编者按 中国信息安全博士网作为中国信息安全行业的高端智库平台,一直在我国信息安全行业发展过程中贡献着自己的力量。“高端访谈”作为中国信息安全博士网的重点主打栏目之一,将定期邀请我国信息安全行业内的顶尖级专家、学者、重要行业用户代表以及部分政府官员和产业精英,通过不同视角的深度剖析,为读者全面展示信息安全领域各方面、各层次的发展及尚存在的问题,为行业发展、产业进步提供建议,并将他们的观点,通过文字、音频或视频在 “高端访谈”栏目里展播,希望能引起读者的共鸣。
个人简介:门嘉平,四川大学硕士,在信息安全领域从业24年。北京国联天成信息技术有限公司创始人,现任公司执行总裁。曾从事系统层病毒与木马危害研究、系统层0Day漏洞挖掘与黑客入侵防御系统研究、网络层黑客入侵防御体系研究,并担任“黑客攻击取证技术研究”的课题负责人。参与过国家重要信息安全相关标准的起草与修订,现从事应用层的信息安全研究,主要在应用层的0Day漏洞挖掘、应用层黑客防御体系、应用层木马检测与防御领域进行着深层次的研究。
主持人:门总您好!高端访谈从开办到现在已经采访了几十位专家、学者及企业界人士。很高兴您能到中国信息安全博士网做客。
门总,先问您一个问题,您对“中国信息安全博士网”和《安全周报》有多少了解呢?呵呵!
门嘉平:记得“中国信息安全博士网”是在2008年上线的,与业内的朋友聊天时说起过,我认为“中国信息安全博士网”立足科研、学术和产业,能及时的把相关的政策法规、前沿技术文献、新安全产品等分门别类的做好发布,在信息安全界还是发挥了很大作用和影响。
《安全周报》作为一个信息安全电子刊物,非常快捷的定期发布政府政策、产业动态、技术前沿、黑客攻防等最新信息,对于信息安全从业人员来讲具有很大学习和参考价值。
主持人:“中国信息安全博士网”及《安全周报》还有很多需要改进的,能给我们提些宝贵意见吗?
门嘉平:目前还没有太好的建议,整体来看“中国信息安全博士网”和《安全周报》办的有声有色,如果能继续加强推广,提高知名度和影响力,应该能充分发挥在信息安全领域的高瞻远瞩作用。
主持人:谢谢门总!门总一直在从事信息安全的相关课题研究,那今天我们就来聊聊信息安全的相关话题?
门嘉平:好,愿意与大家一起分享自己在信息安全领域的心得体会。
主持人:大家都知道,木马、黑客等安全威胁一直都是我们关注的焦点,它们几乎无孔不入。网民无法摆脱中毒、被黑等状况吗?木马和黑客像大家想象中的那样恐怖吗?
门嘉平:的确如你所述,木马、黑客都是安全威胁,这些安全威胁不禁危害着普通使用网络的百姓,更危害着国家安全。
目前,我们在操作系统、网络设备、应用系统和工业控制系统等方面,一个相对比较长的时期内还需要依赖国外产品,ODAY漏洞的不断涌现,更甚者发现漏洞的人不公开那些漏洞,而是为其他目的所利用,就造成了对广大网民的安全风险,这些也是我们国家的信息安全风险所在。
虽然大家在自己的系统上安装了防病毒软件,企事业单位购置了很多安全设备,但是在ODAY漏洞涌现处理的时候,大家所采取的安全防范促使依然显得力不从心。也可以这样讲,如果不能从操作系统、网络设备、应用系统和工业控制系统等方面真正实现国内自主知识产权化,那么摆脱木马或者黑客威胁的效果将见不到实际成效。
说到这里,不得不来说说大家熟知而又陌生的木马和黑客。木马和黑客不同于大家理解的病毒或者骗子,形象比喻来讲,木马和黑客更像具备目的性极强、能智能伪装、高效完成任务的间谍,相对应的病毒和骗子更像特征明显、容易被识破的施展雕虫小技的跳梁小丑。跳梁小丑是容易被识别捕获的,但是间谍可是专业安全部门才能甄别的,同样的对木马和黑客的防范,不禁需要国家从操作系统、网络设备、应用系统和工业控制系统等方面根本上解决问题,还需要加强大家使用网络的安全意识,防止上当受骗。
对于个人计算机用户,在没有重要和敏感信息的情况下,安装终端防护软件,定期做好系统升级,一般不会出太大的问题。
主持人:看样子,个人的电脑安全还是可以得到有效保障的,大家不必闻“黑”色变。不过,当前的企业网络正在面临着Web滥用、病毒泛滥和黑客攻击等安全问题,有没有什么比较好的方法从根本上去解决这问题?
