在偶然或必然間，計算機等信息技術(shù)的快速發(fā)展與普及，出現(xiàn)了黑客現(xiàn)象。黑客自誕生之日起，便成為一個敏感、神秘而又飽受爭議的身份與話題，業(yè)界對其"既恨又愛"，但無論如何，無論在中國還是美國等發(fā)達國家，黑客在信息技術(shù)以及信息安全防御技術(shù)的發(fā)展中都起到了或積極或消極的影響作用……，不可否認，黑客對"破壞性技術(shù)"的執(zhí)著研究為提升信息安全技術(shù)的發(fā)展起到了重 要的促進作用，因此我們需要研究并從中吸收啟迪，做到可控并為我們的正向發(fā)展所用。

日前筆者采訪了國內(nèi)資深黑客、安全研究人員，現(xiàn)任杭州安恒信息技術(shù)有限公司北方大區(qū)技術(shù)總監(jiān)李麒先生，就當前安全發(fā)展趨勢進行了深入的溝通。

專訪嘉賓介紹

李麒，信息安全專家。清華大學(xué)TBC、天津大學(xué)學(xué)士。MCSD、CCNP、CIW、CISP、CISSP、BS7799LA。通過多年從事專業(yè)信息安全方面的工作，熟悉各種網(wǎng)絡(luò)攻擊與防范技術(shù)。

網(wǎng)絡(luò)ID：liwrml。前綠色兵團（中國最大的黑客組織）創(chuàng)始人之一，XFOCUS（安全焦點）論壇版主。曾接受過多家媒體的采訪，并在相關(guān)技術(shù)雜志上發(fā)表過數(shù)篇原創(chuàng)性的技術(shù)文章。

多次參與國家級大型信息安全保衛(wèi)任務(wù)。如："第29屆北京奧運會"、"六十周年國慶"、"上海世博會"、"兩會"等。曾為：國務(wù)院秘書局信息化辦公室安全顧問、全國政協(xié)機關(guān)網(wǎng)信息安全顧問、國家安全部某局安全顧問、總參某部門安全顧問、公安部某局安全顧問。

曾在信息安全行業(yè)內(nèi)多家著名企業(yè)任職，如：啟明星辰、神州泰岳、億陽信通等?，F(xiàn)為安恒信息技術(shù)有限公司北方大區(qū)技術(shù)總監(jiān)。

走進黑客世界：現(xiàn)代黑客的三撥走向

中國有自己的黑客大會么，答案是肯定的，XCon大會--中國最專業(yè)的安全技術(shù)研討會，吸引了眾多國內(nèi)外資深黑客、安全研究人員。第一屆XCon大會于2002年在北京召開，慢慢演化成現(xiàn)在越來越專業(yè)的黑客安全大會。但與國外的黑帽大會相比，XCon大會屬于后來者，起步較晚，在安全研究方面尚需深入。

當今的黑客世界呈現(xiàn)怎樣的狀態(tài)？以中國黑客發(fā)展來說，到現(xiàn)在為止，中國黑客已經(jīng)發(fā)展了4、5代。

中國最早的黑客出現(xiàn)于1996年左右，第一個黑客站點叫"i.am/hack1"，是goodwell創(chuàng)建的，也正是后來綠色兵團的前身。從1996年到2000年這批最早的中國黑客，他們追求的是純自由或者對技術(shù)的崇尚，沒有任何其他目的。大家一起討論技術(shù)，哪個ID最先發(fā)現(xiàn)新的安全問題、安全技術(shù)并發(fā)表出來，這是當時黑客所追求的，這是他們的榮耀。

從2000年到2004年又是一批黑客，屬于第二代到第三代之間，包括像紅客聯(lián)盟，在2000年左右的黑客大戰(zhàn)中，中國黑客義務(wù)幫助國內(nèi)存在安全隱患的政府網(wǎng)站彌補安全漏洞。

從2004年以后到現(xiàn)在是第四代以及第五代黑客，這個時候黑客出現(xiàn)了分裂，一撥還是堅持安全技術(shù)研究，這部分人已經(jīng)越來越少。還有一撥更大的黑客群體則越來越受經(jīng)濟利益的驅(qū)動，比如像0x557等黑客組織，他們不單純?yōu)橛懻摷夹g(shù)而存在，更有經(jīng)濟利益在里面。更有一些黑客，在走網(wǎng)絡(luò)黑社會的路線，有些利用拒絕服務(wù)攻擊威脅他人，而有些則利用流氓軟件捆綁，在內(nèi)存里做手腳，通過導(dǎo)航站、導(dǎo)航條或所謂的插件，在內(nèi)存里彈窗，每天賺取掙幾十萬的經(jīng)濟利潤。這個群體還有一部分人專做木馬，比如市面上常見的伯樂馬、奧巴馬、奧運寶馬等各類游戲小馬，一套20多款，賣一萬塊錢，他們通過建立嚴密的分銷和代理制度--金牌、銀牌、銅牌等三四級代理進行非法銷售。同時還捆綁下載者一起賣，里面的后門不計其數(shù)，黑吃黑。所以，嚴格意義上來說這些黑客更應(yīng)該稱之為駭客。

