主题:2007网络技术论坛暨供应商合作洽谈会
时间:2007年9月25日(下午)
地点:中国大饭店宴会厅D
主持人:我们马上进入下午的主题,我是IT专家网的总经理郭开森,首先十分感谢大会的主办方,中国互联网协会为大家提供了一个特点的平台,今天也是中秋节,在这里我代表大会主办方向大家道一声节日快乐。
2007网络技术论坛暨供应商合作洽谈会的主题是"技术创新、引领发展、绿色网络、共创和谐",今天下午在这个论坛上聚集着互联网的技术精英,我们期待着一场技术对技术的碰撞。首先我们有请中国互联网协会理事长胡启恒致辞。
胡启恒:各位大家好。伟大的互联网为人类打开了通向信息时代的大门,青年们要抓住互联网展示在他们的空前机遇,大显身手,从创业者中人们获得机会。
社会将加速进步,走向文明,民主,富足和和谐,而创业者本身将能够从他们的成功中体验他们人生的最高价值,在这样一种,使整个人类加速前进的网络系统中,驱动的源泉,既来自于市场,也来自于技术进步。
众所周知,市场需求比任何学府更能有力量推进发明和创新,同时大量的历史事实也证明,某些具有市场预见的技术创新,确实启动了新的需求,发掘出了潜在的市场。此时任何创新的应用都少不了技术创新为他们提供实现的手段和安全的保障。技术创新孕育着发展,保证着发展,支持着发展,引领着发展,这可能也是信息时代的一个特征,发展的前提是市场的支持,市场的主体是人民群众,所以发展本身就在呼唤,使公众感到安全,舒适,放心和快乐的环境,只有人人承担一份责任的时候,才使人感到安全、舒适,放心和快乐的环境,这就是为什么我们提出"技术创新、引领发展、绿色网络、共创和谐".我们将发现保障发展,支持发展的环境。希望本次论坛启发更多潜在的创业者,能促进更多心思维的碰撞,能成为一些技术新发展和技术新创意的起搏点,再次感谢大家的参与,预祝本次论坛取得成功。
主持人:非常感谢胡理事长的精彩致辞,我们知道2007年互联网又回归到技术的主题,刚才看到大会的展版上有一句话,叫互联网改变生活,谁改变生活呢?那就是技术,让我们以热烈的掌声有请Wemer Zosn先生。
(Wemer Zosn英语演讲)
主持人:谢谢Wemer Zosn先生的精彩演讲,他是德国波斯坦大学的,他主要演讲是围绕他的模型演示互联网多种需求,对服务器的要求,其中一个很核心的,也是非常流行的SOA方面的一个话题,如果大家感兴趣大家可以看相应的视频。
我们接下来进入第二个演讲环节,我们由于请北京天下玩数码娱乐科技有限公司的CEO陈岸荻先生,他的公司是做无线互联网的,无线应用可能是将来互联网走向深入的一个潮流,我们有请陈岸荻先生跟大家分享一下无线互联网娱乐与应用软件。谢谢!
陈岸荻:你好,我是陈岸荻,首先谢谢大家参加中国互联网协会,也谢谢中国互联网大会和胡理事长给我的安排,刚才Wemer Zosn技术的技术产品,咱们是把他的技术变成产品,我来介绍一下自己,咱们的公司,我的名字,我叫陈岸荻,1997年我们在美国加州美国游戏广场,公司第十年了,今年是我们十周年,十年来我们公司分两部分,一部分是游戏连锁店,一个是四年成立的有线跟无线的应用软件产品,和游戏开发。
各位不好意思,我的中文比较差一些,因为我20年在美国,11年在香港,刚刚这两年才开始学普通话,我尽量说的清楚一些,所以请各位体谅体谅。
我在10年来在美国得到的荣誉,我的一些奖状和白宫给我的邀请函,2000年我是美国加州成功商人,美国52个州代表美国所有的商人给政府的一些回馈,帮助政府改革,还有各个方面的一些表态。2003年我被美国总统布什请到白宫领取杰出商人奖。
以下我介绍一下美国游戏广场连锁店,到现在我们有6家连锁店,有4家加盟店,公司主要是五个部分的结合,就是向客户回收,还有跟客户换游戏,这四个部分比起任何的竞争对手我们是他们的25到30倍的选择性,我们做的很成功。除了这以外,我们还有游戏广场的联盟赛,这是我1999年上的报纸,讲竞赛中有一天会变成体育比赛,没有年龄的限制,没有受伤,它是脑子反应的体育竞赛。
美国游戏广场以客户服务为第一,有质量的产品,选择性占第二,价格占第三。在美国每个月有120多款新的游戏出来,美国有不同民族种族,我们的宗旨就是为客户度身打造游戏。美国有些公司见到我们的特长,所以他们邀请我们开发游戏,因为这样的,过往这么多年我们认为我们在开发上面有一定的经验和基础,去年我们成立了基于在有线和无线上面的开发。
这是四年前我们在澳洲的合作伙伴,我们利用3G网络开发了坦克大战,首款手机游戏产品。
这是我们紧密的合作伙伴,一起紧密合作的合作伙伴,以及给他们开发产品。因为我们也是零售业,连锁店,我们也是开发商,跟我们合作的公司有150家之多,去年我们来北京发展了天下玩数码娱乐科技有限公司,它是一家内容提供商,也是一个渠道提供商,我们是内容提供商和渠道提供商为一体的一个公司。
2004年我们开发了第一款对战的手机网络游戏产品,同样的引擎可以给六个人对战,百人,千人,万人来对战。
我们在华的公司集合了美国一些技术专家为我们的骨干,而且配合国内优秀的工程师,我们的产品结合东西方文化的结合,所有的产品都是我们自己的开发,我们自己创造,有完全自主的知识产权,我们把有线互联网和无线互联网一个很好的结合。这是在在天津给天津市长戴相龙的洽谈,这是形象代言朱时茂,凯瑞他们说英文,但是普通话说的也非常好,下面是我们另外一个代言人,她是美国舞蹈演员,她中文说不好,但是中国功夫说的非常好。
