李铁军：企业信息化与信息安全管理

　主持人：大家好，这里是比特网CIO百家讲坛，我们今天很荣幸邀请到了金山公司的李铁军先生，他给我们谈一下信息安全管理和病毒防控方面的知识，下面请李铁军给我们做一个简单介绍。

　　李铁军：各位网友大家好，我是金山公司的反病毒工程师李铁军，我这几年来一直从事病毒和木马的这些分析，也做过很长一段时间的企业的授衔工程师。

　　主持人：好，下面开始我们今天的访谈，在当今全球一体化的商业环境中，信息安全管理已经成为企业管理中越来越重要的一部分。下面请铁军跟我们讲一下在整体的信息安全体系下，杀毒和防毒软件处于一个什么样的位置?

　　李铁军：杀毒和防病毒软件在整个信息安全管理这一块，它应该是其中的一部分，一个环节，因为安全是一个整体，防病毒是其中一部分。我们做过统计，在一些安全事件当中，它在这一块起的作用非常大，有很多种安全事件到最后发现跟桌面端的防病毒体系有一些关系。

　　主持人：在这种新的形势下，我们对杀毒软件有一些什么新的要求呢?

　　李铁军：杀毒软件本身的需求，跟客户自身的特点有关系。比如说不同的客户群对产品要求不一样，对企业来讲，这个产品少去干扰用户的操作，更多执行一些自动完成的任务。对一些普通的个人消费者，他可能关注的安全点不同，个人消费者比较关注网页帐号安全，网银帐号是不是安全，对这些用户做一些定制。

　　主持人：对企业级用户他的平台可能包括windows，像包括其他一些平台，在企业级别的时候要考虑到平台的问题，金山是如何做的呢?

　　李铁军：杀毒软件必须是可以比较容易跨平台移植，能适应各种各样不同的复杂的客户环境，特别对企业用户来讲就是这样的。桌面用windows比较多，对企业服务器涉及到比较多的平台，在这种情况下比较能够在多种平台下工作。

　　主持人：他们对这一块的要求，像中心管理工具，我们的windows有一个管理工具，对整个windows的系统进行调配。杀毒软件在企业级这一块做得如何呢?

　　李铁军：对企业级杀毒软件它必须是这样，没有一个很好的集中管理的平台，这种软件根本不能在企业当中协调运作，对于企业来讲，由于网络使用非常频繁，网络也是这个企业工作的一个最基础的平台，如果在某一个点发生了一些安全问题，不能通过集中的管理平台及时侦测到的话，对企业的管理造成比较大的威胁。对于网管来讲可能有更多的情况，企业老总更多关注的是信息中心，他们是怎么样去做安全防护的。但是信息中心就是那么一些人，他不可能让所有企业的员工都具有很强的安全意识，需要信息中心能够通过比较好的工具去管理整个公司的网络。集中化管理的平台是必须的。

　　主持人：有些网友认为在整个信息安全管理体系当中，杀病毒软件是一个非常低级的角色，您怎么看待?

　　李铁军：确实对整体来讲，防病毒只是安全管理当中的一个相对比较狭窄的一个环节，但是这个环节它非常重要，我们看到安全涉及的点非常多，来自互联网，通过网关的，或者通过局域网，但是最终安全取决于哪个点?取决于整体环境当中一块挡板，这个挡板就在最终的用户，你很难控制最终用户的行为。我们发现某一个黑客想攻击一个企业网的时候，他可能先是通过网关和其他的方式进行攻击。企业如果有防火墙，或者是一个入侵点起到一个很好拦截作用，都挺不错。但是后来发现这里面在攻击到这个企业网络当中，最容易得手的是通过桌面端，就是通过最终用户那一端，入侵到局域网内部，这是最容易实现的一种。防病毒软件它最终保护的目标，是以保护桌面为主，这是反病毒软件，包括网络版和单机版都是这样。除此之外企业还需要一些入侵检测，VPN这样一些设备。

　　主持人：有人说信息安全是一个管理，而非一个单纯的技术问题。对于这句话，我们该如何理解?

