北京國聯天成信息技術有限公司執行總裁 門嘉平

  編者按 中國信息安全博士網作為中國信息安全行業的高端智庫平臺,一直在我國信息安全行業發展過程中貢獻著自己的力量。“高端訪談”作為中國信息安全博士網的重點主打欄目之一,將定期邀請我國信息安全行業內的頂尖級專家、學者、重要行業用戶代表以及部分政府官員和產業精英,通過不同視角的深度剖析,為讀者全面展示信息安全領域各方面、各層次的發展及尚存在的問題,為行業發展、產業進步提供建議,并將他們的觀點,通過文字、音頻或視頻在 “高端訪談”欄目里展播,希望能引起讀者的共鳴。

  個人簡介:門嘉平,四川大學碩士,在信息安全領域從業24年。北京國聯天成信息技術有限公司創始人,現任公司執行總裁。曾從事系統層病毒與木馬危害研究、系統層0Day漏洞挖掘與黑客入侵防御系統研究、網絡層黑客入侵防御體系研究,并擔任“黑客攻擊取證技術研究”的課題負責人。參與過國家重要信息安全相關標準的起草與修訂,現從事應用層的信息安全研究,主要在應用層的0Day漏洞挖掘、應用層黑客防御體系、應用層木馬檢測與防御領域進行著深層次的研究。


 

  主持人:門總您好!高端訪談從開辦到現在已經采訪了幾十位專家、學者及企業界人士。很高興您能到中國信息安全博士網做客。

  門總,先問您一個問題,您對“中國信息安全博士網”和《安全周報》有多少了解呢?呵呵!

  門嘉平:記得“中國信息安全博士網”是在2008年上線的,與業內的朋友聊天時說起過,我認為“中國信息安全博士網”立足科研、學術和產業,能及時的把相關的政策法規、前沿技術文獻、新安全產品等分門別類的做好發布,在信息安全界還是發揮了很大作用和影響。

  《安全周報》作為一個信息安全電子刊物,非常快捷的定期發布政府政策、產業動態、技術前沿、黑客攻防等最新信息,對于信息安全從業人員來講具有很大學習和參考價值。

  主持人:“中國信息安全博士網”及《安全周報》還有很多需要改進的,能給我們提些寶貴意見嗎?

  門嘉平:目前還沒有太好的建議,整體來看“中國信息安全博士網”和《安全周報》辦的有聲有色,如果能繼續加強推廣,提高知名度和影響力,應該能充分發揮在信息安全領域的高瞻遠矚作用。

  主持人:謝謝門總!門總一直在從事信息安全的相關課題研究,那今天我們就來聊聊信息安全的相關話題?

  門嘉平:好,愿意與大家一起分享自己在信息安全領域的心得體會。

  主持人:大家都知道,木馬、黑客等安全威脅一直都是我們關注的焦點,它們幾乎無孔不入。網民無法擺脫中毒、被黑等狀況嗎?木馬和黑客像大家想象中的那樣恐怖嗎?

  門嘉平:的確如你所述,木馬、黑客都是安全威脅,這些安全威脅不禁危害著普通使用網絡的百姓,更危害著國家安全。

  目前,我們在操作系統、網絡設備、應用系統和工業控制系統等方面,一個相對比較長的時期內還需要依賴國外產品,ODAY漏洞的不斷涌現,更甚者發現漏洞的人不公開那些漏洞,而是為其他目的所利用,就造成了對廣大網民的安全風險,這些也是我們國家的信息安全風險所在。

  雖然大家在自己的系統上安裝了防病毒軟件,企事業單位購置了很多安全設備,但是在ODAY漏洞涌現處理的時候,大家所采取的安全防范促使依然顯得力不從心。也可以這樣講,如果不能從操作系統、網絡設備、應用系統和工業控制系統等方面真正實現國內自主知識產權化,那么擺脫木馬或者黑客威脅的效果將見不到實際成效。

  說到這里,不得不來說說大家熟知而又陌生的木馬和黑客。木馬和黑客不同于大家理解的病毒或者騙子,形象比喻來講,木馬和黑客更像具備目的性極強、能智能偽裝、高效完成任務的間諜,相對應的病毒和騙子更像特征明顯、容易被識破的施展雕蟲小技的跳梁小丑。跳梁小丑是容易被識別捕獲的,但是間諜可是專業安全部門才能甄別的,同樣的對木馬和黑客的防范,不禁需要國家從操作系統、網絡設備、應用系統和工業控制系統等方面根本上解決問題,還需要加強大家使用網絡的安全意識,防止上當受騙。

  對于個人計算機用戶,在沒有重要和敏感信息的情況下,安裝終端防護軟件,定期做好系統升級,一般不會出太大的問題。

  主持人:看樣子,個人的電腦安全還是可以得到有效保障的,大家不必聞“黑”色變。不過,當前的企業網絡正在面臨著Web濫用、病毒泛濫和黑客攻擊等安全問題,有沒有什么比較好的方法從根本上去解決這問題?