对于我们来说,手机市场跟互联网,如果要在手机互联网上征服市场,在手机上做的好的话,很难靠一款产品来征服市场,因为手机的客户有男有女,有老有少,有白领蓝领,有各种不同的人物,要靠不同的产品,所以我们的公司分广告类,游戏类,社区类等。
以下就是我们的一些游戏产品,UFO,这个是我们第一款,当时中国的六人联网对战的游戏产品,可以看到对手的进展,可以取得炸弹,可以攻击对方,延迟对方的进展。这是母子游戏。
我说的比较快,因为时间的原因。外国人不认识麻将,所以把麻将变成四种颜色,随着手机的进步我们也有新的产品,我们做了更多的动漫,在游戏业如果女孩子喜欢证明这款游戏容易上手,我们在手机上开发的游戏在四五分钟之内,因为我们担心客户打的太久对眼睛不好。
这是对3G时代做的一个产品,是两个人联网,我们认为在手机上聊天有点枯燥,大家互相发送心理测试题,而且可以买礼物送给对方,最后有一个爱情指数,觉得好的话可以在手机上面聊天,留言,加入好友。幸运星可以告诉你每天的运程,可以把自己的运程增加。通过这个游戏的流程,教课的流程也有一些测验,我们把大的测验变成程度,客户不知不觉玩游戏而学习,不知不觉中会看到每一个单词重复了三四遍,可能他很容易记住了。
之后说一些我们主要开发的引擎和产品,这是我们最近开发的产品叫智能家居无线监控系统软件,这个软件主要用手机遥控家电,今年五月份我们跟海尔公司测试,成功通过,主要用手机来遥控所有的家电,包括电视机,洗衣机,微波炉等。这个产品我最喜欢的是遥控电视机,可能很多小孩子生我的气,如果家长下班没回来,小孩子看电视,家长在办公室就可以看到小孩子看电视,看了多久,可以反过来把电视关掉,然后反锁。里面加了一些流动条,这个产品我们拥有自己完全的知识产权,欢迎任何的电器制造商来跟我们合作。下面正在遥控的时候也有这些滚动条,如果电器公司有任何的消息,广告形式都可以在这里发送,而且我们加了密码,如果手机丢了,给人家拿到,人家就不能控制你的家电。
下一个产品是MH系统,它把互联网上所有的功能和所有的信息拉过来放到一个小手机上。这是美国的雅虎,谷歌他们为了拓宽他们的市场,所以他们也把自己的搜索引擎放到手机上,这个手机上可以把所有的PC网页移植过来,我们这个产品结合了网页。
这个产品是我的一个合作伙伴,我们把他的校园社区做在手机上,我们也把他的拼图游戏放在手机上,进去可以给他的同桌对战,他们可以上去聊天,里面加了我们另外一个技术,所以可以直接用手机照一些照片,编辑你的博客,直接发送到互联网,还有手机无线网络上面。
下面我要说的NBA,两个重点产品之一。NBA是我们一个突破,比如美国正在打篮球的时候,中国手机就可以实时见到比赛的分数,还有赛程,比起互联网上的信息整整比他们快一分钟,因为我们服务器直接跟NBA合作,直接发给客户,NBA还有球员的进球率,盖帽率,针对个别球员球队的聊天和留言,同样这一个产品,这是一个突破,因为互联网这么多的信息把它拉到一个小手机上,同时可以时时报道奥运,足球赛,体育,除了这个也可以报道飞机航班,交通信息,股票信息,所以是一个多功能的品牌,我们把游戏变成游戏光盘,把游戏放在一张卡上,客户只是需要发送密码,发给客服,这是后台的管理,操作系统,我们可以随时把这些卡关掉。
这些卡也不只是一个游戏,可以把所有的游戏放在这儿,一张卡可以放20个游戏也行,我们通知客户在这些游戏里面选三个,选五个,同时可以放游戏,可以放视频,这个引擎就可以给卖汽水方便面的商的产品上一个密码,他用这个密码可以玩游戏,这样可以达到广告的作用。
我们天网游戏广场多人联线手机对战平台,可以减少他们的成本,提供天网的产品给客户,给CP来开发游戏,把他们的单机版变成多人对战,集中在手机客户方面的开发。
最后要说的产品,广告中心,就是引擎,广告中心引擎分四个部分,这个API应用软件产品,任何的产品里面,除了我们的产品,也可以放到别的CP的产品里面,API像一个服务器,一有广告的时候把广告分别发送到有API的手机上,你见到这个广告有兴趣以后,你摁了以后它可以给你链到网页上,广告有重复性,如果这个广告重复25次他百分之七八十不会忘记了,比如客户登陆多人对战的时候,加入房间,突然看到这个广告是ABC公司赞助,你打到前十名会送给你东西,客户看到自己喜欢的产品会看到广告。除了广告以外,游戏和客户有互动性,比如教育游戏你过了关,发给你奖,打印出来,你可以到麦当劳领取奖品。而且可以看到广告有多少人看过,被下载了多少次。可以按照类发送,体育类有兴趣客户我们可以发体育类的广告,我们可以发校园社区,或者教育上面的广告群,一个不漏发给他们。我们有一个后台给广告商减低他们的开发期,广告的制作期,因为广告商只要在网上编辑他们喜欢要的广告和文字,编辑好了以后发给咱们,咱们一看没有什么不良的信息以后我们就直接发送,及时发送出去。
这个是广告中心的网页,还有它后面的广告。这个广告中心最后一点就是它的三个收费方式,它也有先付费,还有先记帐后付费,还有竞价排名。
我们社区引擎主要是聊天留言,加入好友。我们所有的产品都有自己的版权。
我们不单是一个游戏公司,我们也是一个有线无线的应用产品和娱乐产品的开发商,我们有创造能力,我们有开发能力,我们有技术能力,我们希望跟各行各业的合作伙伴,跟你们合作,让你们利用我们的技术来延伸你们的产品,加宽你们的市场,我们希望跟合作伙伴一起共同打造中国无线互联网,共同赢利,一起把中国互联网变得真正的无处不在。
谢谢大家的时间!
