“第八届中国信息安全大会”于2007年4月18日在北京新世纪日航饭店隆重举行。本次大会以“和谐网络&应用安全”为主题,并组织了四场分论坛,主题分别为“安全网络&绿色上网”、“特色产品&行业应用”、“信息安全管理&合规性”以及“业务协同下的应急管理”,以下是本次大会的精彩演讲之一
何悦:大家好,我是来自北京北信源自动化有限公司的何悦,我们公司最开始是90年代一直致力于终端产品的研究,为什么叫自动化,因为那时候还没有现在的词,所以就叫自动化的,实际上跟机械的自动化没有关系。我们还做内网终端防护体系的建设,目前是国内最大的信息安全提供厂商。
我从90年代末期在病毒领域做的时候,不光做病毒也做些维护,发现最大的管理问题全部来自于终端,一般情况下作为交换机也好、路由器也好,不太可能自身产生故障,相对比较少,真正问题发起端是来自于终端,已经有了很多用户的安全产品,像防火墙、防病毒、入侵检测、网管其它很多东西,但是我接触所有的网络管理人员的工作任务还是非常的繁重,每个地方都会说自己的网络安全管理人员不足,为什么?实际的原因我觉得是现在的手段存在着安全监控盲区。我们发现实际上内部监控是什么呢?目前常见的只是防火墙和防病毒,这两项对终端而言是不够的,举一下终端最常看到的问题。
补丁怎么去处理,不可能靠技术人员一个一个去打。移动存储电脑或者移动存储设备,拷东西就走谁也不知道。不是说只是两台机器联一个网就可以了,不知道什么时候两台机器就联通了,经常出现。还有终端统一的安全设备,比如允许使用哪些软件,不允许使用那些软件。还有类似于一旦网络出现问题的时候,到底怎么样去发现哪个终端异常、正常,全部都是终端的问题,这些问题都是安全网管人员解决的,他全部做好也是几乎不可能的,因为任务非常的繁重,所以有很多深已经重视到了这些方面。比如CISCO已经在它的Router设备里面加入了一些相应的功能,还有VISTA也有相应的功能发布。
总结一下整体的趋势,第一个功能就是产品功能进一步大集中,我看到有人装了很多的程序,这样就有可能造成紊乱。第二产品功能进一步细化,我估计最晚到明年肯定会有准备针对行业的区别。第三,实际上产品更加的自动化和人性化,在中国我看到的几乎所有的安全产品都是自动化和人性化不足,我们看到的报警产品都是一个灯在闪这样,前面有人说需要专人去负责,实际上安全的软件没有做到这样,理论应该做到什么程度呢?我不需要很专业的人员,什么都不懂一看这儿有一个报警马上自动化就处理了,这是发展的方向。另外,产品终端安全产品和硬件产品应该相结合。
简单介绍一下我们这个产品的构架,实际上我们产品的思想就是终端管理,没有安全管理也管不好,这是很简单的道理。一个网到底有多少台计算机,多少台终端,如果弄不明白根本谈不上这个网是否具备安全性。
我们这个产品本身的构架真正部署的思路是完全跟用户单位的行政构架是完全挂钩的。核心的功能实际上有几个,我简单的说一下,第一个就是接入,实际上所有的接入设备就是可以控制它、可以管理它。第二,每台桌面的计算机如何进行管理和运维,第三文件分发管理,第四补丁及文件分发,第五非法外联行为监控。一但接入以后我们的定位是对设备定位,一旦出现报警的时候接入的时候就马上定位到人。
终端接入管理,本来这应该是一个最基础安全管理的东西,但实际上普遍做的并不是很好,内网到底有没有人使用类似于代理的方式,通过计算机联到内网去,还有不知道是谁使用计算机,这些问题都普遍存在,在较为大的网络中基本上是难以控制的。我们做了哪些处理呢?首先通过注册,我们是通过一个客户端程序以后解决所有跟终端相关的问题,对用户来说是一个非常简单的事情,不是让管理员做的,而是让用户填一下用户信息,注册了以后就会知道这个电脑是谁使用的,他填了确定以后实际上这个过程就是他装客户端软件的过程,用这种方式我们曾经在一个部门大概只用两个月的时间实现了几十万的互通,不要想的这个多么的复杂,其实很简单。
另外在物理定位以后,未注册终端拒绝入网管理,我们的用户估计没有一个用户可以接入到交换机,最简单的解决方式就是不要用动硬件的解决设备,另外有专门跟接入相关的全部都可以定位。方案一是跟802.1X接入的方式;第二,接入网关方式;第三,低成本认证交换机方式。谈到认证的时候专门说为什么和终端相联?比如说你有没有装高危的补丁,另外就是你装了病毒软件,但是没有升级,我们都会检测到这种情况,我直接给你转到母服务器上自动打补丁、升级,这样的话可以保证每台计算机确定了之后是OK的,第二是健康的,这是接入管理整个的过程。
