曹凌翔:我这边有一个建议,刚刚大家都提了恶意软件最大的一个来源是共享软件,共享软件这一块目前来看是处于无监管状态,我不知道谁管我。昨天有一个共享软件做的,就在QQ上这样说,我做了一个类似于反黑客的软件,问我到哪儿去检测?我想合法的去销售、合法的在网络上推广,我到哪儿去检测,他不知道到哪儿去检测,这样的困惑我想很多人都有。 我有一个建议,谢主任这边,咱们这个能不能有一个什么地方管起来。
谢腾翔:即使这种共享软件我们负责检测或者我发布、做认证也好,还是要有相应的标准来做这些事情,最主要的还是规范的建立。
我觉得恶意软件来讲是利益驱动,只要有利益恶意软件肯定会愈演愈烈,在某种程度上,咱们要做的事情确实是缩小它生存的空间,咱们只能做这个,很难说去把它给斩断了,这是不可能的,因为这个社会就是利益驱动的,有自己的利益在里头的,所以只能尽量的缩小他生存的空间,这应该是咱们共同努力去做的事情。
刚刚大家都讲到了利益驱动,可能通过互联网免费的做广告,有没有可能有一种机制,在互联网上可以出广告,但是有某项管理机制是收费用做广告的。刚刚说为什么会出去的情况,很多大量的还是做广告嘛,他纯粹是想我告知你一下,但是我并没有给你造成太大的危害。电视我们说不愿意看广告,但是广告业带来信息量,我觉得有没有可能,互联网上未来某一天可以出现广告,只要是有秩序的出现,我觉得不一定放在恶性的概念里面,我觉得未来有没有可能怎么样规范他这种行为?
王本锐:其实这种大型的网站他们的广告都是有审核机制,都是按照国家的相关法律进行审核的,但是对于一些个人的网站或者共享软件,他这里的广告本身就是偷偷摸摸做的,所以他不会主动的找国家相关机构你给我审一下我这个广告合适不合适,而且找到这个广告谁投的也很困难。
齐军:所谓的Web 2.0都草根化了,也不好抓。
谢腾翔:就是说控制上面会有一些难度。
金锴:这个思路将来也许是可行的,比如说像搜狐这样的网站,事实他的广告收费是透明的,他也会符合国家的法律进行相应的税收国家都可以拿到。但是对于恶意软件这样的广告完全是不可知的,广告的数量也好或者自己的收入也好,肯定都是灰色的。
齐军:跟街上的小广告差不多。
谢腾翔:其实我们希望进入搜索某种程度上也是一种广告,现在我们很多是从互联网上获取信息了,其实也是一种广告来源嘛。
齐军:刚刚说一些东西都是有案可查的,然后保证国家该有的税收、该有的规范,都是可以查询的。
金锴:互联网本来就是非常大的平台,每个人都可以施展自己的机会或者创造力,你要想规范某个人的行为难度还是挺大的。
齐军:如何构建一个有序的虚拟的世界。
王本锐:举个例子,刚才齐军提到了垃圾邮件,这两年正在逐渐的规范,下一步我觉得很有可能对流氓软件或者恶意软件相关的规范,法规应该逐步的会出来,可能会有一段时间。
谢腾翔:当矛盾激化到一定程度的时候。
王本锐:大伙一块把恶意软件的生存空间挤,挤得越小用户上网会更安心。
主持人:我们还做过一个调查,因为关于3•15这块,这里有一个数据,问用户知道什么是恶意软件吗?大概有86%的人都是比较清楚的,大概有88%的人是身受其害的,有23%的人是知道怎么清除的,有50%的人是大概知道。通过这些数据是否可以认为关于恶意软件的危害性,是一种普遍现象,我们这边刚才说采取一些对策也好,可以说时机已经比较成熟了,因为现在已经是深受其害了。
王本锐:我这边有一个数据可以给你提供作证,是瑞星2006年发布的,我们当时做了一个调查,调查用户遇到的哪些软件威胁,多选题,一共是58769人参加,比例最高的是木马,75.05%的用户说遇到过木马的威胁,第二位的是病毒,74.33%,这两种杀毒软件都可以清除。第三项是占了57.66%,是强制弹出广告。再下面一个是流氓软件,占了43.53%,接下来还有垃圾邮件、浏览器劫持、可攻击间谍软件,还有其他的。从这个数据看这个现象很普遍,另外,用户对这个已经有了足够的认识。