主持人:谢谢陈总,通过陈总的演讲我第一次知道玩手机游戏是可以转运的,我们希望新创的公司也可以转运。下面我们有请太阳计算机中国有限公司市场拓展经理王雷先生跟我们谈一下SUN在Web2.0时代的技术方向及对新创企业的特惠方案。
王雷:其实我不是一个技术背景的人,让我来讲点技术有点赶鸭子上架,我主要讲讲针对Web2.0有一些新的投入,我们每一个有几百万的投入,这几百万怎么花在座的可以给我一些想法。
这是我们的技术,大家可以看一下,我们会提供一些我们作为SUN,会提供一些SUN的架构,会提供SUN针对Web2.0,SUN很多人了解SUN了,同时我们服务器上面,现在我们跟英特尔和AMD有很多的合作,我们和他们在刀片服务器上面有新的进展,你有兴趣可以联系我,你也可以上我们的网站更多的了解我们的产品和我们在市场上的推动。
SUN在互联网的一些核心技术,刚才上午的时候听到有些人讲操作系统,很多人提到Windows,其实SUN有我们的操作系统,我虽然在SUN,我也用Windows,我建议你可以上网下载一款免费的OPEN SOLARIS.我们SUN还有很多其他的技术,我不详细讲了,因为我不是技术人员,一会儿我介绍一个网站,你可以上去看一下,我相信有一些产品会满足你的需要。
这是我们对互联网方面的,还有一些简单的比较,还是一句话,建议你上我们的网站,可能在座对技术比较了解的人,如果你的技术方面有任何问题你可以联系我,我有很强的技术团队在后面支持我,来支持大家。
SUN今年启动了叫新创企业特惠必备方案。作为新创企业特惠必备方案在中国启动,我们这个方案主要面向是新造的互联网企业,在座的可能很多是新创的互联网企业,我们主要提供在技术上的支持,大家对SUN的印象是高技术,高价格,我们负责这个项目,中国区,我们掌控非常低的,来吸引新创的企业,给予他们特别的优惠,只要你在我负责的网站上注册,你就可以享受这些支持,包括硬件和软件很深的折扣,一会儿我给大家介绍一下有哪些免费的支持。软件支持这些都是免费的,服务器不是免费的,服务器SUN有一个培训,我手上有一个认证的培训,如果你在我们网站注册成功,如果你把你公司成功移植到SUN上面,我送你公司一个免费认证资格的培训,同时我们有很多免费的POC,做POC的硬件,同时我们也做租赁业务,很重要,我们SUN自己,还有我们在硅谷的VC有一些联合的投资,给到我们认为未来有发展前景的企业。我这一项,针对于中国有一笔投资,我们也在寻找合作公司去怎么使用这笔钱。加入很简单,你的公司成立的时间不超过4年,公司员工不超过150人,在中国大陆境内注册,固定的公司办公地址,固定的公司联系方式,包括邮件和固定电话,固定的公司经营互联网业务的网上地址,接受方案的条件与协议内容。
SUN的一些产品,我们主要提供一些产品,可能在座的人是很熟悉,你可以上我们的网站看看我们的产品,如果你注册成功你可以联系我,你可以去看一看。
一家著名的互联网企业,不太方便说是哪一家,过去是这样,转变为SUN的JES,加上我们的T1000,加上我们的硬件,取得了性能有9倍的提高,你在我们的网站具体可以看到哪一家公司。我们有完整的架构,同时有很强的团队可以帮助你成功,比如你的扩展性方面,还有节能,绿色方面,我们都可以在这些方面超过很多相对的竞争对手,当然我们还提供很多的针对性服务,如果你注册成功我们有免费的服务,比如ASK SUN,可以跟我们联系,你很难的一些问题都可以解决。我欢迎你,赶紧去注册,如果你现在注册的话,我看到今天的注册,所有的人我都会给你一个小的惊喜,但是我要看到你的注册我才寄给你,这个网址有点长,www.sun.com.cn.你可能没买SUN的产品,你可能只用了SUN的软件,你只要去注册就有机会,我们明年有一个硅谷之旅,我们还有20个自己掏钱的名额,再网下我们提供认证培训,这些是很小的东西,只要你注册你就可以有机会,最重要你有机会去接触到我的一笔礼物。
我们4月8号参加抽奖活动,在北京会举行,由我们部门来执行,然后4月8号到5月7号我会帮你申请,我们SUN的高层会接见,参加SUN的公司,同时你会得到一张免费的一年一度的门票,有人去过JAVAONE,每一年有两万多人参加,在美国的旧金山,会给你留下很深的印象,我们会给你们一张门票,一张门票要2700美金左右,其实你每一个注册都可以参加到我们这个里面,明年四月你可以去跟我们分享这个活动,你可以上我们的网站,注册完了可以跟我联系,也可以跟我们的热线联系,他们会把详细的情况告诉你。
过去更多人认为SUN是卖硬件的公司,我们在服务方面有更多的投入,而且扶植各项企业有更多的投入,如果你是一家新的公司,你可以去联系我,我们有更多的机会去合作,也有很多的空间去发展。
谢谢大家!
主持人:谢谢王雷先生的精彩演讲,我才知道参加这个活动可以去硅谷去见VEC.网页的速度是非常重要的,我们下载文件的时候,我们经常遇到对速度不满意的问题,下面掌声有请CHINOCACHE的CTO的厉建宇,让我们一起加速网络,加速中国。
厉建宇:大家好,今天下午给大家介绍CHINOCACHE,CHINOCACHE最近做了一些改变,这是我们的电子邮件地址,CHINOCACHE是专业的内容服务提供商,为客户提供高性能的服务。
从2002年我们第一次做CCTV,为两会做直播,也是第一次为世界杯网上直播做加速。
刚刚介绍1998年Chinocache成立的,它花了6年的时间,它面向用户的带宽大概100G,它花了短短6周的时间,到2007年8月Chinocache现在面向用户的带宽已经达到了300个G,我们预计在今年年底之前我们面向用户的带宽会超过500G,到明年第三季度为止,按照现在的成长速度,突破一个T应该不是任何的问题。
这是Chinocache目前的产品,我简单给大家介绍一下Chinocache的产品。
首先看网页加速部分,Chinocache网页加速跟国内不太一样的地方,我尽量让网内传输的时间越长,中间尽量走我自己的网络,有一点比较惊讶的地方,Chinocache拥有在中国境内五千多公里的光纤网络,以及自己的传输资源,现在的传输资源大概在100个G左右,跟刚刚介绍面向用户的资源不太一样的地方,这个资源主要是用在内部传送客户的内容,以及对动态加速,可以想象,在中国相对复杂的网络环境里面,我们举一个最简单的例子,中国从山东省出来的话,4837的网络到A4837,169网,从山东省到北京的主干电报局有52条,10个G的线路,在南方,中国电信里面,从广州到上海一共有96条线路,在中国,南中国跟北中国,再加上中国P2P的应用比较丰富,而且P2P却没有地域性的概念,因此加速了中国网络堵塞的现象,我不能够靠电信运营商来解决,这个问题在家中你去看的话,小运营商到大运营商,因为带宽的单价过大,所以阻挡小运营商到大运营商的通畅性,Chinocache就决定如果用最好的服务到我的内容提供商,也就是今天在座的各位,唯一就是我自己做我自己的光传输网络,我用我的IP网络接到每一个运营商之后,在最接近宽带用户网络里面去。
