李贵林：立足创新以新一代技术维护国家信息安全

　　2007年5月25日，中国北京国际科技产业博览会组委会办公室主办的第十届科博会“自主创新与高新企业发展国际论坛”在人民大会堂隆重开幕，以下为北京亿思高特公司总经理李贵林先生做演讲。

　　李贵林:女士们、先生们，我非常荣幸在今天论坛最后时刻登台演讲，最后一个出厂不一定是压轴之作，事实上你们要听到最小的计算机安全公司创业者的声音，但是这不妨碍我们探讨自主创新这样一个伟大的主题。

　　我的演讲题目立足创新，以新一代安全技术维护国家信息安全。有人说过，钱不是万能的，但是没有钱是万万不能的。在信息社会的今天我们是否也可以这样联想，电脑不是万能的，但是没有电脑是万万不能的，谁能想回到没有电脑的世界，生活是怎样的，我们的社会、生活、已经越来越依赖着电脑和信息技术。电脑技术尤其网络信息技术的迅速发展和广泛应用，使得信息共享扩散和修改变得如此简单快捷，以至于如果我们没有足够有利的安全控制技术，无论个人隐私还是国家的机密，都有可能泄漏，严重影响人格的尊严和主权的完整很遗憾现实世界正发生这样的情景，可以说是经常发生。这样局面就为社会每个国家，每个组织甚至个人提出严峻的挑战，但是几乎没有人会因为安全原因而拒绝使用电脑，可以说信息安全技术成了整个社会正常运转的基本要求。

　　在信息技术造就地球村这样一个大背景下，随着世界扁平化，任何国家任何组织很难依靠固有某种与生俱来的特征保持领先，几乎面临同样的竞争压力和机会，而且，几乎只有一种解决办法那就是创新和发展。信息技术如此重要，现实生活中我们做的怎样呢？我斗胆分析一下信息安全技术的现状和发展方向。现在的信息安全产品花样繁多，千差万别，从设计思想上分成三类，一类是把守关隘型，第二种全盘恢复型，还有局部防御型。一种把守关隘是御敌于国门之外，一旦突破国门以后，这种产品形同虚设，既不会保护电脑系统核心问题和敏感信息，也不会对攻击行为提供任何蛛丝马迹供分析。第二种全盘恢复型，考虑

病毒和其他的危害，可能侵害系统，强调事先备份，如果发生某种危险，使整个系统时光倒流彻底回到以前的状态点，这种做法固然可靠，但是它比较消极，因为在系统恢复的同时也会使用户这段时间的劳动成果灰飞烟灭，第三种是局部防御型，通常着眼某个细节，有的是加密传输，有的实现加密存储，或者实现某个局部自动分析。

　　现在总体安全产品设计思想有以下缺陷，它是一种把守关隘的安全防御方式；设计思想是分层面防御方式，有点单打一的设计，好比做防盗门就做防盗门，做防盗窗就做防盗窗，整个房间的安全往往考虑不够全面。第三个缺陷是对付病毒等威胁的处理方式手术式杀毒的思路。众所周知病毒发展到今天已经有很多方法变形或自我防御，很难保证什么方法把它杀掉，而且电脑文件本身结构千差万别，做手术的难度越来越复杂，这样的话手术的成功率不能令人完全满意的，我们认为这是设计思想上的一些缺陷。智能化程度较低，是按图索骥式的危害识别方式，针对每一个具体的威胁，具体的病毒人工分析，然后由杀毒反应按图索骥式的识别危害的处理方式。

　　这些设计存在什么问题？首先产品的有效性存在问题，装着杀毒软件或防火墙对付新病毒往往无能为力的，换句话说你不是完全放心的，什么时候对病毒有效？是要升级，病毒的样本经过人工分析并提交升级之后才能生效，换句话说这有点事后处理的嫌疑，产品的有效性不能完全令人满意。其二就是系统的负荷问题，可能大家都用过安全产品，绝大多数安全产品会直接导致系统的运行效率一定幅度的降低。第三个产品升级问题，众所周知现在几乎大家认同的安全产品就是依靠升级保障安全的，如果回到起点考虑，站在用户立场来说，被迫进行密集升级显然比较麻烦的，能不能试图做到无须频繁升级，或升级不是那么频繁。第四就是高度依赖人工的分析防御方式。现在安全产品几乎无一例外都是要求有安全专家针对每一个个案进行具体分析，然后识别和防御这些危害，这就导致了安全防御的马后炮式的尴尬。

　　安全产品的发展方向是什么？根据我们计算机公司的理解提出一个方向，也许是非常粗浅的，我们觉得安全产品必须智能化、自动化，现有安全产品基本上依赖人工分析识别的，智能化程度很低，有没有智能化的方式，这是我们探索的问题，也是值得每一个安全行业的专家考虑的问题。第二个是要有全方位，集成化的解决方案，要有高可靠性的防御思路。刚才讲过现在的处理方式，可能会导致成功率不是很高，因为这样手术式的杀毒方式，要求过高，因为电脑文件结构千变万化，很难保证彻底成功。

