企业病毒管理讲座：网友精彩问题汇总

　　由51CTO.COM网站主办的“51CTO技术沙龙—企业病毒管理讲座”在北京理工国际教育交流大厦召开。本次技术技术论坛吸引了近百名网络工程师、项目经理、网络管理员等技术人员的关注。 短短的3个多小时里，来自趋势科技三位专家从多方面对企业病毒管理和防范从进行了技术分析和实例讲解，并详细解答了与会技术人员提出的技术问题。

　　Web信誉评价技术，是不是只有我们趋势才独有？

　　现场观众：我想问一下徐经理，您刚才讲到的Web信誉评价技术，是不是只有我们趋势才独有？别的厂商是不是还没有？

　　徐学龙：从目前来讲，我们是通过收购一家公司，这家公司之前在整个Web信誉这块做得非常好。所以我们把最新的技术集成到我们趋势科技来。

　　Web信誉评估怎么处理163大型网站上挂网

　　现场观众：我有几个问题。首先今天非常感谢徐经理给我们带来非常精彩的演讲，也了解了很多东西。首先第一个问题，您的Web信誉评估里面，在以下两种情况下是怎么处理的。比如一个是被恶意中毒木马挂网，一个是主动挂网。据我了解，有很多人为了追求商业利益，挂网。比如在163大型网站上挂网，一天有很多收入。163的网站本身是可信的还是不可信的？这是第一个问题。

　　第二个问题，您刚才说了软件下载的问题，是不是有自我拦截下载软件？因为现在很多木马程序都是通过嵌入网页里面下载程序，您这个是不是自动拦截了？

　　第三个问题，我跟一些朋友聊天的时候了解到，杀毒软件本身应该说防护机制非常强，现在有人声称他已经破坏了杀毒软件的保护机制。一般来说杀毒软件防护最弱的时候就是程序更新的时候，我想知道趋势科技更新防护这一块怎么样？

　　徐学龙：实际上，我们刚才讲到的Web信誉服务，从技术上来讲，它是采用一种新的方式对整个的访问目标进行信誉分值的判断。这里面会涉及到外挂的情况，所以这时候我们要看，比如它是挂在163上，这个时候163就产生风险。我已经评估出来它有风险，这个时候就要看我们的安全策略如何设定。假如我采用一个非常严格的级别，那我可能就是要阻止掉的。假如采用相对灵活的策略，比如我可能对重要的站点放在白名单里面，这个时候你可以把它忽略过去。但是我觉得在安全防护里面，还是要采取比较严格的策略。如果太宽松的话，风险侵入的机会就会非常大。

　　第二个你讲的访问，实际上你问阻止的问题，在建立链接的时候，一旦我判断出来这个站点信誉值很低，我就及时进行阻断。所以，这时候用户访问的文件并没有过来，我就已经给阻断掉了。

　　第三个问题，你讲到杀毒软件的更新。实际上你会看到，以前很多软件更新的时候，它都需要重启机器，然后新的代码才能应用起来。但现在你会看到，随着技术的进步，我不管是安装还是更新，趋势软件都不需要做重启，这里面有采用一些技术，来保证你讲的防护空窗期。以前有这个问题，但是现在随着技术的完善，这一块的问题已经解决了。所以我想我们可以很放心的使用。

　　暴风影音播放软件，如果病毒捆绑的话，是禁止下载还是剥离？

　　现场观众：我想问一下，比如现在网上很多免费软件大家会随时用到，比如暴风影音播放软件，如果病毒捆绑的话，我们是禁止下载还是剥离呢？

　　徐学龙：你讲的是跟内容相关，它是好的东西里面嵌入坏的程序来欺骗我们。假如这个站点是可信的，比如它是放在一个可信的站点，从这个站点的历史来看，比如华军软件园正好被一个恶意的人放进去了，但是这个软件园相对来讲从评估历史来看，你的IP地址都非常稳定，所以这个站点是可信的。但是这个文件是不可信的，这个时候要靠我们内容的过滤和扫描。所以我们讲，Web信誉服务可以提高针对Web威胁防护的及时性和全面性，因为你的代码不可能囊扩所有站点的动态风险，但是代码的过滤程序还是必不可少的。所以两方面结合，是一个完整的防护方案。

