主持人：大家上午好！(上午的主持人是中国民航报社朱习华社长)

　　主持人：女士们、先生们上午好。昨天我们经过一天的紧张会晤活动，大家经历了一场头脑风暴。相信大家都会有各自的收获。今天上午我们安排四个专题讲演，第一个由趋势科技中国技术支持经理资深讲师齐军先生，就《民航业信息安全保护战略》来发表演讲。大家知道我国开展电子政务起步相对较晚，跟国外先进国家相比，无论是在网络安全意识还是 在网络安全防护技术等诸多方面都还有存在不小的差距。今天他会给我们带来很多的认识和启发。下面有请。

　　齐军：大家早上好，非常高兴今天有一个机会跟大家探讨网络安全方面的问题。这个问题说大也大，说小也小。在网络建设当中几乎没有能避开病毒这个问题，而且在民航当中占有举足轻重的地位。它会影响你的服务质量。我们看一下如何解决这个问题。当你考验系统安全的时候，你大概会考虑什么问题，我们在这里切出一些，网络安全是非常大的话题，有几点你是不可能避开的。第一保密性的问题。不能被行业之外人知道的数据。另外我们辛辛苦苦构建一个系统，当我鼠标点下去的时候，我设计的页面应该马上弹出来，如果你电击鼠标弹出另外一个东西，你会说系统有问题。另外，系统的完整性、数据的完整性，有很多的东西你要考虑他是否运营一年之后，一个季度之后，是否还能向原来向设计当初那样发挥作用。数据是否在你需要的时候全部提取出来，进行分析和汇总。所以数据的远征性也是非常重要的。再就是可用性，人们看到可用性通常考虑的问题就是我的数据存在那里，这个数字就可以为我所用。剩下是我买的机器快慢的问题，但现在从实际环境当中，看到相当多的企业都面临到网络的架构非常的完整，非常的好，没有受到任何的破坏。数据都是原始数据，没有受多什么破坏。但整个网络的可用性非常的底下。当他点击鼠标的时候会发现他反应非常非常慢。到底是谁导致这样的问题呢？是谁在无端的发一些数据包呢？我们发现是跟病毒有关系。换句话说，我们的投资是否能产生效益，就在于此了。我们说，很多人网络安全的时候，依然把他的视线放在访问控制、身份认证，这个东西是很重要的，最近看到很多安全方面的讨论资料上看，或者从我们的生活经验上看，我们都可以理解到说，一个不相干的人跑到我的网络来做，对我整个网络安全来讲一定有问题的。有没有考虑到，当我们合法的用户在使用的时候，也会给我们整个系统带来一些问题。我们是指误操作之外，这些问题从哪里来？绝大部分是由于调动数据进行流转的时候，在流转的过程当中加带的一些东西，他们控制的一些东西，现在是分散式的计算环境，数据有可能是天南海北，有可能是你我他刚才加工过的数据，在调用的时候有可以就把不安全的因素带过来了。我们给这个东西统称就叫病毒。学术说来讲，病毒是非常简单的东西，附着在一个文章中去。现在看到，很多的病毒并不是这样附着，我们说的广义病毒概念，我们现在把所有恶意的程序纳入到病毒的体系当中来，包括下面这几类，第一传统的病毒我们依然要管。第二木马型的东西。包括像蠕虫。还有一些由病毒产生器产生的代码，还有垃圾邮件等等恶意的程序。病毒是非常宽泛的概念。在20世纪末出现翻番的态势，目前来看，2000年到2001年出现了特别恶毒的病毒，数量尚没有增长，但质量上得到了极大的增强。即将结束的年度里面，发展的态势是另外一种状态。具体什么样，我们一步一步来汇报。我们先看一下实例，比如手机的案例，我们曾经在一家制造型的企业里面，我们跟他讨论病毒的问题，在我们接触初期的时候，他的网络刚刚开始运行，他网管人员有一种乐观，姑且成为一种盲目的乐观。他认为分为两个部分，一个是OA系统，一个是生产系统。