| (2008-05-15 12:06:06) |
| 其实,2008年度“中国信息安全保障突出贡献奖”是计算机报社第五次做第三方的保障和推荐,主要是作为信息安全产业做一个推荐,希望给同行业的用户做推荐的作用。感谢各位获奖嘉宾,同时又请刘科全先生和贾彦生先生、贺卫东先生留步,我们一直希望在这个信息安全圈有一个同业的联盟,但是各个各个公司的交流不是特别多,今天有机会让四位老总做一个合影,或许这就是以后非常有价值的留念的照片。谢谢! 下面颁发2008年度“中国CSO信赖奖”,关于这个奖项我有两句话要说,之所以定名为中国CSO信赖奖,我们也是从媒体的角度从产品的提供商希望他们的产品可以解决方案,可以在用户的应用方面得到认可和肯定。同时,与行业用户在这类的产品和解决方案的应用当中,可以得到借鉴或者是参考的价值。所以,我们对于评选当中,合作伙伴提供的产品和解决方案的侯选凭单当中,一定要有用户的评价信息,以及用户实际的联系方式。我们媒体会做回访,来认定这个评价和认可是否是真实属实的。 获得2008年度“中国CSO信赖奖”有:网康互联网控制网关,东软NetEye网络流量分析与响应系统(NTARS),联想网御“七剑固边关”边界安全解决方案啊联想网御入侵防护系统,Cisco ASA5500系列自适应安全设备,瞻博网络UAC解决方案,Websense Enterprise6.3.1。有请获奖嘉宾上台领奖,同时有请金建中和黄伟敏为获奖嘉宾颁奖。感谢各位获奖嘉宾,在此,我们对于获奖嘉宾致以衷心地祝贺! 时间总是从我们眼前飞快地滑过,在我们上午的论坛进行到这里,所有的主题发言告一段落。 在此,我宣布第六届中国CSO俱乐部大会暨2008中国信息安全年会上午内容全部结束,在此感谢东软、联想网御、思科、天融信、网康科技、宝信软件对于本次大会的支持,上午的全部结束! |
| (2008-05-15 12:05:20) |
| 主持人:他说用创新的技术用心做好安全才是最重要的。 在中国信息安全发展的道路当中,很多的民族品牌都抗起了产业发展的大旗。其中,天融信公司发展了有10年的历史,下面,让我们欣赏一段天融信公司在历史和民族的使命感方面自己拍的短片。(播放VCR) 看了刚才的短片,大家应该会有一些震撼,因为他们说这个宣传片可以称为爱国主义教育,可谓的责任感在里面体现得非常明显。刚才我们也看到了,天融信的董事长贺卫东先生也做了点睛之笔。有人说贺总是防火墙的第一人,那么我想让贺总用10分钟的时间,来分享一下天融信10年的感想。 贺卫东:我专门到中央党校调查了一下,有一位领导说,凡是我们中国拿钱能买得到的,基本上我们中国没有什么技术,凡是拿钱买不到的,我们中国还真是有点技术。这就是我对这10年天融信13年发展的历史的总结,谢谢各位来宾、各位领导! 主持人:下面的时间进入我们今天会议最后一个时段,也非常感谢各位参会嘉宾,能够再花5分钟的时间,共同见证这个重要的历史时刻,也是我们媒体对于在一年一度的信息安全保障工作当中出突出贡献的嘉宾和代表做出保障。 首先,我们颁发的是2008年度“中国信息安全保障突出贡献奖”,获奖的包括:公安部公共信息网络安全监察局处长郭启全,北京京能热电股份有限公司(京能热电)总工李东,中国气象局国家卫星气象中心副总设计师、研究员施进明,GDS王国数据服务有限公司创始人、总裁兼CEO黄伟,国家计算机网络应急技术处理协调中心副总工程师杜跃进,中国人口信息研究中心信息总监、网络数据库及信息安全专家冯方回,中国审计署计算机技术中心主任王智玉,联想网御科技有限公司总裁刘科全,北京天融信网络安全技术有限公司董事长贺卫东,中国电力科学研究院信息安全研究所所长高昆仑,东软软件股份有限公司副总裁兼网络安全产品营销中心总经理贾彦生,中国中煤能源集团公司信息技术管理中心主任陈继东。 有请获奖嘉宾上台领奖,同时有请我们的计算机世界报社执行社长金建中先生和黄伟敏上台颁奖。 |
| (2008-05-15 11:48:38) |
