唐威：大家下午好！首先做一个自我介绍，我是瑞星公司的唐威。今天很高兴跟在座各位朋友，各位互联网的精英们一起讨论一下关于如何打造一个可信任的互联网问题。为什么今天把大家都请过来？大家听了上午的会应该都有所了解，所有的安全问题都是和我们每个人息息相关的。我们都共同维护互联网安全，同时也有义务打造一个可信任的互联网。今天我演讲的内容分为两部分，第一，目前所有的互联网基础应用都存在哪些问题，以及这些问题会给我们带来什么样的严重后果；第二部分，就是如何去解决这些威胁问题，一起打造一个可信任的互联网环境。在这部分中，我将着重介绍三点，一是我们瑞星拥有的技术和一些安全成果；第二是如何利用“云安全”和木马及时查杀技术让所有用户可以享受到“云安全”带来的成果。最后一点，就是希望携手合作伙伴一起打造一个可信任的互联网，使我们的整个互联网变成一个巨大的安全网络。

    首先我们看一下2008我们面临的困难是什么，根据瑞星公司的统计，从2008年1月到10月，我们截获的量是930万，比如从2008年8月到9月，我们所截获的病毒样本量比之前几年截获的数量要多数倍。这么多病毒，其中木马病毒占了总体的64%，后门病毒占了总体的20%，而这些病毒一般情况下都是具有木马、后门等综合的病毒特征。如果这样加起来，这些病毒占了整体的84%左右。这些病毒有90%以上是通过网页挂马方式传播的，这里指的网页挂马不仅仅是指用户在浏览网络时遇到的，它涉及的用户应用是非常多的。几乎目前所有的互联网应用都有可能成为网页挂马传播的途径。

图：瑞星安全工程师唐威

    是这样的，有90%的病毒是通过网页挂马方式传播的。这些病毒是如何通过网页挂马传播的？目前互联网上大量的漏洞是一个因素。我们看一张表，这是我们瑞星实验室工程师总结出来的利用漏洞的一个比例，首先在今年业内知名位的是Adobe的Flash Player，占了18%。还有RealPlayer等等，还有一些Windows漏洞。通过这些漏洞，我们看到了这些漏洞都涉及到我们日常互联网应用的方方面面。

    下面我们再来看一下漏洞的情况。这张图解释了一下，微软操作系统和Office漏洞占了35%，还有常有应用软件漏洞占了63%。这些病毒首先有两类，我们在2008年截获230个病毒。还有一个是无处不在的网页挂马。

    下面通过一个表格我们看一下人们在上网中都有哪些具体的应用，以及这些应用能够给我们带来什么样的安全威胁。首先我们看一下最基本的东西，就是搜索和浏览网页，这是一般用户最常用的一个操作。搜索和浏览网页面对的威胁有两个。第一是网页挂马，第二就是钓鱼网站的问题。

    其实我们可以从另外一个角度来看，这两类也表示了一个问题，都是跟网页相关的。比如用户从网上查找资源的时候，通常会搜一些关健词。如果他搜索出来的这个网页被挂马之后，用户点击之后肯定是病毒。

    第二，就是即时通讯，即时通讯里所有的问题都占了，比如网页挂马问题。它为什么会有网络挂马问题呢？因为很多病毒感染即时通讯软件之后会向好友发送信息，这些信息里面往往含有恶意的网址，如果用户点击之后马上会中病毒。还有一个是帐号密码安全问题，容易被目前的木马病毒所盗取信息。

    第三，是文件安全问题。我通过这种方式跟好友传输文件的时候，如果我没有杀毒或者本身软件没有杀毒功能的时候，仍然会中病毒。

    第三类就是下载工具，下载工具同样会碰到网页挂马。通过下载工具我们去下载东西，有很多挂马不简单是用网站来挂的，它修改MP3文件、修改Flash文件，使他们成为一种异型文件，当用户去下载的时候肯定会中病毒。

    还有一个是通过电子邮箱，以前用的电子邮箱都是对方发来的附件有病毒，用户下载附件之后就会中病毒。但是目前通过电子邮件方式传播病毒的方式少了。

    下面我们来看一下网上交易还有网游的威胁。这种威胁本身是软件密码容易被木马病毒所盗取。几乎我们所能看到的所有互联网应用同时面临网页挂马的问题。如果这个软件本身存在这种问题，就会存在盗号的问题。这是我们目前互联网应用所面临的一些威胁。

