衡量一个信息安全企业不仅仅要看其技术实力、经济效益，更重要的是看其在与网络安全问题斗争的过程中对社会的贡献。尤其是近一年来，重大漏洞频频爆发，对国内安全厂商的技术能力以及社会责任心的提出了更高的要求。

因近期的BIND漏洞曝光事件，记者采访了启明星辰ADLab（积极防御实验室）副总工吴先生，为您解读漏洞背后的故事。

情况介绍

记者：作为安全专家，您能否介绍一下这次BIND漏洞曝光事件的前因后果？

吴：BIND是一个广为使用的开源DNS服务程序，DNS服务器是互联网基础设施之一，如果一个网络的DNS服务器遭到破坏，基本上来讲，这个网络就无法正常运营了。本次曝光的漏洞能使存在DNS解析的BIND服务产生一个内部错误，从而导致服务器停止运行，从破坏效果上来看，是属于拒绝服务攻击。

从技术角度来看，这是由于BIND服务程序自身的漏洞导致的，该漏洞产生的根本原因在于BIND程序的某段代码没能正确处理某种特殊请求，如果攻击者恶意制作一个这样的特殊请求，则BIND服务程序会彻底崩溃，其结果就是服务器无法向网络提供DNS服务。

记者：也就是说这个BIND漏洞会对我们的网络造成很大的破坏和影响是么？

吴：漏洞本身不会对我们的网络带来破坏，只有到攻击行为与漏洞结合才会带来事实的破坏，确切的说如果网络安全人员不能快速地对BIND漏洞进行处理，而有黑客利用此漏洞对网络进行攻击，那么就会对我们的网络造成很大的破坏和影响。因此用户获知漏洞存在并进行修补性行为越及时，网络被破坏的可能性越小，反之则可能性越大。
 
安全厂商的对策

记者：对于这类漏洞事件，一般安全厂商都是如何应对呢？

吴：对于漏洞事件，作为安全厂商必须保持时刻关注并及时向社会通报，尽可能快地升级产品，帮助用户进行修补，应对可能来临的网络攻击。

以本次BIND漏洞为例，启明星辰从一开始就给予了高度的关注，ADLab的安全专家在早期发现了该漏洞存在的可能之后，立即配合国家权威安全机构CN/CERT组织进行漏洞分析与确认。同时，启明星辰利用自身的企业网站、所能联系的媒体广泛协助CN/CERT进行该漏洞信息的传播，提醒广大网络安全管理人员尽快对该漏洞进行处理，避免该漏洞带来直接的安全危害。

其次，本着对客户负责的原则，启明星辰在第一时间通过邮件方式通知了所有能联系到客户，通知他们BIND漏洞已经被曝光，黑客近期很有可能利用该漏洞进行网络攻击与破坏，建议网络安全管理人员迅速进行BIND程序的调整或者通过防火墙过滤手段来保护自己的网络。当然也有用户由于对BIND程序的了解不足，提出由启明星辰协助其完成对该漏洞的响应，启明星辰的安全专家已经指导这些客户完成了安全增强，保证这些客户的网络不再遭受BIND漏洞所带来的威胁。

最后，为了更加持久地保护用户网络，启明星辰ADLab协助公司产品开发团队迅速进行了产品更新，在24小时之内实现了相关产品具备对该漏洞的发现与防御能力，只要使用启明星辰提供安全产品的用户尽快进行产品升级，其网络便得以保护。具备对BIND漏洞进行检测与防御的设备包括：启明星辰天镜漏洞扫描系统、天阗入侵检测系统、天清入侵防御系统、天清汉马USG一体化安全网关等。

我们也希望通过贵媒体广泛传播这些消息，提醒广大用户对该漏洞予以重视，一般情况下一个重大漏洞被公布后半个月到半年之内，形成攻击风暴的可能性比较大。

记者：对于不同级别的漏洞，应急处理的流程是否有所区别？

吴：对于类似的对互联网或者企事业网络有影响的漏洞或者攻击方法披露事件，启明星辰在多年以前就制定了一套流程进行应急处理，而且按照事件的重要程度进行了分级处理。像本次BIND漏洞事件，对整个互联网世界均有影响，属于最高级处理事件，对于这样的事件，启明星辰会调动多方资源进行应急处理，并且以实现一个安全企业的社会责任为第一原则去执行。

从历史数据来看，每年启明星辰对社会、对企业用户进行最新威胁通告与处理的事件有几十起，其中最高级别的处理有三到五次，但从近两年的经验来看，这两个数字都呈上升趋势。

对企业的建议

记者：我们也看到，类似这样的安全事件每隔一段时间就有发布，的确是安全厂商社会责任的体现。那作为一家专业的信息安全企业，启明星辰能否给广大企事业单位的用户提供一些安全建议呢？

吴：事实上，虽然漏洞被频频曝光，但每次事件的结果不尽相同。有些情况下，漏洞信息被迅速进行全社会告知，网络用户进行了快速的响应，尽管有些漏洞所带来的潜在威胁是巨大的，但由于处理及时，并未给众多网络造成太大影响；而另外一些情况则很无奈，漏洞信息披露不够及时，网络用户重视程度不够，有些事件甚至导致了大范围的网络瘫痪，其带来的损失显而易见。

由此可见，有威胁不可怕，可怕的是不知道威胁的存在，也就是说我们应该做到早发现，早防御，而其中最为重要的就是早发现了，否则防御无从谈起。

下面是我个人的几点建议：

其一，对于有实力的企业，建议投入一定的资金进行威胁监测设备的部署，在很多情况下潜在威胁都是利用IDS这样的威胁监测设备及时发现的，如2003年我国就利用IDS设备早期发现了SQL Slammer蠕虫病毒，由于发现和处理及时，该病毒未能在我国广泛传播，而同是亚洲的日本则遭受了大量的攻击与破坏。因此某种意义上来讲，威胁监测设备的重要程度是高于入侵防御、防火墙这些防御类设备的。

其二，网络安全产品与网络产品的最大不同在于网络安全产品需要安全厂商和用户持续的关注与投入，而不像网络产品的标准化思路，因为网络攻击是主观的、随机的。因此建议企事业单位的网络安全管理人员或者网络管理员多多关注来自社会或者安全企业所提供的安全事件通告，如CN/CERT的通告、安全厂商的企业网站，通过这些信息渠道及时获得信息，如果有重大漏洞被披露，尽快在这些组织的帮助下进行应急响应，防止信息系统随时被新出现的攻击所危害。

但有一点需要注意，互联网上信息泛滥、良莠不齐，甚至还有打着安全的旗号做病毒传播买卖的网站存在，因此用户还需要去伪存真，尽量从有保证的组织或者安全企业处获得真实准确的信息。安全企业能否在关键时刻勇敢承担起社会责任，主要看其技术实力。除了产品开发团队，启明星辰还有国际一流的攻防技术研究团队——ADLab，这一团队累计挖掘发现的CVE漏洞已达74个，居亚洲首位。自2006年至今，已经连续3年发现漏洞数量居亚洲首位。另外，启明星辰还拥有国内最专业的安全技术研究团队——信息安全博士后工作站、领先的安全服务团队——M2S安全服务中心。这些团队的支持保证启明星辰有能力早期发现漏洞与威胁，并能够快速进行响应：包括对社会进行信息传播、对重点客户进行应急响应、快速升级产品保证用户具备最新检测与防御能力等方面。

总结一下就是：多了解安全相关知识与信息；有计划地进行安全体系建设；与值得信赖的安全企业合作。