| 曹鹏:我们在06年设计出来的安全管理平台就可以完成这个工作,这个工作可以很好地解决刚才大量的事件收集不可读的问题。怎么解决?每一个事件来了,威胁应对系统的类型是什么?比如说因为缓冲一出,入侵点的高风险。但是,这个攻击目标对于思科的设备对于他没有效果,如果是Unix设备对于它也没有效果。我发现很多的管理学大师都在讲这个概念,他说我们人每天累死了,事情也干不完。我太喜欢这句话,我们累死了都干不完工作。那么,是不是要把最重要的干出来? 什么是最重要的?如果我们每天的各种报警信息数以千条、万条,你不可能每条都看,你也不是超人。我把今天最重要的告警数据,通过流量化的表格显现出来,我都可以知道今天的最重要的事情是什么,如果你今天真的很忙,把最重要的10个事情干完就可以下班。 东软公司一边不断地用技术的创新提供安全的保证,但是我们的动作应该是运行。那么,对于一个安全厂商来讲,我们更多地应该是承担一种责任和我们应该有的义务。我入行的时候,我在这个行业中走过了第一个10年。我在告诉自己,安全可能不像传统的问逻辑程,我把网络平台搭建好了,我把路由器配好了,网络都连同了,我验收就可以走了。安全不是这样的,安全的项目是要有信心和责任的。我们的用户购买了安全,他们是为了避免风险,而不是避免网络调控的。 目前,我带领的技术团队,从07年年底开始,在配合国家的安保工作,包括为北京的用户开始实行了我们免费的信息安全技术培训。这是我个人比较自豪的事情,因为我之前没有看到哪个厂商把本单位的信息安全培训开放出去的。我开放的时候我还说,今天我们东软经验的积累、成长的每一步,离不开我们用户在一点一滴地完善自己,所以我们把我们的收获开放出来。所以,从07年底我们一直免费地做信息安全技术培训。 那么,我们也在提升我们安全项目的验收。今天在很多的项目中,我们安全项目的实施,不是简单的产品的调试。我们更多地是要把入侵检测规则配置好,把防火墙配置好,把入侵检测的设备如何察看异常告诉我们的用户。从而,为我们的用户编写、提供不仅仅是限于防火墙的产品使用说明书,我们会为用户提供更多的产品安全操作和安全事件的判定。 我记得在头几年的时候,我去中行,他们看到我来了之后,说小曹你能不能来了之后帮我看一下防火墙的日志。我打开之后分析,分析之后我发现,张工对于日志的分析很不在行,这反而给了我们一个触动,可能我们很多的用户都不会分析。那么,防火墙的日志怎么分析?我们打开连接审计,如果在防火墙的连接审计当中,你看到最近一个星期或者是最近三天的防火墙的日志做包和流量的审计,如果你发现一个服务器疯狂发包,但是一个包也没收,我用流量除以那个包,可能全都是小包有问题,如果全是大包也有问题,如果全是UDP的包有问题,如果全是随机IP的包也有问题等等。那次触动给我之后,我花了很长的时间,我把我们公司在第一个10年里面碰到过的很多的案例积累下来,全部写出来,写到我们的安全产品维护的手册和安全判定的手册,无偿地提供给我们的用户。我们希望使用东软产品的用户,不仅在产品本身的功能上,而且可以更好地发挥安全产品真正的价值。 因为我发现,其实很多的在用防火墙入侵检测的时候,如果有100%的能力,很多的用户只使用了20%到30%。如果一个技术没有充分发挥它的功效的时候,我们有再多的创新,也未必效果很好。 我们东软推出了我们放火防火墙、虚拟专用网、专业安全负责等等,在过去的10年时间里面,我们为我们的用户带来了最好的、最佳的使用、安全项目的验证信息,而我们在我们全国2所投资过千万的信息安全实验室、7处研发基地、13个行业事业部、16年发展历史、遍布全国32个省市,为我们6000家的用户提供本地的服务。 到最后,我们也祝愿本次大会取得圆满成功,当然了,也为远在四川的父老乡亲祝福。也希望在之后的奥运可以精彩不断,但是我最最希望,如果我们09年还有幸在这个会议上见面,如果再去问,我今天以上台讲的第一句话,我们有没有做过什么真正了不起的事情的时候,我希望所有人可以举手说在这一年里,我们真正做到了安全。 |
| (2008-05-15 11:40:03) |
