钟伟:终于轮到我了,非常迫切地希望和大家进行交流,因为今天我会给大家带来非常有意思的东西。各位嘉宾,尊敬的瑞星客户,大家下午好!为什么说下午好,我会给大家解释。刚才我的同事们的演讲,我们可以发现,病毒的互联网化已经使病毒的更新速度和爆发的速度相比以前有了爆发式的增长,那么病毒的传播范围和危害范围也被无形的扩大了无数倍,那么面对这种新的形式,传统的信息安全策略显然已经不能适用病毒互联网化这样一个新形式的发展,那么我们说任何一个事物,都有自己的发展的周期和生命的周期,如果不能适应新形式的发展的话,那么他的顶点往往也就是衰落的开始。如果我们把传统的信息安全模式比作今天上午8、9点钟的太阳的话,现在已经快11点半的,如果不从现在开始做准备,如果不从现在开始寻找应对的策略的话,我们很有可能会被这个时代所摈弃,所以对于我来说,11点半,可能对于很多人来说还是上午,还是中午,但是对于我来说已经是下午了。如果我们没有超前的意识,没有危机感和紧迫感的话,我们很可能就看不到明天的朝阳了。还好瑞星的钟比其他人快了一点点。
那么面对新的挑战,瑞星公司是如何应对的呢?这个就是我今天要与大家共同分享的主题——瑞星互联网安全策略实施,也就是瑞星的“云计划”。我们首先看一下,云计划到底是什么呢?自从瑞星提出云计划安全策略以来,很多厂商也陆续地提出了自己对云计划的理解,有人说云计划就是云计算,也有人说云计划就是获得更多病毒样本的方式,实际上我说这两种观点都是不全面或片面的,瑞星有一句话是怎么理解的?我们认为云计划就是安全的互联网化。那么什么是安全的互联网化?传统的信息安全策略为什么不能应对病毒互联网化的威胁呢?下面我在我的演讲中会逐一的为大家作出解答。
首先先看一下传统的安全策略有哪些?我们总结了一下,传统的安全策略有两点,首先是升级软件升级间隔的方式来加快对用户中病毒后的反映速度。另外一种方式就是发展和完善更多的主机反病毒技术,在产品中应用更多的病毒解决方法和防御技术。下面我们就来逐一的对这两种方式的弊病做一个了解。
首先看第一个,缩短软件升级的间隔以加快对用户中病毒后的反映速度。这个策略的毛病在什么地方呢?大家通过这句话实际上就已经看出来问题的所在了,从这句话的逻辑关系上可以看出,如果病毒的传播速度、更新速度无限放大的话,那么我们应对策略就是要使软件升级的间隔无限的缩小,什么概念呢?我们升级的频率无限的扩大。这显然是非常不合理的关系,那么我们看一下瑞星从2002年到2007年我们升级频率的变化趋势,在02年的时候,每周升级一次,03年3次,04年4次,05年5次,07年每周升级21次,也就是说我每天升级三次病毒库。那么从02年到07年,我们的升级频率增加了20倍。病毒的更新的频率增加多少呢?病毒的数量增加多少呢?我在03年的时候,看新浪网有关的一个报告:02年全球爆发的新的病毒数量达到2万种那么多,但是现在,08年,我报告大家一个数据,每天新增的病毒样本数就已经达到了2万多。那么也就是说实际上现在的病毒的互联网化使病毒的更新更快了,病毒可以以10分钟为单位更新一次,甚至更快。那我们的杀毒软件可以不可以这样更新呢?也是可以的,完全没有问题,我们也可以10分钟升级一次病毒库,那什么概念呢?就是一个小时要升级6次,一天24小时要升级的144次,从技术上来讲我们没有问题,但是在座的瑞星用户谁能受得了一天升级144次的频率?所以频繁的或者说不断的缩小这种软件升级的间隔,增加软件升级的频率,显然就是死路一条,已经走到了尽头。
