压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

摘要：病毒防治產(chǎn)品是目前裝機量最大和發(fā)展歷史最長的網(wǎng)絡(luò)安全產(chǎn)品之一，歷史超過20年。成熟度是很高，但同時由于其產(chǎn)品歷史較長，經(jīng)歷的發(fā)展變化周期也長，從而衍生出較多的產(chǎn)品形態(tài)，給標(biāo)準(zhǔn)化帶來一定困難。杜振華主要結(jié)合《病毒防治產(chǎn)品安全技術(shù)要求和測試評價方法》國家標(biāo)準(zhǔn)的起草過程來分享標(biāo)準(zhǔn)化工作中的實踐經(jīng)驗以及對今后病毒防治產(chǎn)品標(biāo)準(zhǔn)化思路的思考。

杜振華????國家計算機病毒應(yīng)急處理中心研發(fā)部負責(zé)人

講講病毒和病毒防治的背景，病毒問題比較早，第一個被大家所認(rèn)知的就是1981年，過去37年了，Apple Ⅱ平臺上爆發(fā)的惡意代碼，當(dāng)時沒有引起太廣泛的關(guān)注，但是引起安全人員從業(yè)者專家的關(guān)注，著名的Fred Cohen先生在他導(dǎo)師的指導(dǎo)下提出“計算機病毒”的說法，1987年成型的理論出來了就是《計算機病毒》的論文提出了“計算機病毒”的概念，沒有一種檢測算法可以完美的發(fā)現(xiàn)所有病毒。大家以前說他是計算機病毒之父，提出了“計算機病毒”的概念，這個說法有些同行記得不是很清楚了，但是現(xiàn)在我們把這句話拿出來大家可以體會一下它仍然是有很強的指導(dǎo)意義的。我們現(xiàn)在說AI與終端安全，AI技術(shù)也在應(yīng)用于我們反病毒行業(yè)，但并不是悲觀，確實即使應(yīng)用了AI，可能很多的病毒檢測的問題并不能完美地解決，我想目前還是適用的。

病毒的概念方面也有一個非常有意思的現(xiàn)象，F(xiàn)red Cohen先生剛提出計算機病毒的概念，他比較了計算機病毒和生物病毒的異同，可能當(dāng)時他認(rèn)為病毒是感染程序的，插入到程序的惡意代碼，有自我腐殖型，跟生物病毒有很強的相似性。隨著現(xiàn)在的發(fā)展，大家會覺得計算機病毒的概念兩種不同的觀點，一種觀點就是Fred Cohen先生提出的是狹義的計算機病毒的概念，我們可以把病毒概念外延再擴大化。這里面有一個關(guān)鍵的信息就是宿主的問題，脫離了宿主是無法自己運行，這個宿主的范圍多大，原來說的是一個程序，現(xiàn)在是不是擴大到一個信息系統(tǒng)，如果擴大到信息系統(tǒng)可以說廣義的病毒是不是現(xiàn)在仍然適用，這種大家有一種觀點是說這個病毒的概念還是可以繼續(xù)用的。還有一種病毒的概念狹義的病毒已經(jīng)過去了，現(xiàn)在我們需要一個新的概念來詮釋現(xiàn)在這些惡意的程序。現(xiàn)在大家仍然有爭議，這也影響了我們后面要說的病毒產(chǎn)品標(biāo)準(zhǔn)化的問題。我們做標(biāo)準(zhǔn)化的時候會有一個很尷尬的問題，可能有專家會提出你這個病毒是狹義的病毒，你反木馬，反病毒軟件是不是不是你的范圍。病毒防治產(chǎn)品防護的對象早已超過了狹義病毒的概念，我們還不能以字面的意思理解產(chǎn)品，因為最簡單的一個例子防火墻也不是防火的，病毒防治叫病毒防治產(chǎn)品，它防護的對象早已超出了狹義的病毒概念。