我们一直在尝试改变跟凯瑞之间的关系,其中很重要的在改变P2P的科技,他把P2P应用尝试让它地域化,今天我们在座很多人得有用P2P,不管你是间接熟悉P2P,还是直接熟悉P2P,你可能不知道你做一个P2P,你用的一个带宽可能代表一个月八千美金零售,如果两兆的带宽拿出来做零售,一个月拿出来是八千美金。
Chinocache在尝试跟凯瑞的关系,其中一项科技,我如何把P2P的技术,我如何把P2P的流量能够局限在一个局域网内,在一个局域网内用户的重同性,加速用户下载的速度,间接改善像Chinocache跟固网运营商的关系。这是Chinocache另外一个优势。
还有一件事情,我们在我们的Chinocache接收机产品上面。在中国你在14个节点做的CD网络,它的效果是非常有局限性的,南中国跟北中国,P2P跟P2P,中国14个节点做不到,做到200个节点也许可以。这种DNS域名解析还是没有办法考虑进去,因此Chinocache研发团队自己做自己的运营解析,综合考虑进去到运营解析,因此这样才能最好的做到CDN加速的效果。
Chinocache它的服务效果对于我们内容服务商有什么好处?从降低网络的运营成本上面,你大幅度减少你自己软硬件的投资,经过,现在是400个G面向最终用户的带宽,你可以利用我的网络,你可以大幅度节约你在带宽方面的资源,你维护成本可以降低。在网站可靠性上面,广泛的节点布置,以及我的监控机制,以及我后端全光网络,对你提供网站的可靠性,进一步提高你网站的可靠性。最后我对于你的用户,它对你网站的体验,利用我自己的DNS解析技术,加强用户体验的经验,P2P的区域化,或者局域化,或者成域化,加快了用户同一区域之内P2P下载的速度。
Chinocache现在在软件登记产品跟发明产品有27项,我们有另外5项申请专利技术,我40%的员工是软件工程市。
Chinocache国际其他的,不管是运营商,或者凯瑞有良好的合作关系,然后RAWFLOW都是我们非常好的合作伙伴,我们在相互的学习,相互的了解国际运营商的市场。
最后有一件事情,就是Chinocache在今年八月份正式成立美国公司,我们是中国唯一一家在美国有节点。
Chinocache在尝试做到,我们下面讲的这一句话,互联网改变我们的生活,Chinocache有一点点小小的希望,我能够改变一点点的互联网。
这是我今天简单的介绍,谢谢你们。
主持人:谢谢厉先生的精彩演讲,网络速度和网络应用的基础应该是网络安全,我们也知道从去年年底到今年有一系列安全事件,让我们感觉互联网纷繁复杂,国家四部委发布了信息安全等级保护,是互联网安全基本保护制度。下面请北京启明星辰信息技术有限公司首席战略官潘柱延先为我们谈用7个习惯看等级保护的落实。
潘柱延:大家下午好,非常高兴在金秋这样一个日子来跟大家分享我的想法,我少谈一些公司的产品,启明星辰在安全方面大家还是比较了解,就谈一些新的想法和一些创意,有的时候会有点忽悠忽悠这样一种感觉,我希望一些想法,一些亮点能够给大家带来一些小的帮助。
从这个题目来说应该是一个比较特别的习惯。我在以前有一个经历,在一个朋友遇到一些困难的时候,我也用7个习惯,头两个习惯来跟他沟通,能够帮助他,我觉得我当时跟他的沟通,确实用7个习惯改变了他的生活轨迹。
等级保护在安全圈里面大家比较熟悉,如果大家不在安全圈里不太熟悉。
我不知道大家有多少人看过《7个习惯》这本书,这本书有很多年了,作为科维写这本书的时候,我最近看他的一本书是《心理学改变生活》,科维七个习惯大家看过这个书非常熟悉,第一个谈到积极主动,以终为始,要事第一,双赢思维,知彼解己,统合综效,不断更新。你真正按照这7个习惯去思考会有新的感受,这7个习惯分成人成熟的过程,从依赖别人,就是你依赖别人,到你能够独立自主去成为一个自我,再往后形成一个互赖关系,你可以跟别人去合作,有三个习惯从依赖性走向独立,第四到第六个习惯谈你怎么从一个独立走到跟人合作,最后他通过不断跟人改进去谈,这七个习惯对人们来说应该是很好的厉志的方法,或者改变你的思考。今天我想把这样一个思路放到谈安全,谈等级保护。所以我想谈谈等级保护。
等级保护其实有很多很多年,从90年代中期开始有等级保护这样一个话题,实际上等级保护的源头是来自于美国1985年这个经济数,也都是分成7级,等级保护里面我们变成了5,在整个等级保护里面,经过99年,99年在国内强制性的推行等级保护,非常可气的是在国17859并没有真正的落实,在这样一个商业的环境下有些这些东西是非常难得实现,实际上等级保护在这个程度开始陷入到第一个困境,他提出要求以后很多事情我们无法去实施,这是等级保护遇到的一些困难,后来陷入另外一个困境,等级保护分成五级,不同的侵害程度对你有安全保障的要求,不同的等级规定了相应的要求,甚至是指南,有很多相应的国家标准和这个行业标准区指导你怎么去做等级保护,我现在说它陷入到第二个困境,其实就是什么呢?就是它给大家提的要求太细,我不知道大家有没有对其他相应合规性的要求有所了解,应该说整个2005年到2006年受整个赛斑斯法案影响,在整个过程中赛斑斯法案的推进,它整个推进过程中有什么特点,其实它就是三个条款推动整个合同,这三个条款,说白了三个很简单的条款,第一个条款说明你CEO和CFO要对财务报表负责,这三个条款整个推动相应的东西,包括审计公司拿出拷贝的,等等一些指南去帮助你,形成多方机制推动赛斑斯法案在行业中的推进,赛斑斯法案整体还是不错的。
作为等级保护现在遇到一个困境,一个方面是很多人不理解这一件事情,觉得这一件事情跟我没关系,我不愿意参与,你给我加一个条款,我为什么要去等级保护呢,另外它给出非常详细的,当然我也属于专家之一,专家推出众多的厚本的指南,指引,等等这些东西,这些东西让我们真正的用户,真正面对等级保护工作的人群可能会遇到一些无所适从,大家要推动合规性的东西,一定要注意合规性的东西要简洁明了。
等级保护大家知道了,是以等级为原则的,安全性的,国家强制性的要求,从这一方面来说做是非做不可,从整个等级保护现在这个阶段,如果在坐的大家有大型机构,大型国家部委的机关,比如电信,银行,等等这些大机构的同事,如果你从事信息安全和信息方面的工作你肯定会知道,在今年十月底之前你们必须完成定级工作,这个是等级保护的要求,针对这样一个要求和压力我们怎么去面对这一件事情,不管你现在对它是什么样的观点,什么样的态度,喜欢它也好,不喜欢它也好。我们面对任何合规性要求一般都是这样,像我们以前考试的时候很难有人很高兴的面对考试,既然我们面对它怎么面对它,等级保护,十余年的规范怎么保持活力,是一个规定就是刚性,还会谈到在一个错综复杂的格局中怎么让各方从中受益。