　　李铁军：安全最主要是策略，而不是靠一两个技术来解决问题，没有什么技术它可以彻底解决安全问题。对安全来讲，最核心的问题就是管理，在这个企业当中还是一个人，对这套系统的应用情况，还有他的安全策略，执行的侵略。各个企业可能都有一个比较严格的网络安全制度，这个制度执行得怎么样，是不是这样去操作，这个对于企业整体的安全环境造成的后果，有没有一些安全事件都有很大的关系。

　　主持人：很多木马也具备盗取帐号的作用，对企业产生影响更大一些。有些企业把木马和病毒隔离开来，金山是如何做的呢?

　　李铁军：刚才提到过在这个企业的网络安全管理当中，最薄弱的环节是桌面的，因为用户这一端，他使用电脑的水平，还有他的安全意识是参差不齐的。在所有这些攻击行为当中，人们发现一种最有效的攻击方法，就是木马，木马可以理解为就是具备一定这些功能的，很正常的应用软件，木马看起来，做的就是像一个正常应用软件一模一样，它的这种，对用户的心理把控能力特别强，把总是做出一个东西，让普通用户看起来这是一个正常的软件，这个软件入侵到你的系统当中之后，它产生一个木马，远程攻击者可以用这个木马去做任何事情。从我们2007年侦测到的情况来看，我们发现统计的病毒总量，还有安全事件的统计报告，木马的攻击已经占了整个攻击事件中的70%，我们去年抓到那些病毒当中，至少它占了70%，这些木马可能对普通的消费者，家用电脑用户，盗游戏帐号，QQ号，MSN帐号等，但是对于企业来讲，它的影响远远不止这些，它的影响可能就是控制你这个企业的经营的数据，获取你企业最核心的机密，商业资料，他可以去卖，他可能出于某种需要，竞争的需要，或者其他的需要，对你企业的网络进行攻击，让你的企业网络不能正常去运转，对生产就会造成很大影响，对企业来讲，木马的危害非常严重的就在这方面。偷一个小小的QQ帐号影响是比较小的。

　　主持人：您刚才说影响这么大，企业应该从哪些策略方面入手，或者是技术方面入手，才能最大化杜绝这种木马危险呢?

　　李铁军：这就需要一些综合的措施了，首先要考虑到的就是企业的整体的网络当中，它应该有一个网关的防火墙系统，至少来自互联网的攻击通过这个系统可以过滤很大一部分。在这个系统当中，如果发现了一些类似于木马或者是病毒的这种蠕虫病毒攻击局域网的情况发生，应该有一套比较好的系统，比如说入侵检测系统和网络防病毒系统，能够及时进行报警和处理。他能通过这样一套系统把那些攻击源及时发现，然后把攻击源隔离起来，避免让这个攻击扩散。对客户端来讲，它需要做的除了部署反病毒软件以外，还需要做非常重要的安全策略。就是我们应该，如果一个客户端在一个企业网络当中，它是没有任何限制的，就像你使用网吧，在网吧上网一样，这个企业网一定是问题多多。对于企业信息中心来讲，对于企业总体来讲，首先要控制的是客户端的权限，客户端能够做一些什么操作，或者使用什么样的应用软件，这个都是应该有一个统一规划的。这个客户端一定是不允许他任意去使用互联网，不受限制访问这个软件，如果这个企业没有做到这一点，他的网络安全事件肯定就层出不穷。客户端安装或使用软件的权限就应该是集中管理，需要开启一些什么服务，都应该有一个集中管理的系统实现，相当于windows活动目录里面的策略，或者有一些管理软件来实现。

　　主持人：现在大家一方面谈到信息安全管理，还有一个是过度保护，对于企业来说有什么不对的地方吗?安全应该是等级越高越好，为什么会有过度保护一说呢?

　　李铁军：安全是一个相对的概念，如果说你把安全策略限制得非常严格，这个企业对网络的应用就不充分了。各种各样的应用软件都被限制得很死，安全策略做得非常严格，想引入一个新的应用的时候，阻力就比较大，中间是一个平衡的考虑。

　　主持人：在您的理解上，信息安全管理以后将会出现哪些新兴技术，比如说识别类会不会越来越来加入进来，未来的发展趋势又是哪些?您认为杀毒防毒软件会向什么方向走?