Big Bang，大報找一樣早期造成比較大影響的病毒，讓無論是從業(yè)者也好，廣大群眾也好，來了解到病毒的影響，史前重大病毒事件，Brain、Stoned、Cascade，非常有意思的是Brain這是唯一的一個把自己聯(lián)系方式留下，因為這是巴基斯坦的一個兄弟本來開發(fā)了一個商用的軟件，但是總是被盜版，他在里面加入一些報復(fù)性的程序，誰用了這個盜版的計算機被感染就不能使用了。當(dāng)時他留下了聯(lián)系方式，你應(yīng)該聯(lián)系我買一個正版的軟件。很長一段時間認(rèn)為這是很奇怪的，唯一留下聯(lián)系方式的病毒，但是現(xiàn)在來看我們可以把它認(rèn)為這是可能第一個勒索病毒，勒索病毒大家的認(rèn)識很多了，勒索病毒留下聯(lián)系方式，受害者需要聯(lián)系他支付贖金，獲得解密的東西。所以，最后回過頭來看Brain也許是第一個勒索病毒。

為什么說終端安全病毒防護真的很貼切？因為出現(xiàn)病毒問題的時候可能還沒有網(wǎng)絡(luò)，所以，真的就是一個終端安全問題。隨著網(wǎng)絡(luò)的出現(xiàn)，病毒自然是不會放過渠道。80年代末90年代初的時候Morris Worm，實際有一個很有意思的現(xiàn)象，在蠕蟲這塊每十年左右就會出現(xiàn)一個影響力比較大的蠕蟲的事件，后來提醒大家我們的病毒仍然是很有影響力很有殺傷力的，有的時候會被反病毒行業(yè)任命是救命的稻草。最早1988年，上世紀(jì)80年代末到90年代初的時候，90年代末跨世紀(jì)的時候有紅色代碼，20世紀(jì)初的時候Blaster Worm，包括一系列的。在21世紀(jì)的第一個十年的末期，2007、2008、2009年很著名的幾個蠕蟲的問題，國內(nèi)的熊貓燒香，國際上的費克。再過十年比如2007年2017年，大家當(dāng)時覺得×就是一個勒索病毒，實際上你真正深入地了解的話，它也是蠕蟲的問題。MMS170，誰還記得08067年？現(xiàn)在來說，我們業(yè)內(nèi)做過一些了解，現(xiàn)在感染量還更大。也是一個很有意思的現(xiàn)象，每十年左右會有一個事件出來。

我們受公安部的委托，計算機病毒防治產(chǎn)品檢驗中心90年代就受公安部委托承擔(dān)大陸地區(qū)的病毒防治產(chǎn)品的檢驗工作，我們有幸經(jīng)歷了產(chǎn)品比較完整的發(fā)展歷史，我們會看到一些很有意思的產(chǎn)品，當(dāng)時的產(chǎn)品，江民的小青蛙，瑞星的獅子，我們專門做了一個留檔，有領(lǐng)導(dǎo)參觀或者朋友來參觀的時候看看非常有意思，各種形態(tài)，3寸盤、5寸盤，這些都是很有意思的東西。

