发或者设计这么一款产品,是针对个人的安全。我们公司把他命名为个人安全套件,是基于防火墙功能和防病毒功能,算是一个个人安全的平台。将来公司大概是这样设想的,在中小企业方面我们公司会有这样一个平台,根据企业的需求可以来定制,通过个人套件的平台定制自己安全的解决方案,在产品方面就这样的设想。

  主持人:

  现在台上的嘉宾,希望听一下中小企业用户代表自己的一些切身的感受,本来今天就是谈“中小企业:走出信息安全困境”,大家在实施具体的信息安全过程当中,有哪些具体困境,都可以和台上的嘉宾交流,看看他们能不能给大家一个满意的答复。下面进行问答环节!

  提问:

  我自报一下家门,我叫红文栋,来自国家气象中心。

  非常感谢主办单位给这么一个机会跟供应商有一个面对面的交流,我们沙龙想用一个轻松的话题解决病毒沉重的话题,很好。但解决中小企业走出信息安全困境,我在使用防病毒软件的过程当中,仍很困惑,这些困惑我想请台上嘉宾(特别是曾先生)解答一下。

  我是从事高性能计算机工作的。对防病毒我没有专长,但我的机器每天都连在网上,我想说的话题是:作为一个用户,我希望这些公司生产可信而且没有副作用的防病毒软件。

  我讲一个简单的例子,我们单位装了一个赛门铁克过滤软件(是装在E-mail前端),但3月份突然发现我的邮箱中有很多垃圾邮件。后来我问网络主管人员才知道装了这么一个软件,但发现垃圾邮件太多了。我使用邮件有10多年的历史了,我想知道什么时候有垃圾邮件,结果我3个月存了1000多封,存下来的目的就是分析一下装过滤软件后怎么还会产生这么多的垃圾邮件,分析的结果使我感觉到它给我们的邮件打上过多的SP。这里面有两种:一种就是我根本没有向外发邮件,但他给你打上了,是莫名其妙就打上了;而一个邮件是很重要的,是我需要的,结果打上了垃圾邮件——过滤软件把它过滤掉了,发了四个邮箱没有发过来,我说不行,你开车给我送过来吧。

  我跟专业人士探讨为什么装了软件后有这么多的麻烦,他说可能是厂家的宣传。那么,厂商能不能做软件的时候开始给客户一个信任度,大家感觉到防病毒很重要,但使用的困惑太大了——我往往要在垃圾邮件里面找重要的文件。这实际上是害了我们,因此,我呼吁可信的、而不是有副作用的软件。

  我参加过很多的报告会,在会上很多的产品推销商他们给我们讲很多的案例,社会上你这个病毒多厉害,你们必须要买软件,可买了软件却让我看到是这样的状况,我只讲这样的例子,当然还有很多的例子。

  曾嵘:

  很感谢这位先生提这个问题,我听了这个问题很高兴,因为我不做赛门铁克,要不然我非挖一个洞躲起来。

  全球有三大网络病毒厂商,产值占防毒产业80%,分别是你刚才提到的趋势科技、赛门铁克还有Mcafee。我们是厂家,绝对没有代理赛门铁克产品。

  您的问题有两个方面:第一个,您碰到的问题本身我觉得是可以解决的,虽然赛门铁克是我们的竞争对手,但他功能是可以调整的,我不知道他这个功能是什么机制,因为各个厂家做法不同,我们的产品对垃圾邮件,以前通过产生的方式过滤,过滤的准确性很低,当然不是像你讲的过滤错了,而是过滤不当。如果参数调得太严格,就会造成错判率。

  我们目前在这上面做了一些革新(我相信赛门铁克也会采取类似的产品),邮件过滤很难准确,这是技术基础本身造成的。

  举一个例子,各位可能有经验,我们要阻挡法轮功的邮件,但你根本不可能用过滤软件过滤掉,因为他的邮件主题是“什么春天”,而且法轮功是“法-轮--功”,或者是圈。现在我们采用了新的技术,实际上是一个数理模型,如果是垃圾邮件肯定是一个程序发出来的,没有一个人在那里给你发,我们研究这个程序本身是什么属性,然后从你垃圾邮件里面拿出来做对比,我有一系列项每个打一个分,总分300分,如果70分这个概率怎么处理,如果你觉得是,你点击,下次就再也不会了。另外就是隔离到网管员看,这个策略是可调的。

