基于信誉的安全理念近几年开始流行并逐渐应用，目前面对数量激增的威胁，包括快速传播的病毒、目标明确且规避性强的 IP 劫持等各类攻击。应对这些挑战需要一个统一的、客观的安全框架，以了解并评估不断动态变化的实体的安全状态。高度可信地了解实体状态是提供全面保护的基石。近日，ZDNet采访到Mcafee资深安全顾问刘弘利，详述近几年安全厂商逐渐应用的基于信誉的安全技术。

　　记者：各位网友大家好，欢迎收看ZDNet视频节目，今天我们给大家分享的是基于信誉的安全技术。我们知道，最早将信誉技术推向市场的是邮件系统的应用，今天我们拜访到Mcafee资深安全顾问刘弘利先生。和他一起探讨下，在近两年安全厂商开始将信誉技术应用到防护系统，又是如何全面、有效防护企业安全的，首先请刘弘利介绍下Mcafee是如何定义基于信誉的安全技术的。

　　刘弘利：大家好，信誉技术其实并不是在计算机科学里面一个专有名词，我们知道在日常生活里面，我们也有很多这种信誉，包括商家的信誉、银行的信誉、个人的信誉等等。实际上我们在计算机世界、在网络安全的世界里面，谈到信誉的时候，在Mcafee公司来看，我们是把各个跟安全相关的元素，比如说文件的信誉，有可能是恶意代码，有可能是好的文件，网络的信誉，或者发送者的信誉，他的这些在一定时期之内，对于这些元素的一个评价，他是好的还是坏的，这样的一个评价系统，我们定义为这种安全信誉的一个技术。

　　记者：就是说我们理解现实生活中的人，根据他们社会上一些行为，可以判定出人的信誉，那您认为在虚拟的互联网层面，有哪些信誉分类?

　　刘弘利：是这样的，就是刚才您说得非常好，在现实生活里面说人的信誉，我们也是靠长期观察他，观察他的言行，比如他说的跟做的是不是一致，是不是做一些坏的事情，是不是在背后里面评价别人，这些我们都从一个很立体的角度去评价人。那我们在互联网安全层面，我们也是有很多这种有关信誉的分类，比如说恶意代码这种就是文件信誉的分类，还有像web网站的一些分类，web网站信誉的分类，比如我们大家都知道，有很多挂马的行为经常发生，那最近还有一个知名的博客的系统被挂马了，这实际上它也是一个网站的信誉，如果他被挂马了，在一定时期之内，他这个网站的信誉势必就要下降，网站的信誉。另外网站信誉里面我们还有一个小小的分类，就是说对网站的分类，比如说它是新闻类的网站、购物类的网站，还是说是这种网上赌博的网站等等，还有像团购的网站、电子商务的网站等等，这都是对它的分类系统，这是网站信誉系统。

　　那我们Mcafee还有对邮件系统、对message的一个分类，比如说这邮件里面，是垃圾邮件，那么它的整个邮件也是一个信誉，那除此之外因为Mcafee的产品非常多，除了最著名的防病毒之外，还有入侵防护系统，那入侵防护系统它主要考虑的是网络层面的信誉，我们给一个网络连接，从一个IP地址到另外一个IP地址，它的一个网站连接，还有涉及到端口和协议，我们也有这个信誉系统。所以从上面来看，我们Mcafee这个信誉是比较广泛的，那具体是分为五个小的分类，文件信誉、web信誉，web分类，message的一个信誉，也就是说邮件的信誉，最后就是网络连接的一个信誉。

　　记者：近两年知名的安全厂商都在做信誉技术，那你认为业界为什么把信誉技术做为安全防护的重点?。

　　刘弘利：我觉得这也是跟云安全、云计算的技术趋势有密切相关的关系，另外一个角度，就是说这个信誉技术评价起来，它是比较复杂，但是它非常实用，就像我们在金融系统一个信誉，比如说你经常不还信用卡的话，这个人的信誉就被银行所记录，当他再去用这个信用卡去买房买车的时候，那银行就会对他评价是一个不良信誉。另外如果说他可以换一个银行，这时候我们可能有一个中国人民银行有一个总行，或者说一个银联系统来控制这个信誉，所以他的评价的实用性，就是性价比非常高，这也是一个原因。那刚才我们说过，信誉评价系统是对于实时的安全，还有这种新发生的安全检测的一个基本的因素，所以它是一个基础，所以为什么这些比较知名的安全厂商，包括Mcafee在内非常重视信誉技术的发展。

　　记者：我们拿文件信誉来说，相比于传统的，我们知道一些终端安全软件是基于病毒特征库的技术，那信誉技术相比病毒特征库有哪些优势?