生产系统使用公共机。他把他们都纳入一个网络里面，看到初期的结果是管理非常的便利，可以的通过PC控制端看生产环境怎么样，出货量怎么样，他出口手机里面关键的芯片。过了一段时间，这时候我们发现他出现了全新的情况，这个情况是史料不及的。就是出现了病毒。病毒大家都知道，它的运作方式是完全自动化，不可控的。它必须出货，但他害怕由于在病毒控制下的生产设备，会不会这批芯片全部都有瑕疵，结果处于两难的境地。最后的解法没有办法，停止你的生产系统，把病毒清除掉。这样大好的商机就消失了。第二个案例是一个孤岛，信息孤岛这个概念大家都不陌生了，我们把网站跟别人隔离来，数据不跟你交换，形成自己的环境。在国内很多企业都是这样的环境，一开始构架都说我不跟你连，你也别来找我。的确避免的一些问题，比如避黑。除非自己的人员监守自盗。但事实上孤岛没有解决病毒的问题，病毒怎么进来的呢？在高级研究所里面，他所有的系统需要进行严格的身份认证，人员进去之后，权限的划分是非常精细的，在这样环境里面竟然被一只病毒感染的满城风雨，用了二个星期的时间才把病毒清除干净。怎么感染上的呢？通过人员的访谈、核查等等之后，发现非常简单的步骤，你的数据不是员工一字一个字敲进去的，大部分是从外部拷进来的，一些高级的工程师把家里面研究的东西拷过来，集中有一个工程师在网上下载，其中带了一只蠕虫病毒，他就把这个资料拿到系统当中使用，由于他本身的权限非常的高，因此在系统里面感染了大批的数据源，当别人使用这批数据源后，马上就会传播起来。所以在信息孤岛里面病毒感染事件是无法改变的。另外路由器，我们在今天年终访谈时发现，有一些网管对病毒新的手段，这是我在访谈之前真没有注意的手段，就是监控他的路由器，发现他的流量持续的大，他就会跑到主机上去看机器怎么样，这些网管非常的负责任。他把专杀工具都拷在一个光盘上，哪到主机上所有的功能运行一边，如果还没有发现问题，这时候他就很挠头，就要求助一些专业的人士，在整个过程中，受到压力他的主机并没有垮，他的网络垮了。因此请大家注意的一点，现在的病毒，现在新型的病毒并不是以干掉你一两台机器为能事，现在而是拖垮你整个网络系统。另外一个案例就是法轮功的案例，我们看到有一些企业，他们OA系统跑的非常好。经常有人收到一些莫名其妙的邮件，而这个邮件又是同事发过来的，同事又是往内网跑的。所以没有什么戒心，结果一打开之后，张三说了一句法轮功好。结果你处于好朋友，你告诉张三，说你怎么发这个东西。张三说我没发啊。后来一查是别人顶替群发的。当我们的用户如果说种的病毒，同时又有这些垃圾邮件的侵害，还要发这些垃圾邮件，对我们影响是非常恶劣的。所以从病毒实际来说，方方面面影响我们。今年病毒比较安静，没有特别闹的病毒。今年有一只老病毒，长时间的跃升第一名，说明整体的系统安全水平还没有提高起来。还有一只病毒是求职信，还有妖怪病毒。这个病毒出现时间并不长，11的时候有一条高科技新闻，报告全球发现了一些妖怪病毒感染者。特点是比较创新，以前的病毒进来之后就是蒙头大干一些坏事就完了，就把你系统搞乱就可以了。但妖怪带有更强的黑客色彩，你会发现你系统里面会多了一个键盘输入监控器，一旦你连网连接通了，本身病毒有自动的发送引擎，他会把他生成的一道键盘输入整个文章发到特定的邮箱里面，你会发现你的用户名、密码、敲的任何东西他都知道了。还有一种就是新欢乐时光，他在系统里面种了之后，你会注意的一种特点就是你资源浏览器里面全部是一片乱码。有些人看到这个的时候，说系统垮了，我要重装了。