　　李铁军：在这里面，它的一个发展方向，我觉得一个就是准入的控制，这个网络当中，什么样的机器可以接入进来，什么样的用户可以登录，应该有一个准入的关口，不是说我随便拿一台机器，在这个网络当中接一个网线就可以访问你的网络了，这是一个入口关，应该考虑到要限制一些，比如说用一些802.1，它的协议从交换机到客户端上做一个地址的绑定，这是最基本的应用。这样做了之后，从其他地方拿过来没有经过授权计算机，接入这个网络之后发现这个网络是不可用的。他还可以通过这样一个协议去判断，如果这个客户机不符合网络接入的一些基本条件，比如它的系统有漏洞，它有一个漏洞的监测系统，在这种情况下，这个机器只允许访问网络当中有限的资源，不可以去访问它的生产的网，需要到这个企业内部的服务器上，下载一个补丁程序进行安装，如果这台机器没装杀毒软件，这个系统接入网络的时候就会自动处理了。除此之外，还要对客户端，终端的行为进行控制，大家用的移动设备比较多，移动存储的硬盘，数码卡这种东西比较多，对一个企业环境来讲，这个的管理非常重要。一个企业，如果一个U盘混用，就有可能这个U盘上带的木马入侵这个电脑，还有可能它会通过木马的一些动作，把网络当中涉及安全的信息自动拷贝走了。这种接接入的控制限制到一些环境下面，哪些机器可以做到，比如这个笔记本上面只是识别一种USB设备，其他设备拿出来发现它是不可用的，这些都是可以通过安全策略实现。对企业网关这一级，可能是需要一个网关的防火墙，入侵检测设备，对多个跨区域的网络之间，城域网之间进行沟通可能企业都需要VPN的设备，这些设备会发现越堆越多，效率就比较差，管理维护成本也比较高。在这种状态下，现在有一种设备得到大家公认的，发展非常快。就是叫UTM一套系统，叫统一威胁管理，这套系统它集成了防火墙，网络通讯当中的防毒墙，所有通过网关出入的所有数据包，如果当中有病毒直接就把这个数据包关闭掉，防毒墙，同时是一个VPN的网关，同时具备入侵检测系统的功能。相应的安全设备就集成在一个设备，统一威胁管理的设备，可以很有效降低企业入侵管理的成本。这是大家公认的，主要是现在计算机硬件发展速度非常快，UTM系统的处理能力比以前高很多，基本上是可以满足客户的需求。流量特别大的网络，UTM有可能承受不住，需要超级计算机来实现。

　　主持人：我们现在假设这样一个情况，有一家企业，它的资产也是比较雄厚，但是目前在信息安全这块属于比较薄弱的阶段。作为一个专家，您觉得他应该采取什么步骤，从产品的购买，部署，以及策略方面如何一步步走?

　　李铁军：如果企业的经济实力最够的话，他应该考虑到网络安全，就是网络基础架构的一部分。在这个网络当中，只要企业的资金雄厚，它足够，你在铺设这个网络的时候，首先要考虑到就是网络的安全，它应该作为一种最基础的作用。像刚才提到那些安全设备，他都应该综合考虑到去做，考虑到这个企业网络当中可能存在的威胁有哪些方面，在每一关都应该把控好，从网关到桌面这一端，每一端都做一个相应的安全策略去做保护。如果在这个网络当中忽略了某一点，你就会发现所有的投入都无效了。你可能花了很多钱做了一个网关，发现相应的一些策略没有部署好，有一台计算机接入进来了，这台计算机带着木马，发起攻击，就很快在整个局域网蔓延开了，在这里面，如果在信息网络安全管理的过程当中，它是环环相扣的，不能说有了这个就可以不要那个，不是这么回事。通过网关来到桌面每一个环节都需要去周密部署，对于企业财力不够，中小企业比较多，它可以从最基本的一些地方去做。桌面当然是非常重要，可以通过在交换机上做一些策略和限制，划分一些子网，一旦病毒木马入侵之后，让它的威胁降到最低的程度。逐步企业的网络发展，不断扩充和增加信息安全方面的投入。

　　主持人：现在政府的各行各业都有信息安全，对这一块有非常认识了。一些标准和规范也在不断成型，您看来目前这个市场规范吗?存在什么样的问题?