  我建议你第一是了解你购买的产品是什么版本,是现在还是过去过滤的方法;另外看一下它设置是否合理。像你说的太多误判率,既然是国际品牌,行走江湖这么多年,不应该有这么差的表现,是不是网关那边有问题。信任是企业安全企业存在的价值,如果这家公司做不到这一点,无法在您要求的情况下生存。安全信任是行业公司应该一直秉承的理念,比如我们公司,我相信其他的公司都有这样的理念,我们也在致力于改变你的状况。

  提问:

  我们说解决安全困境,作为一个用户的期望,我个人从事IT高性能计算机方面是碰不到的,但在日常当中经常碰到,另外像你说的冲击波、振荡波我都碰到过,但打电话很快就解决了,但都是波动的。刚才谈到可信,你们能让用户更可信,那么你们产品应该走在用户之前,比如做网络版本,在这之前我们天天连机的内部就把升级补丁包打上去,并不是等病毒来了之后升级。这样就不会说晚上11点大家都中毒了,然后再升级。这些单位就是因为我们事先给他们,所以他们都没有中病毒,以防为主。这是一种用户的期望。

  曾嵘:

  以防为主的概念,是目前防毒产品基本的理念,也有很多人问杀毒率有多高,监测率有多少,这是一个误区。一个误区是杀毒率是多少,一个就是监测率是多少,说瑞星监测率是不是很好啊?说国内的企业啊,国内的病毒。国内出来的病毒肯定杀得了,而外国的就杀不了中国的病毒。你说的很对监测率很重要,好坏不是看你的感觉,而是有一个标准。

  我们做调查都是问客户怎么想?在病毒爆发的时候他最需要是什么?最需要不是你监测率,而是响应速度——就是今天我中了病毒我巴不得你厂家立刻出现在我面前,或者打电话也行,告诉我怎么搞。平时,他希望得到预警的信息,事先有一些防范的措施。

  其实,客户真正想问和他问的问题有一些偏移——防毒反应速度远比监测、侦测率重要的多。企业就需要构建一个快速反应的系统,要把服务做上去,因为我们讲安全本身就是一个服务。我现在卖的东西都是防,以后病毒出来反应,我就当成一个阵地,我不能防,我可以把这个当成阵地来打击它,并不是让我拿一个冲锋枪在前面扫。像冲击波病毒我们防不住,这有一个原理, 90%的企业装了防毒软件,78%装了防火墙,但当冲击波来的时候50%受到攻击。换而言之,你花这么多钱只得到50%的可用性。我不能识别它,清除它,但可以阻止它感染给别人。

  今年我们上了一个台阶,我们做了一个硬件产品,这可能是未来防毒工业的走向——只有硬件我们才能把病毒爆发的区域隔离。

  提问:

  你刚才讲杀病毒,里面有很多免费的。在几年前,国内兴起杀病毒软件的时候,公司常常买杀毒软件杀毒,但我现在不敢相信——它把很多系统软件给杀掉了,杀完之后运行程序的时候,Windows说这个程序没有了。这个杀毒软件干的太多了,把有用的软件杀掉了。所以我从一个用户的观点来讲,希望你们提供这个软件前一定要做严格的测试,你在IBM也做过,IBM任何一个软件都是经过严格测试的,你们应该把国外有用的思路用到杀毒软件上,要严格测试。你们有没有副作用。我刚才谈的话题就是可信,没有副作用。

  曾嵘:

  我们会告诉你漏洞有没有用,第二试图用硬件的软件提供一些办法,不但找出你哪些没打漏洞,还采取强制的手段,如果不打就不能操作。我们要用保证安全策略实施,防毒已经把管理的手段和安全层面的解决手段结合放上去了。我们现在也在做,一直在努力做这个事情。

  刘春阳:

  您刚才说垃圾邮件,我们也挺感兴趣,也在做这方面的工作。这方面的主要问题是没办法判断哪一种是垃圾邮件——因人而异,同样的信息有很多版本,就是过剩。还有,过时的信息也是垃圾邮件,但对别人可能很重要。所以系统判断有很大的盲区,特别需要用户互动起来,才能解决这样的问题。

  比如色情信息怎么来考虑?对未成年人绝对是垃圾邮件,但对成年人可能就是一个娱乐、游戏——你没办法判断。另外,我们在防病毒这一块也做了一些工作,也想从机理上看能不能有效地防止它、遏制它,现在也有了一些思路。