　　Web信誉服务如何评价一个刚刚注册的网站

　　现场观众：大家今天关注的都是Web信誉的问题，Web信誉服务对网站的监测都是长期的，都是一个综合性的。我想问一下Web信誉服务如何评价一个刚刚注册的网站以及Web信誉度的问题。比如达到什么样的级别，它才能被称为是安全的网站？谢谢。

　　徐学龙：首先，你最后说的信誉评估等级，实际上这个等级是在我们的配置界面上，管理员可以自己调整。它分为四个等级，所以这是我们管理人员可以自我调整，根据我们的需要进行调整。可能最一开始我们放的比较宽松，根据监控日志的情况我们可以进行调整。

　　另外对新的站点来讲，因为我们的评估有50多个参数，所以我不清楚它们中间的加减乘除算出这个分值，但是总体会考虑到这部分的内容。因为这里面有50多个参数来做评估，所以你刚刚出现的话，仅仅是你的站点年龄不够长，但是还有其他很多的属性。所以这是一个平衡之后的结果，不会因为仅仅是年龄短，就给它进行偏激的判断。

　　现场观众：我接着问一下，信誉评估参数采集过程中如何保证不存在问题？比如域名存在时间，能不能会存在欺骗或者造假的问题？比如明明这个域名存在的时间是9个小时，但是采集到的数据可能是几百、几千的小时。会不会存在这种情况？

　　徐学龙：这个数据不是一天产生的，实际上有一篇英文的PPT，类似于FBI。我们收集到的数据一方面有一个动态的评估，同时这个评估的结果背后是存在庞大的数据库里面，所以既有数据库，又有评估引擎。假如讲到有恶意程序的站点，通常来讲它的动态性很活，到处跑，它的周期就比较短。从我们长期的统计来看，它的这种特点就比较明显了。

　　现场观众：我的意思是说里面的数据本身会不会有问题？

　　徐学龙：它其实已经采用很长的时间来收集数据了。

　　王锁杰：我们可以打个比方，我们对这个站点的监测就像我们派出所监测人口一样，分暂住人口和常住人口监测。对这种数据是长效性的，一个站点新间建立的时候，对于很好的站点是做域信任、IP传递的方式，这个是很坚固的。比如我们统计流动人口，它可能是坏的站点，这个IP地址迁移的很大，这是有很大差别的，这是一个特别的方法。另外一个你说的会不会被欺骗，我们不会因为它是刚出现的域名和地址就认为它有问题，而是经过长期的监测来判断。所以你要判断一个人是好是坏，这个是很难判断的，所以要长时间的判断。这个时间基本上看站点存在的时间。另外一块是它的行为方式，它的流量参数等等进行比对，所以是一个综合的参数。所以这不存在一个参数由一个好的站点变成坏的站点，所以这些参数本身就可以规避欺骗性的行为。到现在为止，如果它真的欺骗的话，真想从一个坏的站点变成好的站点，它可能要欺骗我们50多个参数才可以，目前这个还没有。我们不保证永远不会出错，但是会保证出错的域很小。

　　WEB信誉评估会不会影响带宽，影响对某些网站访问速度？

　　现场观众：我对咱们的信誉评估想问一下，因为信誉评估要监测几亿个站点，所以那个数据库一定非常庞大。咱们的库肯定是建立在咱们的服务器上，假如我要访问一个站点的话，我要在你的服务器上取回这个站点的信誉评估，会不会影响咱们的一部分带宽，或者造成对某些网站速度的影响？