　　现在有幸向大家介绍一下我们产品，叫毒眼集成安全系统，我们设计理念和现有安全产品有严重的差异，我们大概的设计思想是四点，一个是变把守关隘为纵深防御，现在安全产品绝大多数都是把守关隘，我们想法做纵深防御，我们首先会记录电脑里一举一动，就像黑匣子那样，不管病毒做了什么？不管是好人还是坏人，你的一举一动我们首先做一个连续、详尽的描述。我们称为日志系统，作为后续分析的根据。第二个变方面防御为全面防御，现有安全产品分门别类，我们认为安全应该站在全局的立场做集成化的防御，现在安全产品之所以叫集成安全系统就是试图从这个方向着眼，试图比较全面，全方位考虑系统的整体安全。第三个是变手术式杀毒为自动恢复。处理病毒感染，现在产品往往是手术式的，对文件做手术或者删掉，拿电脑和人比，人得病必须要做手术，因为人死不能复生，人的人体结构是稳定的，这样手术成功率比较高，电脑文件千变万化，有非常多的压缩或各种变形技术，试图对各种各样的不同结构，不稳定的文件结构做手术难度非常高，实际效果就使它的可靠性有一定的问题。第四变按图索骥的方式为智能分析，这就是我们现在提到的智能化，自动化的实现策略，因为我们觉得如果我们继续走人工识别的道路，现在病毒层出不穷，很难真正实现用户的安全，现实要求我们必须往智能化和自动化道路上探索和迈进。

　　下面介绍一下我们安全产品，叫毒眼集成安全系统的独创技术，我们安全产品做的是预先防御和纵深防御的思路，它做的是智能化自动分析的方式，这里面有些什么样的技术呢？第一个是害虫监狱技术，现在安全产品对付病毒的手法是处理，很多时候病毒有自己保护层，这导致你想对它做手术部一定能成功，在很多情况下好比一只乌龟有一个强硬的壳，如果直接拿刀砍会砍在壳上，我们做的是加一层壳，使这个文件完全不能访问和运行，我们用这样一种逆向思维的手段对待病毒，现在实际效果比较灵验。

　　第二个是事件恢复技术，现在有很多恢复产品，前面已经描述过，基本上全盘恢复的方式，我们指的是事件恢复，也就是电脑里发生的某一件事情，针对这个事情来恢复，比如电脑遭到攻击，在系统里安装了什么文件和数据，仅仅将修改的东西恢复过来，对电脑其他地方还是保持原有的状态，这有别于现有的状态恢复的策略，这样做的好处轻巧而且精确。当然事件恢复的前提是完善的日志系统为基础。

　　第三个是除奸技术，电脑有大量的后门和奸细，之所以发生作用一定是修改系统内核某些关键调用，或者替换了正常的函数，除奸技术就是扫描

操作系统关键程序，看是否被调用和修改，如果被修改，我们找到原发地，从而找到系统的奸细。

　　我们这个产品设计时考虑跨平台的分析，我们之所以叫集成安全系统，不光考虑一个机器的情况，更考虑全网的情况，目前我们实现的是全网有Windows客户端和Linux客户端，还有一台硬件控制中心，自动收集各客户端日志系统和病毒情况，然后做综合分析，通过综合分析出病毒在整个网络中的传播轨迹，以及流量统计等数据。

　　我们实现文件保险柜技术，考虑用户的机密文件一旦泄密不可恢复，用户的敏感信息需要事先装到保险柜里面，然后使得你的文件不能被别人访问，如果你需要访问它，还可以为它设定一些访问规则，比如可以设定这些文件礼拜一访问，礼拜二不可以访问，或者访问需要什么密码，或者只能用某个特定的工具访问，比如可以为Word文档制定这个文件只能用Word访问，其他就不可访问，你自己使用很方便，因为你机器装了Word，其他人试图拷贝和删除都不允许的，使你非常方便对机密信息的安全控制。

　　文件关联分析技术是比较重要的，在说明书中叫毒眼分析技术，我们注意到现在病毒的发作往往不是单一的孤立文件，而是协同作战，往往有一大串的文件共同泛滥，我们借助完整的日志系统可以知道每个文件是谁创建，谁修改，他做了什么事情，通过文件关联分析技术，可以保证当你机器发生攻击的时候，可以把攻击的害虫程序一个补漏地全部抓住，并且分析他们的启动关系。

　　最后一个是快刀技术，为了彻底杀灭害虫技术，我们采用了快刀技术，基本思想就是把害虫跟保护伞控制起来一起杀死他们。

　　我们产品系统占用率非常低，Windows安装包只有4M大小，以智能化识别危害，没有任何病毒库和识别码，我们CPU平均占用小于1%，非风险内存仅仅500K，在网站上可以直接下载尝试一下。无需频繁升级，因为我们只需要做功能性升级，不需要对每一个具体的病毒识别提取特征，所以不严重依赖升级，第三就是首创事件恢复技术，区别于整体还原。第四个就是我们可以兼容其他的安全产品，在绝大多数情况下，装了其他的安全产品再装我们的产品相互之间不会发生冲突，在同一台电脑可以和平共处，第五强调一下彻底智能化、自动化、集成化的趋势。

　　有了毒眼会怎样？对电脑一举一动会了如指掌，就像装了黑匣子一样。能够更有效保护机密文件，通过保险柜功能可以使机密文件更加放心，第三个独辟蹊径制服害虫的方式，第四更可靠维护系统的稳定，通过自动备份和恢复，而不是手术式杀毒。自动防御，文件关联分析技术和跨平台的控制功能。我们产品一个是控制中心，一个是客户端。我们这个毒眼集成安全系统诞生时间很短，不可避免存在这样那样的问题，衷心希望得到在座各位专家领导的批评指正，作为中国信息安全行业里最普通一员，如果为新一代计算机安全产品最终彻底实现起到探路者作用，我们就十分荣幸，谢谢大家！