　　刘弘利：其实他们并不矛盾，因为信誉技术对病毒库这种它是一个很好的补充，补充就是说实时的安全，新出现的一些安全，比如说新出现的威胁，厂商，微软的漏洞，我们知道在每个月的第二个星期的星期二，也就是昨天刚刚发布20多个补丁，所以这个时候如果客户可能没有及时的打补丁，这样的话他的设备、机器，服务器或者说是PC机，笔记本也好，就会暴露在这个零日攻击这种威胁之下，那如果说他没有打补丁，但是他有安全软件，他及时升级了安全软件的补丁，然后他又把信誉技术打开了，这样的话当有这种威胁过来的时候，尽管你传统的病毒码没有检测到，但是你可以到云上去查询，查询这个文件的信誉，这样就得到一个很好的保护。所以它的优势来讲，就是信誉技术它一是在云上，就比较轻量级，又比较及时，然后就可以通过一点，然后一点出发之后，通过后台的研究开发，可以涉及到整个面上来，所以他反应比较快速，信誉的又比较轻量级。

　　记者：那就是说面对一个新的威胁，面对零日攻击，信誉技术的优势更能体现出来。

　　刘弘利：没错。

　　记者：那我们知道现实中比如对人的信誉的评估，我们会根据他的，比如银行的行为，比如贷款或者信用卡的还款情况。那在虚拟的文件、邮件、Web等几大信誉分类里面，Mcafee信誉评估标准或因素有哪些?

　　刘弘利：这个是刚才我们说过，Mcafee有好多信誉的分类，所以不同的分类会有不同的评价的一些标准，比如说我们对一段时间之内，对于这个网络这块，我们可以考察它发送的内容是怎么样的，另外看它是多长时间之内，在一定时间之内是发生的这种数量，这些都是构成它的因素。实际上文件的信誉是相对比较简单的，我们主要考察文件它是不是有恶意的行为，是不是对系统造成影响，是不是删除一些系统文件或者一些好的文件，这个是可以通过它来检测出来的。

　　记者：那这些信誉会有一个评分，如何做到基于信誉的评分可靠和可信?

　　刘弘利：评分系统，其实是一个评价系统，有可能是按照一个像我们考试得100分还是得60分，得及格分还是不及格这样的评价，当然还有很多不同的方式，比如说像好的，可信任的，不可信任的，还有基于中间的，那它还有一个过度，这时候我们怎么去利用评价系统，实际上是比如在拿客户端的防病毒软件来举例，我们在客户端上可以设置，对这个文件的敏感程度，这个实际上是体现到我们怎么来利用这个评价系统。如果非常敏感，这样的话这个文件可能是做了一些很小的一个坏事，我们认为它也是一个恶意软件，那如果说我们是敏感程度不是那么高，有可能他删了一个小的文件，但是对于整个系统没有大的影响，那这时候可能就不把它认为是一个恶意软件，所以这个是我们怎么来利用评价系统的一个方式。

　　记者：这些敏感值是由用户来调节的是吗?

　　刘弘利：对，用户可以根据自己的实际情况来调节，如果是很重要的业务系统的话，那我们就可以把敏感度升得很好，当有一个非常小的，或者非常有点可疑的文件，它的信誉不好，那我们就把它删掉，我们是这样，就是宁可错杀一万，不漏过一个这样。

　　记者：那我们知道，这个信誉的数据库是来源用户的，那Mcafee如何保障数据库的更新能力，以及庞大的数据库与安全产品的整合?

　　刘弘利：确实是，因为信誉是来源于用户，然后又用之于用户，那我们的信誉怎么来的呢，Mcafee是一个全球的公司，分布在全球的这些用户，他有可疑文件，当然我们要跟客户要签协议，会把可疑的文件或者可疑的网络上传到我们GTI，全球智能威胁感知系统里面去，后台的研究人员和科学家他会进行分析，然后把结果升成信誉，放到这个数据库上面去，然后使下面的产品能够获得最新的信誉，这是Mcafee怎么来维护它的新鲜程度。

　　记者：如何实现一个实时的、快速的防御效果?

　　刘弘利：对，这个确实是，因为当有一个地方，就像病毒感染一样，像埃博拉病毒一样，在一个地方发现了，它告诉了侍卫，就像告诉了GTI这样，这样做了比拟，告诉它了，然后我们就可以发布这样的紧急的通知，或者说我们生产出疫苗，然后给这些没有被感染的地方，赶紧去打这个疫苗，做这个防范，那GTI系统，全球威胁感知系统也一样，Mcafee的信誉，那当有一个地方出现问题之后，经过后台的科学家进行分析和研究之后，把它放到这个数据库上，其他的地方的感知，立马就能接受到这样的通知，因为我们的数据库是比较庞大，因为它是分门别类的，我们有几个类别，当你用到的时候，就可以直接在云上进行查询，实际上你是实时的得到了保护。

　　记者：可以不分地域是吗?

　　刘弘利：不分地域，只要是说用户把这个功能选项打开，要利用这个信誉技术，不管是文件还是邮件还是web还是网络，我们可以实时的利用这个云的信誉的成果。

　　记者：那我们知道，安全防护也不止是信誉技术一项能做到了的，那它如何与其他的安全技术协同工作，工作原理是什么?

　　刘弘利：您说得很对，其实信誉技术，刚才我们也说过，它最大的功能就是对于一些新出现的威胁实时的进行保护，大部分的工作还是需要在本地的产品来完成，就像防病毒这个产品也一样，那我们为什么还有病毒码来更新，实际上这还是依靠传统这种模式，在本地进行执行来做安全的防护，只有这些零日攻击这些新出现的威胁，我们发现它可疑，但是举棋不定，在病毒码里面并没有识别到它，我们才去云上去查询它的信誉，所以说这是它的工作原理，所以大部分的工作，99%的工作还是由本地来执行的。那网络上面的产品也一样，它也是大部分的工作都是本地的特征、本地的策略来进行工作，当只有一些小部分的可疑的这些连接，那我们到云上去查一下它的信誉，来做决策，所以它的关系是，信誉技术是对于传统安全防护的补充。

　　记者：那应用信誉技术，对于客户来说，应该是没有增加什么负担，或者是安全管理的工作。

　　刘弘利：有一点点小小的带宽，因为它毕竟要到云上去查询它的信誉，那这样会有一点点带宽的损耗，但是很小，比如像文件信誉系统，我们不是说把一个1兆或者5兆的文件放到网上去查，而是对于这个文件生成快照，生成一个签名，然后让他去到这个网上去查询，就好像一个人脸识别的机械一样，那我们对于它的五官轮廓生成一个照片，然后在数据库一对比，而不是把整个人去数据库上去对比。

　　记者：应用信誉技术对于客户和终端产品或者是网络产品来说，意味着什么呢?

　　刘弘利：意味着它可以受到这种实时的、全面的，还有对新出现的威胁一个全面防护的增强。

　　记者：那我们知道信誉技术在Mcafee产品一个应用也比较多。

　　刘弘利：对，我们有很多产品都利用了GTI，也就是说信誉技术，不管是文件的，还是web的还是网络的。

　　记者：那您能具体介绍一下在Mcafee产品中有哪些应用呢?

　　刘弘利：像我们文件信誉系统，我们起一个名字叫Artemis，是希腊古神话里面的月光女神，对应中国的就是嫦娥这个美女，一个技术，Artemis技术，那它做的就是，有很多产品利用它，比如说在终端，防病毒终端，这个是首当其冲的，就是开始研发也是为了防病毒产品、终端安全产品，他可以利用这个技术，像IPS产品，这个其实很多网友可能觉得很奇怪，IPS不是做攻击的吗，攻击怎么也做文件信誉的查询，做防病毒，其实这里面我们的IPS也能利用Artemis这个技术，对文件信誉系统进行查询，主要原因就是说有很多僵尸网络，它在渗透客户的内部网络的时候，会放一些木马到客户的网络里面，那这个时候IPS就可以对这个小的文件，比如我们定义1MB以下的文件，对于它的信誉进行查询，看它是不是木马，是不是在感染我内部网络，成为僵尸网络的一部分。所以IPS也可以利用Artemis这个文件信誉系统的一个技术，所以不光是防病毒终端产品，网络产品也可以用到，像web网关安全产品，同样可以用到文件信誉技术，那它也是可以利用你上载，尤其是下载文件的时候，对于可疑文件进行信誉的查询。那同里，像网络安全这一块，我们的web网关和IPS，也可以用网络连接的信誉进行查询和判断，所以它是一个交叉的利用。

　　记者：应用效果能简单介绍一下吗?

　　刘弘利：应用效果还是很明显的，我们首先说每天可能频率不是很高，因为如果这样的话，就不能体现出它实时和最新威胁的防护，那比如说我们有一些像最新的一些蠕虫、一些僵尸网络，比如说像宙斯这种僵尸网络，它就会有一些文件的变种，在我们有些客户里面就会打开了这个选项，比如就IPS，因为这个功能也比较新，IPS的入侵防护系统，它的文件信誉打开之后，就在它的报告里面就可以看到，有一些僵尸网络，在逐步进行渗透的时候，传到一些文件，被IPS给它拦截掉，这是一个非常好的实例，在我们的客户里面。

　　记者：对比同行来说，您认为迈克菲基于信誉的安全技术的特色或优势有哪些?

　　刘弘利：您说对了，因为Mcafee在业界来讲，专注于安全里面的厂商是最大的一家，那我们产品线很广泛，有刚才我们说的防病毒是系统安全这一条产品线里面，还有基于主机的防火墙、基于主机的入侵防护，还有像策略审计、网络防控这些都是在系统安全里面。还有像网络安全产品，我们有IPS入侵防护系统，防火墙，还有网络行为分析系统，那这是网络安全产品线。还有像内容安全产品线，我们有邮件网关，主要是防垃圾邮件和防病毒的，还有web网关，也是对web上网这个行为进行防护的，因为Mcafee的产品线非常广泛，所以就是每一个产品线上都会有研发人员，另外还有我们300多个研究人员，我们在内部叫安全科学家，分布在30多个国家，这样他可以7 x 24小时的工作，当有客户出现问题的时候，他们都在后台进行代码分析，对漏洞的研究。所以Mcafee最大的优势，就是产品线很全，不同的产品都有后台支撑着它，所以我们的信誉的数据库也是最全的，对于数据库的评价的维度也是非常广泛、非常立体的，那同一个漏洞我们有研究漏洞的测试检测，也漏洞的防护，有病毒的检测，还有垃圾邮件的检测，所以它非常立体。我觉得，这是Mcafee最大的优势，产品线很齐全，不同的产品线造就了不同的信誉，所以信誉系统它也比较完善，这是Mcafee的优势。

　　记者：您认为基于信誉的安全技术会成为未来很长时间网络安全防护的主流技术吗?

　　刘弘利：我觉得这是一个大的趋势，因为现在我们也知道一些友商也有文件信誉系统，也有一些像网络信誉系统，当然这个是要看它是不是有非常长的产品线，如果它的产品线不长的话，它只能限于做一小段，我觉得这个可能是会是一个主流，但是还是刚才我们开始那种，就是它信誉系统，还是防范最新的，防范一些新出现的这种漏洞，一些安全威胁，这个是它的目的。但是它会成为一个趋势，所以也会成为一个主流。

　　记者：今天感谢Mcafee刘弘利，来跟我们分享基于信誉的安全技术。传统的安全防护技术已经不能满足目前新病毒或者新威胁快速增长下企业安全防护的需求，云安全时代信誉技术开始成为安全防护的主流并大展拳脚。包括Mcafee在业界享有盛誉的GTI(全球威胁智能感知系统)，相信会给企业一个全面的、有效的安全防护，今天非常感谢刘弘利接受我们采访。

　　刘弘利：谢谢大家。