主持人：各位老师，下午好。欢迎大家来参加我们的“校园网管理与安全论坛技术沙龙”。现在已经是第二期了，2007年年底做了802.13的第一期。非常感谢北大网络中心的老师和同事给我们提供了这么好的环境。《中国教育网络》为本次沙龙独家报道媒体。

　　以下为中山大学的商尔从老师的《防病毒软件还是防病毒服务？ARP欺骗木马治理与对策》主题报告实录(以下实录参照pdf文档阅读效果更好)。

　　商尔从：大家好，我的题目是《防病毒软件还是防病毒服务？ARP欺骗木马治理与对策》。
　　我们是需要一个防病毒软件还是一个防病毒服务，另外就是ARP欺骗木马的治理与对策。这是我们在2007年9、10月份为我们获得的41个病毒样本提交的检测率。其中，选择了32个杀毒引擎做检测，我们选了10个常用的防病毒软件，其实我们可以看到一些主流的杀毒软件的检测率基本都是接近的。在08年1月—3月，我们又做了另一个统计，我们换了一种方式，把这些样本提交到端口上又做了一个比较。防病毒软件目前对病毒的检测率并不高，很多新的变种，它的检测率并不高。对于这种情况，我们是否完全否定我们使用的产品？因为我们很多用户目前的局面就是这个杀不了，再换另外一个。这是一种非常不乐观的情况，但是我们对这些没法检测的病毒，(不清楚)可以把它的可靠性提高到100%。06—08年，我们进行了一些样本的分析，08年我们已经提供了50个样本，39个被确认为新的威胁病毒，已经加到病毒库中。

　　可见，防病毒软件从医疗的角度来说，只是一个药物。目前的状况基本上是，我们重视药物，而不重视它的管理。所以我们应该完善整体防病毒的体系，应该有一个产品，也应该有一个处理紧急事件的响应。比如它一定要提供一个现场的环境，并且有一个应急小组。另外我们要提供一个变化的支持和一些支持库的支持，而且要对一些样本进行分析，才能了解我们当前遇到的问题。当然我们要对用户进行一个公告以及安全的教育、培训，安全意识的建立更为重要。

　　我们要认识到防病毒软件，它目前已经不能100%解决问题了。它需要配合一些新的工具，包括一些清理工具、修复工具等。另外目前主动防御的软件，我们觉得还是不成熟，因为一些木马可以绕过这些主动防御。我们也要正确地使用防病毒软件。需要我们网络中心提供支持，而且也要和防病毒软件的厂家共享一些信息，我们把一些问题反映给它，它们才能不断地增强这个解决问题的策略。

　　我们可能忽略了防病毒软件数据库的一些重要作用，在这半年内，每遇到一个问题我们都会看到风险评估的一些东西，就病毒的广泛性等进行一个评估，才能做出一个对策。对于用户来讲，提升信任是非常关键的，而且需要相当长时间的策划。往往我们对用户的一些请求推掉，或者让他们重新装系统，但这并不是一个好的方法。如果有些用户喜欢用盗版软件，或者甚至有些学校的网络中心为用户提供一些盗版的防病毒软件，那么这个方法更为不好。因为盗版的防病毒软件其实和一种仿冒的产品没什么区别。

　　在安全意识教育方面，我国远远比欧美国家落后，这是欧洲一个相关委员会做的资料。它教我们怎样去提升用户的安全意识。在07年工作纲要中，把提高用户安全意识的教育放在相当重要的位置上。在美国的大学中，联合剧本了计算机安全的一个比赛，已经举办了两年。最近，香港大学也举办了一次提高计算机安全意识的宣传。

　　在ARP欺骗中最关键的问题，我要稍微补充一下。刚才清华大学的老师和交大的老师对ARP欺骗的原理等已经说的非常详细了，我就不再重复。我要补充的是，目前我们所掌握的资料，ARP欺骗有两种类型，分别是由黑客入侵造成ARP欺骗，是用专用的ARP工具去截断网络的通讯，一般会入侵数据中心，而使整个数据中心的网关在通讯内插入恶意代码，使客户中毒。另外一种是我们考虑的比较多的，就是客户区的中毒。
 
　　这是一个统计，在12月18日发现，我们发现它下载了非常多的东西，装了赛门铁克的用户会发现它，不过没有装的用户很快就会受到攻击。它本身并不会发出ARP攻击，而是由其他木马发出ARP欺骗。我们在发现这个之后，由于发现它会进行一些下载，把它定义为木马，而且它是有下载行为，也归到所谓的木马下载区。所以将涉及这个木马的所有的一些站点，我们就进行封锁，那么累计的统计情况我们可以看出来，后面没有做下去，是因为我们的设备进行了调整，很遗憾我们没有进行定期的统计。其中，这个域名是它下载木马的第一个站点，在1月14日左右，这个访问量就下降了。当时我们封的是一个IP地址，也就是说，我们在这样的方法下去进行保护性的安全措施还是有效的。为什么我们看到的这种量非常大，访问次数非常多。根据我们对访问的ARP进行抽样调查，有一些中毒了，有一些没有中毒，只是被劫持访问这些网站。一种是通过ARP欺骗造成所谓黑客说的一种“挂网”(音)。所以是有两种，另外这是下载ARP的木马，当时有27个。我们可以看到它下载的一些站点，它访问这个站点用的是一个域名的方式。