　　徐学龙：从目前的计算程度，网络的带宽技术在试用的用户里面，用户的感觉不明显。比如他点击一下，马上会看到这个网被阻挡掉了，对用户感觉没有那么明显。

　　现场观众：假设我访问新浪，我进入新浪的时候，首先从你们反馈的结果会显示在哪儿？

　　徐学龙：假如是正常的就没有结果。

　　现场观众：是恶意的才会有。

　　徐学龙：对，比如像我在客户端，它会在你的桌面上弹出一个信息。

　　怎样体现趋势产品的优势

　　现场观众：我们主要的客户更多的是教育用户，而在这部分出现问题的话，本身我们公司是教育骨干，我们是做最后一部分，不光是硬件还是软件，我们会添加安全的设施。根据国内用到的产品和国外的产品我们会进行对比，有可能或者更多的时候，价格决定了学校购买这款产品。当然我们更多的是需要一个管理性强、安全、更新速率，包括人员培训有更好的方案。我们以后真正做趋势产品的时候，你们有没有更好的方案写到里面，体现趋势产品的优势？

　　王锁杰：这个问题问的非常好。大家知不知道大部分国内机器处在网络中？一块是教育网，还有一块就是政府网络。因为这些机器少有人管，而且通常都是开机的。所以说在这一块，您刚刚说一个针对性的方案，因为我们现在很多程度上教育网就是一个大网，我们现在普教和高教有很大的差别，普教网络分布很明显。对于高教，我们可能以前买几千点，或者买一些SCS装上去，但是没有考虑到学生和老师的差异性。

　　还有一块的情况，我们很多的教育网是学校的内部网，宿舍网和办公网在有些地方是联通的。所以我们在做解决方案的时候，第一块做资产的分割，宿舍网、办公网、实验室网络、收费网络、计费网络全部分开，不一定要求客户分的完全好，但是要提供在你物理连接的同时保证安全性，不让一个网络出现问题而导致全网瘫痪。

　　第二点，应用每个网络的不同特性，比如教师的办公网络好管理，机房的网络好管理，我们可能运用一些基本管理性质的就可以了。比如宿舍网络是管理虚空的特区，学生可能会进行下载或者屏蔽，他要测试你的防毒软件的能力，甚至他把病毒弄过来测试你的网络。这里面我们给客户的建议，包括您这边做集成，我们建议防病毒软件是道结果方案，但是是最后的结果方案。包括很多的客户在做学生网络、宿舍网络的区隔，这样可以降低出现风险，可控的风险是非常高的。还有包括学生上网的习惯，这里非常多，我们可以提供一种终端的结果方案。还有一种是在线扫描的解决方案，还有一种是完全把它从网络中剥离开来。所以这里我们觉得，如果您寻求一个针对教育网络高教的解决方案，我们建议您按照它的网络应用不同，如果真的做趋势授权，您可以咨询我们的解决范围，这样可以整合在一起，而且这样的情况不光是趋势，所有的厂商面临的问题是一样的，因为那是一个失控的网络。

　　趋势的培训机制是怎样的？

　　现场观众：刚才已经谈到很多的肉鸡产生，我的意思是说你们公司说过对客户进行一定量的培训。这种培训的力度和客户选择方面是怎么样监管的？而且怎样进行定期培训？

　　王锁杰：非常感觉您对技术之外的问题。趋势科技培训主要分为几个部分。一个是对外，我们会把培训内容外包给一些培训机构，由他做第三方的培训认证。包括一些在大学里面进行一些选修课，这个是针对毕业大学生出去应对安全的意识。另外对于趋势现有的客户，可能是服务客户，也可能是产品客户，这个培训一方面教导他们最基本的安全应用知识。我们会在培训之后在间隙里不通知，模拟一下，看看参加培训的人员是不是还犯同样的错误，或者没有把这个培训放到相应的问题上去，还会组织相应的考试。所以这种方式方法是非常丰富的。这个对于终端用户。

　　还有一块培训可能是针对企业的网管，流程等东西需要网管加固，那么就根据企业的情况进行改变。这方面我们会对网管进行培训，以及网管的老板进行培训，所以我们的培训会丰富多彩，而且也不是培训之后就结束了，会做演习、控制来看他的培训结果。