那么我们再看第二条路是否能够走得通?就是发展完善更多的主机方面的技术,在产品中运用更多的病毒检测方法的技术。谈到这一点,我们先简单地介绍一下,现在目前业界常用的一些反病毒技术,大致的可以分为两类,一类是病毒的检测技术,一类是病毒的防御技术。那么在检测技术里面又分为静态检测识别和动态检测识别技术,静态数据特征检测是业界普遍应用的比较成熟的技术,这种技术它的识别率非常高,非常好。静态启发式特征检测的话,它的误报率会很高。那么动态检测数据是相对于静态而言的,动态启发式检测就是智能行为判断技术,我们下面有一个主题的演讲,也是我主持的,希望大家参加。谈完了检测技术看一下防御技术,防御技术分为文件监控技术、系统资源的访问控制和沙盘技术。瑞星在反病毒技术领域一直走在前面的,我们看一下瑞星的反病毒的发展,90年代,静态特征检测技术就已经开始用到杀毒软件中了;90年代末,瑞星开始利用了文件监控的防御技术;01年开发了DOW虚拟机下病毒分析的技术;03年Windows的虚拟机下病毒分析技术;07年监控性行为。这是瑞星公司技术发展的延续。我们单机的防御技术已经发展到了很高的顶点了,为什么我们依然无法去更好的应对病毒网络化这种新的挑战呢?
我们看一看,除了技术以外,还有哪些环节出了问题?我们看一下传统的安全模式,这张图就是我们现在传统安全模式的流程图,我向大家解释一下,一个用户受到了恶意的威胁,这个客户会通过电子邮件等方式向杀毒软件厂商取得联系,把这种病毒样本上报过来,我们的杀毒软件厂商获得了这些样本以后——这也是我们的一个工作流程——获得了以后把样本提供给分析处理系统,由分析处理系统提出解决方案,提供给技术服务器,由技术服务器制造出新的版本升级。另外一种方式是比较主动的,我们安排工程师、专家主动的去安全论坛搜集样本,在这些地方主动的发现样本,这就是我们现在绝大多数比较传统的也是比较主流的安全模式。
下面我们看一看这种安全模式遇到的问题。首先我们来看,如果我们把它分为两部分的话,这一部分从一开始就是被动的,为什么说它是被动的呢?作为杀毒厂商来说,是客户遭到了恶意威胁以后才提供这种上报我们才接受这种信息,用户受到威胁,形成破坏以后我们才去发现,才去解决,才去走这个流程,所以这个环节从一开始就是被动的。那么我们再看一下貌似主动的方式,我们安排这些工程师去主动的收集样本这是不是就是很主动的方式呢?实际上这种方式也遇到很多问题。比如说,第一,现在病毒的爆发量跟原来已经不能同日而语了,我们每天有两万种新病毒的话,需要安排多少人力物力去做病毒样本收集工作?这个工作量是非常巨大的,而我们的资源是有限的,这是第一个问题。第二个问题,整个的病毒量除了被动以外还有一个是盲目的,我不知道用户什么时间以什么方式向我提供什么样的样本?我也不知道这个用户是单机的情况还是周边的用户也有这样的情况?我还不知道这种情况在网络中到底造成了多大的危害?我去收集这些样本也是被动的有什么就收什么。所以说整个的传统的信息安全模式,从一开始,就是被动的,这就是为什么我们传统的模式不能解决病毒互联网化这种新的问题的根本的原因。
我们现在总结一下传统安全模式的缺点,我们刚才提到了被动地应对互联网出现的新威胁,主要依赖用户对威胁的感知能力,这个出发点就是错的,用户对威胁的感知能量是不一样的,厂商监控互联网威胁的模式过于盲目。还有一个我们整个的安全防御思想是基于单机设计的,就是只发展单机的检测和防御技术,我们的互联网化程度也只停留在利用互联网这个渠道升级或者是白名单验证,如果用一句话概括的话,病毒的传播或者病毒的发展已经互联网化,但是我们的信息安全的思路、功能还只停留在单机,我们还没有互联网化,这个就是现代的模式无法应对新形势的关键所在。