黑客攻擊開始從基礎(chǔ)網(wǎng)絡(luò)層轉(zhuǎn)向Web應(yīng)用層

原先黑客發(fā)起攻擊都是通過網(wǎng)絡(luò)層進行的，但黑客技術(shù)促進著信息安全技術(shù)的發(fā)展，現(xiàn)在基于網(wǎng)絡(luò)層的基礎(chǔ)安全防護措施已經(jīng)很嚴密，防火墻、入侵防御、防病毒等安全軟硬件一起建立起了非常完善的防護體系，想再從這里鉆空子難度很大，對于以經(jīng)濟利益為目的的攻擊者，從網(wǎng)絡(luò)層發(fā)動攻擊，得不償失。

現(xiàn)在黑客已經(jīng)從網(wǎng)絡(luò)層攻擊手段轉(zhuǎn)入Web為主，傳統(tǒng)安全體系已經(jīng)無法做出有效防護。當前安全關(guān)注點就在于應(yīng)用安全，迫切需要針對Web應(yīng)用層提供完全的解決辦法，這是現(xiàn)在的安全重點。

現(xiàn)在國內(nèi)的Web安全只能算是初級起步階段，因為目前的傳統(tǒng)網(wǎng)絡(luò)安全防御體系剛剛逐步完成閉環(huán)的安全周期，如：基于PDR的防御體系和縱深式防御體系的建立和完善，明確了以資產(chǎn)為保護核心的理念。而又要向Web安全轉(zhuǎn)化和發(fā)展是需要一個過程的。說白了就是剛做好網(wǎng)絡(luò)層防御工作，就發(fā)現(xiàn)黑客技術(shù)又變了，變的以Web應(yīng)用為主的攻擊方式，這就需要繼續(xù)加快信息安全建設(shè)的步伐，在Web應(yīng)用安全方面進行大力的投入。當然不能夠摒棄否定原來安全架構(gòu)的建設(shè)，最好是加大Web應(yīng)用安全方面防護措施投入的同時，結(jié)合原來的網(wǎng)絡(luò)層安全防御體系，才能夠達到理想的安全防護效果。但畢竟，信息安全都是相對安全，沒有絕對安全的概念，我們只能是把安全威脅和風險降低到可以接受的范圍內(nèi)。#p#

中國與外國安全防護的差距

以日本的信息安全為例，當日本需要進行某方面的信息安全建設(shè)時，日本的相關(guān)主管部門首先會建立相關(guān)標準，然后各需求公司會按照標準進行安全建設(shè)。而目前國內(nèi)則是完全相反，各需求單位、公司會先進行相關(guān)安全建設(shè)，然后再去與國家相關(guān)標準靠攏，或者尋求其他途徑解決標準問題。

另外，現(xiàn)在國外更加注重安全度量--Security Metrics，會對安全數(shù)據(jù)進行統(tǒng)計，形成圖表，讓安全可見、可視，直觀體現(xiàn)安全的價值所在，看到安全建設(shè)的效果。

最后，Web應(yīng)用安全也是當前國外的安全防護主要方向。比如強調(diào)對于SQL注入、XSS跨站等攻擊的防護。

軟件漏洞將成為今后黑客利用重點

從最早1988年莫里斯蠕蟲開始、2003年爆發(fā)沖擊波病毒，到今年大興其道的網(wǎng)絡(luò)釣魚、掛馬、社交工程學(xué)攻擊?？梢钥吹讲《景l(fā)展史是，從最早感染單機電腦，比如引導(dǎo)區(qū)、扇區(qū)轉(zhuǎn)化成蠕蟲性質(zhì)，基于網(wǎng)絡(luò)大規(guī)模傳播性質(zhì)，像一個交叉線一樣。以前是單獨的病毒體制，病毒和蠕蟲不是一個概念，病毒是不斷的復(fù)制自己，蠕蟲是利用系統(tǒng)本身的漏洞進行傳播。而現(xiàn)在發(fā)展成兩者融合一起，新一代的攻擊技術(shù)出現(xiàn)了，病毒技術(shù)加蠕蟲技術(shù)既利用系統(tǒng)漏洞攻擊進入系統(tǒng)，還通過受感染系統(tǒng)迅速傳播、不斷復(fù)制，像SQL Slammer病毒就是利用SQL SERVER 2000的解析端口1434的緩沖區(qū)溢出漏洞對其服務(wù)進行攻擊和傳播，蠕蟲加病毒的方式現(xiàn)在最為可怕。

