网络安全 频道

迅雷李金波:网络下载的安全挑战

   主持人:刚才我的同事唐威跟大家介绍了瑞星可行性的一些想法以及我们的具体实施计划。上面这些只是瑞星自己的想法,我们在和我们合作伙伴的沟通过程中,我想我们的合作伙伴也会给我们提出非常多的建议以及好的要求,我们可以携手合作。通过刚才的回顾,我们发现瑞星以前是一个杀毒公司,现在瑞星会越来越偏向整个互联网的安全。以前大家都知道瑞星是做网络产品的,瑞星以后会以安全作为一个方向。下面我们请迅雷公司副总裁李金波先生跟大家谈谈。

    李金波:谢谢大家!非常感谢瑞星公司给我这次和大家交流的机会。我不是一个安全技术专家,主要是通过瑞星合作伙伴的角度,通过一个互联网公司角度谈一下迅雷在发展过程中所遇到的安全方面的挑战和应对决策。

    我的演讲主要分为两部分,第一讲一下迅雷的业务安全;第二,展望一下互联网和互联网安全的未来。大家都知道迅雷本身是下载软件,下载安全是我们的首要挑战。总体来讲,在我们每天过亿次的流量当中,我们发现有接近50%的文件安全属性是未知的。其中这5000万当中有20%。根据我们的抽样分析,我们觉得存在安全风险。这些安全风险包括这个文件里面本身已经被植入了木马,或者它没能够被植入木马,但是会通过视频文件、调用浏览器打开一个网页的方式,把你导向一个木马网站。

    对我们来讲,可以说有这样三大挑战。第一大挑战,是我们从一开始做迅雷就遇到的问题,就是如何精确地下载到用户所需要的文件。举个例子,如果你的机器中了病毒,这个病毒有可能是以驱动的方式来加载,它完全可以通过网络劫持来修改你的数据流。这样在你下一个文件的时候,它有能力对你的文件进行篡改。这样,你下到的文件和你想要的文件已经是不一样的。第二和第三个问题,是关于下载之后的。尽管你能精确地下载到这个文件,假设这个文件下载完之后病毒再进行修改,这个时候实际是已经超出了下载的作用范围,它已经变成了下载后的文件管理问题。

    第三个,出了这些安全问题之后怎么办?对于迅雷和迅雷用户来讲我们面临的挑战很尴尬,我们缺乏特别有力的回答。我们最早的时候就提到安全下载的问题。大家可能用过迅雷,比如你下载到95%,到了下一秒就变成92%,这中间发生了一些纠错,有一些数据我们可以抛弃。我们在这方面是宁死不屈的方式,我们宁愿让你下载失败也不愿意让你下载一个错误的文件。

    直到和瑞星合作之前我们都没有找到一个很明确的解决方法。在合作之后,我们先从简单的产品流程开始。合作之后,迅雷要做的第一件事情就是把迅雷下载和本级杀毒软件进行关联。我们推出这个功能之后,我们发现瑞星给我们提供的价值在我们所有合作当中超过了60%,所以这实际上开启了我们以后更深入的合作契机。关联之后,假设你用迅雷想下载一款软件或者下一个其他类型的文件,迅雷缺少提供文件方面的搜索。假设你搜到的是一个含有木马或者不安全的文件,在迅雷搜索引擎上会明确地进行提示。

    第一张图,大家看得很清楚,我们会告诉你这个资源是不安全的,你是不是要进行下载?我们假设你不相信,在你决定继续进行下载的时候,迅雷会继续进行这个警告。第二和第三个图都是在迅雷界面里面发生的。大家可以尝试去下载一个带木马的文件,我们假设所有这些你都忽略了,你最后成功下载了一个文件。最后的保护,我们迅雷依然提供给你。在最后部分和瑞星的关联就起到了作用。

    当然,我这里列出的病毒是含在IR(音)中,很难被打开。这就不是迅雷的事了。总之,我们和瑞星合作之后我们有了一个有信心的答案,我们完全可以说我们有三重校验机制可以保障用户安全地下载文件,我们和瑞星的合作也保护了你下载之后的安全。总而言之一句话,我们每天有效地消灭掉了一千多万不安全的下载。我们从下载的整个生命周期上有了一个百分之百的安全保障。这就是迅雷核心业务下载方面的安全挑战和解决方法。

    刚才我提到了搜索,搜索是我们第二个主营业务。当然我们提供的搜索还不只是网页,主要是关于二进制文件,我们称作“资源的搜索”。每天通过我们搜索引擎要打开的下载网站PV要超过2000万。和网页搜索不同,下载软件在安全方面面临的问题要更大。这里面怎么样预知这种网页挂马,假设用户打开了,你怎么防止他中招?我们目前采取了一个方法。假设这个网站有安全隐患,超过一定的机率我们要进行全站扫描。这种解决方法我们是相当不满的。我特别期望能和瑞星进行进一步合作,来彻底从网络这个级别上控制木马的传播和木马危害,提供一个真正的百分之百的搜索环境。

    第三,我顺便提一下迅雷在桌面安全方面的一些想法。在这方面我们是最早和瑞星进行木马查杀合作公司之一。合作的主要原因有两个。第一个原因比较实在,我们认为专业是重要的。第二,我们不得不为用户提供安全相关的服务。因为通过迅雷下载的文件无论在下载中还是下载后感染病毒,几乎用户都会把它和迅雷关联起来。虽然我们能够提供百分之百的下载安全,但是从互联网搜一搜和迅雷相关的话题,估计没有千万也有百万。基于这两个理由,我们要考虑到桌面安全问题,而且要考虑到和桌面安全的一些公司进行合作。