第二,也是经常碰到的问题,USB移动存储设备管理,包括U盘这样的设备,这种设备现在非常非常的便宜,那么我们就针对这个体归了一个解决方案。一般密级解决方案,这个地方允许不允许插入这样的设备,把U盘分级、分类管理,所有的数据交换我全部都在审计、在记录,这样就可以了。
第三个问题,这实际上是一个补丁的问题,还有一个文件分发的问题,这每个人都知道打补丁,主要的把这个处理一下。打补丁之后不光有一个补丁,还有其它的补丁,还有其它的事情如何处理,另外打补丁的时候一定要测试,毫无疑问我相信每一位用户用到自己的内网有自己私有的东西,一旦替换了补丁原来的东西肯定不能用了,所以我们准备提供了一个测试组,就是说你可以随便先做测试。
产品主要的功能,实际上这就是我大概的介绍一下,如果谁有具体的问题可以仔细的问一下。做到计算机的可控,第一,终端基本管理,要做到的就是知道它在什么位置。第二是终端安全管理,包括桌面密码权限管理,终端统一防火墙,终端杀毒软件管理,终端安全等级管理,IE安全设置,恶意软件免疫、注册表监控和防护,终端连线和离线策略管理。
还有IT资产,主要是三块管理,我们提供所有的报表和一个模板。桌面的管理,像终端主机的流量管理,进程运行管理,终端服务管理、软件安装管理、上网访问控制、终端消息通知、远程协助、外设端口控制、垃圾文件清理、终端点对点管理、系统自动关机管理、终端时间同步管理。
还有类似于主机运维,像运行资源、流量异常、进程异常监控、客户端文件备份。非法外联行为监控,终端非法外联互联网行为监控。还有一些事件报表及报警处置及第三方接口联动、安全监控强审计,文件保护及访问审计、文件网络输出审计、注册表审计、文件内容检查、工作目录管理审计、网络共享审计、上网访问行为审计、特殊行为审计。
补丁我刚才大概介绍了一下,这里不太多介绍了,主要是做一些测试和均衡。移动存储和网络接入刚才我都讲了一下。简单讲一下我们主要的特点,一个就是我们的客户端技术实际上从1992年的时候沿用到现在的技术,可能在现在有几百万的终端,我们的客户端技术足够的稳定和成熟,一般情况下不会出现不兼容的问题。我这个平台作为终端产品,如果一旦被攻克的话危险性就比较大,我们有一个可靠稳定的中央运行管理平台。构架肯定是不限制的级别,所有的收集跟杀毒软件一样文化是自动升级的。特别提的有两个,一个是我们大规模的客户端的快速部署能力,和可平台化的扩展定制功能。
目前是终端产品市场占有率最高的一个产品,这是CCID的一个简单统计数据(PPT),主要就是这些内容,谢谢大家。
主持人:应该说我听了您的演讲我感觉你们的产品已经把内网所有的问题都解决了,我先问一个问题,我觉得您这个内网管理把好的行为和坏的行为一起管理是吗?
何悦:这是用户去区分的,不是我们去区分的。
提问:我想问一下你的移动存储设备管理,这个设备是市面上通用的还是自己研发的?
何悦:一般情况下是市面上通用的,如果有很高的要求也可以用自己研发的。
提问:我有两个问题,一个是关于USB移动设备管理,你们能不能做到内部的出不去外部的用不了?
何悦:就是为了这个做的,已经实现了,而且可以分组管理。
提问:另外对权限的管理现在只是禁用和启用?有没有只用户通过键盘和鼠标拷贝,而不通过自动的数据的IO?
何悦:这是不可能的,最初设计的目的就是为了干这个事情的。
提问:你们补丁方面是最先进的?先进在哪里?
何悦:第一我们是最先做的,第二件事情我本身提供了专门的测试组,这个组相对于其它的产品软件是没有的,必须在这个上面来测试,哪个用户无论如何一定要在这上面测试,第三我们转化代的测试,现在在国内是比较先进的技术。
提问:以前我们接触过你们的早期产品,你们的策略在一台中上设置的很多,整个大策略上是逐台分发还是整机分发?
何悦:主要是用脚本进行分发。
提问:是对脚本进行控制是吧?
何悦:每台机器有几种获取方式,分发的方式是可以由管理员做控制的,检测也是可以做控制的。
提问:还有一个是关于非法电源阻断的,对网络设备这块是怎么考虑的?
何悦:分几种,第一种是保护机制,需要所有的设备放到保护里面去,第二我们都默认保护。
提问:有没有考虑到IT产品的联动?
何悦:考虑到了,我们发现别人拿我们的多一点。 | 
