問答實錄：瑞星“云安全”不僅是“云計算”

相關專題：共建可信任的互聯網 2008瑞星互聯網安全技術大會

Q：您好，我主要是做網絡游戲的。我想問一下，像惡意安全軟件嵌入瑞星，是否牽扯到訪問注冊表的問題？
A：有一些可能會有問題。瑞星做了好幾種技術模塊，要看具體是哪種技術模塊。

Q：目前來看，在我們推廣游戲客戶端的時候，網吧是我們主要一大部分用戶群體，因為現在網吧有各種各樣的還原卡，還有網吧整體安裝軟件。他們都非常迫切地希望游戲是純綠色的，我們加載瑞星反木馬行為會不會對軟件安裝有影響？
A：在我旁邊這位是瑞星實驗室負責人，讓他跟您談談這個問題。
A：其實像瑞星這樣木馬查殺病毒，第一，它首先在互聯網使用軟件上是常常會應用的。在很多網吧里面它在廣泛地使用，可以說不存在問題的。第二，我們的木馬查殺非常自由的模塊。你什么時候想利用它去掃描？什么時候想利用它去訪問系統？這些都由廠商自己來選擇。如果有一些地方妨礙到了你日常的安裝使用，您可以不使用這塊。

Q：第二個問題，假如某地DS服務器被黑客劫持，某個公司的網址被轉移到一個黑客網站，連接這個DS的用戶打開網站可能是黑客網站。這時候他向瑞星公司報告這個域名是釣魚網站也好，還是木馬網站也好。是不是所有的用戶都對這個木馬網站進行屏蔽？
A：首先我們并不是完全不加判斷地把它列入到“云安全”體系中。我們這個“云安全”有一套中心處理機制，對這個網址我們會對它進行二次驗證，真正證明它是惡意軟件之后我們再會把它放到“云安全”中。另外，如果在一個地區里，我們一方面可以驗證這個網址是否是惡意外，還可以知道這個網址來自哪個地區，出現多少次數，我們都會有一個判斷。“云安全”就像一個一個的戰區一樣，這個戰區如果出現戰況，提升它的防御級別，但是別的地區可以不受影響。

Q：最后一個問題，假如我們公司的網站被掛木馬了，貴公司的訪問機制也認可了這個行為，這時候把這個木馬病毒列入黑名單，我們公司在什么時候可以第一時間得到通知？這種通知是一種人和人之間的溝通行為嗎？
A：至于這個網址是否被列入到黑名單，首先看它是不是一個掛馬網站。比如一個大型網站在很短時間內被掛馬，我們里面有一套名單專門處理這套正常的網站。如果是正常的網站被掛馬，我們會對它進行及時的監控，并不是直接把它列入到黑名單。如果是大型網站，是不會出現這樣問題的。但如果是訪問量很低的網站就需要跟人進行溝通，如何把它從這個網站里面清除。

Q：請問一下劉思宇（音）先生，您認為瑞星做的通用的木馬殺毒跟網絡安全公司自己做的有分析性的攻防有什么區別？它的優勢在哪里？
A：雖然說我們對所有的問題都提供一個通用安全的廠商。但在這方面我們投入了很大精力做這方面的研究，不能說我們是通用廠商，我們就不了解這方面的問題。相反，我們結合我們的專業優勢，在這方面可以提供更有優勢的解決方案。我覺得如果每個游戲廠商都去組織這樣的安全部門做這方面的工作，一方面成本又高，另一方面又會缺乏在別的領域的一些知識。假如您僅僅知道盜號木馬，把它放到你的游戲客戶端里面對他進行查殺，但你如果不知道它在整個互聯網安全領域里面怎么運作，下面也不一定好。我們希望通過我們的專業優勢和我們的合作伙伴對防范起到更好的作用。

Q：謝謝！另外一個問題，瑞星對于網絡游戲盜號木馬的防御模塊跟游戲客戶端之間是怎樣進行結合的？
A：其實我們這個模塊是提供了很多功能定制的模塊。廠商可以自動選擇它的網絡調用功能，并且根據用戶的需求單獨定制。比如你想帶著我們的引擎做查殺，你想它是一個輕量級的引擎都可以。非常自由。

Q：兩者結合，是不是嵌入到網絡游戲客戶端里面的一個方式呢？
A：我們提供的是一個動態模塊的調用。

Q：我來自中關村在線。我想問一下PPS之所以選擇跟瑞星合作是不是因為瑞星是率先提出“云安全”的概念？
A：其實“云安全”這個概念最近比較火，我們跟瑞星合作主要還是考慮到瑞星這個品牌。因為瑞星最早在安全領域做出很多成績，我們還是比較相信瑞星這個品牌的實力。“云安全”我們也比較關注，但是最重要的還是看中瑞星這個品牌。“云安全”本身還是一個比較概念性的東西，我們更關注的還是產品本身。到底能夠給網民帶來多大提升，“云安全”不關鍵，關鍵是我們能夠和瑞星一起共建一個安全的互聯網。