| 曹鹏:无线网络,现在很多的机场、酒店、咖啡厅,包括我们今天的大会议室,都有无线网络。我看到很多的很商务的人士,穿着西装、打着领带,拿着自己的笔记本,在那里无线上网、收发邮件、登录自己的信息系统,无线网络真的是安全的吗?今天很多的运营商在全国的重点城市登录无线热点,那么我们很多人买了笔记本,就登录到了无线网络,那么无线网络真的是安全的吗? 他说我的无线网络是一个小锁的图标,应该是安全的,为什么是不安全的?我在无线网络中的受害,我旁边的同事所有的收发邮件和口令,我全部都知道,无线网络的攻击不要太简单。在一个开阔的环境当中,你去欺骗别人,他根本无从找到你,你对于无线网络的攻击更难追查。 如果在过去的2到3年里面,我们没有这么多的了不起的成就,但是很不幸,我们的竞争对手、攻击者,他们在过去的2到3年里面,有无数次的超越。他们无数次超越了我们的安全防护,超越了我们自认为安全的东西,甚至超越了直到今天我们还认为我们根本不可能做到的东西。攻击者在过去的2到3年的时间里面,很短的时间他们都超越了。如果今天我们还没有超越自己,我想说真的很不幸。 我们今天还面临哪些挑战?我们的网络规模越来越庞大、越来越复杂了,我们感觉到网络不够了,所以我们建了第二张,有的运营商甚至建了第四张。但是,随着网络越来越庞大和复杂,我们的技术人员没有跟进他的速度,很少有人看我们信息系统的日志。我们为了奥运安保工作做了一些信息底层建设工作和应急预案。尤其是做应急预案的时候有一个工作是要做的,就是定期收集、备份、日志。 我问我们的张工、李工、王工,我们的入侵检测的日志有没有看过?我们那么多的日志有每天早晨看一遍,下班之前看一遍的吗?大家都说没有办法看,当然问题很多,每天100条、200条、2000条,我们电信运营商有上万条,甚至是十几万条的报警,怎么看啊?像每个省有8台服务器,每台是1G,Web服务器就是8G,我怎么看?备份我要一年备份多少?都快没法备份了。所以,他说我怎么看啊?我说我理解,今天看不了有很多的问题,但是我想反问我们大家一句话,我们今天看不了有各种各样的原因,那么我们这辈子是不是不打算看了?如果这辈子要看的话,是不是想一些方法?如果我不这辈子不看的话,我们等出了安全问题再想办法,但是我们想打开看的话,我们就要想一些办法。 我记得我在2000年的时候,我看到有很多的我们的前辈老专家说,信息安全三分技术、七分管理,这句话说了有10年的时间了。但是,我发现了一个问题,管理一直做不好,为什么管理一直做不好?其实,我想这是我们中国人今天面对的最大的挑战,如果是在信息安全这个领域中。 我认为我们的信息安全为什么做不好?我们今天用得最多的,很多安全的标准,我发现我们中国人自己写的并不是很多,我承认我们很多的老专家在写,但是我们今天拿出来的标准的,中国人写的并不多,很多是从欧洲拿的、美国拿的,甚至看澳大利亚和德国的标准。那么,我们的标准要从两个部分看,我承认老外的技术是很先进的,但是我并不承认他们的管理经验是很先进的。ISO1799是在是在2000年引进中国的,但是他管不了我们,所以中国式的特色和中国式的信息安全管理,其实我觉得更是我们未来面临的最大的挑战。如果还是在按部就班,什么都是拿来主义,到信息安全这个坎儿,永远跨不过去。 那么,我们今天讲的是用什么面向未来。那么,我一直在想,是不是有一个技术、管理拿过来,只要安装就可以把安全管理做到。那么,我很大的时间所在一个盲区,就是不断地强迫自己设计傻瓜化的产品,用傻瓜化的产品解决我们今天这么复杂的问题。但是,我发现如果信息安全是一种博弈、对抗,博弈的双方如果是两方博弈的话,他们的技术肯定是此消彼涨的。技术升级再快,也无法超越自身博弈的尴尬。 刚才讲到密码的时候,其实我还想再补充一句话,我今天年初看到一篇文章,叫做20年信息安全密码攻防战,其实这讲的就是博弈的双方。我对那篇文章做一个总结,很不幸,20年的信息密码攻防战,如果到今天谢幕,安全防守的一方是输的。也许有一天我们会赢回来,但是今天我们是输的。信息安全的对抗双方,仅仅是有一种技术对抗另外一种技术,我们发现永远做不到天下太平,所以我们今天很多的安全体系强调把人员、管理、更多的运维的手段,引入到了我们的安全体系中,而超越我们用传统技术的体系。 随着我带领着我的信息安全团队,我感觉作为安全厂商,要想真正把信息安全做好,我们有两个用“心”。一个是不断地用新的技术去参与对抗,另外一个是不断地面向未来,用心为我们的用户设计出更合理、更好的体系,规避我们今天的问题。 