实际上这个病毒就是改写一个东西，你打开资源浏览器的时候，在右边有一个饼图，表示你用了多少空间，还有多少空间。生成这个格式。当你感觉到我资源浏览器看上去怎么都是乱码了，同时你抓病毒的时候，一个系统里面抓几百的，几千的是很正常的。我所见过的情况，最大这只病毒感染的时候，本身的病毒体占据的空间是几G空间。整个运行速度非常慢。现在更多是有相当长的潜伏期。包括像今年有大量概念性的病毒，比如专门攻击Linux，现在来看，只要你的系统应用水平提高，就一定会注重你。注重你当中就肯定有设计病毒的。还有攻击SQL。还有一些我们认为以前很安全的模式就是PDF、JEPG格式，JEPG完全是纯数据图片，像一些安全机构里面，把秘闻塞到图片里面去，但现在已经都可以塞到图片里面去了。分段式攻击方式Cposoft，在跟别人进行交流的时候，你会看到有人莫名其妙给你发一个连接，这里面有一个东西需要下载，你可能是认为朋友发来的消息，是这个机器种了病毒之后给你发过来。他给你发过来的消息没有问题，这个东西接受之后一点儿警觉也没有，你点击下来可能也没有问题，可能只是一个服务。但服务从特定的网站里面下载特定的有害内容，在你的系统里面发作。所以他会分成两个、或者三个阶段起作用。今年总的来看，病毒危害程度不是很凶狠，但却给未来打下了很好的基础。出现了多角度攻击网络的态势。

　　在整个民航的系统里面我们注意到的东西是，民航天生就是高科技的企业，网络的应用、计算机的应用从一开始就有。从设备的制造、维护到我们整个的运营、数据分析，所有一套东西都是依靠高科技的东西，整个网络、计算机系统进行高效率的运作。如果没有他，我们整个性格都会发生一些影响。我们整个竞争过程当中，服务品质，比如我的行包，如果我下飞机之后10分钟之后能够拿到我会非常高兴，如果1小时的话，又是另一种感受了。飞机的维修网点、人员的驻地等等，我们需要有一种手段连接起来，整个服务团队流动性非常过，包括最简单就是人员的排班，你知道这个人在什么地方，知道什么时候回到北京来，又可以排班。人员的调配你必须到系统里面看。服务可靠性要是非常的高，整个信息化的建设在我们看来，民航里面就是整合资源的位置。能够用来进一步发挥资源的效力，达到服务品质进一步提高的效果。定位防病毒这一块，我们关心是说我们是否能保证这个系统能够安全的运行下去，所以我们做的是技术保障工作。昨天晚上从海口飞回北京，我们看了一期《中国之翼》，提到民航要实现信息化，8月份在总局的领导下做了一定的规划。我们在整个基础架构的铺设上，我们做了很大的工作。在整个应用平台来讲，不管ERP系统上马也好，还是其他的决策系统、数据库系统，我们都投入很大的精力去做。很多人都忽视你不管是输入的终端还是获取的终端都非常的分散。还有离港系统也在大面积的普及。这些地方如果不注意到的话，随时有任何一个带来病毒都可能对你整套的系统产生影响。我们现在看到是点多面广。对我来讲就相当于一个高速公路。好车可以跑，但你要放一辆一边跑一边泄漏大量沙石的车，那未来就特别大了。整个信息化建设你要对你的合作伙伴有信任度。如果你在运行的系统里面闹一个病毒来，你损失就大了。你不能准时离港也好，还是飞机指挥系统出现问题，都受不了。另外还有劳动生产力，如果纯手工的方式，不要想国外的罢工，只要系统罢工了，人还好好的干活，人工干也是做不来的。无法满足客户的满意度。在整个信息化建设，在防病毒角度看到的，在我们之上，比如建ERP系统，建CRM系统，整个从领导层决策之后，是投入大量的人力、物力去做，需要下面一系列人员配合你的，如果产生信用危机，你这些系统就做不了了。