谈谈七个习惯,我希望通过今天的沟通,大家更适合的一种思路和方式去看这个,等级保护的这个角色。其实参与到各种的业务,各种的规定当中都会有很多的角色在里头,有客户要求一定要做等级保护,客户我可能在信息安全部门工作,启明星辰既是内容提供商也是运营提供商,希望通过等级保护获得收益。还有第三方,就是主管机关,比如保密局,国家信息办等部门,就要求你怎么样怎么样,我们做任何事情要从角度去看。我们把几个习惯过一下。因为正好小标挡了这几个字。
米卢的一句话,态度决定一切,如果你一再把你放在关注圈就不太好,你不要把精力放在你不能影响的东西,你不能影响的东西你关注它没有意义,等级保护作为一项国家政策,你探讨等级保护这个问题应不应该搞,这个东西不是你能够左右的,这个时候你要以积极的态度,既然它已经势在必行,那我就以积极的态度去做它。这个态度去扭转,不光你个人的态度去扭转,其实借助这样的力量使你整个机构能够以积极的态度去面对它。就像我们现在面临互联网的世界一样,如果你不积极适应这个世界的话,就是当推土机过来的时候,你不要试图变成一堵墙挡住它,你要挖一个坑。
我们明确一个态度,这是第一个,从态度上面我们先积极化以后,这个习惯的名字就是以终为始,就是你随时要开始新的事情,在我理解是行动,我理解这个事情非常值得做的时候我就去做,你不能光去想,你一定把你的方式方法落实到行动上。其实我们每一个机构如果也能够具有思想天赋的话应该是一个战无不胜的机构,我知道这个机构是独立于别的机构,存在于自我,首先你要意识到一个自我,其次你要有判断是否的能力,如果再谈到人的话叫良知,在一个机构我改成叫判断力,你知道什么是好的,什么是坏,什么是正面的,什么是负面的,什么是应该做的,什么是不应该做的,这个时候你还有一定的智慧你知道该怎么做,你有智慧去享受。最后看你有没有勇气去享受,行动不需要智慧,行动需要一个勇气,当然你面对,比如等级保护,或者其他一些事情,其实你已经知道这一件是非做不可,这个时候你把一个非做不可的事情,确定在这里面我应该获得什么,然后我判断,我配合这件事情,然后你具体的方法,我想作为一个机构来说这个方法非常重要,我这个机构到底具不具备这四项天赋,或者哪一项天赋更强一些。这是谈的习惯。
科维谈的第三个习惯,就是钥匙第一,作为最重要的事情一定是最简单的事情,所以最近启明星辰经常谈一个口号,就是安全从简单开始,你如果觉得这一件事情变得简单了你应该做对的可能性比较大,你应该抓住一些关键性的东西,你发现这个事情很复杂,你一定抓住复杂事情里面简单的事情去做,你可能比较关注等级保护,我发现问题改造,你作为厂商来说,你知道怎么改造,最重要的第一个是定级,我到底把自己定位到什么样要求的强度,你定在一级,二级,三级,我知道前面有几个我们国家非常重要的金融机构,影响到我们上万亿资金的企业既然把自己定成为一级,一级就是不需要任何机关,像千亿资金,万亿资金的机构,实际上这里面他没有真正把这个要点把握,其实他这个要点没有把握住他其实自己反而非常的麻烦,因为他定级错误,定级你把自己合适的定位在一个地方,这是一个非常重要的事情,而且能够让你平衡你自己。除了定级之外,我对合规性的要求,后边的话你要看看你离这个标准有多远,这是另外一个非常重要的事情,当你发现有多少的时候,你后边怎么做就变得非常的简单。当我知道我这个差距,这个差距具体的,很清晰的存在的话,你去满足条件。这就是谈到我对等级保护里面的钥匙,所以我这个里面放了一个钥匙,所以钥匙第一。关键点在哪里。
这些都是谈个人,这个时候再往下一步,你一定要想办法去理解别人,这里边谈到两个习惯,双赢的思维,实际上这里面是多赢的思维,在整个等级保护里面有多方参与,我们尤其关注这三个方面,另外两个方面你一定要看,主管机关你怎么看,如果你是一个用户,等级保护的实施者,你要去看主管机构怎么去看,我这里面写到了,从我的理解来说,这三个它在里面所处的想法,比如用户我关心符合性,我关心我能不能达标,我非常理解拥有万亿资金的企业怕自己达不到,作为他这样一个想法他没有理解,另外两方一些想法,他没有理解主管机构,当你把这样重要的部门定为一级,主管机构进行监管和管理的时候没有达到他的业务指标,比如说玩笑的说一下,如果用户把自己安全级别定的非常低,作为提供商我们的商机就非常少了,作为安全厂商可以希望大家把安全级提的高高的,你光从提供商我希望大家都定的高高的,这个时候你从主管机关和用户角度看又不一样,作为主管机关你其实并不希望大家都比级别定高,使得监管的工作非常复杂,在这个过程中可以看到,即使就定级这个事情来看,其实就是大家理解别人,理解别人的事情,最重要这三个方面价值的诉求来说,都会有一个实际效果,用户最终还是会关心你实际的效果,我即使达到等级保护一级二级三级,告诉我你达标了,你真的出了严重事故,领导同样被摘掉乌纱帽,谁主管谁负责,所以说实际效果还是用户要真正解决的问题。主管机关和提供商也同样关注实际效果,这里面一定要在这里面围绕等级保护的思想达到双赢的思维。这相应进入一个更加合作的状态。
第六个习惯,叫做综合统效,意味着当你面对这样一个复杂的事情,你想单一诉求一个方向获得价值不太容易,在内部你要需求一种结构,比如说在技术上比较推崇用安全域的这种方法。管理上,BST99,2701,2701有一百多种控制点给你提出来,在管理上其实最关键这两点,一个是责任,一个是教育,这两个关键点抓住了整个网在你的控制之下。外部统效就是协作和合作。
作为等保护其实十多年了,其实还非常的不成熟,在这个过程中我们作为各方面应该去包容各种想法,等级保护能不能跟我们的企业成长。
刚才简单谈了一下七个习惯看等级保护,七个习惯看等级保护其实也就是说你做一件比较有意思的事情都考虑这七个习惯对你的帮助和影响。
科维《七个习惯》之后写了《第八个习惯》,《第八个习惯》主要谈要找到你的新生,就是关于等级保护的新生是什么呢?我觉得可以让我们继续探索,最后我也以这样一个问题,这样一个新生来结束今天这样一个演讲,非常感谢大家在中秋这样一个宝贵的时间来分享这样一个想法。谢谢!
主持人:感谢潘先生,他给大家讲述一共八个习惯,应该说潘先生还有一个非常好的习惯,就是他不讲自己公司具体的产品,而是跟大家分享业界。接下来有请绿盟信息技术北京有限公司解决方案中心产品市场经理王伟先生,他为大家讲互联网企业安全威胁TOP10.