门嘉平:随着海量信息伴随云技术推广,云端计算机会更广泛的服务于企业或者个人,同样这些信息中也会掺杂一些良莠不齐的信息,这些尚还可以接受。但是同样的,木马间谍软件等也会浑水摸鱼,时刻威胁着广大企事业单位和个人。
系统安全与网络安全的防护技术相对成熟,应用层安全防护尚处于刚刚起步阶段,攻击破坏者正是利用了应用安全防护的不足在兴风作浪,在这种严峻的形势下,需要国家、更需要我们使用应用系统的组织和个人提高应用安全防护的意识,加强应用安全防护的措施,才可以逐步缓解遭受侵害的可能性。
主持人:那么,那些黑客经常发起攻击破坏的原理是什么呢?有没有比较简单的防范措施?
门嘉平:黑客发起攻击并不是盲目的,首先他们要有充分的准备,比如找到可利用的弱点,也就是大家经常提起的0DAY漏洞或者是已公开但没有采取弥补措施的已知漏洞,有了这些存在的弱点,再利用一些针对性的工具,就可以发起真正意义的攻击破坏。
所以,大家在使用计算机的时候,要经常对系统和应用程序进行升级,减少黑客能被利用的弱点,就可以很大程度上避免遭受侵害。
主持人:为什么大多数的攻击发生在应用层面而不是网络层?应用层很脆弱吗?
门嘉平:从宏观讲,国家经过10多年的大力扶持,成就了一些大型的网络安全公司,研发了比较成熟的网络安全产品,并发挥着重要的网络层防护效果,所以黑客利用网络层弱点发起侵入破坏所花费的智力和财力是非常大的。相反,大家在工作和生活中真正使用的是应用层的业务软件,国家从十二五宏观战略发展规划中(2011年)刚刚开始重视,应用层软件的弱点还没有被更大深度的挖掘,相关的防御产品和措施在成熟度和整体性上都有值得商榷的地方,这就给攻击破坏者带来了可利用的机会,因此现在很多攻击破坏开始从应用层发起并形成破坏,最后直至侵入网络达到攻击破坏的某种特定目的。
正因为应用层软件是大家在工作和生活中真正需要使用的,但是开发这些应用软件的企业或个人往往只是为了实现约定的功能,并没有考虑软件在编码过程中存在被黑客可利用的弱点。类似这种情况,被广泛的存在于各行业各业务应用系统中,所暴露的或者隐藏的漏洞弱点,恰恰给攻击破坏者留下了巨大的可利用机会,这就造成了应用层脆弱无比,需要我们做应用安全研究的企业和组织、甚至从国家角度都要花费相当长的时间去逐步减弱到逐步解决。
主持人:既然是这样,那在您看来应用层安全研究的盲点及弱点在哪里?要如何突破这些盲点和弱点?