  門嘉平:隨著海量信息伴隨云技術推廣,云端計算機會更廣泛的服務于企業或者個人,同樣這些信息中也會摻雜一些良莠不齊的信息,這些尚還可以接受。但是同樣的,木馬間諜軟件等也會渾水摸魚,時刻威脅著廣大企事業單位和個人。

  系統安全與網絡安全的防護技術相對成熟,應用層安全防護尚處于剛剛起步階段,攻擊破壞者正是利用了應用安全防護的不足在興風作浪,在這種嚴峻的形勢下,需要國家、更需要我們使用應用系統的組織和個人提高應用安全防護的意識,加強應用安全防護的措施,才可以逐步緩解遭受侵害的可能性。

  主持人:那么,那些黑客經常發起攻擊破壞的原理是什么呢?有沒有比較簡單的防范措施?

  門嘉平:黑客發起攻擊并不是盲目的,首先他們要有充分的準備,比如找到可利用的弱點,也就是大家經常提起的0DAY漏洞或者是已公開但沒有采取彌補措施的已知漏洞,有了這些存在的弱點,再利用一些針對性的工具,就可以發起真正意義的攻擊破壞。

  所以,大家在使用計算機的時候,要經常對系統和應用程序進行升級,減少黑客能被利用的弱點,就可以很大程度上避免遭受侵害。

  主持人:為什么大多數的攻擊發生在應用層面而不是網絡層?應用層很脆弱嗎?

  門嘉平:從宏觀講,國家經過10多年的大力扶持,成就了一些大型的網絡安全公司,研發了比較成熟的網絡安全產品,并發揮著重要的網絡層防護效果,所以黑客利用網絡層弱點發起侵入破壞所花費的智力和財力是非常大的。相反,大家在工作和生活中真正使用的是應用層的業務軟件,國家從十二五宏觀戰略發展規劃中(2011年)剛剛開始重視,應用層軟件的弱點還沒有被更大深度的挖掘,相關的防御產品和措施在成熟度和整體性上都有值得商榷的地方,這就給攻擊破壞者帶來了可利用的機會,因此現在很多攻擊破壞開始從應用層發起并形成破壞,最后直至侵入網絡達到攻擊破壞的某種特定目的。

  正因為應用層軟件是大家在工作和生活中真正需要使用的,但是開發這些應用軟件的企業或個人往往只是為了實現約定的功能,并沒有考慮軟件在編碼過程中存在被黑客可利用的弱點。類似這種情況,被廣泛的存在于各行業各業務應用系統中,所暴露的或者隱藏的漏洞弱點,恰恰給攻擊破壞者留下了巨大的可利用機會,這就造成了應用層脆弱無比,需要我們做應用安全研究的企業和組織、甚至從國家角度都要花費相當長的時間去逐步減弱到逐步解決。

  主持人:既然是這樣,那在您看來應用層安全研究的盲點及弱點在哪里?要如何突破這些盲點和弱點?

  門嘉平:應用層安全研究的困難主要存在以下幾點:1、國家沒有專業的科研院所培養應用層安全研究人員,造成應用安全研究人才嚴重短缺;2、行業眾多,業務應用復雜,功能多樣,已經進入應用安全研究的人員,對業務應用缺乏實質了解,可能會造成研究過程中的疏漏;3、從事應用安全研究的企業和組織缺乏足夠的資金去擴大研究范圍和研究深度,資金問題是困擾應用安全研究的沉重枷鎖。

  要解決這些盲點和弱點,至少需要從以下幾方面全面推動,才能見到實質成效:1、科研院所開設應用安全研究學科,培養專業人才進入應用安全領域從事具體研究工作,解決應用安全研究人才短缺的問題;2、對從事應用安全研究的企業和組織,財政不但要從稅收負擔上進行優惠,國家還要對應用層安全研究科目進行大力扶持甚至無償資助,解決這些企業和組織資金短缺的問題;3、對應用層業務系統開發的企業或個人加強安全培訓,從功能實現的編碼質量上解決問題,減少可能被利用的弱點;4、應用系統上線使用之前,要對應用軟件進行深度評估測試,減少應用軟件攜帶問題的概率。

  主持人:現在有很多的安全企業都注重下一代防火墻的研究,下一代防火墻的優勢在哪里?它對那些惡意攻擊有多大的遏制作用?