如果按两本帐来做，ERP系统我不信任他，我按照以往的经验记一个本子，这样你劳动生产力就上不去，所以这事说小就大，说大就大。在整个安全领域里面我们专注的做防病毒，只有专注才能提供高品质的服务。如果不是专注那么我们给大家提供防病毒解决的速度就会受到影响。当时定位就是做防病毒，这个信条一直坚持到现在。世界上有很多做安全的公司，基本上都是在向大而全的方向发展，而我们避免了这个事情，专注的做这个事情。我们要保证服务品质，而不是推出一个产品就算了。张文正先生非常的活跃，在北大、清华、《对话》节目等等声音也非常多，虽然他的注册地是在美国，但基本上是以华人为主的。我们在全球有23个分公司，虽然IT的股市非常的低迷，但对于我们来讲，我们现在在2002年的时候，我们成为了日经指数参照股之一，股市上对我们的认可还是非常好，认为我们是负责任、有存活能力的公司。我们在北京、上海、广州设立了办事机构，同时我们在南京设立有我们的核心研发机构。我们新产品，包括我们对病毒的反应，在国内都是有人做的。特别我们还注重在国内提高服务品质，防病毒不是产品之争，而是服务之争。我们经过一年的时间，2001年8月份我们进入中国竞争，后来100多家通过我们的认证成为我们代理商，目前有300多个认证工程师，跟全球是同步的认证方式来做，而且是不停的，我们会互换大家回来，再培训也好，再教育也好，防病毒就像滚雪球一样，三天不更新就出现问题了。在国内已经形成了区域化的服务体系。他们会开辟一个病毒专栏，让更多的人除了网管之外，让所有人了解最近什么病毒会发作，你要做相关的安全补丁要做那些，你要关闭服务，你要关闭哪些服务。我们要让所有人对病毒不再陌生。我们始终保持快速的研发，而且我们有很多高端的东西，比如跟防火墙的整合等等。对于存储来讲，对缓存技术来讲，一系列高端的级别的应用，都有所支持。所以目前来讲，我们在高段设备上是跑的最稳定的厂商。从市场的占有率也再次证明了这一点，在所有数据都要进出的时候，他要是你性能是最高的，在这方面要达到市场的认可要达到63%。在服务器这一级来讲，我们目前可以支持Linux，最早推出Linux商用防毒解决方案的商家。所以全球认可达到三分之一。群架市场像惠普等等一些东西，我们也占30%以上市场份额。占到30%以上就可以说是领导性的厂商了。产品之外我们更注重是通过我们在各地的办事机构，通过我们在全球的客户、合作伙伴建立全球性的病毒检测网络，全球不管在南非发生的病毒还是北美发生的病毒，还是在我们身边发生的病毒事件，任何病毒事件我们都可以迅速的获得信息，获得信息怎么办？一会儿我们在服务里面会简单的谈到。我们对病毒所有简要的提供使限时的。而且我们会有一个保证，如果没有达到我们所说的服务品质，我们会自罚。在现今危机四伏的环境里面，我们可以帮助大家实实在在的解决病毒问题。我们简单看一下趋势科技在解决问题的时候，我们基本的理念。我们认为在传统的防病毒来讲，最大的弱点在于它的滞后性，在病毒出现之后，我提供一个杀毒的工具，专杀工具谁都有。对于技术来讲，OK！没问题。但实用来讲，一个病毒一个杀毒工具，你追病毒跑，你根本追不上他。病毒代码在整个过程当中，会是唯一的救命稻草。也就是管理员获得专杀工具之前就是等，等什么？说句不好听的就是等死。2002年比2001年病毒事件少很多，这时候你是否要维护几百人的团队，说你们就学防病毒这块就好了。没必要。这时候你不维护，你一旦病毒来了怎么办？说我现组建来。不济及。你会发现你投入再多，服务品质不会很高。我投了很多钱在应用建设上面，这时候非常干净没有病毒发现所有人喜欢这个系统，但病毒进入之后，整个服务品质下降。