迅雷李金波：網絡下載的安全挑戰和迅雷應對決策

相關專題：共建可信任的互聯網 2008瑞星互聯網安全技術大會

主持人：剛才我的同事唐威跟大家介紹了瑞星可行性的一些想法以及我們的具體實施計劃。上面這些只是瑞星自己的想法，我們在和我們合作伙伴的溝通過程中，我想我們的合作伙伴也會給我們提出非常多的建議以及好的要求，我們可以攜手合作。通過剛才的回顧，我們發現瑞星以前是一個殺毒公司，現在瑞星會越來越偏向整個互聯網的安全。以前大家都知道瑞星是做網絡產品的，瑞星以后會以安全作為一個方向。下面我們請迅雷公司副總裁李金波先生跟大家談談。

李金波：謝謝大家！非常感謝瑞星公司給我這次和大家交流的機會。我不是一個安全技術專家，主要是通過瑞星合作伙伴的角度，通過一個互聯網公司角度談一下迅雷在發展過程中所遇到的安全方面的挑戰和應對決策。

我的演講主要分為兩部分，第一講一下迅雷的業務安全；第二，展望一下互聯網和互聯網安全的未來。大家都知道迅雷本身是下載軟件，下載安全是我們的首要挑戰?？傮w來講，在我們每天過億次的流量當中，我們發現有接近50%的文件安全屬性是未知的。其中這5000萬當中有20%。根據我們的抽樣分析，我們覺得存在安全風險。這些安全風險包括這個文件里面本身已經被植入了木馬，或者它沒能夠被植入木馬，但是會通過視頻文件、調用瀏覽器打開一個網頁的方式，把你導向一個木馬網站。

對我們來講，可以說有這樣三大挑戰。第一大挑戰，是我們從一開始做迅雷就遇到的問題，就是如何精確地下載到用戶所需要的文件。舉個例子，如果你的機器中了病毒，這個病毒有可能是以驅動的方式來加載，它完全可以通過網絡劫持來修改你的數據流。這樣在你下一個文件的時候，它有能力對你的文件進行篡改。這樣，你下到的文件和你想要的文件已經是不一樣的。第二和第三個問題，是關于下載之后的。盡管你能精確地下載到這個文件，假設這個文件下載完之后病毒再進行修改，這個時候實際是已經超出了下載的作用范圍，它已經變成了下載后的文件管理問題。

第三個，出了這些安全問題之后怎么辦？對于迅雷和迅雷用戶來講我們面臨的挑戰很尷尬，我們缺乏特別有力的回答。我們最早的時候就提到安全下載的問題。大家可能用過迅雷，比如你下載到95%，到了下一秒就變成92%，這中間發生了一些糾錯，有一些數據我們可以拋棄。我們在這方面是寧死不屈的方式，我們寧愿讓你下載失敗也不愿意讓你下載一個錯誤的文件。

直到和瑞星合作之前我們都沒有找到一個很明確的解決方法。在合作之后，我們先從簡單的產品流程開始。合作之后，迅雷要做的第一件事情就是把迅雷下載和本級殺毒軟件進行關聯。我們推出這個功能之后，我們發現瑞星給我們提供的價值在我們所有合作當中超過了60%，所以這實際上開啟了我們以后更深入的合作契機。關聯之后，假設你用迅雷想下載一款軟件或者下一個其他類型的文件，迅雷缺少提供文件方面的搜索。假設你搜到的是一個含有木馬或者不安全的文件，在迅雷搜索引擎上會明確地進行提示。

第一張圖，大家看得很清楚，我們會告訴你這個資源是不安全的，你是不是要進行下載？我們假設你不相信，在你決定繼續進行下載的時候，迅雷會繼續進行這個警告。第二和第三個圖都是在迅雷界面里面發生的。大家可以嘗試去下載一個帶木馬的文件，我們假設所有這些你都忽略了，你最后成功下載了一個文件。最后的保護，我們迅雷依然提供給你。在最后部分和瑞星的關聯就起到了作用。