  要解决人人都上网的问题,还是人民战争比较合适,把每个人都动员起来,拒绝病毒,这样是最佳的。防病毒最主要是保护信息资源,信息资源大部分集中在服务器上,所以对服务器的保护是非常重要的,包括你们单位历年的气象资料都非常重要。

  提问:

  我们用的都是Linux服务器,他的安全机制比Windows高。

  刘春阳:

  Linux跟Windows比较,关注比较多是因为漏洞,漏洞不可能去除,永远会有,是不确定的问题,无非就是大家对它(Linux)研究得少,如果真正研究它(Linux)也会有各种各样的漏洞出现。

  我曾经做过一个项目,专门对Linux的:根据你的业务和服务器的专业性设计这种保护软件,把你的一些业务的进程提取出来分解了,然后你新的请求来了以后,首先比对,看你申请的理体制业务合适不合适,如果跟他的业务合适起来,比对吻合了,你才可以进一步访问或者操作,这样可以有效防止一些病毒。

  我们现在也在从Linux进一步往Uinx方向探讨。这是一个很好的思路,从正面保护的方式屏蔽病毒,病毒来了肯定跟正常操作是有差别的。

  我们原来分析的是把病毒的特性、特征、特点提取出来判断它,然后提供你决策,对新的病毒从这个角度防范,这样的话可以更主动一些。

  再一个垃圾邮件,我们也从机制上、组织上做了一些工作,现在我们有互联网协会,有垃圾邮件的举报,你可以举报,如果你发现一个单位老给你发垃圾邮件,你可以举报,通过国家的力量处理它,当然更好了。通过行业的自律然后发现这个单位在什么地方,甚至提出抗议。国外老给我们提抗议,中国哪一个服务器老给我们发垃圾邮件,我们也进行处理。我们跟周边的国家和国际组织都有一些合作,通过这些合作来抑制恶意代码,或者垃圾邮件这类的事情。

  张辉东:

  国民经济中占有举足轻重地位的中小企业代表还有哪些问题要向台上的供应商发问?

  提问:

  我一开始装的是熊猫软件,后来想装其他防毒软件就怎么也装不进去,兼容性的问题现在是否得到解决,或者厂商正在解决?

  曾嵘:

  首先第一个任何一家防毒厂家强烈不建议你在一个机器上装两个防毒软件。就像医生一样,两位主治医生采用不同的治疗方法,你也知道会产生什么样的结果。这里面有一个排斥,我们不建议装了赛门铁克的产品再装我们的产品。甚至有一些厂家的防毒软件在安装的时候先检查你是否有其他厂家的防毒软件,如果有,他会先把别人的卸载下来。比如熊猫。否则容易造成混乱。我们在网上全部都有试用版,所有的版本都有。你下载下来,做完了一个月测试之后如果觉得好你再考虑跟经销商联系。我们说买了之后是防御未来,但未来不会有人给你做承诺,比如现在防振荡波了,下一个病毒能不能防?我们是尽可能想,而且有了漏洞一定要打补丁,不打上以后还会重复,所以只有补漏洞才会不再被同样的病毒所困扰。

  提问:

  你刚才说的产品什么时候出来?

  刘宁胜:

  产品在我们公司网站上已经有介绍了。你可以到网上看介绍和演示。本来这是一个沙龙,大家讨论外网安全讨论很长时间,对内网安全不作重点关注,我们今天聊一聊这个问题,当然我们有相关的产品,如果大家有兴趣可以关注。

  张辉东:

  我代表中小企业的管理者也问一个问题,一般中小企业管理者一般投入到能够看到效益的项目上,而在信息安全上面一般投资会比较有限,除非受到了伤害才会很主动地做这个事情,但我们有时候也需要防范,假设有50台PC的中小型外贸企业,如果在进行信息安全采购的过程当中,如何规划自己的预算,应该是采购哪些产品?因为现在单一产品不能解决全部的问题,本着物美价廉的方式,为中小企业省钱,看看台上供应商能不能给出一个好的答案来。

  曾嵘:

  我刚才说还是看防毒重点在哪里,最好把服务器托管,这样服务器安全就不是他的问题,有问题就找托管部门就行了。这样他在50人用户里面就有一个问题,如果邮件都在别人里面,那么可以要求别人做防垃圾的功能,这个问题就没有了。主要就是安全问题了,比如书生公司的产品可以做一些内部文件的加密,我讲网络层的,很简单,我们现在做一个50人的防毒软件包,价格不到1万块钱,也就是几千块钱,平均一台机器就是100多块钱的投资。如果50个人经常到Internet访问的话,我会推荐它用防火墙、防黑客,还有一个小路由器的功能,三合一的产品,也就是2000块钱,加上我们1万块钱,那就是整个都解决了。

  张辉东:

  1万多块钱就可以解决中小企业的问题了。我相信有一些用户已经动心了。

  提问:

  内网价格怎么样?

