五、云安全并不是创新

　　IT168 King：卡巴斯基实际上从8.0开始就提到云安全的概念，经过8.0版本一年中的演变，到现在2010版本。那么，卡巴斯基的云安全在新版中起到什么样的作用?

　　卡巴斯基产品部经理高祎伟：其实，我们不像其他厂商把云安全作为宣传的重点。对于卡巴斯基来讲，我们的云安全体系还只是增强型的传统反病毒数据库。云安全技术在卡巴斯基看来只是一个传统的反病毒技术的革新，还算不上一种创新，一种改革，或者说一种演进。它与我们的应用程序控制或者是安全免疫区技术技术比起来还不算是一种创新的技术。所以说在我们看来云安全体系的确很重要，因为它大大的加快了客户端程序对新生的已知威胁检测的速度，但是它还是没有办法对未知的威胁进行检测。这是我们对待云安全的基本态度。

　　第二点，云安全在卡巴斯基整个架构里面，它不仅仅提供了对传统的反病毒技术的补充，我们还增加了什么呢，比如说主动防御，因为主动防御所谓的对未知程序，或者说对未知恶意软件的检测也是需要一个数据库。所以说在我们的主动防御中，引入了BSS机制，通过云安全体系我们可以实时更新BSS数据库，同时包括我们应用程序控制的数据库，我们都可以进行实时响应。很多用户反馈说，并没有觉得自己加入云安全体系会对系统有影响，那是因为我们的云安全从设计初始就是静默模式，提供底层支持而不是在台面上展示。

　　IT168 King：那也就是说，卡巴斯基在检测到我系统中的病毒之后，也会有上传的动作?

　　卡巴斯基产品部经理高祎伟：卡巴斯基云安全搜集的东西并不是你机器上存在的病毒，也可以叫做恶意程序。搜集恶意程序的功能其实是通过我们云安全架构分布在全球很多地方的结点自动实现的，而不是从客户端实现的。那我们从客户端搜集什么呢，当我们需要判断某一个程序是否是恶意程序的时候，我们会搜集它的特征到云安全体系中进行比对。

　　IT168 King：如果从结点进行搜集的话，会不会对病毒库的采样有一些缺陷?

　　卡巴斯基产品部经理高祎伟：其实没有这样的缺陷，你要知道，我们最常见的新生的威胁或者蠕虫病毒木马病毒存在最广泛的传播是在哪些地方。显然它所有的数据都会经过电信运营商，或者是邮件运营商，或者是某一些大型的服务提供商。卡巴斯基很多搜集的结点都是处在这样的网络中的，所以说我们应该是会比极大多数用户更先拿到这些样本。

　　IT168 King：根据这个话题，我引申一下，据我了解，不管是国内还是国际，大部分杀毒软件厂商所用的主流杀毒技术还是特征码的方式，引入云安全实际上更多的作用是为了让特征码库搜集得更全面，更快速。但是这有一个问题，某个厂商提到，从这几年的病毒发展来看，如果不加以控制的话，过几年反病毒数据库甚至会上G，反病毒数据库的庞大自然会造成客户端的臃肿，卡巴斯基对这方面是怎么看的?

　　卡巴斯基产品部经理高祎伟：刚才我提到了，现在不管是使用云安全也好，或者是使用应用程序控制也好，我们其实是把现行的反病毒技术做了一个有机体，对它进行有机的联系或者联动。首先，我们是通过主动防御技术也好，或者是应用程序控制也好，或者安全免疫区也好，先帮助用户拦截第一波未知威胁的攻击。目前为止我们看到宣称最快的云安全进行一次更新或者对威胁响应的是10分钟。我们暂且认为这10分钟是现在云安全能够做到的最短的响应时间，那么这10分钟之内怎么办?在两次响应之间怎么办?显然还会有大量的恶意程序攻击，这个时候靠云安全没有办法对它进行即时响应，更不要提传统的基于特征库的反病毒技术。所以说对于未知威胁第一波攻击，我们显然要找一种能够针对未知威胁进行防御的技术。

　　卡巴斯基为什么重点推出安全免疫区和应用程序控制，我们就希望能够做到防患于未然。当我们能够有能力帮用户把第一波未知恶意程序的攻击拦截住之后，我们再尽快把这些所谓未知的威胁转变成已知的危险，再让更多的用户受到保护。我们整个产品发展的思路是这样的，必须要把两者相结合起来。你刚才讲到的有的厂商说反病毒数据库如果不加控制可能会上G，在我看来上G不是两三年就可以的，可能还需要一定的时间。过了一段时间以后，可能每个厂商都会有自己的解决办法。

　　对于卡巴斯基来讲，我们现在就已经有新的动作了。比如说每推一个新版本的时候，我们引擎都会有很大的改进和更新。引擎改进和更新一方面是为了减少占用资源，另一方面是为了增强对新生攻击手段的清除和消除。还有一方面是尽量优化病毒库，让它尽可能小一些。对于反病毒厂商来讲的话，还是需要不断地优化传统的反病毒技术，保持一定的先进性。基于特征库的扫描技术虽然很传统，已经20年历史了，但是到现在为止还是十分有效的技术，因为它可以精确的判断一个文件是不是病毒，而且还能对它进行清除，不像现在其他非基于特征库的技术对于染毒文件只能进行删除，而基于特征库的技术还能对染毒文件进行清除，可以保留源文件。