专访:优秀杀毒产品应该具备的特征

4月7日上午,51CTO安全频道记者在安维华(Anchiva)公司采访了曾任趋势科技全球研发副总的陈圣雄先生。

51CTO安全频道记者采访实录:

现在的病毒对比传统意义上的病毒,是否有新的发展和不同的定义?

在传统意义上的病毒,大都是指那些进入系统搞破坏的恶意程序,现在我们发现的,定义为病毒的间谍软件已经不局限在这个传统意义上,就危害性来说,间谍软件对于企业和个人用户的财产造成的损失更大。现在每天发现的一两百个病毒或恶意软件中,间谍软件占到了一半还要多。现在这些能给他们带来直接的经济利益的恶意软件,逐步成为黑客和恶意作者的偏爱。
作为安全研究人员,他们将如何处置所揭露的安全弱点?

在美国的一些大型企业和安全公司,一直有一种合法,一些专业的"黑客"在进行用作正当用途的Ethical Hacking,用来帮助系统找出漏洞,发现漏洞及时通知公司,采取防范手段避免或者减少损失。类似Sun公司为了完善Java程序,改进安全性而采取的 SandBox计划,这是一个寻找漏洞,加强安全性的成功案例。

对软件厂商而言,大部分的软件在设计时,理论上和数字上证明是安全的,但编写代码的过程是由人为来完成的,所以难免会产生安全漏洞。

大部分病毒都是利用了操作系统的缺陷,对个人用户而言,在防病毒技术上,我们要求更加坚固的操作系统和不停的升级系统,但仅仅是这样吗?
这样做绝对没有错,但是并不完全,病毒进入你的电脑并不是只有一条路径,假如有人假冒你的朋友给你发来一封邮件,你点击打开了附件,病毒也会通过这样的途径进入到你的系统,所以你一定要明白,什么是你应该做的,什么是你不应该做的。

病毒经常会附在邮件的附件里进入用户的电脑,作为一个安全企业的代表,您怎样看待《互联网电子邮件服务管理办法》这样一部法律对于垃圾邮件和恶意程序的控制的良性影响。

对于国内的法律我不是很了解,立法对于垃圾邮件的防范有帮助,但是网路无国界,这种约束很有限。对于国外的垃圾邮件发送者,并没有约束力。所以我认为行政立法,无法完全防范垃圾邮件。

假如一个黑客控制了一台肉鸡电脑或者僵尸网络,以此为跳板来发送垃圾邮件,这其中的一台电脑只是一个八岁的小孩子的,邮件是他所拥有的电脑发的,但你可以把他怎样处理?无法找到真正的邮件发送者应该怎样处理,这些都会是问题。

您认为国内用户和国外用户在遇到的网络安全问题上面,有什么不同吗?
国内的用户安全观念相对就比较淡薄。现在的网络钓鱼(Phishing)问题在美国很严重,安全厂商和银行金融机构都把这个当成一件非常重要的事来看。在美国的一些企业,以及在趋势科技内部,我们都会进行一些计算机安全教育,或做一些安全测试,来做一个公司内部安全的审查审核(Audit),检验安全教育的成效。比如我们给公司所有人发一封邮件,看谁不经安全处理就直接打开附件,这样公司内部的安全部门会对他进行一些教育,如果下次这样的测试他再犯的话,就要进行相应的惩罚。

一个优秀的杀毒产品应该具备什么样的特点?

一些基本的功能要具备,当然可用,易用,不需要用户牺牲其他的一些东西来换取系统安全也是很重要的。举个例子来说,当年防火墙产品刚推出的时候,用户感觉网络非常缓慢,甚至到了无法忍受的地步。所以产品一定要容易被使用,在不影响效能的前提下,一定要让使用者的痛苦减少到最小。
2005年的一场关于杀毒厂商是过期药的评论掀起了一场关于杀毒的激烈讨论,您对这个"杀毒软件是过期药"的说法怎么看?杀毒软件厂商之间的病毒信息是彼此隔绝的吗?

一个病毒作者在写一个病毒或者恶意软件时,一定是会有意识的避免被现有的杀毒软件抓到的,所以,这个是无法避免的。在杀毒的厂商之间这种对于病毒信息的交换,交流是存在的。病毒特征码是和它的杀毒引擎配套的,不可能拿过来就可以用的。

对于企业和用户,您给他们的不同的安全建议是什么?

安全防范的手段取决于我们要保护的价值。

现在我们说的攻击大致分两种,一种是有针对性的攻击,另一种就是广泛的攻击,类似于用软件扫描"僵尸网络",企业的防范重点是第一种,企业面对的是有针对性的攻击,比如银行系统,往往面对的是有技术,有财力,有组织的犯罪,并非无意识的进攻。而需要保护的,往往是高昂的价值。就个人用户而言,黑客攻击的成本如果大于所取的价值的话,他是不会做的。一个小偷,在犯罪的时候,假如看到有几户人家,有的安装了警铃,他看到这些,他还会不会下手,一定会考虑。所以说,企业的安全方案是一层一层的层层防御的架构。而个人用户,你要考虑:1、你要保护的价值多少?2、根据需求,找到什么是合适你的方案。

陈圣雄(Samuel Chen)

台湾国立交通大学计算机工程系学士、南加大计算机科学系硕士,曾任美国国民半导体资深软件工程师、SUN科技资深软件工程师,现任安维华技术开发副总工程师。IEEE、卡内基美隆软件工程协会成员。

陈圣雄先生在软件开发领域有着长达15年之久的丰富经验,在Anchiva项目中负责带领软件工程和网络安全团队。在进入Anchiva项目之前的八年多的时间里,陈先生一直是趋势科技的高层管理人员,负责管理趋势科技的全球网络病毒和互联网内容安全软件服务领域。在这期间,他是负责趋势科技全球软件开发工程师和项目管理小组的全球副总裁。

陈圣雄先生进入趋势科技做的第一件事就是协助设计和实现了第一版的InterScan NT,这一产品随之成为趋势科技的旗舰产品之一,并且在业界取得了一致好评。在进入趋势科技之前,陈圣雄先生曾任SUN公司JAVA开发和美国国民半导体公司资深软件工程师。