  刘宁胜:

  我们现在提供一个书生电子文档安全共享,因为这个产品推出时间不是很长,目前是希望让中小企业用户先用起来,就是服务器加上50客户端的售价,也是在1、2万左右。而且根据企业大小不同,每一个客户端大概是在500块钱左右。

  刘春阳:

  实际上你可以把一些外包托管之后,安全这一块远程也可以服务了,有时候交服务费可以把这些钱都省了,帮你买了产品帮你服务。因为网络严格意义上没有距离概念,你托管,最后还可以全部省钱,就看你业务范围等。

  提问:

  刘博士一直讲托管,托管确实好。但我们今天讲了走出信息安全困境,托管之后信息安全怎么保证?你文件全部过人家的手里面,他什么都可以看到。我自己单位有一个电子邮件服务器,你本单位在管这个,他完全什么都可以看到你。反过来我是一个单位的领导托管给你,我能相信你吗?如果做系统管理,比如说要选用一个员工,首先你这个人至少个人品德要比较好,最起码你不要窥视别人的东西,在Linux有一个目录一般情况下是开放。你要把这个东西托管给别人,你怎么保证你的信息安全?

  刘春阳:

  这里面有很多的专业托管公司里面是非常严格,而且有一种机制,不会让系统管理员权限那么大,可能在几个人情况下,或者几种条件具备的情况下,你才能看到客户的一些东西。只给你提供安全的平台,不能进去读你的东西,而且这些东西都是安全平台机制制约它的,并不是客户想象的那样,他进来随便可以看你东西,根本看不到的。

  提问:

  我做系统管理我什么都可以看。看你用什么系统,也就是说,超级用户权限很大,有很多东西是可以授权的,这取决系统。系统做的越来越好,我可以把账号管理授权某一个人,他什么东西都可以看。

  刘春阳:

  你这个是有前提的,你前提是你是超级用户,你给你自己授了一系列权,所以才能做到这一点,如果分权就做不到。

  提问:

  分权是很多操作系统做不到的。还有一个问题,你怎么保证那个人不把你单位秘密泄露出去。比如你刘春阳可能很多单位认识你,但可能有人就把你的名单卖给保险公司,那天你就接到一个电话,因为现在有太多的商业间谍,他要做生意就无孔不入。在那种场合更多人盯上系统管理员,比如这个公司有一个很重要的档案,你给弄出来,这是少不了的。

  刘春阳:

  我刚才讲的是安全管理平台。

  提问:

  这位先生说的现象,我是曾经经历过的。我也担心这种情况。

  刘春阳:

  这个担心是非常正常的,我完全可以理解。但我刚才讲的,因为一个安全管理平台是投资很大的,它各种功能要具备,只有托管的专业公司投资下来价格性能比才更合适。理论上包括有一些产品可以做到分权控制。而且有一些客户的秘密你就是看不到,不允许。而且通过安全管理平台机制来实现,不是说你的操作系统嫁接到上面。

  曾嵘:

  托管这个概念,因为我自己对托管了解,很多企业并不是把这个机器托给你管,托管也是一种方式,另外就是用你的专业机房、专业管理能力,但这些机器是我管的,只是我在远程管理它。IDC只负责你断电了,机器放这儿重启了,或者病毒攻击宕机由他负责,这样会不会好一些?把信息安全当成风险管理更适合。

  提问:

  我是计算机用户杂志社的。现在IT外包是比较流行的,举一个例子,一个中小企业如果外包做管理软件的话,IT外包的公司写一些恶意的软件或者木马,相对杀毒或者防火墙可以检测出来吗?

