曹鹏:大家好,下面的20分钟时间交给我,在我开始介绍的时候,我一直很想问大家一个问题,这个问题也是近两年我不停问自己的,我想问的是,如果在座各位都是非常称职的信息安全管理员,我们可以想想在过去两年或者三年时间里面,作为对安全防守者这一方,我们也没有真正构建起一个真正了不起的安全框架、有一个特别了不起的安全产品、技术上的升级,帮助我们彻底解决了安全领域的某些问题。我经常在想在过去这些年里我们是不是真的做了很多了不起的事情,在安全领域的技术上有了特别大的飞跃?我觉得可能是没有做到这些,但是我们想给大家看看攻击者,我们的对手,他们过去做了哪些事情,他们有了哪些飞跃。
 
当我们做系统维护、升级的时候,大部分的用户口令我们是可以得到的,Windows系统口令是最长是14位的,最变态的口令如下是N73k-a7……,我们称之为这些口令是变态的,有人说这些口令也是变态的,他说正常的人怎么可能把这些人用脑子记下来,我说这是不可能有人把这些作为自己的开机口令。我做过一个调查,这种口令有多大的可能。Windows的口令是7位一段存放的,但是我后来发现为什么很重要的信息系统要每隔一段时间就换一换口令,是因为黑客也在努力的发展,破解口令的时间越来越短,在06年我们做了一个调查,最厉害的我们发现到花多少时间?只花5分钟,只花5分钟就可以把我们不可能想象的口令破解了。
 
另外更多的口令甚至连暴力破解都不再需要了,口令的本地HASH保护算法在过去几年遭受到了前所未有的破解实力冲击,安全隐患不断被发现和曝光。最近又有很多黑客公司也好、黑客团体也好,把2的4次方也好,5的6次方也好,他们只要10秒钟就可以完成这种破解,他们从11天到10秒钟,也仅仅是用了一年的时间。在操作系统之外,硬件设备的驱动HACK也逐渐被更多人认识到其中的可怕。所以我们说20年密码攻防战很可能是以安全一方失利来谢幕告终的。不知道大家认同不认同这些观点。
 
我想今天我们的网络银行还有很多单位都在选择SSL-×××作为自己的主要应用防护的加密手段,当我们正在用SSL-×××保护自己的同时,那我们来问,SSL-×××真的安全吗?这个界面是我在上个星期出台的时候,我的朋友在另外一个房间上网,而我在自己的房间上网,他上网络银行所有的过程都被我监控下来,最后我可以做到马上登录中国银行,登上操作界面,进入转帐页面都非常顺利,我们可以看到他的帐户还有9000多块钱。
 
我经常在机场、酒店大堂、时尚的咖啡厅看到很多人很自在的她着笔记本电脑在享受网络冲浪访问。很多电信运营也在积极的推进无线AP,那么我们请问这些无线的AP都是安全的吗?器用安全的无线网络用嗅探的方式我们可以看到什么东西?我旁边的兄弟的所有行为,被我用嗅探的方式查到了。所以无线网络真的是我们想象的那么安全吗?我知道有很多电信运营商在全国城市里面覆盖无线热点,好象看起来很方便,但是安全性问题我们是不是需要来考虑?
 
我想说的是什么呢?在过去两年或者三年里面,好象作为我们安全防护者的我们好象没有做出太了不起的事情,因为我们的对手攻击者在不停的颠覆我们对于安全的控制、理解、保护能力。随着网络建设不断的扩容,现在很多客户开始建第2张网络、部署第3张网络,今年还有4个新系统可能要上限,可是或许安全的维护人员连5个都不到,技术与人的比例开始逐渐的失调。
 
再来看一下,我在3、4月时间里面我都在出差,我问我们的理工,我们有没有定期,每天上午、下午或者下班前看那些安全产品系统的布置,因为安全问题被越早的发现就会被越早的解决。我想如果问大家这个问题,有没有去看一看这些日志呢?我想在座的有95%的人都会摇摇头。但我经常反过来问,今天我们不做是因为我们自身的能力也好、我们的工作压力也好,是因为各种各样的原因,但我想问的是我们这辈子是打算不打算做这些事情?如果我们打算做的话我们是不是要想一种方法、手段去做到,而不要每天抱怨说没有时间、没有精力,我想这些应该是我们思考的。
 