今天我经常碰到很多的用户说,防火墙的生命力基本上到头了,现在的防火墙已经不能解决更多的问题了,防火墙已经有了一种鸡肋的感觉了。但是,其实防火墙的生命力远没有到头,防火墙作为网关部署的安全产品,东软公司一直在不停地每年加入最大的人力,包括我们的人员、研发的资金,在为东软的防火墙做不断地持续的研发。而且我非常高兴有一个好的消息告诉大家,东软公司的防火墙,我们已经从去年开始,借助在全球的诺基亚的平台在全球销售。如果说在过去的第一个10年里面,我们一直对于老外的产品拿过来,我们非常高兴的是我们把中国人自己的产品在全球销售。我们现在在亚太、欧洲、美国开始了正式的销售,防火墙一直会作为我们未来不断持续投入,而且我个人相信,防火墙在网关上发挥的重要作用,会远远超出我们的想象。 第二个是入侵检测,这也是我们一直不停在看的。很多的用户用了入侵检测之后,他有很多的想法,每天大量的告警好像解决不了问题,这个责任不仅仅是用户的,而且更多的是厂商的。我前两天走访中、农、工、建,做信息系统的调研,我看他们的信息系统,我跟他们说一个问题,在我们中、农、工、建几大行,我们的信息系统都放在我们的内幕核心交换网络上。我想说,我们所有的入侵都是以黑客为攻击行为的,所以我想反问,我们真的认为在中、农、工、建几大行,在我们大的行业内联的网中,会有多少用黑客方法破坏的?包括我们最近看的黑客案例,真正造成破坏的,谁是在内网用扫描软件破坏作为第一步的。今天在网络攻击中,并不是什么小黑客拿小游戏做破坏,而更多的是盗用别人权限和帐号,或者是利用自己的权限和帐号,去越权或者是超出了自己一些工作的权限去做的破坏。这些人,才是真正可怕的。但是很不幸,在过去的几年时间里面,很多的入侵检测系统,对于这部分的攻击是束手无策的,都是无从察看,他会循规蹈矩的检测入侵者,但是入侵者这个圈子越来越小。 所以,当我们设计东软的产品的时候我们说,3、5千条的入侵检测必不可少,但是这远远不是我们入侵检测的态度,我们必须考虑到全面的审计需求。不仅仅是特征的,还有异常的、连接的、事后的、协议的全部要审计出来,要把网络中的每一个包、工具都显现出来,这样我们才在网络当中真正出现了内部的违规人员的时候,我们才可以还原出来它的访问,我才可以真正解决安全的问题。所以,我们设立我们的检测系统时,也充分地考虑到了这一点。 我想说DDOS攻击是非常可怕的,我99年的时候就知道了雅虎的攻击事件,非常不幸的是到今天,我们DDOS攻击事件也是我们的焦点。DDOS攻击是非常可怕的,可怕在公积者的实施成本非常低,而难就难在防护起来的要求和压力是非常大的。 那么,我们是在05年的时候顶住这个压力,花了一年的时间,在网通公司的骨干网络里面,在真实的攻防的环境中,去设计出来我们的异常流量分析检测系统。这个案例最早是来源于某IDC10个G的链路,大家不可想象,在10个G的链路当中它的攻击流量占到了9.99个G。我们当时承接了这个项目,我们在承接这个项目的基础之上,花了一年的时间,为网通的骨干网,研究链路的防御攻击。我们今天为众多的运营商,包括奥运的运营商和全国的31个运营商设计了系统。 那么,我们今天有那么多的信息安全事件,我们用人为、手动的方法根本看不过来。我刚才提出一个挑战,难道我们这辈子不看吗?我想不会有人说我这辈子不看,那么我们是不是有一种巧妙的方法把这个告警事件的重点摘要出来。我相信不是所有的安全告警事件都需要看,我们发现入侵检测是就事论事的。缓冲区一出告警等等,它没有把人和资产还有状态进行相应地关联。今天,信息安全是在做风险控制和风险管理,那么风险控制和风险管理,如何把它做好,如何用技术化的手段实现它其实很简单。 |
| (2008-05-15 11:28:26) |