王伟:首先非常感谢各位嘉宾,能够利用2007年中国互联网大会这个平台和各位嘉宾交流一下在互联网领域的心得,今天向大家汇报的题目是互联网企业安全威胁TOP10及应对。
首先和大家对比一下互联网企业主要面临的风险要素,然后我们归纳一下互联网企业面临威胁的TOP10,当然这不是我们这一次讨论的终极目标,后面我们就归结一下这些活跃威胁,不管是TOP10统计内的,或者在TOP10排行外的,这些活跃的威胁它所具备共性的特点,然后我们举例剖析一下特点,以及后面应对这些威胁的方法,或者说思路。
一谈风险首先先想到了股市,有那么一句话,股市有风险,入市需谨慎,风险最大的特点就是它的不确定性,也就是说当互联网企业面对一个风险的时候,实际上互联网企业来说这个可能是一个非常好的机会,但是如果互联网公司处理不好这个风险,或者是说没有办法驾驭这个风险可能就成为一个灾难。
虽然各种不同类型的互联网公司它面对的安全问题大家觉得,从我们这个公司来说我们面临的安全问题和别的互联网公司面对的安全问题不太一样,我们还可以对它进行一些小结,我这里列了一些要素,比如品牌形象和声誉,财务报告合规,法律和监管,威胁,业务持续性,市场演变,客户满意度。
互联网经济从一出生开始它就是没有国界的体系,它天生没有国界的,经过全球化它可能有先天的免疫性。我们可以看到很多互联网公司都会遇到这样的情况,也就是并购和重组,这个对互联网企业来说它是一个风险,实际上它孕育着很大的机会,有很多公司通过资源的并购发展的越来越好,当然也有很多变得一蹶不振,这个对公司来说是一个很大的风险,而且市场的变化还存在于,比如现在互联网企业实际上都在搞创新,也就是说对于互联网企业来说它不断推出新的商用模式,这个都是它一个创新的表现,但是这个创新也带来了一些负面的风险,比如说你不太清楚你所创造的经营模式,或者你这种运营模式是否能被你的受众所接受,你走的这条道路是成功的道路,还是将来这条路没有什么光明的前景,这个对企业来说也是风险,它既然有负面的,也有积极的作用。
还有品牌声誉,这个对于互联网企业来说,前一阵媒体经常报道某某门事件,当然不局限于我们互联网公司,实际上像咱们的明星闹绯闻一样,有的明星闹完绯闻人气直上,有的明星闹完绯闻之后星途暗淡,互联网公司也是这样,如果你处理好这样一个公关危机可能你品牌能够得到提升,如果你处理不好可能你的品牌就会受损,你公司的形象就会受到很大的影响,这是刚才举的两个例子,为了强调说风险,带有非常大的不确定性,有可能带有积极性,有可能带有负面作用。
对于一个企业来讲,一个好的风险,对公司发展有积极作用,如果一个风险对于企业来说是威胁了企业的发展,或者损害了企业的发展,它可能就是企业要面对的威胁,我们后面对威胁做一个分类,威胁实际上是我们互联网企业非常担心的这种问题,也就是说它可能直接,或者间接对企业利益造成一定的损伤,或者说损害,不同的公司面对威胁的时候不一样,比如说某些利益驱动者对我们公司的一些危害,还有竞争对手采用打压,或者利用一些开放式工具对公司纯粹是破坏,展现破坏欲攻击的方式,往往企业会忽略了一些来源于内部的威胁,如果某些企业内部没有出过大的安全事件,从领导层不太关心来自内部的安全威胁,有的公司受到内部安全损害的话他会非常关注内部威胁,有很多企业跟绿盟做基础的时候,他们面对内部威胁的时候他感到困惑,他感到处处都是威胁,这个时候他可能头疼一头,脚痛一脚的情况。我们做了一个分类,根据这些分类我们可以去寻求一些方案,还有一些是属于内外勾结形式的对企业的威胁,这个实际上在某些类型的公司里面也会出现这样的问题。
我们把刚才说的这些威胁分了,再具体化一些,再列出互联网威胁的TOP10,这是我们互联网企业经常面临的问题,比如滥用误用,比如DDOS,网络钓鱼,虚拟财产盗窃,信息泄露,网页篡改,后面这三个,不管是恶意软件,还是注入,还是跨站脚本,这些都是威胁的手段,我们列出这个TOP10威胁实际上没有严格的意义,对不同的公司来说他所面临的TOP10安全威胁也不一样,可能都是互联网企业他面临的威胁就不太一样,而且这个TOP10实际上是一个变化的过程,今年的TOP10和明年的TOP10就不太一样,所以没有必要追求TOP10非常严格的准确性。这些问题列在这儿互联网企业可能面临这样的问题,因为它毕竟不是专业的安全公司,面对这样的公司他可能心存疑虑,面对这样的问题我们怎么解决这些问题,怎么预防这些问题,这些问题实际上都是零散的,各种层次的安全各个方面都覆盖到了,把它一些特征做一些归纳总结,然后根据这些特征来做一个比较好的,统一的解决方案的思路,或者找一些解决的措施。
我们把TOP10威胁的一些特点在这里做的归结,它主要体现在三个方面,一个是多元化,一个是商业化,一个是复杂化。前面TOP10威胁它涉及到安全要素的方方面面,对于企业来说,我这里边说的第一个要素,针对特定群体受控性攻击,被打击的企业也存在一个特征,就是我们生活中所说的易感染人群有类似的特征,我们可以看到,被攻击,被威胁的企业它属于某一类型的企业,它很容易受到威胁方面的攻击。
还有以应用为载体,涉及各类信息终端,过去我们只要通过系统的漏洞,威胁一些流量安全,或者涉及到拷贝方面的安全问题,攻击者可能达到了它的目的,抓住某一方的要素就形成破坏,现在不需要这种麻烦了,从另外一个角度来说要比这个更麻烦了,它可能不需要追求某一个特定的威胁,它实际上以应用为载体来波及各个方面的终端,或者说我们的智能终端,手机,PDA,这个威胁呈现多元化的趋势,还有大量以危害内容安全和破坏行为合规性的技术手段,实际上安全威胁的门槛在降低,以前黑客需要懂漏洞程序,还要编一些程序,现在更广义了,你可能合法的客户,你上某一个网站,可能把一些木马带入进来,所以安全威胁的门槛也在降低。
前面提到的TOP10感觉比较零散,这里面提到商业化的链条,我后面有一张图,那些安全方面的问题实际上通过一个商用的链条可以把它串起来,过去的攻击者也是采用损人不利己的,利用自己的攻击展示一下自己的技术,现在没有黑客这么傻了,现在转向有获取经济利益的方式。现实告诉我们,在特定群体中存在与传统运营模式地下一个黑色产业链,后面有一个图会给大家做一个解释,有攻击工具的开发者,同时也有攻击工具的贩卖者,这已经形成了产业链条,比如我们公安机关打掉其中一个环节,但是由于上下游的关系,可能还有其他的人愿意从事这样的工作,还愿意投入到黑色产业链条当中去,等于这个问题没有根除,这个是商业化的一个问题。
还有第三个,生活环境的复杂化。现在互联网的应用更加广泛,而且不管是互联网的一些通信,还有传统的电信通信,IP协议应用到各方面新的应用当中去,这样回避无法回避军备竞赛当中去,就是白帽子黑帽子在进行军备竞赛,就是大家在进行安全竞赛。
这个东西到底是不是这样,我们后面可以用我们一个常见的,网站被DDos story的攻击。攻击者不会再用百兆千兆的带宽来攻击你的服务器,因为你的服务器可能通过其他的服务,或者买其他的设备来做一些工作,这个可以通过什么方式,也就是破坏网络基础设施,既然破坏体的网站,我们就把DNS破坏,或者把路由器打开的方式,不一定非要依靠过去传统的耗尽你服务器的方式,还有攻击守法的多样性,过去三四层的攻击比较多,现在出现小流量的攻击,这样攻击的类型也逐渐的增多,我们接触的这个比例可以占到40%的比例,特别针对网游的攻击,攻击手法也有直接攻击和反射攻击。