當然，我這里列出的病毒是含在IR（音）中，很難被打開。這就不是迅雷的事了?？傊覀兒腿鹦呛献髦笪覀冇辛艘粋€有信心的答案，我們完全可以說我們有三重校驗機制可以保障用戶安全地下載文件，我們和瑞星的合作也保護了你下載之后的安全。總而言之一句話，我們每天有效地消滅掉了一千多萬不安全的下載。我們從下載的整個生命周期上有了一個百分之百的安全保障。這就是迅雷核心業務下載方面的安全挑戰和解決方法。

剛才我提到了搜索，搜索是我們第二個主營業務。當然我們提供的搜索還不只是網頁，主要是關于二進制文件，我們稱作“資源的搜索”。每天通過我們搜索引擎要打開的下載網站PV要超過2000萬。和網頁搜索不同，下載軟件在安全方面面臨的問題要更大。這里面怎么樣預知這種網頁掛馬，假設用戶打開了，你怎么防止他中招？我們目前采取了一個方法。假設這個網站有安全隱患，超過一定的機率我們要進行全站掃描。這種解決方法我們是相當不滿的。我特別期望能和瑞星進行進一步合作，來徹底從網絡這個級別上控制木馬的傳播和木馬危害，提供一個真正的百分之百的搜索環境。

第三，我順便提一下迅雷在桌面安全方面的一些想法。在這方面我們是最早和瑞星進行木馬查殺合作公司之一。合作的主要原因有兩個。第一個原因比較實在，我們認為專業是重要的。第二，我們不得不為用戶提供安全相關的服務。因為通過迅雷下載的文件無論在下載中還是下載后感染病毒，幾乎用戶都會把它和迅雷關聯起來。雖然我們能夠提供百分之百的下載安全，但是從互聯網搜一搜和迅雷相關的話題，估計沒有千萬也有百萬?；谶@兩個理由，我們要考慮到桌面安全問題，而且要考慮到和桌面安全的一些公司進行合作。

第二大方面，我主要講一下安全的未來，從用戶角度講一下我對安全的一些看法。對我來講安全是什么？當我們往前看的時候，我們發現互聯網從九十年代后期到現在也只不過是十幾年時間，但對安全的定義卻發生了好多次變化。最早的硬件安全時代，我沒有經歷過，在座可能也沒有經歷過。今天我們說到的是互聯網安全，講到了木馬。我們站得更高一點，往后看三年、五年或者十年的時候，我覺得除了木馬有兩大問題，將會有可能改變我們對安全的定義。

第一個問題就是“流氓行為”。舉個很簡單的例子，你的域名被劫持了，像這種事情前些日子還發生過。假設你被劫持了怎么辦？這到底是安全問題還是不是安全問題。假設你的用戶要對你進行誤導，比如你訪問一個正常文件，用戶說你訪問了他的一個機密文件，這種情況下就把你導向了和用戶的一個對立面，讓用戶以為你偷竊隱私或者做一些他不愿意你做的事情。劫持和誤導是兩個典型的流氓行為。對流氓行為的界定和處理將會成為我們未來的一個挑戰。

第二個方面是不正當競爭。我們可以把不正當競爭看成是流氓行為的一部分。但最好應該把它獨立出來。這些不正當競爭，我們遇到最常見的例子就是捆綁。我前些日子裝一個軟件，還遇到了強行關聯。裝了之后，我的文件就再也沒有辦法選擇我喜愛的應用方式來打開，而且我不知道怎么去改。