| 曹鹏:大家好! 在我今天开始介绍的时候,我想用一个问题来做我的开场白。我希望我们在坐的各位去想一个问题,这个问题其实很简单。就是在过去的2年到3年的时间里面,我们在坐的各位,我相信都是非常优秀、非常称职的信息安全管理人员或者是信息安全维护人员。在过去的2年到3年里面,我们是不是在信息安全当中,为本单位、本企业或者是为自己维护的那张网络,做过什么特别了不起的事情?做过什么特别有超越和成就感的事情?这个问题我最近在问我自己和我的朋友,在问我所见到过的用户,在过去的2到3年里面,我们做没做过什么了不起的事情。 其实,这个问题涉及到我们今天面临的一个挑战,我发现最近5年技术在飞速地进步,也带给了我们机会。没有一个安全产品可以一劳永逸地解决我们今天所面临的所有的问题,反过来讲我们在过去的2到3年中没有什么特别了不起的成就的时候,但是反过来讲,如果信息安全是一种博弈的对抗,那么我们所面对的对手,他们在过去的2到3年里面,做没做过什么特别了不起的事情? 到今天为止,我今天做过的信息安全服务,100%用户的Windows的开机口令我都找回来了,最长的有一个是花了不到24个小时,我都找回来了。所以,我记得在06年之前,我还跟我的用户建议,我说张工、王工、李工,我们重要的信息系统,尤其是我们Windows开机系统,应该像这种变态的口令,因为它支持14位口令,大写、小写、数字都应该用到,这才是安全的。 我们一看这种口令,他们都哈哈一笑,他说曹鹏啊,我们知道这是安全的,但是一个正常人怎么可能把它记下来?但是,到今天我们好像认为这是一个故事一样,那么我们应该知道在过去的2年破解这种口令的技术是如何快的。 很少人知道Windows的开机口令是7位一段的,那么在每秒钟800万次,在3600秒,在72小时,最多3天就可以把很多的口令解释开放。我那天拿着自己的计算机按了一遍,所以我猜知道为什么涉秘的信息系统要一个月换一次口令。 但是,这种极端变态的口令,攻击者可以在06年10月的时候最新的破解速度只需要5分半钟。一个攻击者认为我们今天不可能做到的口令的强度的破解,从06年的23天,只花了1年的时间,就更新到了5分钟,而且还是5个口令一起跑出来的,是没有任何的自检的。就是一个一个算的,只花了这么多的时间就算出来了,这是很了不起的。 今天还有很多人说,我们很多的信息系统是用重要的口令去保护的,但是现在越来越多的软件,在加密的口令当中,已经不需要正常的方式去破解了。比如说Office的软件,很多人都在用,如果我们现在一个文档,我需要对它打一个口令,不喜欢别人拿到我的但是就可以打开看。我设置20位、100位,我大写、小写、数字我都用到了。你们觉得有效吗?这个故事发生在05年,早在05年别人就发现了,很多老外卖给我们的软件,40位以上的密码不允许出口。我们今天用到老外的软件,还是2的40次方的密码,在破解100万次的低速电脑上只需要82分钟,那么很多人可以5秒钟就把解密的密钥拿出来。 现在很多人用网银,我们用SSL-VPN,那么我们用这个的时候,心里面觉得很踏实,我们说这个是很安全的,它可以提前帮我构建一条安全的通道。我可以有这个转帐、查询,真的认为SSL-VPN是安全的吗?这个故事真实发生,上个月我住在天津的一家酒店里面,晚上我逗逗我隔壁的同事,我让他在隔壁的房间登录中国银行的网银,我在另外一个房间,我想看一下他的帐号和密码是什么。中国银行是奥运的支持合作伙伴,是目前在银行当中信息安全做得最好的。看到什么?我花了一点点的小时间,我用的随处可以的软件,利用底层的软件,我可以非常轻松地还原了他128位的加密的网银的帐号和口令,我直接登录进去,这是转帐界面。所以,SSL-VPN真的是安全的吗?未必像我们想得那么安全。 有的时候我经常想问银行一句话或者是问我们大家一句话,如果今天的SSL-VPN这么不安全,我们有什么方法去替代呢?我们可不可以马上升级?找出一种方法去替代SSL-VPN。我知道今天很难替代SSL-VPN,这就是我到今天为什么从来不用网银。 |
| (2008-05-15 11:26:16) |
| 主持人:感谢曲老师的精彩发言,可信计算确实是当今的一个热点话题,构建可信网络也是推进安全产业发展重要原动力,也是保障了重要信息系统信息安全的主要手段之一。 曲老师说了,面对可信计算发展的一些热潮和思考,同时有一些机遇和挑战。那么,政府、产业联盟等各个部门都在共同携手推进可信计算创新技术的发展,再次感谢曲老师。下面,为我们带来发言的是东软软件股份有限公司网络安全解决方案部部长曹鹏,他发言的题目是“面向未来的安全运维”,有请曹鹏。 |