李铁军:还有用户差不多已经习惯这种插件在里面,我们去观察的时候,经常会碰到好多人,随便找一台机器都有,这种安装性可能会达到跟计算机的普及程度差不多。这种用户好像根本没有感觉到这个东西对他的系统有什么影响,这个认知我觉得还是不够。
金锴:另外一方面,方正有一个实验室,这个数据也是供参考,在2005年整个全年当中,因为一般杀毒软件是病毒库升级的,在2005年一年当中数量当中占第一位的就是间谍软件是病毒软件,达到51%以上,超过了所谓的病毒和蠕虫。这个角度来讲我们可以看到,其实从事实上存在的数量角度来讲已经超过了我们传统意义上所能防护的恶意程序。
再有一点,其实刚才的数字也许比如说中过的更高,有的人也许并不知道。对于有多少人知道恶意软件的防范和清除的方法,这一点我觉得这个比例也许更好,也许现在随着恶意软件的不断增加,清除的可能越来越难,有一些甚至像前面几位讲的一样,根本不知道如何卸载,因为没有卸载的工具。你可能为了卸载它,到网上找一个免费的工具,可能发现这个卸载以后又有新的威胁,这点可能也是觉得束手无策的,找不到可以安装的产品在自己的计算机当中,对恶意的清除可能也没有权威的方式。
我个人觉得,包括我们公司这边觉得,处理这种恶意软件其实还是有一定的时间,可能不会马上的就能解决。
齐军:从我们这边来看会注意到一个很重要的时间差的问题,毕竟在商言商,大家都是商业化的公司,当大家投比较大的精力而且出商品的东西帮你维护这个网络安全的时候,一定会希望有一定的经济回报回来,什么时间是一个比较合适的推出对应的产品的时机呢?以前在做防病毒软件的时候是这样的,病毒是直接损毁你这个系统,不能工作,基本上如果形容的话,就是有一个人拿刀捅了你一下,这是所有人都受不了了,都会防的。而恶意软件这种,只是骚扰了你一下被贴了一个东西,这个时候你是不是该干什么就干什么呢?99.999%都是可以做的。即便刚才你说的数字那么高,很多人说有了也就有了,并不是很在意它。有多少人会被实际的攻击到呢?只要被攻击到的人会留下很深的痛。
我举两个例子,一个是网上的账户被盗,这个时候会觉得受不了。这种例子在现实生活中多吗?并不是很多。
另外一点,如果我们现在在网上有两个很多的消费行为,包括把网上游戏也作为一种消费行为,一旦游戏账号被人偷走了,你看到系统里面原本属于你的账号、你的角色在里面砍砍杀杀你的亲朋好友,我们有一个同事就是看到自己的账号,看到有一个朋友跑去看那个朋友,说你的账号为什么来砍我?说我已经把这个账号丢了,已经不是我的了。这个时候我们看到,虚拟世界里面如果生活化了,其实你发现也是一种痛,类似这样的痛在国内发生的状况还不是很多,确实有人偷你的东西、确实有人骚扰你,但是这种行为还没有使用户感知到必须制止它。
防病毒出现的时间差比较短一点,但是防恶意软件这种东西对应的产品时间差可能比前一个时间差大,因为那个痛不足以让他马上用一个东西清除。所以我们也是觉得可能去推出一个商品化的产品或者大规模的去普及这种对应的产品还有一个时机要等待。企业现在对防病毒的热情会远远高于个人。
曹凌翔:有一个数据可以说明危害性挺大的,去年我们曾加了一个大家反映特别强烈的软件,加了以后第二天我们有一个威姿病毒检测系统,网上的病毒数据一下升上去了,占60%,所以这是很大的数据,所以现在恶意软件危害非常大。
主持人:刚才我们花了很长时间探讨恶意软件,下面再花一点时间聊关于软件质量的话题。
因为软件质量对企业来说是一个成功的必要条件,我们一般地说软件质量简单点说就是无缺陷,实际上在不管是系统厂商还是应用软件厂商,实际上这种漏洞还是不可避免的,这块我们这边作为信息安全厂商对软件企业的这些缺陷我们怎么能够对它的质量起一些作用呢?我们在保证软件产品质量的方面起什么样的作用?