展望未來的時候，我覺得除了我們已有的安全問題，安全本身的定義也將會隨著時間的發展而不斷發生變化。這是我看到的第一個大的挑戰。

說到“云計算”和“云安全”，我不想再班門弄斧。基本上做到今天，所有互聯網公司都要開始發展自己的“云計算”技術。對迅雷來講，依照我們的意見，“云計算”不但代表著你成千上萬的客戶端，這是你可以看得到的。你看不到的是后端的云，這才是“云計算”和“云安全”的關鍵；這個“云”承擔了一個計算中心的重任，它必須要有一定的規模，沒有規模，你談這個“云”就沒有意義了。

最后講一下我的幾點感想。第一點，基本上是每次開會和業界朋友聊天時候所有的共同感慨，就是術業有專攻。每一個公司都想多元化，都想大而全，都想什么都做，什么都屬于自己?？蛇@是行不通的。雖然你進展得良好，這樣遲早有一天會發生問題。

對迅雷來說，迅雷的安全戰術經過了一些調整，早期時候我們想自己做，中期時候我們想合資做，這是有了錢之后的一些碰壁。以為你靠一些投資公司就可以成功地進行多元化，還好，迅雷意識到這個錯誤比較早，在這個階段我們通過了合作來做。迅雷和迅雷的用戶都需要安全，但是這個安全應該交給更有能力的合作伙伴來做，通過合作伙伴一起共同打造這個安全。

第二點感言，對我們互聯網公司來講，服務不是根本。我們往往聽到一些話，這些話聽起來很有魄力。我在第一次聽到的時候也很有震撼，就是這樣的話，我們要控制入口，我們要控制桌面。你試圖在做這些事情的時候，你就忘記了互聯網一個最根本的屬性，互聯網是開放的。假設這種事發生的時候，最大的控制者是誰？一定不是我們，我們大部分人都是白手起家，靠自己的一雙手，一個腦袋打拼起來，我們沒有什么資源?；ヂ摼W如果能夠控制的話，最終一定是國有企業，最終一定是政府把它變成不那么陽光的一個產業。所以“控制”這種說法很多人都想。我這里說的是服務而不是控制，假設我有控制機會我還是很樂意去做的。

真正的王道就像瑞星公司和我們的經歷者告訴我們的，我們要合作共建安全的互聯網。在這方面，迅雷保持著一個很開放的心態，我們主要專注于下載和下載所代表的數據傳輸。其他一些相關領域，不管是上游的也好，下游的也好，在我們公司內部，一方面是盡量不做，一方面，即使做了也絕對不是我們的核心業務。今年，我們特別期盼在數據傳輸方面，有需求的業內同行能和我們一起探討合作之道。

第二點，也是題外話了，在座各位有安全和下載方面的人才，我也歡迎大家多給我推薦。

毛一?。?/STRONG>非常感謝金波的演講，剛才金波在說到的時候，我覺得整個互聯網是不可能被某一些或者某一家企業所控制的，但是都應該是通過服務來完成的，而不是想一些歪門邪道。我想重申一下瑞星的立場，瑞星只是一個安全公司，我們只做我們最擅長的安全行業的事情，我們只會做我們的安全產品，目前沒有任何計劃來做一些其他的東西。事實上在整個瑞星發展過程中，我們也經常被這樣一些事情所誘惑。比如做門戶的上市了，比如做網游的掙錢了。對瑞星來說，第一，我們做不了這些東西，我們知道我們的能力，我們知道我們的人才結構。另外，我們認為只要給用戶提供了非常好的服務，提供了非常好的價值。那么你所做的安全業務一定是非常有潛力，有巨大空間的。瑞星這邊，我們一定會把我們的業務集中在安全這個領域。第二，我們跟這些合作伙伴做業務的時候，我們秉承的是這樣的理念，我們拿什么跟我們的合作伙伴合作？第一，我們不用錢；第二，我們也盡量不用我們的資源。比如有很多合作伙伴找我們，希望幫他們推一些流量或者下載量，這是我們不能做的。第三，我們的合作一定是通過雙方緊密的技術合作為用戶帶來價值，這才是我們合作的根本。