    第二大方面,我主要讲一下安全的未来,从用户角度讲一下我对安全的一些看法。对我来讲安全是什么?当我们往前看的时候,我们发现互联网从九十年代后期到现在也只不过是十几年时间,但对安全的定义却发生了好多次变化。最早的硬件安全时代,我没有经历过,在座可能也没有经历过。今天我们说到的是互联网安全,讲到了木马。我们站得更高一点,往后看三年、五年或者十年的时候,我觉得除了木马有两大问题,将会有可能改变我们对安全的定义。

    第一个问题就是“流氓行为”。举个很简单的例子,你的域名被劫持了,像这种事情前些日子还发生过。假设你被劫持了怎么办?这到底是安全问题还是不是安全问题。假设你的用户要对你进行误导,比如你访问一个正常文件,用户说你访问了他的一个机密文件,这种情况下就把你导向了和用户的一个对立面,让用户以为你偷窃隐私或者做一些他不愿意你做的事情。劫持和误导是两个典型的流氓行为。对流氓行为的界定和处理将会成为我们未来的一个挑战。

    第二个方面是不正当竞争。我们可以把不正当竞争看成是流氓行为的一部分。但最好应该把它独立出来。这些不正当竞争,我们遇到最常见的例子就是捆绑。我前些日子装一个软件,还遇到了强行关联。装了之后,我的文件就再也没有办法选择我喜爱的应用方式来打开,而且我不知道怎么去改。

    展望未来的时候,我觉得除了我们已有的安全问题,安全本身的定义也将会随着时间的发展而不断发生变化。这是我看到的第一个大的挑战。

    说到“云计算”和“云安全”,我不想再班门弄斧。基本上做到今天,所有互联网公司都要开始发展自己的“云计算”技术。对迅雷来讲,依照我们的意见,“云计算”不但代表着你成千上万的客户端,这是你可以看得到的。你看不到的是后端的云,这才是“云计算”和“云安全”的关键;这个“云”承担了一个计算中心的重任,它必须要有一定的规模,没有规模,你谈这个“云”就没有意义了。

    最后讲一下我的几点感想。第一点,基本上是每次开会和业界朋友聊天时候所有的共同感慨,就是术业有专攻。每一个公司都想多元化,都想大而全,都想什么都做,什么都属于自己。可这是行不通的。虽然你进展得良好,这样迟早有一天会发生问题。

    对迅雷来说,迅雷的安全战术经过了一些调整,早期时候我们想自己做,中期时候我们想合资做,这是有了钱之后的一些碰壁。以为你靠一些投资公司就可以成功地进行多元化,还好,迅雷意识到这个错误比较早,在这个阶段我们通过了合作来做。迅雷和迅雷的用户都需要安全,但是这个安全应该交给更有能力的合作伙伴来做,通过合作伙伴一起共同打造这个安全。

    第二点感言,对我们互联网公司来讲,服务不是根本。我们往往听到一些话,这些话听起来很有魄力。我在第一次听到的时候也很有震撼,就是这样的话,我们要控制入口,我们要控制桌面。你试图在做这些事情的时候,你就忘记了互联网一个最根本的属性,互联网是开放的。假设这种事发生的时候,最大的控制者是谁?一定不是我们,我们大部分人都是白手起家,靠自己的一双手,一个脑袋打拼起来,我们没有什么资源。互联网如果能够控制的话,最终一定是国有企业,最终一定是政府把它变成不那么阳光的一个产业。所以“控制”这种说法很多人都想。我这里说的是服务而不是控制,假设我有控制机会我还是很乐意去做的。

    真正的王道就像瑞星公司和我们的经历者告诉我们的,我们要合作共建安全的互联网。在这方面,迅雷保持着一个很开放的心态,我们主要专注于下载和下载所代表的数据传输。其他一些相关领域,不管是上游的也好,下游的也好,在我们公司内部,一方面是尽量不做,一方面,即使做了也绝对不是我们的核心业务。今年,我们特别期盼在数据传输方面,有需求的业内同行能和我们一起探讨合作之道。

    第二点,也是题外话了,在座各位有安全和下载方面的人才,我也欢迎大家多给我推荐。

    毛一丁:非常感谢金波的演讲,刚才金波在说到的时候,我觉得整个互联网是不可能被某一些或者某一家企业所控制的,但是都应该是通过服务来完成的,而不是想一些歪门邪道。我想重申一下瑞星的立场,瑞星只是一个安全公司,我们只做我们最擅长的安全行业的事情,我们只会做我们的安全产品,目前没有任何计划来做一些其他的东西。事实上在整个瑞星发展过程中,我们也经常被这样一些事情所诱惑。比如做门户的上市了,比如做网游的挣钱了。对瑞星来说,第一,我们做不了这些东西,我们知道我们的能力,我们知道我们的人才结构。另外,我们认为只要给用户提供了非常好的服务,提供了非常好的价值。那么你所做的安全业务一定是非常有潜力,有巨大空间的。瑞星这边,我们一定会把我们的业务集中在安全这个领域。第二,我们跟这些合作伙伴做业务的时候,我们秉承的是这样的理念,我们拿什么跟我们的合作伙伴合作?第一,我们不用钱;第二,我们也尽量不用我们的资源。比如有很多合作伙伴找我们,希望帮他们推一些流量或者下载量,这是我们不能做的。第三,我们的合作一定是通过双方紧密的技术合作为用户带来价值,这才是我们合作的根本。

0
相关文章