本文讲的是江民反病毒负责人:云不是万能的!,【IT168 资讯】就最近如火如荼的云安全讨论,记者有幸采访到江民科技研发部反病毒中心负责人何公道,就云安全发表见解:
江民科技研发部反病毒中心负责人 何公道
如何看待云安全?
云安全是互联网发展过程中逐渐显现出来的新技术。可以加强病毒收集处理过程,增强杀毒软件在互联网时代的适应能力。
云安全是一种基于互联网的新手段,不能认为上了“云”就一定会更安全;云不是万能的。云也是依赖企业本身的技术积累才能发挥更好的效果。在“云”不叫云的时候,“云”也是存在并发展的。
是否将这项技术列为未来发展的重点?
云不是一个单一的技术,这个技术依赖各项传统技术的运用,才能发挥最大的效果。我们不单要发展“云”,各种传统技术也需要不断的强化发展,才能让广大用户更安全。
通过部署云安全策略,清除病毒能力相比未部署前增长了多少?
从2005年4月我们实施互联网战略开始,捕获和分析处理的样本量一直都在提升。比未实施之前单纯靠用户识别上报病毒样本,差别太大了。可以说是质的飞跃。
对于广泛收集的病毒或木马,如何提高鉴别的准确度和处理质量,避免误杀?
1、 通过主动防御系统、沙盒等手段,提高准确率。
2、 加大白名单建设,避免可能出现误报。
此外对于云安全可能会产生的个人信息泄露,有何保护措施?
不提取可能涉及隐私的用户文件,比如照片(JPG),Office文档等。一般的可执行文件中不会涉及用户隐私。
江民打造“云安全”+“沙盒”
江民科技反病毒专家何公道介绍,江民早在2006年就推出了“云安全”防毒系统,借助于该套系统,江民每日处理可疑程序和病毒样本数万个,每日更新新病毒数千个。从2006年推出“云安全”防毒系统以来,江民反病毒中心累积分析处理各种疑似病毒样本超过千万个,病毒处理能力较2006年之前增强200倍,有效遏制了病毒的迅猛增长。
江民科技总裁陶新宇在接受记者采访时讲过, “其实以云方式构建的大规模特征库并不足以应对安全威胁的迅速增长,国内外杀毒厂商还需要在核心杀毒技术上下足功夫,例如虚拟机、启发式、沙盒、智能主动防御等未知病毒防范技术都需要加强和发展,多数杀毒软件本身的自我保护能力也需要加强。” 这种论点得到了何公道等多位国际资深计算机反病毒专家的认同,因为,病毒增长的再快,只是量的变化,而现实当中,造成巨大损失的,却往往是极少数应用了新病毒技术的恶性病毒,近年以来主要以“磁碟机”为代表的“恶意驱动病毒”。因此,反病毒厂商在注重反病毒“量”的同时,更应当重视反病毒的“质”的提高,对付一千万个普通病毒容易,但能够对付一百个恶意驱动病毒,就要看你的核心反病毒技术是否足够过硬了。
江民科技更加关注的是“云安全”与“核心技术”的有机融合。也就是说,“云安全”必然要建立在“内核级自我保护”“沙盒”“虚拟机”等核心技术的基础上才能显出威力,没有这些核心技术,杀毒软件在病毒面前就可能会出现“有心无力”的尴尬,现实中许多杀毒软件扫描发现了病毒,却无力清除,甚至反被病毒关闭的现象比比皆是。这也是为什么江民在推出KV2009时,首先强调的是“沙盒”“内核级自我保护”“智能主动防御”“虚拟机”等核心技术,而把“云安全”防毒系统排在后面的原因。杀毒和其它行业一样,首先是基础要足够强大,基础不扎实,楼建的再高也不牢靠。
谈到“沙盒”技术时,何公道认为,有厂商认为“沙盒”其实就是“虚拟机”,这其实是一种重大误解。“沙盒”是一种更深层的系统内核级技术,与“虚拟机”无论在技术原理还是在表现形式上都不尽相同,“沙盒”会接管病毒调用接口或函数的行为,并会在确认为病毒行为后实行回滚机制,让系统复原,而“虚拟机”并不具备回滚复原机制,在激发病毒后,虚拟机会根据病毒的行为特征判断为是某一类病毒,并调用引擎对该病毒进行清除,两者之间有着本质的区别。事实上,在对付新病毒入侵时,应用了“沙盒”的KV2009已经开始发挥了强大的效力。有用户在关闭江民KV2009杀毒软件各种实时监控,仅开启了“带沙盒技术的主动防御”模式,结果运行“扫荡波”新病毒后,病毒的所有行为被拦截并抹除,没有机会在系统中留下任何痕迹。
何公道说,目前网络安全面临的形势十分严峻,国家计算机病毒应急处理中心张健副主任曾讲过,目前反病毒面临的最主要问题是驱动型病毒对杀毒软件的技术挑战。因此,目前反病毒的首要任务是进一步提升反病毒核心技术,在确保反病毒技术的前提下,充分借助“云安全”防毒系统的快迅响应机制,打造“云安全”加“沙盒”的双重安全保障体系。