当你清除掉之后，不仅服务品质下降了，信任度也下降了。你投资汇报就会很低。不停的出现病毒的话，对你信任度，对你整个服务品质都是严重的影响。趋势科技我们强调：企业防护战略。我们从更高的角度看这个问题，其实有很多的问题可以在病毒之前去做，去做这些事情的时候，我们在整体防病的时候，我们认为防毒的基础不是产品，而是冰山的一角，浮出水面的四分之一，最基础还是支持，要让你的客户和员工了解病毒这东西并不神秘，病毒完全可以解决了，我们用什么手段可以解决这个问题，如果大家都是老鼠过街，人人喊打，人人都去杀老鼠，这就可以控制在很小的范围之内，不会惊慌。病毒测用文件，有预警的作用。另外我们说在了解支持之后，支持的传递一个是人员，服务提供商、内部的服务团队。另外就是产品的层面。我们认为人员非常重要，病毒是用出来的东西，你要想解决用出来的问题，根本还是用人解决，靠人的自觉性，人了解之后去做。这些服务团队会利用对应的产品、对应的程序、方式针对你的系统做一些调整。这些调整他怎么知道做这些调整呢？又进入产品层面上，我们首先强调在防病毒上面，不管你的网有多大，应该有一个中央管理机构，能够看到全网的事件，能够看到全网服务器运行的状况如何，了解到哪儿着火，哪儿不着火，如果搞分区停电的话，我可以切电。在这之上我们才能说还有产品。我认为这都是最后最后的问题。从整个病毒的爆发国家来讲，我们也注意到，我们现有的工作方式需要调整。当一个病毒爆发的时候，我们管理员迅速夹起包就冲出去了，在机房待三天两晚，眼睛都熬红了，这个同志非常的好。但经常跑就要考虑了，为什么跑。我们认为在病毒之前你有很多可以做的，第一就是要了解病毒的信息，信息的发布是我们厂商的责任。我们通过一系列订阅的方式，通过手机短信的订阅、通过服务合同里面会约定，你的接口人是谁，我的接口人是谁，哪怕晚上2点我打电话过去说别睡了，病毒又窜进来了。其次就是免予被攻击的防护，911发生之后，美国第一个出台的测试是严查所有的阿拉伯人，伊斯兰教不一般，谁信一定要查。我们不能说阿拉伯人就是拉登的人，信伊斯兰教就是拉登的人，但我们可以从表面层面上判断，只要把这些人剔除出去，那么几率就会降低。就像蠕虫一样，可以名称不变，但其他的一些特征发生变化，或者名称变了，其他特征不变，利用发面的现象也是可以抓病毒的，这的确是在更新之前做的。他是中央集中的手段，你调查每一台机器，就是在病毒爆发之前，你要做一个普查，看谁的防护能力在防这个病毒的时候是有问题的，有一些病毒攻击手段非常的单一，如果你不开特定的服务，你这边打了特定的补丁这个病毒就进不来。我们现在在北京，我现在调查到了在杭州有一个补丁没有打。我打电话告诉他们也许几分钟就解决了，但避免了后面灾难的发生。另外还有灾难的调查，比如船上着火了，你扑灭火之后，你要检查一下。整体上来讲，趋势科技提供多层次的产品线，这些产品线只是构架大家防病毒体系的模块，在这个产品线之外，更引以为自豪是服务。我们病毒通常的更新恶性病毒更新是保证在2小时之内做出来，怎么进入系统，里面有一点儿人工干预的东西。整个系统构架，病毒处理机制我们想在这里提一点就是，目前全球做病毒的厂家里面，我们是唯一一家获得ISO9002认证。合作伙伴我们保证有很多了，另外来讲，在欧美我们有一些大型的企业，其中在航空这个行业，两家最大的航空设备制造商都是我们的客户。整个悉尼运动会也是我们防毒。我们认为悉尼奥运会是任务急、任务重的，而且很难控制的任务。如果大家对趋势科技有兴趣，可以访问我们的网站。谢谢大家！