门嘉平:应用层安全研究的困难主要存在以下几点:1、国家没有专业的科研院所培养应用层安全研究人员,造成应用安全研究人才严重短缺;2、行业众多,业务应用复杂,功能多样,已经进入应用安全研究的人员,对业务应用缺乏实质了解,可能会造成研究过程中的疏漏;3、从事应用安全研究的企业和组织缺乏足够的资金去扩大研究范围和研究深度,资金问题是困扰应用安全研究的沉重枷锁。
要解决这些盲点和弱点,至少需要从以下几方面全面推动,才能见到实质成效:1、科研院所开设应用安全研究学科,培养专业人才进入应用安全领域从事具体研究工作,解决应用安全研究人才短缺的问题;2、对从事应用安全研究的企业和组织,财政不但要从税收负担上进行优惠,国家还要对应用层安全研究科目进行大力扶持甚至无偿资助,解决这些企业和组织资金短缺的问题;3、对应用层业务系统开发的企业或个人加强安全培训,从功能实现的编码质量上解决问题,减少可能被利用的弱点;4、应用系统上线使用之前,要对应用软件进行深度评估测试,减少应用软件携带问题的概率。
主持人:现在有很多的安全企业都注重下一代防火墙的研究,下一代防火墙的优势在哪里?它对那些恶意攻击有多大的遏制作用?
门嘉平:下一代防火墙的研究,在很多网络安全企业里已经着手研发了,特点主要表现在能适应万兆的多核架构高速处理,另外实现更细粒度的网络层安全过滤。随着全国互联网的普及和网速升级改造的完成,万兆网络使用环境将逐步成为主流,这也就催生了下一代防火墙开发的基本动力。
多核硬件架构的使用极大提升防火墙的性能,使得在防火墙在网络层之上可以能实现一些功能的延伸,比如可以做到传输层和会话层的安全过滤,从一定意义上讲,可以遏制一部分来自应用层攻击造成的损失。
主持人:门总,您自己也一直在做信息安全的相关课题研究,那您能不能和大家谈一下您对应用安全深层防护体系的设想?这一设想能否实现呢?
门嘉平:应用安全涉及面很广,在大家的生活、工作中无所不在,在企事业办公环境、工业生产、军工国防等各行业都是核心问题。
信息安全是对系统安全、网络安全和应用安全等方面的更高概括,应用安全只是信息安全中的一个分支,离不开系统安全和网络安全的基础而独存,只是随着系统安全和网络安全防护的成熟,众多的应用系统弱点被暴露而被更多的攻击破坏,所以才显得更为突出。
应用安全又细分了很多方向,比如WEB应用安全、数据库应用安全、数据安全存储、应用层木马间谍软件防护、云端应用安全、应用软件源代码安全等,所有的这些应用层防护措施要能组成应用层防御体系,才可能彰显实际效果。因为应用安全人才极度短缺、国家对应用安全研究的扶持力度尚未真正意义展开,所以在应用安全防护措施实现方面发展的还是比较缓慢。
主持人:其他各国对应用安全层面的建设做了哪些部署?有哪些是需要我们特别关注的呢?
门嘉平:横观其他国家对应用安全的研究,我国应用安全研究尚处在起步的初级阶段,发展比较成熟的国家有北美、欧洲和日本等,这些在应用安全领域发展较早的国家除了前沿技术已经熟练掌握,他们更深层次的把应用层系统软件做了更高规格的源代码级评估审核,形成了从源代码、应用安全策略、应用安全产品防护等多种技术、多种手段交叉防御的成熟模式。
在应用安全领域,国外的先进经验和技术都值得我们去认真学习和借鉴,才可以实现我国应用安全防护领域的快速长足进步。
主持人:今年3月我国将实行微博实名制,部分地区已开始实施快递实名制。关于网友们担心的实名制后信息泄露问题,您如何看待?您有什么好的建议或是防御方法提供给我们吗?
