投递文章
投稿指南
RSS订阅
主持人:各位网友大家好,我觉得今天是一个特别好的日子12月12号,好事成双,我们今天特别荣幸请到金山的副总裁葛珂先生,先请葛珂简单自我介绍一下。
葛珂:各位网友大家上午好,我是1999年加入金山的,到今天已经工作9个年头了,之前负责内部管理和运营,还有产品线,负责对企业的销售,从今年开始金山所有软件运营有新的事业部,由我来出任总经理。
主持人:还有一位嘉宾就是我们《电脑爱好者》的编辑部主任——张健。一说到安全问题,大家比较关心,特别是在年末年初的时候,借这个机会让葛总帮我们回顾一下2007年的形势,展望一下2008年。首先特别想问一个问题,如果让您用一句话形容2007年的病毒形势,您认为是哪个选项。第一不具危险,第二是说完全可控,第三是来势汹汹,第四是难以招架,您选什么?
葛珂:你想问我对市场形势的判断,我认为应该是第三个来势汹汹,尤其是木马来势汹汹,这是我对2007年整体新兴市场发展和变化趋势的看法。我们在7月份公布了病毒新兴市场和发展趋势的时候,当时有一些数字,虽然这些数字我完全没有办法记住,但印象很深的第一是,整个病毒总量从2006年1到6月同期有一个总量增长,但是其中木马的增长尤其快速。对今天很多网友来讲,不是传统文件感染病毒在困扰着个人计算机安全,而是木马,这个问题虽然在2006年甚至更早就有,但是从2007年爆发的数量和情况来看,是最严重和最突出的。
主持人:我们网友现在也很关心,一上网就谈到病毒,一谈到病毒就说到木马,张健作为《电脑爱好者》杂志主管内容的编辑部主任,在接触读者这方面有一些心得,读者对安全方面的感受是怎么样的呢?
张健:我们这边做一些调查,这块读者对病毒的理解,实际上现在认识的比较清楚了,尤其新兴木马形式的这种,我们可以说成病毒的一种,那么可能这么一段时间的发展,木马变种了,使他们的计算机上传的时候遇到很多问题,包括他们财务各方面都会遇到问题,他们感觉是非常迫切希望有一个解决办法,当然他们有的时候,作为用户来讲,选择安全产品的时候,也会在不同产品中间游离,可能你们这家有什么产品不错,但是也会看上另外一家,谁能最终留住用户,是大家主要的工作。
主持人:今年,无论是国外还是国内的反病毒软件都在做主动防御,经过我们杂志的普及,不少读者和网友也对主动防御稍微有了一些了解,在金山毒霸这边,主动防御是怎么做的?
葛珂:主动防御是一种技术手段,相对于我们过去十年的传统技术,发展到今天,主动防御是一个技术标志,我稍微来阐述一下。大家都知道,中国的反病毒市场从最初到前几年,最主要的查杀病毒的技术,是靠识别特成码,也就是把文件特征码和病毒比对,如果跟病毒不同,那就可能是一个安全文件,虽然这种传统的方法在今天仍然能起到一定作用,但面临新的尤其是木马的破坏时,效果就很差。因为传统病毒主要是破坏计算机系统,比如说删除一个文件,让你的系统无法运作,或者减缓系统运作效率;今天的木马却更有针对性,比如你的网络银行帐号等,是以获取利益为主。换句话说,今年病毒的危害性是越来越强,针对性也越来越强,可能过去有几万的受害用户,但是损失并不大,但今天,比如说玩魔兽的某一个用户,或者使用网络银行的某一个用户,一旦被木马盗号,损失就会很大。
传统反病毒方法有滞后性,厂商必须先发现病毒,才能升级自己的病毒库,用户才能有效的查杀,这是相对落后了,毕竟从发现一个样本到升级,中间过程有一个延迟,所有反病毒公司,都在尽可能的缩短速度。其实传统反病毒技术就是这样,如果你是第一个中毒,你就是为大家做了贡献,你只要把样本提交了,我们就可以让很多用户不受到这样的危害,但是木马不一样,这种滞后的处理方式,非常不利于对木马的查杀,所以这个时候,大家就想能不能在木马盗取信息之前就对其进行有效的查杀,进行主动防御。随着技术的发展,随着病毒技术的发展,到今天就出现了主动防御这个技术手段。
主持人:解释的很清楚。不过我们读者有一些反馈,他们用一些产品的时候,这个主动防御,感觉就是让用户自己去防御,因为开启了主动防御的功能之后,经常会弹出一些提示框来,提示用户发现一个很可疑的行为,后面跟一串代码,普通用户没有能力判断,这时候选择跳过还是清除还是其他,完全不知道怎么办,大家很迷惑。
葛珂:主动防御这个技术虽然今年提的比较多,实际上这个技术的开发包括前期的准备,几年前各个公司就基本上都在做了。像对恶意行为查杀,我们在2006年就推出过,根据程序在计算机运作的过程和行为,来判断它是否具有恶意性,只不过因为木马危害越来越大,今年各家都把主动防御提到非常高的高度。
你刚才提的网友的一些疑问,是另外一个话题,特征码很少有误判或者误杀的情况,只要匹配上,就百分之百能肯定这个文件有危害性,而主动防御通过行为来判断的,而且木马变化速度非常快,欺骗性也是非常强,那主动防御就相对有一些弱势,因为它虽然能判断一个程序是不是有恶意行为,但是规则过严的时候,会造成很多未知的程序需要用户自己判断阻止还是放行。比如说某一个正常的公司,新出了一个软件产品,采取了类似木马行为的运行方式,但它实际上是一个好程序,这时候就需要用户直接参与,完成整个防御的过程。
我们前不久发布了毒霸2008,有三层防御,传统特征码查杀加上主动防御技术(我们叫高级防御技术),还有互联网可信认证,来解决你刚才说的问题,其实网友会提这样的问题:我不是技术专家,也不是专业爱好者,就是一个普通用户,不停地让我对行为进行判断,根本就是一种超出我能力的要求。的确这样的软件并不能真正满足用户的需求,所以我们在判断行为的时候,加上了互联网可信认证。互联网可信认证,你可以理解成一个桌面客户端(毒霸2008)和我们的互联网引擎互相配合的过程。我们有一个庞大的服务器和计算群体来跟客户端进行沟通,帮你进行一些信息判断,包括收集用户提出的一些困扰,有一些程序用户无法判断的时候,可以提交给我们互联网可行性验证体系,有效减少由用户判断带来的风险。
张健:我有一个问题,你刚才说可行性验证体系,其实,这个反病毒技术发展十几年里,很多人也都知道有一个白名单和黑明白库,有部分内容各家反病毒厂商是可以共享的,但有部分内容却保持了产品的独特性,各家厂商就不共享了。你们现在这个体系,以后能不能做得很公正,别的公司是不是也很认可呢?
葛珂:现在我们自己的可行性体系是针对毒霸的客户来做的,未来发展趋势是会有一个公有机构来做这个事情。但是就像你说的,我们可行性体系的背后其实就是一个白名单库和黑名单库。实际上,我们把这个库整合在毒霸之重,可以随时更新和升级。用户在使用主动防御的过程中,如果发现一个还没有来得及更新到本地的程序,没有办法判断的话,可以提交到我们的服务器上,由我们来做判断。
张健:最好的方式是不是应该是大家共享名单库,每个厂商都往里面增加内容?
葛珂:今天,的可信体系是有一套运行体系和技术体系来支撑的。实际上,我觉得整个可信体系的完善和建设,不光是需要厂商都来参与,所有毒霸的用户都应该来参与,这样的速度会比单纯一个厂商更快、效果更好。
张健:原来我们单一推给用户,现在利用客户终端又在进行信息的收集,大家又是这样一个分布形式,这感觉有点象Web2.0。
葛珂:我们有一个用户成长计划,你参与越多,提交的样本越多,也会有一些奖励和荣誉。
张健:现在有点像社区化了。
葛珂:的确是。
现场评论员提问:近几年Ajax很热,那么这个东西对我们安全可能也会构成一定的新的威胁,那么我想问一下,金山毒霸在这方面会采取什么样的策略?我举个例子,就是Ajax不应该是跨域访问的,比如Ajax实战书里面提示到,但有一个代码可以绕过防火墙,而且我相信很多朋友没有升级到IE 7,如果升级了的话,这就不会是一个威胁。金山在这块能不能有一个提示,可以让用户知道这件事情吗?
葛珂:我理解Ajax是一个编程技术,来实现产品的功能。金山毒霸应该是可以判断你所说的跨域行为,Windows本来就在升级中不断出很多补丁,你不去升级的话,我们也没有办法。在升级之前,我们会认为这是一种危害,而会进行预报和处理,实际上用户、平台厂商、反病毒厂商三个角色都是在一个互动的过程中,最终把风险和危害减到最低。微软操作系统推出一个升级包需要一个周期,在这个周期里面我们会提前告诉大家。事实上,还不存在一种黑客或者病毒技术,不被反病毒厂商所知,不被操作系统所知的。
网友:为什么有一些病毒总是杀不掉?
葛珂:病毒总是杀不掉有两种情况,一种是查不到,在用户感觉可能是一些细微的特征,比如系统运行变慢,但就是查不出什么原因。这种可能是你的病毒库升级不及时,没有及时更新。出现这种情况,我们建议购买正版的杀毒软件,只有你是正版用户,才能第一时间快速升级和查杀。
还有一种情况,我们叫查到杀不掉,有可能是因为一些病毒制作者手段很高,除了让文件带毒外,还进行一些加壳处理,放入你的启动项,虽然当前已经查杀了,但是下次启动的时候又有,用这些技术来规避查杀。但是随着整个反病毒技术的提升,也有相应的手段。比如我们这次有抢先查杀技术,就是判断一个病毒是进入启动项,或者进入注册表里面,如果反病毒软件比病毒抢先启动的话,查到这个病毒,这样的话会比较容易清除掉。通过一些技术手段跟病毒制作一直处在一个对抗的过程中,从我们目前角度来看,90%顽固病毒可以通过这个技术查杀。
现场评论员提问:我想问一下,下您的第一份职业是什么?
葛珂:我是南京大学毕业的,1995年刚毕业的时候去希望电脑公司,大概工作了3个月,基本上在给他们写程序,但是我当时觉得希望公司在软件方面投入不足,我认为前景不是很好,后来我去了北大方正,做技术方面的工作,后期转到营销了。这是初期的过程。所以在金山之前我还去过别的公司,不过基本上没有离开过软件这个行业。
现场评论员提问:当初你是学软件出身的,但现在作为一个总裁,做的事情很多是关于运营的,在商业上面做的更多一些。在我们的印象里,一个做程序的人,很难会爬到很高的位置做事情,我觉得你已经做得很好了,你是自己很有目的性挑一个方向发展,还是抓住某个机遇上去的呢?
葛珂:实际上一个人是否取得成功,并不是以一个单一的标准来判断的,像在我们公司,我们专门有一个成员评估体系。我认为程序员和经营管理人员是不同的发展线,如果你喜欢做经营管理,你就投入到经营管理上面去做,如果你喜欢程序就在这上面做,只不过我们程序员不太愿意出来参加媒体采访,所以大家对他们的了解比较少,实际上在我们公司是非常受尊重他们的。
现场评论员提问:你做程序做得不想做了,就转了?
葛珂:1995年到2000年是中国软件行业发展的一个低谷,那时候(包括2000年以后),也出了很多软件公司,那时候比较流行做系统集成,感觉是说我不需要你做产品设计,也不需要研究产品怎么满足用户,没有成就感,因为我做出来的产品只能为一个客户应用,如果是第二个客户来的话,我还得改。所以我后来做了项目管理,也是在当时那个特定环境下所作出的选择。
主持人:刚才您也讲了主动防御,又讲了互联网可信认证,在我理解,如果我们把安全厂商比作警察,把病毒比成小偷的话,原来依靠特成码的病毒查杀,就像是失主必须遭小偷偷了之后,警察再去抓小偷。到了主动防御阶段,警察是通过小偷的动作,可能看到他把手伸到别人的口袋里去了,就会先拘捕他,可是有的时候结果就是抓错了。到了互联网可信认证的阶段,在失主遭遇了很可疑动作的时候,他就可以向警察举报了,是这样的一个意思吗?
葛珂:应该说,到了可信认证,失主就可以通过警察来看这个做出可疑动作的人有没有案底。
张健:现在刑侦都是这么做的。
葛珂:最传统的查杀病毒手段,相对来说是一个比较严谨的技术,那么主动防御或者高级防御,实际上跟你的行为来判断,也许你没有作出破坏,但是你的行为是别认为疑似有危害性的,这种情况下没有造成实质性的危害结果的时候,反病毒软件能判断一定是病毒吗?所以主动防御是有一些弊端和风险的。而可信认证就是,既然你的行为我们已经判断属于有恶意了,我们再看看你有没有作案记录,或者案底、前科。加入你又有恶意行为,又有前科,那你是小偷的概率就很高了。
主持人:因为之前我们媒体接触一些厂商方面,大家都在说主动防御,但是我们在仔细想过之后,感觉这个主动防御也是有一定瓶颈的,你觉得可信认证是不是超越了主动防御,或者说以后有没有一个新的技术出来代替它?
葛珂:我觉得是超越了,否则我们今天也不会这么做。我认为主动防御有它先天的不足,通过技术的更新,通过技术手段的完善来彻底的解决它也未能解决好的问题,比如不断向客户提示,不断地让用户来判断。我认为这样的反病毒软件不会是广大用户真正所需要的,我认为应该加上互联网可信认证体系,才能真正有效转成今天可用的产品,让所有计算机有效的使用。
张健:从技术发展来说,我认为未来还是会有新的概念和认识,现在的专家说,现在电脑为什么有病毒,为什么防御不了,因为计算机本身体系有问题,如果我们的电脑,所有的硬件都是安全的,所有的软件也都是安全的,那组合在一起也肯定是安全的。但是在如今这样一个互联互通的时代,其实这个也是很难做到的。
葛珂:对,因为软件本身开放性比较强,为了满足客户多种多样的需求中,又要保证安全,的确很难两全其美。
张健:我比较赞同你的一个观点,就是注重在用户群中获取信息,通过每台计算机终端来提供或者说举报一些病毒,其实在每个人发挥一点力量,星星之火可以燎原,然后我们做一些企业回馈给用户,这个做法在安全厂商里还不多见。我们昨天做一个访谈,是关于输入法的,他们也讲到了,原来输入法作为一种产品是可以卖钱,比如可以授权给微软,但是现在越来越多的输入法都是免费的了,Google等厂商都出了这类的产品。您这么做是不是也能开类似的一个先河,好比病毒产品也会免费向用户开放部分内容和功能,以后厂商逐渐形成一种靠某种服务来收费。您认为会不会出现这种趋势?
葛珂:实际上,从金山毒霸角度理解,我们的产品本身卖的就是服务,从我们官网快速下载一个毒霸客户端,我们会限定30天体验时间,在这段时间里,用户会不断体验到这个服务。30天之后,如果你觉得有价值,你可以购买,并且你可以按月购买,也可以一下子买很长一段时间。但是反病毒软件很难走软件全部免费的路,为什么这么说呢,因为这里存在一个问题,运营是有成本的。今天我们提到金山毒霸这个问题,我们并不是把它看作一个单纯的产品,而是一个整合的服务和运营,运营是有成本的,而且成本在一个不断的增加过程中,每个用户升级都需要带宽,都需要病毒分析服务器资源,这些都是随着用户的使用在增长的。反病毒软件的运营也许以后会转入别的模式,不过如果是免费的话,我觉得不太实现。
收 藏
推 荐