  門嘉平:下一代防火墻的研究,在很多網絡安全企業里已經著手研發了,特點主要表現在能適應萬兆的多核架構高速處理,另外實現更細粒度的網絡層安全過濾。隨著全國互聯網的普及和網速升級改造的完成,萬兆網絡使用環境將逐步成為主流,這也就催生了下一代防火墻開發的基本動力。

  多核硬件架構的使用極大提升防火墻的性能,使得在防火墻在網絡層之上可以能實現一些功能的延伸,比如可以做到傳輸層和會話層的安全過濾,從一定意義上講,可以遏制一部分來自應用層攻擊造成的損失。

  主持人:門總,您自己也一直在做信息安全的相關課題研究,那您能不能和大家談一下您對應用安全深層防護體系的設想?這一設想能否實現呢?

  門嘉平:應用安全涉及面很廣,在大家的生活、工作中無所不在,在企事業辦公環境、工業生產、軍工國防等各行業都是核心問題。

  信息安全是對系統安全、網絡安全和應用安全等方面的更高概括,應用安全只是信息安全中的一個分支,離不開系統安全和網絡安全的基礎而獨存,只是隨著系統安全和網絡安全防護的成熟,眾多的應用系統弱點被暴露而被更多的攻擊破壞,所以才顯得更為突出。

  應用安全又細分了很多方向,比如WEB應用安全、數據庫應用安全、數據安全存儲、應用層木馬間諜軟件防護、云端應用安全、應用軟件源代碼安全等,所有的這些應用層防護措施要能組成應用層防御體系,才可能彰顯實際效果。因為應用安全人才極度短缺、國家對應用安全研究的扶持力度尚未真正意義展開,所以在應用安全防護措施實現方面發展的還是比較緩慢。

  主持人:其他各國對應用安全層面的建設做了哪些部署?有哪些是需要我們特別關注的呢?

  門嘉平:橫觀其他國家對應用安全的研究,我國應用安全研究尚處在起步的初級階段,發展比較成熟的國家有北美、歐洲和日本等,這些在應用安全領域發展較早的國家除了前沿技術已經熟練掌握,他們更深層次的把應用層系統軟件做了更高規格的源代碼級評估審核,形成了從源代碼、應用安全策略、應用安全產品防護等多種技術、多種手段交叉防御的成熟模式。

  在應用安全領域,國外的先進經驗和技術都值得我們去認真學習和借鑒,才可以實現我國應用安全防護領域的快速長足進步。

  主持人:今年3月我國將實行微博實名制,部分地區已開始實施快遞實名制。關于網友們擔心的實名制后信息泄露問題,您如何看待?您有什么好的建議或是防御方法提供給我們嗎?

  門嘉平:微博用戶爆炸式增長,實名制在某種意義上是一種非常好的管理和監督方法,能有效防治惡意發布危害國家安定、社會穩定的言論,對輿情的管控和引導能發揮很重要的作用。但實名制后的博主信息的安全存儲也成了應用安全領域的一個研究課題方向,個人信息安全,從微觀來看可能會影響一個人或者一個家庭,從宏觀來看可能影響一個階層甚至一個民族。這種從民生到國家穩定的舉措與應用安全防護技術成熟度密不可分,需要提供微博服務的企業認真思考,也需要博主認真對待。

  主持人:在09年之前,您做過很多信息安全的相關課題研究,09年成立了現在的公司。是什么讓您由一個學者加入到了企業家的行列呢?您是怎樣適應從學者到企業家之間的角色轉換的?這兩個角色沖突嗎?

  門嘉平:應用安全領域在全國人才嚴重短缺的情況下,學術研究相對比較超前,但是產業發展明顯滯后,本著促進應用安全產業發展保障國家應用安全的目標,在企業里培養應用安全專業人才、把前沿的學術研究成果實現產業化促成了自己創立企業的根本動力。

  學術研究與產業發展密不可分,二者是相輔相成,彼此促進的。學術研究離開了產業方向,必將脫離實際,形成唯心的空談;相對應的,產業沒有學術研究的指導,將迷失其發展的方向而走向沒落。很多優秀的學者同時也是知名的企業家,他們都是我學習的榜樣,雖然從概念上學者與企業家相差甚遠,但是從培養應用安全專業人才、把前沿的學術研究成果實現產業化的角度上,兩個角色又是相互補益的。

  主持人:門總方便向大家透露一下您目前研究的課題以及課題的進展嗎?未來您有何打算,您的研究方向在哪里?