还有经济驱动力,这也是DDos story这一块显示多元化的表现,比如间接的获取利益,也就是刚才同行恶意竞争的方式,你的网站没法办法访问了,你跟他经营同样的业务,他的网站的访问量就上去了。还有直接获取利益,也就是通过敲诈和钓鱼行为来进行,这个可能网银面对这样的问题可能更多一些,比如把你的网银网站打的无法相应,然后给网银的用户发一个虚假的消息告诉他系统维护,去某某新的网址登陆你的网银帐户,这样无辜的帐户信息就被盗用了。
再看第二点,我们用DDos story验证商业化。这有几个角色,工具的开发者,第二个就是工具的滥用者,有的人买了这些工具之后它可以直接对网站进行攻击,也有的人他不直接对网站进行攻击,我不直接打别人,这样对我来说风险不大,我可以把它卖掉,我可以出租,实际上在咱们即时通讯可以看到有人在做这个买卖,攻击多少流量给多少钱,这就是攻击滥用。后面就是攻击的应用者,有的人可以通过租用,或者是买网络对客户进行攻击。最终价值它列出很多,有盗窃的,有间谍活动的,有勒索的,有商业活动的,DDos story简单的东西都是有现实的例子。
几年前提到唐山黑客事件,他攻击一个音乐网站,他自己也做音乐网站。大家看到媒体报道的话,今年五月份爱沙尼亚出过一个比较大的事情,有这么一种说法,认为是俄罗斯政府,或者是俄罗斯黑客对爱沙尼亚政府网络战,受攻击的主要是爱沙尼亚政府的网站,还有电信公司的网站,包括网银的网站,因为爱沙尼亚互联网发展还是很不错的,它的国民主要依靠网络进行日常帐单的支付,比较依靠互联网,通过这次攻击对他们国家的经济造成了很大的影响,国内一些政府机构和一些安全厂家,比如我们绿盟也讨论过这个问题,这种问题会不会在中国发生,可以说每个国家都面临这样的风险,这有一些政治因素在里面。
还有一些勒索性的,这种事情更多的,去年年底北京某个网站就被几个流量追打,后来有的机房都不敢收留它了,这个就是勒索。
还有商业销售的案例,今年四月份上海某个安全设备厂家,为了销售他的防火墙,打了北京几个网游公司的服务器,他是为了销售他的防火墙。一个DDos story涉及到这么多问题。
第三个验证复杂化的问题。做过抽样发现发现大陆有3百多万个IT地址的主机被注入僵尸程序。另外利用P2P网络的新型DDos攻击出现,现在大家都明白P2P传输很大的流量,实际上可能出现过载的问题。
第三基于业务应用的攻击类型增多,特别是针对一些网游客户的,网游运营商的客户更多一些,在南方游戏开展比较好的省份非常容易受攻击,它能模拟游戏服务器的登陆,使真正的用户没有办法登陆服务器上。
如何缓解DDos问题,我们来看三个方面,一个是法律法规的完善,国家在安全方面也是下大力气来抓,一方面是法律法规在逐渐的完善,完善的好处就是起到预防的作用,实际上欧美DDos攻击也有,但是没有像国内这么大,大家通过一些媒体我们了解到,去年九月份的时候南方某个发达省份它某一个地市遭到DDos 攻击,经过省一级骨干网络流量20多个G,这个是什么数字,我相信一般的企业没办法承受攻击,这个基本上那个省市网络瘫痪了。DDos story不仅是个别企业的问题,实际上运营商也吃到了苦头。
销售黑色价值链的空间,我们打击黑色价值链的空间,掐断他们经济利益的关系。
第二个就是两种价值链的博弈,攻击方有一个价值链,我们的企业,包括安全厂商,包括主管部门有没有形成统一的价值链呢,如果形成了统一的价值链可以防御黑色价值链,我们调用资源比地下的方式调用资源更多一些。
第三个企业安全建设,企业安全建设一定要以业务为导向来设计业务为安全目标,刚才提到几个攻击事件,刚才说了,如果你是几十兆的东西企业买一个几十兆的软件就可以防御。我企业只要设定我的目标,比如说我的企业,我认为我能防到一个G的攻击,或者几百亿的攻击就可以达到当前目标,可以扫清30%的安全危害,其他的DDos攻击,我可以买一些流量清洗的服务,因为他的骨干带宽是很大的,对我企业来说不会给我的下游造成更多的压力,这个实际上也是绿盟科技和咱们的运营商在推进的一件事情,国内最近两大运营商都在做流量清洗的项目,实际上为在为企业做服务。
提到DDos story,多元化,等等三个要素做了验证,我们又通过DDos story这个解决方案来总结了一下,面对这一种安全问题的时候,它要采取的有哪些方面的一些措施,比如说借助法律法规,借助价值链的建设,还有借助企业安全方面的建设,三方来做安全防御,来做应对。
后面我们实际上可以延伸到刚才TOP10,我们可以把它延伸出来,对于TOP10,所有的都有这个情况,我们要构建一个抵御安全威胁的价值链,它的角色主要有企业,监管部门,运营商来构建,这个价值链我相信是金色的价值链,这不仅是经济利益,实际上涉及到社会责任,所以这个金色价值链里面我相信包含更多的内容,比黑色价值链要多很多东西,要更牢固一些。
再就是安全策略是解决方案的核心,企业一定要明白我们在做我们安全设计的要明白我们企业的安全策略,这个环是五个方面组成的,第一是识别,第二是分析,第三是设计,第四是执行,第五是衡量。这里面最重要的,最复杂的事情,最重要的事情就是最简单的事情,实际上就是一个识别的过程,我们认为最重要的事情就是识别,首先要明确我们企业自己的业务导向,明确我们企业现在的发展目标,我明确我现在的安全风险是其中某几项,我只要避免这几项可能对我企业发展有很大的帮助,包括明确我所面临的重要的安全威胁,所以说我认为这个识别最重要的一个过程,也是一个最基本的过程,后面的分析设计,执行和衡量我们都可以借助专业的安全服务公司,或者安全厂商来做帮我们做这样的事情,安全,设计,衡量需要安全经验的,对于一般的企业来说要做这样的事情太复杂了,通过其他的忙市,引用第三方的资源来协助我们企业来做这样的一个事情。
总结一下今天说的内容,也就是互联网企业面临安全威胁的时候,不管是TOP10以内的,还是TOP10以外的,实际上我们要分析这些特点,这些安全威胁特点统一的特点就是多元化,商业化,复杂化,我们再加子要素,比如途径守法驱动力我们要抓住,商业化方面大概了解制作工具和贩卖工具的过程,复杂化就是规模多大,什么类型,哪个方面威胁更大,通过这个要素对威胁进行统一的认识,然后再寻找解决方案。解决方案实际上通过三方面下手,一方面就是制度,第二方面就是价值链,第三方面就是企业的安全建设。
制度我们的互联网企业我认为应该加强和政府监管部门的一些对话和沟通,促进立法,因为这个法律实际上是保护我们的,像刚才潘先生说的,等级保护制度,虽然是强制性的,实际上对我们是有好处的,如果你定级错误的话确实有风险,比如说你定级错误,有一个叫法,屁股决定脑袋,如果把你的层次降的太低了,你将来面对问题就会缩手缩脚。
这是企业应该加强与政府监管部门的对话。还有就是统一的价值链,企业,还有政府,还有安全厂商,要构建一个金色的价值链,比如刚才举的DDos story例子,我们绿盟也在同动这个,这一块需要我们企业和我们的厂商一起发挥自己最大的能力和共同做这样的事情。第三就是企业自身的安全认识,落实到企业自身的时候一定要明确业务导向的安全策略,就是明确当前最关心,最迫切的问题是什么,然后选用一些组合,比如你的组织,你内部的组织,体的管理制度,还有技术,技术包括服务,产品,产品包括采用第三方的安全产品。另外就是服务,你设计后面的时候,你需要专业的来给你设计,所以说企业实际上需要依靠一定的组合来支撑你业务为导向的安全策略,这是我今天要说的面对安全威胁的时候我们统一的解决思路。
今天给大家汇报,交流的内容就是这些,祝大家中秋愉快,安康。谢谢!