现在的安全管理团队,我这些天走过很多单位,我说你们的安全团队到处解决问题,但是风险意识跟控制意识不太好,我觉得在01年的时候出现了无数次的信息安全的报道上的问题,我们都说3分技术、7分管理,管理是重中之重,但是很可惜在过去这5年时间里面,我们的信息安全管理领域没有什么了不起的增长,没有什么真正有效的信息安全管理,我一直在思考这个问题,终于有一天我领另五到了其中一个的道理。

作为今天的技术人员,我们解除了很多技术的标准,尤其是安全领域的标准,这里面分为两派,技术的一派、管理的一派,技术的标准拿来升级是很容易的,我们只要把美国、老外最新的芯片买来就可以实现升级;但是管理的标准呢?我们好象很难把老外管理的标准拿到中国来管理中国的人。在2001年我参与了埃森哲7799,但是我发现我们很少有人是按照7799去做的,我也没有看到做的是很成功的。我发现原来老外经过了4、5百年文明的发展,他们总结出来的管理标准想来管我们今天5、6千年的中国文明、想管我们中国人,几乎是不可能的。我们说3分技术、7分管理,管理应该一定是要有我们中国特色的,而不是仅是直白的把这些拿过来到中国做,因为那些细节要点你会发现既没有生命力、又没有执行力,我们说一个电信运营商的日志仅是一台机器的日志就有1个G,你拿什么去分析?不要说分析,你用什么工具把1个G的日志把它打开都是一个问题。我曾经遇到一个用户,原来每天的日志里面的细节是这样复杂的,原来在每天8个G的日志中可以看出这么多的问题。
 
好了,我想对信息安全说什么?它过去是一种对抗,那么这就体现着一种东西。在过去这几年时间里面,两年到三年时间里面,刚才给大家讲的一些案例,这些都是我06到08年我所实际经历过的,而且我们所看到的攻击者的技术、进步都是非常快的,而对于我们作为安全的防护者,我们一定要在这方面有所增长,那么我们东软在08年连续第三年攻防实验室规模增长超过150%。站在另外一种角度上,用一种技术去对抗一种技术,这种驳议的双方其实都很累,双方都在不停的变化,永远是今天他好一点、我们今天好一点,很难达到一种平衡。所以我要写我的第二本书,就是《信息安全的博弈》。那么我们如何增快我们在安全领域实际的效果?由于时间有限,我只举两个小例子。
 
第一个就是我们公司,我们公司跟所有公司都一样,有一个小规定,在上班时间不允许员工随意访问Internet,但是结果我们发现在IT的公司里面很难做这件事情,如果你卡的很死总是有些人想去百度、Google搜索一些资料会很困难,但是领导又很为难,如果真的放开了,就无法控制这些人上跟工作无关的Internet。那我就给老板提了一个意见,为什么不放开?但前提是,你什么上都可以,但是公司每个月要把监控你日常所登录的内容反馈给你一份,后来我们发现这样做非常有效。
 
下面讲风险管理,我想说风险管理在过去几年时间里面我们一直做的是不好的,为什么是不好的?第一,大量的报警信息、威胁信息,我们很少有人去察看它,我们很少把弱点把这些关联在一起分析它,我们很多时候就像救火队一样,是事后的去解决这个事件的发生。但是如何让安全的意义真正发挥出它的供销呢?并且我们不能让每个人每天看几万条日志,今天东软在我们推出的安全管理体系平台框架上,通过我们找出所有的资产类别,把类别进行区隔,每天我们不要就事论事的去看这些,把这些都关联一起去看我们,我们看到有所谓高风险的攻击是跟它的攻击类别不匹配的,如果每天我们很忙,忙到了我们累死了也做不到所有事情,那么我们好,我们把最重要的10个事情做好,那么这10个,重要事情是什么?我们就要通过这些分析找出我们最需要做的事情是哪些。
 
我想不管到什么时候安全都应该是一种责任,安全的合作身后应该有深厚的友谊,今天的安全产品也不应该再是传统的安全产品延伸,我们不应该一再买很多安全产品,而不去注重它们,而导致自己依然瘫痪。安全管理平台应该是面向未来非常好的管理方向。对于厂商来讲,对于东软来讲或者在座的有商来讲,我们必须要承担起这个责任,我们在过去十年时间里面走过了国外厂商所走的路,但是我们说拐点应该出现了,我们必须要走出具有中国特色的信息安全的道路。
 
最后也预祝今后几个月要举办的和东软将要参与的奥运顺利圆满的举办,另外我还希望在09年的时候我还站在这个舞台上,在那时分享我们在信息安全方面的努力、工作,我相信所有的人都举起手来,说我们真正的做到了!