　　客户为什么要选择趋势？优势在哪里？

　　现场观众：我想问一下产品方面的问题。我想问一下客户最关心的问题，因为现在像杀毒软件、防火墙以及网关的产品非常多，我想知道趋势产品的最大优势是什么？以及客户为什么要选择趋势？请您做一下回答。

　　王锁杰：我们的优势可能一句两句说不完，我们请林先生来回答。

　　林义轩：刚才其实在王先生的简报里面有说明，他说趋势目前提供多重防护的体系，基本上你可以看到从网关、服务器、终端、专家服务来说，这种趋势的解决方案对客户来说这些已经非常丰富了。

　　王锁杰：我补充一下。我相信决定系数客户在选择防病毒软件的时候，他第一考虑的是品牌。这个品牌趋势过不过硬呢？一个是我们在全球上的布局，我们在世界上是排名前三位的，这是品牌的基本保障。另外我们针对国内的用户，能不能提供本地化的快速响应和速度，我们在国内有研发中心、相应中心，有非常强的覆盖网络和认证工程师的网络，我们可以给客户提供快速响应。因为防病毒和硬件设备不一样，硬件设备可能换备机，我们这一块要做的是快速响应和快速恢复，所以我们要有基础的构架，这样可以烘托出我们品牌的可依赖程度。

　　现场观众：客户选择产品的时候最重要的是性价比。请您谈一下。

　　王锁杰：性价比这一块来说，我们还是交给徐学龙先生给大家说一下。

　　现场观众：实际上就是价格这一块。

　　徐学龙：我觉得是这样。实际上价格大家会感觉到，作为安全厂商来讲，价格不是由我们来定的，实际是整个市场在竞争的一个环境当中由客户来决定的。所以大家会看到，今天这个客户卖多少钱，那个客户卖多少钱，这些可能是在用户对我们的认可当中接受我们相应的售价。所以你会看到，为什么工商银行全行就选趋势科技，农行也选趋势科技，国内最大的两家银行选择趋势科技。那是因为从我的感受来讲，趋势科技是最本地化的国际公司，所以它能够结合全球的运营经验和我们国内最本地化的特点相结合。把这两方面结合，用户不管是从性价比方面，或者是从管理方面，或者服务方面能够做的比较安心。

　　工行领导曾经给我们讲，我们在部署一个产品的时候，他说我希望这个产品你能进一步优化，后来他讲为什么我们不换一家呢？因为我们认为目前我没得换，我就希望你做得更好。但是在其他的一些可选的厂商里面，我还看不到能够把我全国的网络规模集中管理起来的。所以整个过程中，我想用户的认可是对我们最大的鼓励。

　　趋势科技是否对自己评过分？

　　主持人：有一些在线网络朋友们也提出了问题。有一个朋友问，王先生刚才讲到了对企业网络的评分。趋势科技是否对自己进行过打分，分数是什么样的？还有趋势科技的防护策略是什么样的？

　　王锁杰：非常不幸的是在防病毒软件的业界分数就趋势科技家，因为其他的竞争对手不愿意接受我们的评估。因为这个分数我刚才说过了，如果没有对比就没有任何意义。我们把我们的分数和不同行业的，比如金融行业、制造业做评比。我们会发现，在流程上我们做得非常好，在技术分上我们做的也比别人高，人工的安全意识上也比别人高。所以这个对比是这样的。

　　另外一块是安全策略，趋势科技除了应用自己的防病毒解决方案，我们还选择非常多的优秀合作伙伴，可能是和我们有互补关系的。比方系统自动扫描、防火墙、入侵监测设备都在我们的安全策略考虑清单里面。另外我们策略的更改和维护更新完全是按照事件，我们完全可以根据一个事件做安全系统的加固。所以在这里面，整个评估的目的是为了安全系统的加固。所以在这个策略里面，最重要的是更新。因为这也是防病毒重要的方面。