有些外國友人對這些東西非常感興趣，看到我們有這么多藏品，他們覺得我們要給你們提供一些藏品，給我們一些他們早期的防毒卡的產(chǎn)品或者病毒的樣本。

現(xiàn)在在反病毒行業(yè)留下自己痕跡的企業(yè)超過110家，雖然整體的不是很多，但是反病毒行業(yè)也是一個不小的規(guī)模。我們下面提到病毒防治產(chǎn)品的標(biāo)準(zhǔn)化繞不開的病毒防治產(chǎn)品的類型做一個分析，這往往是一個比較難的事情，雖然比較成熟，三十多年，但是這個類型似乎也不是那么好分的。我們一種分法我們現(xiàn)在按照產(chǎn)品形態(tài)，產(chǎn)品環(huán)境，主機型我們接觸最多，我們都是PC的服務(wù)器上。移動終端能力特別強，也具備很強的運算能力，也可以算主機版的和家用的，網(wǎng)絡(luò)版的企業(yè)里也很廣泛。網(wǎng)絡(luò)型的部署在網(wǎng)絡(luò)側(cè)，在網(wǎng)絡(luò)上做病毒檢測的防病毒網(wǎng)關(guān)、VDS。還有嵌入型，有的你感受不到，你享受一些服務(wù)或者網(wǎng)購的時候金融支付的插件，它在啟動之后先做一些病毒掃描，但是這個病毒掃描后面我會說，它是有一定條件的，檢測的對象能力范圍可能會有一些差異。還有一個很重要的嵌入型就是虛擬化。現(xiàn)在很多不帶防毒軟件的虛擬化平臺跟虛擬化平臺雙系統(tǒng)能夠很緊密地結(jié)合在一起。

還有一種分法，按照檢測對象。有一些傳統(tǒng)的防病毒產(chǎn)品全家族的，比較全的卡巴斯基，傳統(tǒng)的廠商包括國內(nèi)的瑞星，這種專業(yè)公司認(rèn)為病毒的，當(dāng)然廣義的病毒，所有的惡意軟件類型都可以作為一個專業(yè)防病毒產(chǎn)品能夠支持。但是部分家族也會有很多產(chǎn)品出現(xiàn)木馬專殺、蠕蟲專殺，甚至單獨的一個家族里的專殺，這些也算病毒化產(chǎn)品，只能部分殺毒的這種。

還有全功能和部分功能，所有能夠使用的技術(shù)運用到病毒防治產(chǎn)品，還有新興的病毒防治產(chǎn)品的廠家由于沒有積累，它需要做一些差異化的，它就會提出一些包括現(xiàn)在人工智能的技術(shù)，提出一些他自己獨到的，由于他的技術(shù)有一定的局限性，可能傳統(tǒng)的病毒防治產(chǎn)品的功能他可能不具備。

有了大概的產(chǎn)品類型的規(guī)劃之后，我們做一些實踐。在這個實踐之前對國內(nèi)外的產(chǎn)品標(biāo)準(zhǔn)化工作做一些了解。其實從國外來進，無論國內(nèi)還是國外，標(biāo)準(zhǔn)化工作一般推動都是由測評機構(gòu)推動，國外的像AV、西海岸等，一開始這些獨立的測評機構(gòu)做測評的過程中就會提出一些測評的方法，逐漸自己形成規(guī)范了。但是發(fā)現(xiàn)各家的差異比較大，大家其實有體會，經(jīng)常也會對比每一個測評組織產(chǎn)品各方面不一樣，互相之間有時候還會打架，其他的測評標(biāo)準(zhǔn)有問題。結(jié)果很長的一段時間都沒有一個大家統(tǒng)一的認(rèn)識，直到后來出現(xiàn)amtso組織。有了這么一個組織大家坐下來討論是不是能出一個行業(yè)比較認(rèn)可的一套病毒防治產(chǎn)品的標(biāo)準(zhǔn)。這是amtso最新發(fā)布的文檔。這些可以反映出這個病毒防治產(chǎn)品由于發(fā)展這么多年，大家各自的思路，各自的想法真的有很大的差異，想要形成一個大家共同認(rèn)可的一套標(biāo)準(zhǔn)有很大難度。更多的是大家形成一個共識，相對頂層一點的，有基本的大家的認(rèn)同。

國內(nèi)方面病毒防治產(chǎn)品我們病毒中心全權(quán)負責(zé)。所以，推動的工作主要是我們中心和相關(guān)的病毒產(chǎn)品檢驗中心承擔(dān)。最早的也是測評的一個標(biāo)準(zhǔn)，行業(yè)標(biāo)準(zhǔn)計算機病毒防治產(chǎn)品檢驗，這是2000年發(fā)布，到現(xiàn)在也有18年了，很早，這些年我們自己測評過程中或多或少有一些不適用的地方，很多情況下它還是能適應(yīng)現(xiàn)在的變化。確實網(wǎng)絡(luò)安全法的要求，進一步國家標(biāo)準(zhǔn)化，提高標(biāo)準(zhǔn)要求能力來適應(yīng)信息安全保護的要求，也確實需要 對這個標(biāo)準(zhǔn)進行研究，然后出臺更加符合現(xiàn)在需要的要求更高的國家標(biāo)準(zhǔn)。