齐军:我们现在的安全软件能够针对去控制的大多数都是针对通用平台的,比如Windows、Office等,他们会发布一些漏洞,我们会发一些软件阻止这些漏洞危害的出现。
谢腾翔:我们的软件应该是分严重等级的,是从用户需求讲的,我们经常说什么叫好的软件,我们说是用户满意的,绝对不是说没有缺陷的软件是好的软件,用户是否满意。刚才讲了信息产品,现在用户对安全方面肯定是非常大的需求,这个质量肯定不可避免的有很大一块是否安全。
安全有好几个概念,一种是使用安全,刚才我们讲了这个软件本身有没有漏洞,我在使用你这个软件的时候会不会带来经济的损失,对这个安全有一定的规律,我用你的软件,但你的软件存在漏洞,实际上我们经常被人攻击到,会进入你的系统,把你的数据盗走,这就是使用安全。
另外,我使用你的产品,用户会给我们提供安全的要求。比如我受到攻击了,这些数据会不会被保存。这块对于我们安全产品来讲,我不知道在座的各位是怎么样的,比如有一些程序攻击我的系统的时候会通过网络进来,但是用这个产品是不是安全,我们的产品怎么样防范这种问题或者异常的情况下怎么样防范,我觉得这都是我们的用户需要考虑的。
所以从我们检测这方来讲,不仅仅是检测软件的正常情况下质量如何,我们会看异常的情况下软件安全防范是什么样的。我们说安全是软件质量的一部分,但是我们说质量不仅仅是安全,包含着一种关系。
主持人:今年咱们国家颁布了一个规划纲要,其中也提到软件的产品质量,作为咱们这边一个国家级的软件监测机构,这块有什么样的步骤加快这个目标的实现?
谢腾翔:国家中长期的发展纲要有一些配套措施,今年的1月份刚刚发布,我觉得它的这个发布对我们IT软件企业来讲是非常好的措施,重要的是生态环境上各种各样的措施推动我们国家软件产业向前发展。
从我们国软质检中心来讲从几个层面上,首先就是用户质量意识和教育这块。像质检局公布的苏丹红什么的,消费者觉得这个东西不行,肯定要把这个撤下来。软件虽然跟我们的生活也密切相关,我们跟搜狐也曾经做过一个调查,我们的用户反馈回来,他认为软件质量很重要,但是软件一旦出现问题,就像我们现在如果产品出现问题我们会有投诉的对象,我们去找厂家或者消协,但是大家对软件我好像就默认了看能不能用,能用就用,不能用就不用了。我们国软质检中心开展一系列活动,首先让用户有这个意识,这个软件质量也是你可以关注的,你也可以投诉的,用户有了对软件的要求以后,才能帮助我们的软件企业改进他的软件,提升他的软件质量。我觉得有一个需求才会要求有动力去推动我们的软件厂商,如果用户没有对你提出过高的要求,像现在我们可能说市面上什么软件都有,我们用户很困扰哪个好,所以我们的用户就认品牌,品牌也需要有认证或者社会的认可。我们用户在某些程度上对软件并不像食品类有严格的迫切的要求,希望你做到什么样的程度,这也跟我们国家缺乏相应的标准也有一定的关系造成的。我觉得用户首先要有质量意识,他知道我们对软件可以提出要求来,你应该达到什么样的。从另外一个层面就促进我们的软件厂商提升他软件产品的质量。
从我们国软质检中心的角度可以规范市场,我制定一些检测标准或者开发标准去做这些事情,我们说什么样的产品可以进入市场,对我们用户来讲进入市场了我们的质量就是合格的,这样对他来讲就是放心。所以我们应该提升用户的意识,软件厂商会因为用户提高了、用户有要求,会促进他推动自己软件产品的质量,去重视质量。从我们这个层面来讲就是加强市场监管,规范市场,最终让市场淘汰恶劣的软件或者不优秀的软件,这样就形成良性的循环,我觉得这样比较好一些。
主持人:如果一定要做对比的话,软件的质量问题和恶意软件对比的话,对用户的角度来说,哪种危害性更大一些呢?