  門嘉平:如前面所提到的,系統安全與網絡安全在國家的大力引導和扶持下,培育了很多人才,成長了一批企業,同時在科研課題方面也頗有建樹,形成了以評估并彌補弱點、從被動防護到積極防御的戰略轉變。但是應用安全在種種因素制約下,尚處于起步研究階段,我現在關注和研究的重心已經轉移到了應用安全領域,并取得了階段性的成果。

  應用安全是未來一個比較長的時期內,各行業都亟需考慮并形成實際需求的方向,目前國內在應用安全領域從業的人員遠遠不足,我會在這個領域繼續深耕細作,以培養人才、研究應用安全前沿技術為長遠的研究方向,為國家應用安全保障工作竭盡全力。

  主持人:您能從一個企業家的角度分析一下企業的安全現狀嗎?企業安全防護的弱點在哪里?要如何去加強安全防護呢?

  門嘉平:一個有規模的企業在追求規模效益的時候,往往忽略了自身安全自評,導致了諸如泄密等危害客戶、甚至危害國家民族利益的事情時有出現。

  企業在自身文化建設方面,可能著眼于規模、利潤等方面的考慮,制定比較好的戰略發展規劃和氛圍,但是忽略企業文化也應該包含安全意識教育,甚至忽略法律法規的根本遵守與約束,所以遠不是企業購買幾臺安全設備就可以做好企業安全防護的。

  企業在發展的過程中,需要把企業文化建設與內部信息安全條例相結合,把員工技能培養與信息安全意識教育相結合,把企業管理制度與安全防御技術相結合去全面加強安全防護,其成效將比較顯著。

  主持人:嗯,謝謝門總的慷慨,給大家提供了很多不錯的方法,也讓大家對信息安全的現狀有了更近一步的了解。再次歡迎您來中國信息安全博士網的高端訪談做客,希望下次您再來的時候能給大家提供更多更好的防御方法,同時為“中國信息安全博士網”和《安全周報》提出更多的寶貴意見。

  門嘉平:感謝“中國信息安全博士網”和《安全周報》能給我與大家一起溝通交流的機會,祝“中國信息安全博士網”和《安全周報》越辦越好。

  主持人:好了,朋友們,今天的高端訪談到這里就要結束了,感謝您的收看。請繼續關注“中國信息安全博士網”和《安全周報》,我們將為大家提供最新,最全的信息安全資訊。再見!

(責任編輯:管理員)

分享到:

更多
發表評論
請自覺遵守互聯網相關的政策法規,嚴禁發布色情、暴力、反動的言論。
評價:
表情:
  • 微笑/wx
  • 撇嘴/pz
  • 抓狂/zk
  • 流汗/lh
  • 大兵/db
  • 奮斗/fd
  • 疑問/yw
  • 暈/y
  • 偷笑/wx
  • 可愛/ka
  • 傲慢/am
  • 驚恐/jk
用戶名: 驗證碼:點擊我更換圖片
資料下載專區
圖文資訊

北京國聯天成信息技術有限公司執行總裁 門

北京國聯天成信息技術有限公司執行總裁 門嘉平

門嘉平,四川大學碩士,在信息安全領域從業24年。北京國聯天成信息技術有限公司創始人...[詳細]

訪談:兩會安保專家談大數據與云安全

訪談:兩會安保專家談大數據與云安全

2016年全國兩會于上周結束。會上,李克強總理指出要促進大數據、云計算和物聯網的廣泛...[詳細]

北京信息科技大學信息管理學院信息安全系主

北京信息科技大學信息管理學院信息安全系主任 陳昕

主持人:陳老師,您好,貴校是國內較早設置信息安全專業的高校之一,目前專業發展情況...[詳細]

中國礦業大學計算機學院信息安全系主任 林

中國礦業大學計算機學院信息安全系主任 林果園

我們自從設立信息安全專業以來,一直努力探索怎么樣構建專業課程體系和知識體系。經過...[詳細]

桂林電子科技大學數學與計算科學學院副院長

桂林電子科技大學數學與計算科學學院副院長 丁勇

主持人:據了解,數學與計算科學學院前身為計算科學與數學系,成立于1998年。請簡要介...[詳細]

返回首頁 返回頂部
体彩31选7开奖结果