所以，我們在這個背景下2014年就立項了防病毒網(wǎng)關(guān)的標(biāo)準(zhǔn)。當(dāng)時的規(guī)劃，在這之前我們申報立項病毒防治產(chǎn)品，當(dāng)時我們想申報主機型，但是專家討論還是被拿掉了，我們當(dāng)時想按照主機型、網(wǎng)絡(luò)型、嵌入型規(guī)劃，但是可能病毒防治產(chǎn)品的品類比較小。給病毒標(biāo)準(zhǔn)的起草帶來了很大的挑戰(zhàn)。還算有幸，2014年立項防病毒網(wǎng)關(guān)的標(biāo)準(zhǔn)，現(xiàn)在已經(jīng)發(fā)布了。這個成了國內(nèi)第一部病毒防治產(chǎn)品。

病毒防治產(chǎn)品功能要求、性能要求、保障要求。功能要求分基本核增強，它產(chǎn)品比較具體，里面包含的功能和指標(biāo)都能夠跟具體產(chǎn)品有一個比較強的對應(yīng)。所以，防護功能靜態(tài)傳輸?shù)臅r候要有相應(yīng)的能力，響應(yīng)就是相應(yīng)的檢測、阻斷、隔離，網(wǎng)絡(luò)型的產(chǎn)品應(yīng)該具備相應(yīng)的處理能力。在防護能力增強增加一些動態(tài)的病毒防護，在病毒爆發(fā)的時候防病毒網(wǎng)關(guān)也要有相應(yīng)的檢測處理能力，包括多種類型場景支持，協(xié)議方面也是要盡量的多一些。

性能要求方面這是以前很難做的事情，這次還是力推把他加上，目前來說1G的帶寬下，HTTP協(xié)議，病毒防治產(chǎn)品性能測試是一個難點。

日志、失效保護。

后面很難做的病毒防治產(chǎn)品測試平臺方法，2013年立項，現(xiàn)在終于進入報批階段，中間的過程很曲折，一開始做，中間調(diào)整，后來盡量覆蓋所有產(chǎn)品類型的情況。這里面就有挑戰(zhàn)，部署環(huán)境多樣性及產(chǎn)品類型多樣性，這是廣度上。深度上檢測范圍多樣性，檢測范圍包括你的磁盤，還是內(nèi)存。這也跟他能夠訪問的權(quán)限，我們這個操作系統(tǒng)能夠允許這個產(chǎn)品，有的操作系統(tǒng)對病毒防治產(chǎn)品是友好的，Linux，有很多的移動終端的操作系統(tǒng)就比較苛刻，無論是安卓還是iOS防病毒產(chǎn)品功能在上面都受到很大的限制。檢測對象多樣性，檢測方式多樣性和處理方式多樣性，還有自身安全性。最后我們提出指標(biāo)它的可測評性，如果我們提出一個指標(biāo)沒有測評的方法，這個也很難做，尤其對我們測評機構(gòu)可能會更難以實施。

所以，這種背景下我們還是提出了，對我們沒有性能要求，涉及到這么多類型的防病毒產(chǎn)品，去統(tǒng)一一個性能要求真的是非常難的事情。我們做過努力，但是目前難以達成很強的共識。

我們月到最早的病毒概念我們沒有直接用病毒，用“惡意軟件”來說明病毒防護產(chǎn)品。運行環(huán)境概述主機型、網(wǎng)絡(luò)型、嵌入型，工作模式檢測模式和防護模式。用戶需要檢測報告并不需要做任何操作這個可能有它一定的道理。防護模式不僅檢測，我們還要做相應(yīng)的處理。