金锴:我们有一些条件,看这个软件的通用性。如果这个软件很通用,比如像Windows的问题,这时候产生的危害可能远远高于某一种恶意病毒,从这个意义角度来讲可能他的问题很大,也许从另外一个角度来讲,他比如类似针对某一个企业,可能对他而言可能是某一种具体的危害更大。
王本锐:我觉得这个问题从两个角度看,一个是对用户产生危害的程度,另外就是你的软件普及的数量,就是有多少用户在用这件软件,从这两个角度来看。
举个例子,像瑞星是2千万的用户,我们在产品质量这块要求非常高,为什么呢?如履薄冰。怎么讲?我们的产品如果有问题,那就是2千万用户会有问题,所以我们在产品的设计、研发、测试,每一个环节都做的时间非常长。可以这么说,我觉得在所有的软件里面安全类的软件应该说安全性本身相对而言比其他的应用软件要高,为什么呢?你本身是做安全的,如果你的软件还出问题还有谁替用户维护安全呢。其他公司的不太清楚,我们瑞星公司的产品出来内部会有三个测试,外部会有公开的测试,整个时间差不多4个月左右的测试,经过如此多的用户测试之后,应该讲这个产品出来的时候对用户产生的危害应该是不存在了或者说非常的微小了。但是对于一些共享的软件,可能一个小的公司写的,他们可能就不太关注,有可能会导致用户的机器出问题。
其实这里面我觉得有一个地方是很有意思的,有些共享软件本身可能属于非恶意的,他也没有捆绑任何插件,但是仅仅以后他考虑不周导致卸载不干净。我们这边也接到用户的反映,某个软件我们分析没有任何遏抑的行为,仅仅是编写的问题导致载不掉。
齐军:Bot给大家导致的损失,像千年虫之类,导致已经形成一个产业了,但是它出现的频率远远没有恶意软件那么多。但同时它的指向性那么强,导致大家也可以对应的制定一些标注防护它,相对来讲像恶意软件大家更应该去关注,像Bot这种东西,如果我们说比较大的,包括像千年虫这样的Bot,后面都在修,只要跟着厂商正常的升级都会解决掉了。每个品牌的厂商都是有责任感的,跟着升级应该问题不大。
金锴:取决于几个方面,任何一个产品其实都不可能没有Bot的,包括微软有这么庞大的机构,都会有,一旦出现问题这个厂商如果相应的采用补救措施,这个危险就会降到最好了。对用户来说可能在某些特定的情况下对用户可能会有危害,大部分情况都会相对比较小一点。
这块其实也有很多案例,其实包括安全厂商有漏洞的也会有,但是安全厂商对安全的敏感度,只要一出现这样的情况他就会很快的把这个问题解决,目前还没有出现安全厂商出问题导致安全软件质量方面的后果。
王本锐:但是有一些大的公司的确在这件事情上出现了问题,例如有一家公司为了保护自己的知识产权,他在这个软件里面加了一个类似于病毒或者密码的东西,导致好多用户用了他这个软件以后系统出现问题。应该来讲出了很多问题,他不应该以木马的方式或者防病毒的方式写进去,最后那家日本厂商的软件出了很大的问题。
(责任编辑:刘鹏) | 
精彩生活 