    我们把这些威胁分为两大类，一个是网站挂马，用户进入钓鱼网站之后肯定会中毒，这样首先会导致系统异常或者文件丢失，甚至导致他的个人密码外泄。第二类问题就是木马病毒对软件本身的威胁。这些威胁对于网民来说有什么样的意义？第一，导致我们互联网自主应用软件自身被攻击，比如他们盗取了我们网上银行的密码，盗取我们游戏的密码。这都是对软件本身的攻击。第二，病毒会利用我们这些软件来传播病毒。比如我通过搜索找一个资源却进入了一个钓鱼网站或者挂马网站。第三，是二者都具备。

    我想谈一下，如果这些威胁不解决，用户会很生气，后果将很严重。首先，它直接影响了用户的正常使用，而且还会使用户的经济利益受损，进而影响了我们的产品口碑甚至是公司的品牌形象问题。如果所有的互联网基础应用都存在威胁问题，人们将不再信任互联网，进而影响到我们整个互联网行业的健康发展。

    我刚才谈了很多，有我们在2008年面临的困境问题，有我们的互联网基础应用存在的威胁问题，我们应该如何解决问题呢？首先我想谈几个技术，“云安全”技术。第一，我们利用智能化网络代码行为分析和判断。智能化的网页代码行为分析和判断技术，能够对目前基本上所有的主流网络代码进行判断。目前主流的网络代码都是通过加密和变形的，你再用传统的方式对于现在的网页代码基本上是无能为力的。我们通过这项技术可以很好地解决这个问题。第二，是我们通过连接到互联网上的一个结点技术。举一个例子，2008月11月3日这一天我们共截获了挂马网址去同以后是2万多条。上午王总也说了，十多天我们大约截获了十万左右的挂马网址。

    我们通过这么多的挂马网址上报不仅得到的是挂马网址，通过刚才这些恶意网址我们获取到了互联网黑客更新病毒的数据库，我们不断有互联网去监测这些挂马网站，如果它第一时间有活动，我们会跟踪相关的结果，同时把这些结果发给用户。

    瑞星“云安全”瞬时的优势，第一是我们拥有千万的客户端，能够覆盖整个互联网的各个角落。第二，我们的恶意网址库是通过互联网进行及时更新的，具体体现在两点。第一，当网上有一个新的挂马网站后，我们会在第一时间把这个挂马网址添加到我们的恶意网址库。第二，有的网站一旦解决了本身被挂马的问题，我们同样会在第一时间进行更新，对它进行维护。而所有这一切都是通过我们的“云安全”瞬时来完成的。

    第二，借助木马查杀技术保障网站的安全，同时也为用户提供了一个安全的电脑使用环境。我们凭借瑞星多年的反病毒技术以及“云安全”所截获的巨大的病毒样本量，能够解决盗号木马对软件本身的盗号行为；另外，可以及时防御和查杀这些病毒。我们应用灵活的方式去解决，这部分我会在下面做一个更深层次的解释。第三，就是强大的互联网威胁感知能力。我们有了这么多客户端，我们能够获得什么？我们能够在最短时间内发现、截获处理这些海量的病毒和挂马网址。

    最后，我们把这些问题分析处理以后，能够将解决方案瞬时地送达到所有的用户和我们合作伙伴手中，提前防范新生的威胁，让每个用户可以享受到“云安全”给我们带来的安全成果。

    下面，我请大家冷静思考一下，虽然我刚才谈到这么多威胁，虽然我刚才谈到了我们瑞星拥有的技术和我们已经拥有的这些成果，有了这些技术和成果我们就一定能解决这些威胁吗？仅凭瑞星一家就可以把互联网改善成一个安全可靠的互联网吗？答案是否定的。我们希望携手各位合作伙伴共同打造一个安全可信任的互联网，使我们的互联网变成一个最大、最安全的互联网软件。

    下面我们看一下，为了保障我们互联网能够健康的发展，同时也为了让广大网民放心地使用互联网，我们应该携手打造这样一个可信任的互联网。首先，我们来看一下，提高互联网技术的安全性，使得所有互联网技术都有安全保障，这样我们搜索、浏览、即时通讯、网络游戏、电子商务这些最常用的应用都得到了安全保障。第二，就是切断病毒通过我们上述这些互联网应用进行传播的渠道。如果这两点我们都能做到，我想让大家想象一下病毒还有什么能力进行传播？有什么能力进行攻击？在这时候我们的软件就变成了一个巨大的安全软件。

    下面我们谈一下具体的解决方式。第一，我们谈一下挂马软件问题。利用瑞星的网址库，我们采用多种方式相结合的手法，降低用户通过网页挂马感染病毒的机率。举个例子，比如我们可以把我们的恶意网址库分享给搜索引擎，分享给浏览器软件，让他们去添加一些恶意网址过滤的功能。通过这些挂马网址让用户减少访问到这些挂马网址的机率。

    下面我举一个具体的案例，挂马软件如何利用搜索引擎SEO技术进行病毒传播以及我们瑞星的解决方案。首先看一下，一般的病毒制造者，或者我们叫“黑客”，它去进行网页挂马的时候一般有三种方式，第一个最简单也是比较常用的方式就是我直接将一个网站黑掉。第二种方式是通过ARP欺骗的方式，我使整个网站里面所有的用户访问到被ARP侵入植入的挂马网站，这样让很多用户同时中毒。第三，黑客利用+SEO技术进行传播。它通过搜索一些木马去提高钓鱼网站的点击率，或者利用关健词这种技术逐渐提高它在搜索引擎中的排名，使得它的排名不断向上升。如果它升到一个很高位置的时候，就会有越来越多的人去访问到这个挂马网站。这是一点。SEO这个过程像“云安全”一样，“云安全”技术是瞬时完成的。而SEO往往需要一个过程，如果用户访问到恶意网址后，用户会把这些信息上传到我们瑞星威胁中心，我们可以把它理解成钓鱼网址库。我们用户把瑞星网址库这个信息分享给我们的合作伙伴，让他们可以直接屏蔽掉这个挂马网站或者逐步降低它的排名，使用户可以更少地点击这些挂马网站的机率。

    第二，我们讲一下如何利用瑞星技术来解决木马盗号的问题。首先，这项技术是独立于整体功能的单独模块，但是它跟杀毒软件享受的是一样的病毒库。第二，它的主要功能包括几点，第一是拥有最新的病毒库，第二对可行性文件进行跟踪。第三，对盗号密码进行查杀。第四，如果我的系统中存在可疑文件，当时没有方法对它进行准备的判断，但是后续可以做。第四，通过这个技术可以进行快速的病毒扫描和查杀。我们瑞星了解病毒，我们知道这个盗号木马病毒感染系统以后存在于电脑的什么位置，我们把这些经验总结起来建立了一个木马即时查杀功能。当我打开一个用户软件的时候，他采用这样的技术，他首先会对目前内存中执行的程序，比如说我的注册表启动、比如我的驱动、我的服务，我会对病毒感染最多的位置进行扫描，这样可以提高我们的扫描速度。第四，是可行性文件的上报。第五，是定向积累病毒库。比如我跟一个网页游戏进行合作，通过一段时间的积累，我们发现有一万个病毒是专门针对这个网络游戏的，我们研发工程师可以把这一万个病毒单提出来，以及它的病毒特征我们也会提取出来，我们会重新开发一个针对这个网络游戏的专杀工具。

    最后，我们每天都会对木马即时查杀这个功能模块进行及时更新。下面我们通过这张图再来清楚地看一下，首先淡蓝色左边是我们的用户电脑操作系统，当用户电脑装了这样的聊天系统、网络游戏和下载软件，这些软件如果都使用木马即时查杀技术，如果有病毒入侵到系统以后，因为所有这些软件都具有了这样安全保障的时候，我们同样可以对这些病毒进行防范、抵御、查杀。

    谈了威胁，谈了解决方案。我们的目标很简单，就是携手在座各位合作伙伴共同打造一个可信任的互联网，使我们的互联网变成一个巨大的安全环境。谢谢大家！