　　李铁军：这是一个非常成熟的一块市场，信息安全管理，它的创新也非常多，攻击者也总在不断创新，防护工具也应该不断去创新，这个行业来讲，他们总是在不断增长，用户的需求也在不断增长，我们基本上不要去幻想信息安全可能会通过某一部法律和技术，就让它彻底解决问题了，这是肯定不是这样。它是一个长期的动态的过程，永远可能没有终结那一天，有程序员，做信息安全的，攻击和防护之间就是猫捉老鼠的游戏，永远捉不完的。

　　主持人：信息也被看成是企业一种资产了，但是这种资产评估可能是比较困难的。问题在于信息资产和物理资产同样都需要管理。信息资产管理的难度就在于它的安全问题了，您刚才说的像信息安全管理，之所以难以成为企业管理中主要的部分，是因为企业对信息资产的认知存在一些问题，您就此发表您的观点吗?

　　李铁军：这主要的还是意识问题，可能没有估计到，我们曾经去过一些客户是设秘的机构，它可能承担了国家的一些科研项目，这些机构本身都是一些，可能是敌人的攻击目标，非常关注你，你也什么风吹草动，它平时就不断尝试去渗透到这些核心企业里面，本身就已经被列为攻击目标了，如果说你的内部的安全管理还存在一些漏洞，这些漏洞就有可能被这些攻击者所利用。我们曾经遇到过一些设秘的机关，在使用网络当中不太注意的小的细节，肯定很容易被人忽略的这些点，造成一些重大的损失，比如说他就插入一个U盘，把一些没有通过加密许可的，企业网分隔离网和非隔离网，或者是加密的设备，他把一个没有加密的设备接入到加密的网络里面，就造成了信息泄密，这种情况比较多。刚才提到安全管理，有一个保护数据，很重要一个环节就是安全加密，接入，准入控制，防病毒有了，但是这些都没有完，它总有可能会造成数据泄露出去，要保证这个数据的安全，就尽可能增加这些攻击者得到有效数据的难度，对数据进行强有力的加密，也是一个非常好的方式。

　　主持人：金山在平常的时候，接受企业级用户的服务请求，您给大家归一下类，他们的问题都是哪几种?

　　李铁军：我们遇到最多的就是，我接触过比较多的中小企业，也接触过一些设秘的机构，他们遇到堆垛难题就是病毒和影响，他们的网络不能正常运行。还有就是信息泄露的这样一些问题，这些比较多。我们接到的客户当中最多的就是网络当中出现了一些病毒，病毒在局域网造成扩散，通过各种各样的解决方案把病毒彻底清除出网络要花很大的代价。这个里面不是做企业安全管理，不是信息中心工作的们，他可能没有感觉，觉得中了病毒，把这个终端解决掉，在这个网络当中解决掉没有多久，又中了病毒，这个需要一整套方案来解决这个问题。虽然这个点永远存在薄弱环节，只把这一个点解决掉了，再把它重新接入，很快又动了，网管就很头疼这种情况。

　　对那些像军队，国家机关他们更多关注的是信息准入控制，我的机器没有经过授权能不能让它接入，还有信息怎么进行加密，防止信息泄露这是比较，对信息泄露要求非常严格的设秘机构，它对这块需求是很旺的。

　　主持人：金山对这块的服务包括事后补救了，事先有没有预警呢?

　　李铁军：预警这个是很难去做到的，根据我们在UTM这个设备当中做一些入侵检测的特征，然后给管理员及时的预警，但是事先防止信息泄露，有一个隔离网管理的软件，它有一个客户端接入的权限，还有客户端之间通讯，还有文件的交流，可以进行一个加密，可以一定程度上减少信息泄露的发生。

　　主持人：对于广大企业中的CIO，您作为安全专家对他们有什么样的建议?

　　李铁军：我觉得做信息安全管理，还有各单位负责信息维护的这些专业人员，他应该有义务去及时了解这个行业当中发生了一些什么样的变化。互联网上又出现了一些什么样的攻击技术，它有可能会对我们的企业产生多大影响，CIO应该对整体安全有一个评估，出现一种新的攻击技术的时候，他应该考虑到我的网络有这样一种风险，我应该怎么去排除它。CIO起的作用就是这样，应该是非常专业的人对这个企业的整体按网络安全环境有一个很好的评估，他能够为这个企业去寻找第三方的专业厂商对他提供帮助，这是CIO的职责。

　　主持人：现在像外包，信息安全有没有可能外包呢?