另外，軟件漏洞會成為今后的重點。以前黑客攻擊主要利用系統(tǒng)自身的安全漏洞，而現(xiàn)在利用軟件漏洞進行攻擊的越來越多。比如，黑客可以利用Microsoft Office組件的問題，能夠在Word里嵌入一段代碼，當打開Word文件后，代碼也將自動執(zhí)行。也就是說，當你打開文件在看內(nèi)容的同時，主機很可能已被黑客控制了。同樣的問題還出現(xiàn)在：Realplayer播放器、Adobe PDF閱讀軟件等。另外，黑客與微軟之間的"漏洞PK補丁"戰(zhàn)爭，使得可以利用的系統(tǒng)漏洞愈發(fā)少見，這使攻擊者的目標開始轉(zhuǎn)向諸如Flash、千千靜聽、暴風影音這類常用軟件暗藏漏洞的挖掘利用。所以由于軟件漏洞所引發(fā)的安全問題是非常值得重點關(guān)注的。尤其是涉密人員和單位要時刻警惕，不要隨意打開陌生郵件或未知不可信任的文件。

安全向來都是相對的，沒有絕對的安全。比如Windows7，Windows7從某種程度來說是很安全，比如做好主機安全策略、日常使用規(guī)范、加防護軟件等等，短時間內(nèi)它是安全的，但是仍然面臨很多風險。現(xiàn)在突破Windows7的攻擊手段越來越多，目前有些木馬就能突破Windows7的UAC防護。但攻擊永遠是防不勝防的。

從應(yīng)用安全到數(shù)據(jù)安全

對于普通用戶、網(wǎng)友來說，他們最關(guān)心的是自己的網(wǎng)銀賬號、網(wǎng)游賬號、電子郵箱賬號……等各類個人賬號、密碼、隱私是否會被盜，自己的電腦是否會感染木馬病毒，個人如果解決這類問題的話，實際很簡單，只要安裝好常用的安全防護軟件就可以，如：360。定期對系統(tǒng)進行掃描和檢查，發(fā)現(xiàn)問題及時修補。

企業(yè)在安全需求上則不同，企業(yè)所需要的安全防護更廣泛，比如采用Web應(yīng)用防火墻，對企業(yè)的B/S應(yīng)用系統(tǒng)進行安全防護；采用Web應(yīng)用安全掃描器，對企業(yè)的網(wǎng)站系統(tǒng)進行定期掃描，發(fā)現(xiàn)問題，解決問題；采用數(shù)據(jù)庫審計系統(tǒng)，對企業(yè)的核心數(shù)據(jù)庫進行審計和記錄，發(fā)現(xiàn)蛛絲馬跡，誰在什么時間做了什么，有據(jù)可查等。

另外，安全管理是極為重要的部分，也是最難去做的部分，因為安全設(shè)備之間還沒有統(tǒng)一的標準。各家不一樣，接口不統(tǒng)一。

現(xiàn)在有些用戶希望在建立大的安全管理中心同時，結(jié)合后臺運維或者自己有一套運營系統(tǒng)。這是一個很好的理念：人、技術(shù)、流程、標準、運維，再結(jié)合動態(tài)防御，形成大的安全防護體系，同時建設(shè)安全管理中心，提高安全服務(wù)水平，從而能夠達到安全狀態(tài)可視化、可運營化。但實現(xiàn)起來依然困難重重，這也是目前安全的瓶頸之一。

三分技術(shù)七分管理

再好的技術(shù)和產(chǎn)品也要看如何使用、怎樣使用，安全向來是三分技術(shù)、七分管理。購買再全的安全設(shè)備，但如果沒有很好的安全意識、沒有很好的安全管理制度、體系、相關(guān)規(guī)定，包括人員方面的建設(shè)等，而僅僅進行了安全設(shè)備的羅列和部署，實際上等于將安全設(shè)備都扔在一邊不用是一個道理，那整體安全水平還是很低的。

當前的安全將會逐步以應(yīng)用安全、Web安全為主，慢慢發(fā)展起來。而最重要的是：加強人們的安全意識是當前最為緊迫的問題。

【編輯推薦】

1. 研究人員用黑客玩具輕松破iPhone
2. 業(yè)余黑客工具Firesheep推出24小時下載超過10.4萬次
3. 安恒信息范淵：運營商應(yīng)用安全防護急需加強
4. 360提醒：黑客利用“大S汪小菲閃婚”跟風掛馬