　　为什么我们要防止ARP，它的目的是什么？是为了盗取信息。我们不要为了防止ARP而防止ARP，你防了ARP不等于能防止信息泄露。我们再来看看下载木马用了其他域名的危害，这是在12月18日，我们在22日做了一个跟踪，下面这个输出可以看到它的变化。估计它是在屏幕的下半部分，已经发现它的域名变了，取样的时间是3月6日，也就是前面的这个图，可以断定它的域名变化大概是1月14日。在3月23日的一个跟踪，这个域名又变了。

　　目前效果是怎样呢？我们有40个域名列在上面，每天拒绝访问的次数在600—700次，这里面的木马下面，我们不回应它的IP地址。我们知道在未来需要这样的服务，而现在太多的木马在上面，加上一些代码让用户感染。(不清楚)和GOOGLE有合作，这里含有一些恶意站点的信息。从我们整体的治理方法来讲，它和整个的信息安全管理体系相关，因为目前来讲，我们是ARP欺骗，那么未来是怎样的呢？肯定会遇到其他的问题。我们需要进行一些预防性、保护性的措施以及被动的响应，还要做完整的管理。在我们的工作中，我们大部分采取的一些半主动的方式，比如防火墙等，目前我们的交换机，比如华为和锐捷的也有防ARP欺骗的功能，在我们的学校中也有用的。目前来讲，ARP欺骗比去年10月份时下降很多了。至于以前也有采取一些发现型的响应措施，发现ARP攻击，但由于网络结构的调整，所以我们的三层交换机都移动了，所以造成了工作上的一些困难。

　　整体来讲，安全需求缺口是非常大的。如何进行用户的教育、形成安全的文化，是未来应该注重的方向。我们每一个人怎样可以更多地掌握信息安全的方法和知识，我们做了一个调查，这是我校网络中心的助理，他掌握的水平离我们的要求是非常远的。下面我也想谈一下如何做一个协作与共享，我们都知道紧急响应、信息共享，这些非常重要。如何充分利用这个平台进行一些工作，大家如何协同共享一些信息，怎样进行协同性的管理，我也想和各位专家探讨一下，这里我只提出一个问题，希望大家可以共同讨论。
　　我准备的不充分，谢谢大家！

　　主持人：我觉得您准备的已经很充分了，很多都需要我们来学习。下面看看各位老师有什么问题？您刚才说的用户安全意识的提高非常重要，现在我们也要做这个事情。在学校里面做过的培训基地，大家可以在网上看到这些信息，当然不是很完善。您以前在论坛上发布的那个海报，我觉得挺有意思的。
　　答：其实那些海报是美国的一些大学，新西兰的一些大学，你们也可以找到那些宣传的海报。
　　问：我们以前也试图做过校园网用户的安全指南，不过我们做的不太简单，用户看不明白。我觉得像中山大学做的那个指南挺有意义的。
　　答：我们也是在逐渐学习，主要是看国外的一些大学怎样做，怎样宣传的。我建议大家好好研究一下欧洲那个委员会的资料，因为它里面有一个统计方式，就是用怎样的宣传方式达到怎样的效果。里面有授课、问卷、培训、指南、海报方式，达到的效果也做了一个调查，大家可以做一个探讨。
　　问：您是否可以提供一些国外提升安全意识的网址？
　　答：我们为什么要做这些呢，因为安全意识的问题和文化相关。如果要建立一种文化，是非常长远的事情，大家可以搜索ENISA，这在欧洲的访问人数是最多的；另外可以到BDUCOS(音)上看，大家都可以下载来看。
　　问：您刚才说的病毒样本分析，这个我们一直在做，不过现在的样本数也不是很够，只是有一些典型的样本，假如大家有什么新的，我们现在有一个自己研发的系统，有很多机器在一起(T3实验室)，很多病毒可以在那个环境里实际的运行一下，它对网关、主机的破坏，我们都可以检测。山大有一个ARP的木马样本，分析完之后可以看到很多的行为，这方面的工作我们也正在做。如果这个系统稍微完善一点，我们也会挂到论坛上。另外公告可能需要大家共同交流，以前我们在网站上也在做这方面的内容，不够我们的经验、人力有限，我还是希望把我们的邮件列表充分利用起来，如果大家有什么意见可以发出来。刚才说到的ECL封锁站点非常好，我们能封什么就封什么，应该说这是很有效的，包括IP、恶意站点的域名等，我们是否可在论坛里面做一个类似于投票的，让大家推荐恶意站点都有哪些。
　　答：目前来讲，封锁的站点可能大家不要有疑虑，我们从12月开始封，没有用户投诉说访问不到什么站点。另外我想提醒大家，不要对ARP这种攻击行为所蒙骗，它的目的是为了盗取信息，虽然你可以防止ARP欺骗，虽然有各种技术手段来防止ARP欺骗，但你不能保证用户的重要信息不被盗。
　　问：我跟360卫士的老总谈过，他说有一个电子钱包的软件，就是说哪怕中木马了，但是这个木马可以保证银行的一些信息不被盗，但这也是不得已的办法。