门嘉平:微博用户爆炸式增长,实名制在某种意义上是一种非常好的管理和监督方法,能有效防治恶意发布危害国家安定、社会稳定的言论,对舆情的管控和引导能发挥很重要的作用。但实名制后的博主信息的安全存储也成了应用安全领域的一个研究课题方向,个人信息安全,从微观来看可能会影响一个人或者一个家庭,从宏观来看可能影响一个阶层甚至一个民族。这种从民生到国家稳定的举措与应用安全防护技术成熟度密不可分,需要提供微博服务的企业认真思考,也需要博主认真对待。
主持人:在09年之前,您做过很多信息安全的相关课题研究,09年成立了现在的公司。是什么让您由一个学者加入到了企业家的行列呢?您是怎样适应从学者到企业家之间的角色转换的?这两个角色冲突吗?
门嘉平:应用安全领域在全国人才严重短缺的情况下,学术研究相对比较超前,但是产业发展明显滞后,本着促进应用安全产业发展保障国家应用安全的目标,在企业里培养应用安全专业人才、把前沿的学术研究成果实现产业化促成了自己创立企业的根本动力。
学术研究与产业发展密不可分,二者是相辅相成,彼此促进的。学术研究离开了产业方向,必将脱离实际,形成唯心的空谈;相对应的,产业没有学术研究的指导,将迷失其发展的方向而走向没落。很多优秀的学者同时也是知名的企业家,他们都是我学习的榜样,虽然从概念上学者与企业家相差甚远,但是从培养应用安全专业人才、把前沿的学术研究成果实现产业化的角度上,两个角色又是相互补益的。
主持人:门总方便向大家透露一下您目前研究的课题以及课题的进展吗?未来您有何打算,您的研究方向在哪里?
门嘉平:如前面所提到的,系统安全与网络安全在国家的大力引导和扶持下,培育了很多人才,成长了一批企业,同时在科研课题方面也颇有建树,形成了以评估并弥补弱点、从被动防护到积极防御的战略转变。但是应用安全在种种因素制约下,尚处于起步研究阶段,我现在关注和研究的重心已经转移到了应用安全领域,并取得了阶段性的成果。
应用安全是未来一个比较长的时期内,各行业都亟需考虑并形成实际需求的方向,目前国内在应用安全领域从业的人员远远不足,我会在这个领域继续深耕细作,以培养人才、研究应用安全前沿技术为长远的研究方向,为国家应用安全保障工作竭尽全力。
主持人:您能从一个企业家的角度分析一下企业的安全现状吗?企业安全防护的弱点在哪里?要如何去加强安全防护呢?
门嘉平:一个有规模的企业在追求规模效益的时候,往往忽略了自身安全自评,导致了诸如泄密等危害客户、甚至危害国家民族利益的事情时有出现。
企业在自身文化建设方面,可能着眼于规模、利润等方面的考虑,制定比较好的战略发展规划和氛围,但是忽略企业文化也应该包含安全意识教育,甚至忽略法律法规的根本遵守与约束,所以远不是企业购买几台安全设备就可以做好企业安全防护的。
企业在发展的过程中,需要把企业文化建设与内部信息安全条例相结合,把员工技能培养与信息安全意识教育相结合,把企业管理制度与安全防御技术相结合去全面加强安全防护,其成效将比较显著。
主持人:嗯,谢谢门总的慷慨,给大家提供了很多不错的方法,也让大家对信息安全的现状有了更近一步的了解。再次欢迎您来中国信息安全博士网的高端访谈做客,希望下次您再来的时候能给大家提供更多更好的防御方法,同时为“中国信息安全博士网”和《安全周报》提出更多的宝贵意见。
门嘉平:感谢“中国信息安全博士网”和《安全周报》能给我与大家一起沟通交流的机会,祝“中国信息安全博士网”和《安全周报》越办越好。
主持人:好了,朋友们,今天的高端访谈到这里就要结束了,感谢您的收看。请继续关注“中国信息安全博士网”和《安全周报》,我们将为大家提供最新,最全的信息安全资讯。再见!
(责任编辑:管理员)