Q：我想問一下，咱們瑞星對“云計算”和“云安全”這方面，咱們這里提的“云安全”概念是不是來自“云計算”，如果來自“云計算”是不是要安裝在每個用戶的客戶端上？一旦被分配到一定的任務上，這個任務量的問題怎么解決？
A：我們這個“云安全”技術并非只是“云計算”。我們在上午演講中已經把它和“云計算”做了很明顯的區分。您的理解上存在一點誤差，并不是每臺機器出現病毒，通過分布式計算來解決安全問題。我們“云安全”是把所有的安全危險和整個安全體系里面的每一個結點，通過感知威脅對它進行處理，分布到整個互聯網去。您回頭可以看一下我們關于“云安全”的資料，就會明白了。它跟“云計算”是有非常大區別的。

Q：這個概念跟我們現在說的“云計算”是有所區別的？
A：它的區別主要在于對安全信息的感知和安全的分享，以及對安全處理的解決上。

Q：它更像“安全云”而不是“云安全”？
A：可以這么說。

Q：我想問一下，從瑞星公司了解的角度來看，目前網絡游戲有那些新的威脅？對于網絡游戲未來的行業發展趨勢怎么看？目前可以說網絡游戲在每個人生活周圍非常多，網絡游戲在我們生活中扮演一個什么樣的角色？
A：關于安全的問題我們可以回答。關于網絡游戲臺下有很多專家。首先在安全威脅這方面，我們非常關注用戶面臨的安全問題。它針對的目標就是竊取這方面的信息。另一方面，只要有一天能夠給這些病毒制造者產生利益，這個威脅就始終會存在，而且會愈演愈烈。

Q：我想問一下，現在我們公司正在和咱們公司做一個合作測試。第一，瑞星的“云安全”計劃如何確認這個文件是否可疑？因為木馬這塊我們本身的插件測試不出來，2009我們用過，2008瑞星這方面的東西可以通過CCL來修改。針對這些東西下載到我本機，以一種數據包的形式再發到盜號木馬者的制訂郵箱，瑞星查不到這種方式，怎么去處理？瑞星本身不知道什么是木馬？可能我下了一段之后確實能用。還有另外一個生成為木馬程序，這個問題怎么解決？
A：現在您發現用我們的軟件檢測不到它是可疑的。這也就是我們“云安全”帶來的好處。這個可疑程序今天可能在某一個地區，某一個時段，我們認為它不是可疑的。但是通過整個“云安全”里面別的結構感知到了一些威脅程序，在某個地方可以判斷出這個程序是威脅程序的，它就會把整個結果分享給整個“云安全”體系。這時候，您剛才說的沒有檢測出來的我們就可以檢測出來了。

Q：隨著“云安全”計劃的實現，瑞星本身的一種發展方式還是存在于靜態的啟發式掃描，還是將會轉向動態式的啟發掃描？它更多的不再依賴于行為分析？因為隨著病毒量的逐步增大，有一天病毒庫會成為一種負擔？它在32位操作系統下運行不起來？
A：您提的這些問題，我們早在2000年的時候已經利用到我們的產品里面了。現在確實靜態的啟發式檢測存在一定的局限性，但也是必不可少的。對于動態的檢測方式，剛才我們的專家做了一些介紹。這里面就提到了包括對網頁惡意腳本的方式進行檢測，這是我們的一個支撐技術。另外還有對木馬在這個系統里面的運行識別，這也是我們的一個技術。不管是靜態還是動態，都是我們殺毒軟件里面的一個技術。現在已經不僅僅是在我們產品里面加入一項新的技術可以起到更好的效果。今天我們開這個會的主題，我們想要說的我們對安全防御的模式已經變化了，而不只是技術上的飛躍。

Q：還有一個問題。現在國內網監那方面管得比較嚴，他們作為造馬者來說不會在國內建，對于信息傳輸造成數據流量的傳輸，可能會達到40%-50%左右。在國內，比如我作為一個客戶端，我現在感染的是一種病毒，發過去一條信息后，本身它是在網絡傳輸層，直接加入一些篡改，讓咱們公司接不到正確的數據包。
A：其實我們在設計的時候對這個體系都進行了很嚴格的考慮，對于傳輸的可信性和完整性都進行了考慮，并且在里面設置了一些防范手段。在我們看來，至少在目前這個體系下，這方面的擔憂暫時不是一個問題。

Q：我昨天在一個論壇上看到RTC的一個文章，它可以讓我底下網絡雙扇的燈不亮，用戶覺得我沒有在上網，我的網絡是中斷的，但可能在下載的時候有瑞星不能檢測出來的病毒，這個問題怎么解決？因為本身有一些技術是可以篡改系統保護的一些驅動程序的？
A：你的意思是說用戶的網絡是不通暢的。他原先已經具備的某些行為分析技術，某些主動防御技術的產品還是可以正常使用的。對這方面，對用戶還是有保護效果的。

Q：這些東西可以定期地被寫出來，把所有的包都攔截掉。這些包進來之后通過一些手段直接把你的瑞星閉掉，瑞星解決不了，用戶會重啟？
A：這個說明瑞星防御體系已經被突破，前提是在瑞星給出這個提示之后允許點擊了允許，如果用戶自己本身允許了病毒的運行，這在系統底層是永無止境的。這樣很有可能突破瑞星防御體系。如果我們發現有病毒運行起來，不但會讓用戶選擇是或者否，我們整個安全體系會通過智能的方式給出一個判斷。這個時候病毒就不會再破壞我們的殺毒軟件了。

相關文章: