2008年9月24日。新世紀(jì)飯店的一間小會(huì)議室里，坐著兩位院士，幾位司局級(jí)信息安全專(zhuān)家，還有國(guó)家863計(jì)劃的某個(gè)課題組長(zhǎng)，還有幾位機(jī)要部委負(fù)責(zé)信息安全的處長(zhǎng)們。

　　兩臺(tái)不同電腦開(kāi)始演示。一個(gè)技術(shù)人員從網(wǎng)上找到一個(gè)木馬，下載之后，控制了另一臺(tái)電腦。屏幕上清楚地顯示，一臺(tái)電腦被完全監(jiān)控。隨后，監(jiān)控程序甚至打開(kāi)了另一臺(tái)電腦上的攝像頭。更驚人的是，像這樣的程序，可以同時(shí)監(jiān)控多臺(tái)電腦，如同我們?cè)陔娨暽峡吹降穆窙r監(jiān)控臺(tái)。 

　　而這臺(tái)被控制的電腦里已裝上的殺毒軟件居然毫無(wú)察覺(jué)。 

　　這樣的事情很多。一位電子政務(wù)的處長(zhǎng)說(shuō)，“信息安全問(wèn)題嚴(yán)重性越來(lái)越大，發(fā)現(xiàn)的問(wèn)題都不是小事”。他說(shuō)的不是個(gè)人用戶(hù)，而是，政府部門(mén)信息系統(tǒng)。 

　　這是在，國(guó)家863計(jì)劃“基于程序行為自主分析判斷的實(shí)時(shí)防護(hù)技術(shù)”課題組召開(kāi)的“病毒防范現(xiàn)狀與國(guó)際病毒防御技術(shù)最新發(fā)展趨勢(shì)”高端研討會(huì)上的一幕。 

　　百萬(wàn)“肉雞” 

　　上網(wǎng)搜一下，你就可以看到各種“黑客”報(bào)價(jià)，諸如，一萬(wàn)只“肉雞”叫賣(mài)1000元——大約每只“肉雞”0.1元。所謂“肉雞”，簡(jiǎn)單解釋是指在互聯(lián)網(wǎng)上被黑客遠(yuǎn)程控制的電腦。被遠(yuǎn)程控制有的有如上面所描述的被完全監(jiān)控，打開(kāi)攝像頭。而更多的是，長(zhǎng)期潛伏。監(jiān)控用戶(hù)動(dòng)作竊取一切有價(jià)值的東西，諸如密碼，虛擬財(cái)產(chǎn)，個(gè)人隱私等等。甚至，還有一些是被控制的計(jì)算機(jī)屬于僵尸網(wǎng)絡(luò)，通過(guò)攻擊網(wǎng)絡(luò)進(jìn)行敲詐。 

　　例如，媒體報(bào)道，有人利用木馬病毒偷拍下夫妻生活，敲詐5000元。再例如，媒體報(bào)道，有人在網(wǎng)上花70元購(gòu)買(mǎi)的病毒，2小時(shí)內(nèi)竊取到3萬(wàn)元。 

　　“現(xiàn)在互聯(lián)網(wǎng)上，被秘密控制的電腦已經(jīng)達(dá)到數(shù)百萬(wàn)臺(tái)”，國(guó)家863計(jì)劃“基于程序行為自主分析判斷的實(shí)時(shí)防護(hù)技術(shù)”課題組組長(zhǎng)、著名反病毒專(zhuān)家劉旭對(duì)記者表示，病毒的趨利性正在變得日益明顯。劉旭分析，“肉雞之所以賣(mài)得這么便宜，正是因?yàn)閿?shù)量巨大”。 

　　例如，有人在網(wǎng)上花70元購(gòu)買(mǎi)的病毒，2小時(shí)內(nèi)竊取到3萬(wàn)元。 

　　國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心統(tǒng)計(jì)顯示，2007年監(jiān)測(cè)到中國(guó)內(nèi)地有90萬(wàn)個(gè)IP地址主機(jī)被植入木馬，比2006年增加21倍。另外，2007年的抽樣監(jiān)測(cè)發(fā)現(xiàn)，內(nèi)地有360萬(wàn)個(gè)IP地址主機(jī)被植入了僵尸程序，2007年各種僵尸網(wǎng)絡(luò)被用來(lái)發(fā)動(dòng)拒絕服務(wù)攻擊一萬(wàn)多次，發(fā)送垃圾郵件110多次，實(shí)施信息竊取操作3900多次。調(diào)查發(fā)現(xiàn)，黑客如果利用僵尸網(wǎng)絡(luò)對(duì)某一個(gè)特定的目標(biāo)實(shí)施拒絕服務(wù)攻擊的話，破壞力將會(huì)更強(qiáng)，互聯(lián)網(wǎng)數(shù)據(jù)中心IDC機(jī)房很容易遭遇類(lèi)似的攻擊。目前，我國(guó)監(jiān)測(cè)到最大規(guī)模的僵尸網(wǎng)絡(luò)達(dá)到了129萬(wàn)個(gè)僵尸節(jié)點(diǎn)。 

　　在中國(guó)互聯(lián)網(wǎng)上，有數(shù)百萬(wàn) 

　　專(zhuān)家說(shuō)，“這個(gè)數(shù)據(jù)還是保守估計(jì)”。 

　　病毒“行銷(xiāo)增值一條龍” 

　　現(xiàn)在，這種獲利性病毒已經(jīng)形成了一條完整的產(chǎn)業(yè)鏈，有專(zhuān)門(mén)從事生產(chǎn)的病毒制造者，他們只管生產(chǎn)病毒，有下家接手。 

　　有控制大量“肉雞”兜售“市場(chǎng)”的專(zhuān)業(yè)“分銷(xiāo)商”。他們不從事具體破化和竊取，只是販賣(mài)“渠道”，販賣(mài)大量“肉雞”給那些需要作惡的人，這算是“批發(fā)業(yè)務(wù)”。 

　　有專(zhuān)門(mén)從事最終渠道的兜售者，他們像零售商一樣。 

　　有花錢(qián)買(mǎi)來(lái)作惡的病毒最終“消費(fèi)者”，他們利用買(mǎi)來(lái)的病毒進(jìn)行破壞，竊取，敲詐，攻擊。 

　　更離譜的是，還有專(zhuān)業(yè)的病毒制作“培訓(xùn)”。這一切都是公然在互聯(lián)網(wǎng)上進(jìn)行，網(wǎng)民可以以很低的成本獲取。 

　　這種病毒趨利化的趨勢(shì)，不僅危及到了個(gè)人用戶(hù)的利益，更對(duì)國(guó)家信息安全和信息化造成了威脅。與會(huì)的電子政務(wù)專(zhuān)家陳拂曉指出，一年多以來(lái)，我國(guó)政府遇到的泄密事件里面，有相當(dāng)多是由于木馬盜竊泄露出去的。陳拂曉表示，出于對(duì)泄密的擔(dān)憂，一些新的應(yīng)用開(kāi)發(fā)不得不被停止，“這產(chǎn)生的結(jié)果，就是嚴(yán)重影響了國(guó)家的信息化。” 

　　殺毒軟件“死了” 

　　“基于原來(lái)原理的殺毒軟件每天都要升級(jí)特征碼，這個(gè)受不了。現(xiàn)在是不升級(jí)，而是升級(jí)了實(shí)際上也沒(méi)有多少用”。來(lái)自中辦秘書(shū)局一位負(fù)責(zé)信息系統(tǒng)的處長(zhǎng)說(shuō)。 

　　“作為我們來(lái)講，受病毒侵害很深。我們覺(jué)得互聯(lián)網(wǎng)的問(wèn)題嚴(yán)重性越來(lái)越大，發(fā)現(xiàn)的問(wèn)題都不是小事”。國(guó)務(wù)院辦公廳電子政務(wù)辦公室的劉慈副處長(zhǎng)也深有感受。 

　　同樣憂心忡忡的還有財(cái)政部信息網(wǎng)絡(luò)中心運(yùn)營(yíng)維護(hù)處的趙曉光處長(zhǎng)，以及國(guó)家保密局攻防實(shí)驗(yàn)室的相關(guān)負(fù)責(zé)人。本報(bào)記者在“病毒防范現(xiàn)狀與國(guó)際病毒防御技術(shù)最新發(fā)展趨勢(shì)”高端研討會(huì)上看到，這樣的擔(dān)憂已經(jīng)很普遍，基本達(dá)成共識(shí)。 

　　他們，都是信息安全技術(shù)的“關(guān)鍵”用戶(hù)。 

　　“反病毒軟件非常容易被攻破”，得出這一結(jié)論是來(lái)自美國(guó)SonomaState大學(xué)的教授GeorgeLedin，他帶領(lǐng)自己的學(xué)生們模擬“黑客”進(jìn)攻，這一切都是在學(xué)校內(nèi)部的封閉網(wǎng)絡(luò)進(jìn)行的，以防止危害互聯(lián)網(wǎng)，實(shí)驗(yàn)結(jié)果是，絕大多數(shù)殺毒軟件本身是沒(méi)有什么用。 

　　根據(jù)瑞星公司今年發(fā)布的研究報(bào)告，黑客利用加殼等手段產(chǎn)業(yè)化、自動(dòng)化生產(chǎn)病毒成為趨勢(shì)，使得病毒數(shù)量暴增，一個(gè)熟練的病毒工程師每天可以分析40到50個(gè)樣本，但目前每天出現(xiàn)在網(wǎng)上的病毒樣本平均是3000到4000個(gè)。這樣的生產(chǎn)速度，幾乎已經(jīng)達(dá)到了廠商捕獲和分析能力的極限。 

　　今年年初，國(guó)內(nèi)三大殺毒軟件廠商——江民、金山、瑞星都先后推出2007年年度安全報(bào)告，都提出，傳統(tǒng)殺毒軟件技術(shù)難以防范新病毒。而在賽門(mén)鐵克的用戶(hù)大會(huì)上，專(zhuān)家也認(rèn)為，“殺毒軟件將死”。 

　　“現(xiàn)有的殺毒技術(shù)非常脆弱。”劉旭說(shuō)，“現(xiàn)在用戶(hù)的計(jì)算機(jī)已經(jīng)很少?zèng)]有安裝殺毒軟件，但是超過(guò)千萬(wàn)臺(tái)的計(jì)算機(jī)被黑客控制，而這些‘肉雞’和‘僵尸’上安裝的殺毒軟件卻對(duì)病毒視而不見(jiàn)。” 

　　“所有的殺毒軟件都是跟著病毒跑，滯后于病毒。”在中國(guó)工程院院士倪光南看來(lái)，反病毒產(chǎn)業(yè)發(fā)展到當(dāng)前，“跟著病毒跑的話，特征庫(kù)也會(huì)越來(lái)越大，將來(lái)掃描起來(lái)可能需要很長(zhǎng)時(shí)間，所以我覺(jué)得需要?jiǎng)?chuàng)新。” 

　　主動(dòng)防御真假論 

　　隨著“殺毒軟件將死”的論斷被普遍認(rèn)可，全球信息安全廠商也紛紛開(kāi)始“主動(dòng)防御”的探索，但迄今為止，國(guó)際上沒(méi)有純粹的主動(dòng)防御產(chǎn)品，很多殺毒軟件里的“主動(dòng)防御”功能頻繁誤報(bào)使得用戶(hù)反饋不好，甚至對(duì)主動(dòng)防御產(chǎn)生誤解。這讓殺毒軟件廠商只能把“主動(dòng)防御”作為缺省“不使用”。 

　　“目前國(guó)內(nèi)外殺毒軟件提供的所謂主動(dòng)防御功能，實(shí)際上還只是處于主動(dòng)防御的初級(jí)階段”，劉旭在研討會(huì)上分析，“舉一個(gè)很常見(jiàn)的例子，在使用某款號(hào)稱(chēng)具有智能主動(dòng)防御功能的產(chǎn)品時(shí)，經(jīng)常會(huì)遇到‘有程序正在向您的計(jì)算機(jī)設(shè)置全局掛鉤，是否允許’之類(lèi)的提示。什么叫全局掛鉤？一般用戶(hù)可能不理解，也就無(wú)從選擇。用戶(hù)使用殺毒軟件，就是將殺毒防毒的工作交給軟件，現(xiàn)在反而要自己進(jìn)行判斷，這是不合理，更是不負(fù)責(zé)任的?，F(xiàn)在的殺毒軟件越來(lái)越像‘高手’專(zhuān)用的，表面上是易用性不足，實(shí)際上是這些產(chǎn)品還沒(méi)有真正成熟的主動(dòng)防御技術(shù)。” 

　　主動(dòng)防御技術(shù)是依據(jù)程序行為，自主識(shí)別和判斷程序是否是病毒的一項(xiàng)反病毒新技術(shù)。它通過(guò)對(duì)病毒行為規(guī)律分析、歸納、總結(jié)，并結(jié)合反病毒專(zhuān)家判定病毒的經(jīng)驗(yàn)，提煉出病毒識(shí)別規(guī)則知識(shí)庫(kù)；模擬專(zhuān)家發(fā)現(xiàn)新病毒的機(jī)理，通過(guò)分布在用戶(hù)計(jì)算機(jī)系統(tǒng)上的各種探針，動(dòng)態(tài)監(jiān)視程序運(yùn)行的動(dòng)作，并將程序的一系列動(dòng)作通過(guò)邏輯關(guān)系分析組成有意義的行為，再結(jié)合應(yīng)用病毒識(shí)別規(guī)則知識(shí)，實(shí)現(xiàn)對(duì)病毒的自動(dòng)識(shí)別。劉旭認(rèn)為，主動(dòng)防御技術(shù)是解決目前病毒危害比較理想的反病毒技術(shù)。 

　　根據(jù)微點(diǎn)公司對(duì)近百萬(wàn)種病毒的測(cè)試表明，微點(diǎn)主動(dòng)防御軟件能夠有效防范99%以上的未知病毒。 

　　“我們組織了專(zhuān)家對(duì)微點(diǎn)軟件進(jìn)行檢測(cè)，檢測(cè)后我們認(rèn)為技術(shù)層面上是很好的，是個(gè)很了不起的成果” 中國(guó)工程院院士周仲義對(duì)微點(diǎn)主動(dòng)防御技術(shù)給予高度評(píng)價(jià)。“國(guó)家863每個(gè)課題都有七到八個(gè)，從反病毒角度來(lái)說(shuō)，我們布置的不多，所以你們拿到863課題，說(shuō)明專(zhuān)家對(duì)微點(diǎn)的技術(shù)方案、技術(shù)思路，是認(rèn)可的。” 

　　國(guó)家863計(jì)劃信息安全技術(shù)主題專(zhuān)家組組長(zhǎng)、首席專(zhuān)家馮登國(guó)教授說(shuō)，“863計(jì)劃十一五要總結(jié)出很多亮點(diǎn)，希望這個(gè)能夠作為一個(gè)亮點(diǎn)被總結(jié)。” 

　　肩負(fù)財(cái)政部信息安全重責(zé)的趙處長(zhǎng)說(shuō)，“覺(jué)得有了新的希望”。