博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 2464|回复: 0

Check Point CEO--当复杂变为更复杂

[复制链接]
发表于 2007-4-21 16:40:03 | 显示全部楼层 |阅读模式
你可以把Gil Shwed称作一位积极乐观的悲观论者,下面这篇访谈将带你了解他对于当前网络与安全的见解。   
Check Point安全软件技术公司的首席执行官Gil Shwed相信那些黑客和病毒作者的技术水平与能力一直都在进步提高,但他并不特别担心Internet抵挡攻击的能力


  “作为安全软件提供商我当然希望人们购买更多的安全软件产品,不过大家应该意识到,Internet的总体情况还算好,没那么糟糕。“ 他说。
  可以肯定的是,客户并未停止购买Check Point的安全产品。这个星期早些时候,该公司公布了第三季度的盈利情况,结果是比预期的要好,因此他们也提高了对今年一整年销售情况的期望。公司持续不断地收到大量购买其虚拟专用网(VPN)和安全及管理软件的定单。
  但是,Shwed领导的公司也走到了一个至关重要的十字路口。Check Point现在面临着全方位的竞争。
  一方面,实力强大的Cisco系统和Juniper网络是他们的直接竞争对手,挑战相当严峻;另一方面,它也必须小心对付来自像Symantec这种稍小的安全公司的威胁。Shwed最近作客CNET News.com位于旧金山的办公室,向记者和编辑们谈论了大家所关心的安全问题。
  现在提供安全软件服务是否变得越来越容易了?
  不,我不这么认为。恰恰相反,我想事情正在变得更加复杂。
  为什么?是因为产品的最终用户还是没能做到所他们该做的吗?还是因为那些爱搞入侵破坏的坏家伙本事越来越大了?
  两方面的原因都有,另外也是因为我们对网络的依赖性越来越高了。想想看:十年前,如果有人攻击了你的网络,这甚至可能都不会引起你的注意,因为你的网络绝大部分是通过Novell网连起来的。如果仅有少数计算机连到IP网络或连到Internet不是什么坏事。现如今,如果你的网络或连接遭到一点小小的破坏,它就会影响到整个公司机构。攻击的传播速度非常快。
  那么今年剩下的时间直到2005年,你最大的挑战是什么?斗争的前沿阵地在哪里?
  我想有多个斗争前线。最主要的是,现在许多攻击鉴定起来并不是很容易的事。
  这是否和网络管理员直接相关?是否因为管理员在升级系统方面做地不够认真仔细和及时,从而把自己暴露在他们的攻击之下?
  不是这个原因。我以前也是网络管理员,当我下载软件到我的系统时,我仍然无法确定它们是否安全。举个例子,如果想使用Download.com,我首先不得不相信CNET.
  你所拦截的攻击中,有哪些来自外部,又有哪些是来自内部计算机?
  攻击来自各个方面。只要一台机器受到攻击就足以影响整个网络。另一件事我们要记得的是,这里面很大一部分牵涉到公司的政策。公司会说“只要我们买了足够多的技术和软件,它就能保护我们”,但其实这还远远不够。
  自从2001年以来,Internet上发生了几次大型攻击。有人认为这样下去,Internet由于攻击而整体崩溃的这种灾难迟早要发生。对此你持怎样的观点?
  万事皆有可能。不过我认为Internet的整个体系结构很有弹性,具有足够的抗击打能力和恢复能力。
  Internet并不由某个机构全权控制可以说是个坏事,因为像攻击等这类事情传播起来非常迅速。但它同时也是个好事,因为没人有能力把它整个关闭,一只蠕虫没这个能力,管理层的一个决定同样没有办法,他也许会说“有坏东西正在传播,让我们关闭Internet,然后修复它“,可是他做不到的。
  作为安全软件提供商我当然希望人们购买更多的安全软件产品,不过大家应该看到,Internet的总体情况还算好,没那么糟糕。Internet上有众多的用户,公司也离不开它,他们公司网站的运行时间一般都相当长。
  你怎么看待微软前不久发布的Service Pack 2?你认为它能增强个人计算机的安全性吗?
  SP2的到来当然是好事情,但我不认为它显著地改善了任何东西。
  那么在你看来,为什么对微软来说安全性问题是这么大的一个难题呢?
  作为技术人员,我的观点非常简单。让我们回到二十年前,看看那时的*作系统。那时有Unix和VMS。Unix极为简单而强大,掌握起来也很容易。你可以直接深入Unix核心,进行修改,引入新的功能和应用。每个Unix程序员都知道它的API(应用编程接口),就是因为它们非常简单。
  VMS则恰恰相反。你想做的每件事也都可以做,它也非常非常强大,但是极为复杂。每件事看起来都有点“官僚”,当你想做一件事时,你也许需要读上50到100页的手册才能学会该怎么去做。历史上微软选择了走VMS这条路。微软实际上雇佣了当初负责VMS开发的那一批人员。
  是指Dave Cutler?
  没错,他们做了一套相当复杂的系统。
  如果你的系统太过复杂,你做的每个小改动都可能影响到千百个地方。仅靠一个程序员是无法跟踪代码把问题分离出来的。当你有几百兆的代码时,就很可能有非常多的bug,事实证明,确实是这样。
  在把个人计算机带给千家万户这点上微软做出了巨大贡献,从外部看,他们的系统很棒,但是从内部看就完全是另外一回事,这就是为什么他们的系统这么容易受到病毒攻击。
  那么你认为Linux由于基于Unix,所以从一开始就更加安全吗?
  一般来说,确实这样。
  Unix也有一段时期累积了大量的复杂的东西。
  确实,它变得比以前复杂了。
  Linux也不例外,也变得相当复杂了,不是吗?
  没错。我并不认为Linux或Unix是一点问题都没有。但如果你比较一下他们和Windows的发展程度,我仍然认为在复杂性上,Unix和Linux还是比Windows更简单。
  当我们研究安全问题时会发现,病毒能够生存的一个典型方式就是它们发现了还未被监视的新渠道。目前相对脆弱的渠道都是哪些?
  我想黑客们会试着去找遍所有可能的渠道,就好像我们最近发现的JPEG文件漏洞一样。
  一些协议设计地相当好,处理起来相对容易。而有些则相当差劲--例如所有VoIP的东西都很差劲--这是个非常复杂的设计,要想监视都发生了哪些事情是非常困难的。
  你认为是否应该更加严厉地对那些病毒的作者进行犯罪惩罚?
  我想对所有技术人员来说,进监狱或被限制活动--不管是一个月还是两年--都是很不好的记录,至少在西方国家是这样。
  我想主要问题不是惩罚的力度,而是是否有真正进行惩罚。法律制裁已尽其所能覆盖到所有的人了,最大的问题是太多的人认为制造病毒进行攻击并不属于犯罪范畴。
  那么问题是否在于我们没能创造足够强大的威慑力?
  有这方面的原因。另外一个问题是Internet是全球性的。如果有人闯入了当地办公场所,当地警察是有能力处理它的。但当事情扩大到全球范围,如何处理它可能就无法可依了。当初法律的制定并未考虑到如何处理Internet。
  如果想要抓住那些进行电子犯罪的人,那么时间极为宝贵,你必须在最短的时间内处理。警察调查一件谋杀案也许会持续两年时间,但如果你花两年时间去调查一宗计算机犯罪案件,那么你很可能一无所获。即使你记录下了两年中大部分的数据,也没人能告诉你哪个IP前天晚上是属于哪个人的。
  IPv6是否能使追踪变得容易些?
  不,我想它会使事情变得更糟糕。我们的产品支持IPv6,但它是个复杂得多的系统。Internet之所以能够成功,就是因为它被设计地足够简单。事情做地越复杂就越难以进行大范围部署。越强大性能越高,问题就会越多--IPv6就太复杂了。从最初开始部署IPv6到现在已经有八到九个年头了,但它普及的程度还是非常低。
  你是否认为IPv6会使得网络更加脆弱,更易受攻击,或者仅仅是更容易出现随机错误。
  如果你看过现在的IP包,你会发现他非常非常简单,但即使这样人们也能发现上百个可能引起攻击的问题。再看看IPv6的数据包,起码又复杂了100倍,所以能引起bug和出现漏洞的地方自然就会更多。如果建立我们现在所拥有的网络花了20年的时间,那么无疑IPv6网络的建立将需要更长的时间。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-11-22 09:53 , Processed in 0.090069 second(s), 17 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表