　　有漏洞就修补，是否有问题？

　　主持人：网上还有朋友有疑问，认为自己评价自己的网络安全过程太复杂了，只要知道有这个漏洞来弥补就可以了。请问一下这种相比是不是存在很多的弊端？

　　王锁杰：这个想法在一定的基础上是正确的。我真的知道我的漏洞在哪里，我有相应的技术手段和保证我解决漏洞，这个基础上是正确的。但是我们往往发现，我们自己维护的网络包括趋势科技自己维护的趋势网络有些地方会有疏漏。第一个我的漏洞在哪里，我不一定能够准确的找到。第二，我找到以后不一定可以依赖现有的解决方案解决，以及相应的我可能找到了，要去解决却发现没有落实。在这里面我们发现，如果没有前面的前提，那么所有解决的方案没有一个理论基础和技术基础，我就没有办法落实，购买解决方案不是需要的解决方案，最后一切都是没有办法去真正解决问题的。所以在这里面，这个问题确实是我的问题，而且我知道解决方法，同时我保证一定能解决的话，这个想法是正确的。

　　网站的信誉度低是否可以屏蔽？

　　现场观众：我想问一下比如一个网站信誉度比较低的情况下，是可以屏蔽掉吗？

　　徐学龙：在我们的配置里面，管理人员是可以定义级别的。在处理动作上，只要是低于我的分值，我就把它阻断，或者我记录到日志中。这是两种方式可以选择。我们可能在刚刚启用的时候，我们会放的宽松一点，慢慢地我们要把它做得更加适合网络的需求。

　　怎样解决移动存储设备的安全威胁？

　　现场观众：我本身也是做安全的，我提几个问题。捆绑软件不知道咱们公司有没有进一步的安全措施？因为网络在很多方面防护的很全面，最大的威胁还是主动的执行。刚才说到华军软件园，但是还有一些其他的软件园。但是有的时候检查不出来，这种东西非常隐蔽的，有没有途径，包括很多软件捆绑以后查不出来。咱们有没有这种方法检查出来？这是一个建议吧，因为这是未来里面很大的威胁。

　　还有刚才大家提到了包括Web威胁，还有关于U盘病毒的问题。像很多网络游戏、灰鸽子、熊猫病毒都是通过U盘传播的。咱们有没有很好的措施阻止U盘病毒的传播？如果没有的话，作为一个建议希望加强一下。

　　林义轩：其实我们公司也有在朝这个方向做研发。目前我们研发到一个初步的阶段，在用户的终端有一个代理器，我们会监控所有下载的东西跟U盘进出的行为。如果这个档案符合一个标准，因为我们是防毒公司，我们知道大概哪些病毒的大小、形状。针对这些规则我们会把档案自动送到南京的解决中心去做判断。如果发现它是病毒，会马上分析这个病毒是从IE进来，还是从U盘进来的。所以我们公司目前已经研发到一定阶段。

　　徐学龙：它实际上动态的搜集样品，自动提交上去，然后我们有一个自动处理系统，自动做出代码再送回去，其实它是一个自动的来回，后来自动发下去，然后把问题解决掉。

　　王锁杰：您刚刚问的问题比较明确，我们有没有防护。但是在你下载的过程中或者使用移动硬盘的过程中查不出来的，这一块趋势科技近期在做，还有我们即将要做的就是对未知病毒的防范。它可以收集病毒的样本自动检查，以及解药的制作，然后自动送回，自动清除。这些完全是通过自动的流程加快相应的速度，因为只有这样才能避免大规模的爆发。你刚才说的病毒在目前情况下我们看到，我们关注的还是网络的威胁。因为从我们企业用户和个人用户使用U盘的角度看，U盘拷贝的病毒都是已知病毒的或者是隔夜的，所以这里面有一个时延。我们第一关注的还是网页病毒进行研发的。文件的属性我们都会进行相应的自测，如何启动我们并不关心，但是它是被我们整个包含的。