主持人:谢谢王伟,也谢谢大家中秋节下午的时间,我们主题演讲之后我们有一个中国互联网企业CTO互动论坛,咱们这个论坛除了几大在做直播以外,IT专家网也在做图文直播,最后我们有请中国互联网协会网络安全工作委员会周勇林处长为大家分析一下2007年绿色安全报告,咱们有请周处长。
周勇林:感谢林总的介绍,也谢谢林总,今天来了,把想给大家介绍的东西汇报一下,我要讲的东西很多,前面的专家都已经讲过了,我就把没有提到的东西简单的过一下,然后开始讨论。
题目是漫谈,几个方面,可能先要介绍一下我们安全的形势,把问题点一下,最后有一些想法,交流一下。
安全形势第一方面看木马,木马泛蓝的程度非常严重,我们对木马的泛蓝情况做了监测,上半年六个月我们看到我们木马感染率IP地址总数是200多万,我补充一点,我们除了对僵尸监测以外,我们也看僵尸在干什么。另外我们对,从用户的角度,我们用我们的蜜罐系统,比如我们利用蜜罐系统发现恶意代码,半年捕获三千多次,这么多的恶意代码爆发量对于任何一个单位来讲,对用户来讲更是难以应对,因为咱们所用的产品需要每天去升级病毒库,就是为了分析这些恶意代码,最终去杀掉。
另外我们也对咱们国家网站被篡改的情况也做了监测,中国大陆被篡改网站的数量达到28367个,比去年全年被篡改的还要多,中国大陆政府网站被篡改数量各月累计达到1585个。
下一个要介绍的,对网站代码情况做一个介绍,这是我们最新开发的系统来做一个监测,我们监测的情况是这样,前面那一页包括各类的网站,包括非政府,这个图片显示是政府网站的情况,我们看到15000个网站挂马,挂马的网站有大有小,有的网站访问量比较大,有的网站访问量比较小,访问这些网站的用户很有可能都被中了木马,网站越大带来的危害越大,咱们互联网企业你这个网站越大其实你承担的社会意义越大。
这一张照片说黑色产业链的,这个不用讲了,刚才王伟讲过了。
主要问题,主要问题法律法规不健全的问题,不良分子推动黑色产业地下交易问题,技术手段落后的问题。另外对于我们这些安全保障部门来讲,包括执法部门来讲,监测成本非常高,远高于黑客,犯罪分子也好,他们去犯罪的成本,即便我们追查到了,处罚的力度也很难达到效果,另外在安全保障上,各部门沿用传统管理的框架,各自为战,缺乏合作,没有形成合力,问题就简单这么说,后面说一些办法。
第一个政府的执法能力上,我认为当务之急是合作,这个合作不是特别宏观的合作,因为我们前一段时间开了一个会,业界和公检法部门讨论怎么挡网络犯罪的问题,从立法部门来讲感觉他们需要的一些,业界技术层面的支持,从法律上界定是木马,怎么界定是攻击行为,这都要从技术层面给一些定义,在司法上加以定义,另外将来,我们如果对立法部门的支持做的很充分的话,他们能够去制定出很好的政策法规的话,将来我们我们直接得到司法机关对我们的支持,比如说法院,或者说公安部门,他们有法可依,自然打击力度也大。
另外在上次开会的时候我们业界有很多专家都强调的抱怨,然后咱们国家立法上做的不够,尤其把刑法三条作为把子来说,那三条比较虚,难以落实,在会上很多法律专家也解释了一下,从立法角度来讲,因为刑法最后一招,因为刑法被触动的话,直接把人身权利剥夺了,你人身自由没有了,在法律角度刑法是最后使用的,很多问题应该在刑法之前去解决,比如说民法,现在在行政法规层面去解决问题,过去我们过分关注在刑法上,民法制定上,民事上一些东西也是可以去不断的完善立法的,另外部门规章上,很多主管部门都在干互联网,各个部门都有制定自己行政法规的权力,制定部门规章权利,部门规章制定的好也可以规避不当网站的行为。
另外想说的问题,在不同的层面上,不同角度上都有不同的关系,如果我们合作的话了这个问题很容易解决,如果还是各忙各的,不沟通的话,解决的就比较慢。
另外想说一下支撑体系和行业合作。
支撑体系国家2000年就建立了支撑体系,各单位应建立网络与信息安全部门,必要但不充分。我们在一起开会的时候,有一些国家,特别重要的单位,他们说我们这个系统里面确实有安全问题,它虽然不跟互联网连接,它毕竟是计算机网络,互联网出的问题计算机也会出现,出了问题我一两个人解决不了,我要找人支持,他不敢找社会企业的支持,因为社会企业不可控,比如员工的泄密问题,现在国家有关部门考虑关于建立国家队的问题,队伍在考虑之中。除此以外一般的机构不能都靠国家队去做,但是这些企业提供网络安全技术支撑也好,服务也好,应该在非常严格的背景下去执行,这样保证他们提供的服务是规范的,他们提供的服务是可信的。
另外还需要,在行业之间进行合作,比如电信运营商之间,比如说银行之间,比如说我们其他的电力部门之间,过去潜在的竞争对手,老死不相往来,很多共性的地方,一个地方出现问题如