  曾嵘:

  如果是病毒应该是可以的。如果你机器装防毒产品,你装上去就发现了。如果是已知的病毒立刻就杀掉了,如果是未知病毒,那威胁会蛮大的,只有靠之前对网络的攻击,就是我刚才提的概念,网络发展不光是认识你才防,而有一些功能是能阻止你,不要相信很多防毒公司讲的“我有很强对未来病毒的预知能力”,他怎么可能有预知能力。真正有作用是阻止它,在最快的时间里面,我就把端口断了,这样我最后杀你一个,保证整个网络不会瘫痪掉。如果有能力编一个病毒放上去,危险会大一些,否则没有什么危险。

  提问:

  做一个文档,文档转换为另外一个格式,您采用相当于加密的手段是吧?

  刘宁胜:

  对。

  提问:

  有没有被破解的可能性,或者可能性有多大?

  刘宁胜:

  前面跟大家说了,安全永远是矛和盾的关系,没有任何一个加密是不会被破解的,只是时间长短的问题。所谓破解是有一个破解的代价和你破解获得利益平衡关系,举一个简单的例子,你在网上收到一个受我们文档保护的书,你破解,需要跟踪你的代码,分析你的东西,最后得到一本书,努力和回报不成正比,如果有这个破解的成本干嘛不去书店买一本书,安全和不安全是相对的,防毒软件也不是不能破解,如果花几千万破解一个系统肯定是能做到的,但一般人不会花费这么多的金钱和精力做这个事情。

  提问:

  现在像木马程序有很常用的代码,一个东西可能用几个常用的,都是比较难删除的。作为你们来讲,一种运算的方法也好,或者一种格式也好,是不是随时在更新,比如我买你的产品,只是买完了之后不再更新它的算法,今天用10×10的算法,明天会不会用20×20的?

  刘宁胜:

  肯定不是这样的,现在所有的安全产品,包括趋势的杀毒软件是否安全很重要的就是病毒库是否更新,像过去的软件如果没有升级,现在杀毒是很困难的。而且有很多的病毒,通过更改代码变成一个变种的互联网病毒显得很厉害,矛和盾的较量是在不断进行的,因为涉及信息安全的软件我们会对它的算法和加密的机制进行不断的变更,对待这种强烈的攻击或者破解。

  张辉东:

  我借这个机会谈一下我们作为媒体对信息安全的看法。我们刚跟美国最大的一个IT媒体CMT信息周刊做了一个全球的2004信息安全调研报告,是在7月5号在全球同步发布。国内我们中小企业IT采购是惟一的一家联合在办的IT命题。在调研到安全策略方面,我们调研报告很多公司并没有使用先进的安全技术保证公司的安全运转。生物识别验证或许是目前最前沿的安全技术,但在全球范围内很少使用。北美只有5%,南美只有4%,欧洲只有2%,亚太只有8%的企业在使用这种技术。使用加密工具绝大多数都是SSL。面对如此多的恶意代码攻击,病毒入侵监控是另一个引起关注的环节,全球范围内71的站点是保证信息安全,北美有一半是入侵检测系统,亚太是30%,欧洲是49%。详细的资料都在给大家的袋子里面。下面请台上的嘉宾用一句话说一下未来的中小企业在信息安全面临的挑战。

  曾嵘:

  关注最重要的地方,关注重点解决的问题。

  刘宁胜:

  关注应用、关注管理是信息安全的关键。

  刘春阳:

  建议托管、借用,走专业化的道路!

  张辉东:

  下面时间留给大家,是一个自由交流的时间。我来之前也写了一个东西,给大家念一下:有一块市场虽然名字不大,却有决定乾坤的力量,有许多企业每天都在你我身边,却总让人雾里看花,有太多的人拥有相当的采购需求,却一直充当沉默的大多数,他们就是中小企业SMB,他们不仅仅是一块市场,一些企业或一群人,他们是推动世界经济发展的重要力量,希望今天的会议能对中小企业的前进起到一些微薄的作用。


评论】【推荐】【 】【打印】【关闭
 

 
新 闻 查 询
关键词一
关键词二



热 点 专 题
解放军东山岛军演
2003年审计报告
杜邦不粘锅致癌风波
长春人质事件
《十面埋伏》 视频
惠特尼休斯顿北京个唱
美洲杯 视频点播
环法自行车赛 亚洲杯
见证《焦点访谈》连载

 

 发表评论: 匿名发表 新浪会员代号:  密码:
 



科技时代意见反馈留言板 电话:010-82628888-5488   欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

Copyright © 1996 - 2004 SINA Inc. All Rights Reserved

版权所有 新浪网