奇虎360防火墙_奇虎防火墙的主要功能_360木马防火墙怎么关(8)

陈留才：这个过程中最难的是跨多厂商间如何协作。SOC不会基于某一家或某一类产品，它是综合的，在此基础之上再利用你的大数据，分析出安全攻击的模型后做匹配，去发现或采取一些主动措施。

吴云坤：因此，跨平台是收数据有跨平台、响应时有跨平台。第二个问题，起家，除Windows外的其他平台。目前我们的Linux肯定没问题，但在银行所拥有的大机上的确没有防病毒软件，因为这个比较难。第一，量比较少。第二，我们没有看到其中的木马。我们更多地建议从流量上看问题。主机上两个问题，第一怕影响业务，其责任难以分清。因为门和业务部门有时在大机管理的权限上可能会有冲突，因此尽量从外部做，避免对业务的影响。当然，我们是全平台一体化、Windows虚拟化的，包括虚拟机、Linux、Mac等，我们都有这样的产品，但到大机这块就没有产品去做。

陈留才：你对各行的情况都很清楚，国内的各家银行基本除Windows的平台外是否都没有上线防病毒木马。

张龙：有几种情况，一种是上的最多的，就说Windows本身其实也有很多平台，Windows标准的Windows7或XP、XPE，以及ATM机上的XPE、客户端上的XPE，另外包括在Linux上的终端。不同类型端上大家的动作会不同。如果在Linux上，我们偏重的是监视，属于弱动作，查杀时较轻。因为Linux通常在应用服务期层面或跑在虚机上。在标准的Windows上是做标准动作。在XPE或ATM机平台上，通常会用白名单的强安全动作。

客户经常和我描述终端杀毒问题，其实在我们看来是终端安全问题，杀毒和安全不是划等号的概念。而我们这个领域的处理中也都用了很多数据，我们会用Agent将所有的终端样本采到内部私有云上做训练，将互联网上黑样本的数据灌进去，用大数据的方法做训练。因为我们在内网中会看到数以万计的互联网都见不到的东西，我们经常在隔离网中发现，有认为是安全的插件，而其中藏有木马。我在我的用户那已抓到很多起，是这些外包商在做的过程中有人将东西放进去。那么银行监管是非常好的，但仍会发现某些流量异常，包括上次我们在某家银行就直接主动拦截了，那个业务流量模型有极强的木马特征。

谈到跨平台，真正工程实施要细分，到底是哪个平台，这个平台是做什么的，根据这个平台的业务特征确定终端安全策略。但无论如何我的监控是做到很强，我可以将你所有的行为，包括主机储藏的每一个行为、每一个样本特征都可以拿到我自己内部的云平台上帮你做分析。农发的内网终端安全目前也是与360合作，今年实施完工。

陈留才：我担心的是数据中心内有其他内容。

吴云坤：监控为主。

张龙：重监视、弱控制，基本在虚拟化平台上做的很多，用专门的平台做虚拟化。我们通常建议用户从运维的角度将两个平台分开，因为处理人的权限不同。处理数据中心和处理终端的东西，即使是一波人但两块授权不同，而且运维的经验要求也不同。终端要倒倒一台、数据中心要倒是倒一片。

陈留才：第二个问题宏观一些，安全体系的构建是一个动态的、需要不断改进完善的过程，在这个过程当中是否有一个指导性的方法，指导银行在相应时点上有比较安全的解决方案。其中有一些工作可能是银行做的，刚才提到银行有一部分技术人员，特别是工农中建、中信，其团队还是比较强的。但农发行实力太弱，那银行内部能做到什么样的内容？有哪些是需要外包给公司来做？因为有些东西肯定不是我们各家银行可以做的。如情报收集，它是全球的，而且涉及到方方面面，这些肯定不是银行可以去做的。哪些是适合银行自己做的、哪些适合外包、360可以提供何种安全服务？

吴云坤：这个问题很好。今年是“十三五”规划的第一年，因此我们从去年年底到今年其实给很多部委，包括一些央企都做了“十三五”规划，我发现今年的规划与其他不同，因为基于等保或监管来看围墙更多一些，但银行不同，之前的确也基于业务风险做了很多，比一般的、部委、央企好很多，今年很明显的一个特征，即互联网+思路在整个规划中的体现，这时要用新技术。但云、移动、大数据等基础设施的应用改变，我认为也造成了一个问题，我们刚才讲到纵深防御，规划的第一条，我们先不谈安全咨询管理——管理制度。发现攻击面多了，尤其是新业务多了，我会在所有的客户那都发出提醒，如集团公司问题，我们在招商局集团、神华煤矿以及银行，都是二级公司，二级三级，央企五级尽量缩到四级，特别复杂，但收权集中去做，第一个问题是业务系统IT基础设施变化，以及复杂的管理组织架构会导致攻击面扩展到很多地方。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-35354-8.html