　　李铁军：这个我觉得一般的信息安全服务可以外包，比如帮你杀毒，维护网络的正常运转，这个可以外包，其他核心的，信息泄露，我自己都怕泄露，外包情况不太可能，基本上都靠自己人去做的。

　　主持人：在组织队伍的时候，目前在人才市场上，满足这种需求的求职者多吗?满足企业对信息安全管理方面的求职者?

　　李铁军：从我们平常的工作当中，还有从我们的客户当中了解到，企业非常需要这些懂安全的管理者，实际上目前我们还是比较缺的。

　　主持人：一般得靠自己培养出来，很难找到现成的?

　　李铁军：对，很难。网管的经验是慢慢积累的，我们了解的情况，也不是说有非常多的网管，他具备有很好的信息安全管理的经验。他可能就擅长于维护这个网络当中的布局，去调整这个网络。实际上我们发现懂安全的这种网管是不太多，不太容易找到的。

　　主持人：您刚才说的像这种病毒，包括木马的预警是做不到的，不安全的因素总是存在。但是企业应该从何处下手，才能够自己最大化避免这种情况出现呢?因为风险总是无处不在的，攻击者也是时时刻刻都觊觎我们的企业系统的安全，他总是想进攻进来，您觉得他们自己如何，在哪些方面做一些提高，避免攻击?

　　李铁军：我觉得首先应该有一套预警的系统，你要知道什么情况下，你的网络当中有一个入侵者，这个入侵者做了一些什么，应该有一个比较好的管理系统，还有一个报警系统，某一个异常的程序，在访问网络当中发现一个异常的访问请求，这个请求应该通过类似于入侵者的系统和安全管理系统的日志，把它记录下来，因为这个系统要及时向网管提供报警，在这种状态下，网管员就可以通过一些相应的解决方案去分析，攻击源在什么地方，能够及时把这些攻击源解除掉。

　　主持人：在此之前，经常会出现这样的情况，一旦出现信息安全的事件，IT部门的负责人就会想到购买最先进的防火墙，采用最先进的技术来弥补这些漏洞，但是在企业最高层的管理者来看，花了很多的钱。在很多企业存在这种矛盾，就是IT部门好像总是在花钱，不见产出，您对此有什么认识?

　　李铁军：的确是这样的。在一个网络能够正常运转的时候，企业的管理者，觉得这个网管是不是要不要都可以，网络安全的设备，是不是不要也行，就是这样。在网络正常运转的时候，没有发生一些事件的时候，他可能会这么去认为，但是一旦发生一些特别严重的事件，他就知道了这个网管员的价值，就知道了这个信息安全投入的价值有多大。比较简单的，像一些数据备份，我曾经遇到过这样一个案例，他们的系统由于某种原因被攻击了，然后系统崩溃掉了，这个时候网管员才想起来，应该有一个磁带机的备份，他去找的时候，发现磁带机里面却没有磁带，这种就是一个很大的安全事故。企业投入了很多的精力和财力做这样一些安全，购买这些安全设备和一些方案，但是这个方案实施过程当中，要对它不断进行管理，像防火墙，像UTM，或者像这样一些安全设备，不是挂上去就没事，网管需要经常性去检查它的工作状态，有没有发现一些异常的现象。安全在实施的过程当中要不断去检查，它有没有发现问题，在这样的情况下，我们采取对应的措施，一次性投入，就不用管了。

　　主持人：在我国现在目前金融电信等一些行业里面，信息安全投资，已经占到了总比重的10%以上，而在一些关键的行业，据说信息安全的投资已经占到30%到50%，您建议我们的这种中小企业，它的投资大体控制在什么样的比例是合理的?

　　李铁军：我不清楚整体的投资在信息安全上要花多少钱，我是觉得应该是根据这个企业，实际上它对网络的依赖程度有多大，它需要什么方案构建一个安全的网络环境，这样去做它的业务，它在业务当中对信息安全方面投入多大，我觉得这个占多大比重不是最关键的，应该是解决问题为主，保证他企业的网络正常运转，保证他的企业不造成损失。

　　主持人：这次的CIO百家讲坛就到此结束了，谢谢您的收看，再见。

　　李铁军：谢谢各位。