我們在術(shù)語里用了我們現(xiàn)在常見的一些病毒的家族我們做了一個說明，公布的時候大家可以看到做了一個參考。

測評的方法級別還是要明確一下，基礎(chǔ)級我們認(rèn)為它具備部分病毒家族類型，部分病毒傳播媒介，以及將病毒防護功能作為其部分功能的產(chǎn)品，對間適用于網(wǎng)絡(luò)安全等級保護的第二級及以下系統(tǒng)。增強級是專業(yè)的，把病毒防護功能作為其全部或主要功能的產(chǎn)品，檢測范圍或者能力上有一個比較高的要求。

網(wǎng)絡(luò)安全保護的標(biāo)準(zhǔn)要求得并不是很多，但是很多問題還是能夠影響系統(tǒng)安全的病毒仍然是一個比較大的問題。所以，病毒防護產(chǎn)品是解決這個問題最直接的措施。

功能要求方面通過多樣化的設(shè)計，12個，病毒檢測、未知病毒檢測、病毒處理、策略自定義、隔離區(qū)管理、樣本提交、逃避檢測防護、告警信息、日志、升級更新、統(tǒng)一管理、異常文件處理等。時間關(guān)系不一一介紹了。增強級會有相應(yīng)的提高。

安全要求也是以前沒提出來，病毒防治產(chǎn)品也是信息技術(shù)產(chǎn)品，信息技術(shù)產(chǎn)品會遇到自身的問題，我們想在這個標(biāo)準(zhǔn)里提出來相應(yīng)的提醒，廠家要注意這些問題。系統(tǒng)服務(wù)、組件認(rèn)證調(diào)用，病毒防治產(chǎn)品的組件跟主程序?qū)＜覜]有做好被惡意程序利用了這個問題就很嚴(yán)重了，包括自保護，病毒防治產(chǎn)品也很尷尬，裝在終端上面臨的安全防護環(huán)境很惡劣，原來病毒往往采用躲避的策略，后來發(fā)現(xiàn)老是躲不是問題，它開始主動地干擾甚至破壞病毒防治產(chǎn)品的功能，所以，它的自我保護的能力也應(yīng)該有一個基本的具備。不可能用戶第三方程序隨便把它終止這是很危險的。安全保密傳輸，在云查的時候，云安全的技術(shù)應(yīng)用很廣，他如果中間保護得不好，一方面可能造成信息泄露，一方面被惡意者利用來干擾正常工作。

測評方面病毒樣本庫是一個非常重要的工具。圍繞這個問題有很多的爭議，我們這次給一些建議，作為測評有一些樣本庫有一些條件。

最后講一下下一步工作的思考。按照標(biāo)準(zhǔn)化工作的原則，產(chǎn)品的標(biāo)準(zhǔn)可能會越來越嚴(yán)，因為產(chǎn)品的標(biāo)準(zhǔn)產(chǎn)品非常多，形態(tài)非常多，中間有交叉。我們想下一步是不是把產(chǎn)品的技術(shù)標(biāo)準(zhǔn)能夠往這方面轉(zhuǎn)，技術(shù)方面防治技術(shù)、特征碼檢測技術(shù)，原來很多廠商都有自己的特點，國際上接收度很高的通用特征碼檢測框架出來可能有一些松動，有可能做一些可行性的研究，特征碼檢測大家可以形成一些共識。包括主動防御，包括云技術(shù)，包括沙箱現(xiàn)在也有一些通用化的趨勢，這是一方面。

測評技術(shù)方面包括樣本庫，樣本庫的樣本怎么篩選，哪些樣本能夠更好地測評出我們產(chǎn)品的能力，這也是一個課題，包括未知威脅測評。什么是未知威脅，我們用什么方式表示未知威脅，原來尤為知病毒測試，寫出一個病毒是違法的，這是有很大法律風(fēng)險的，不好界定。我們用什么方式更好地進行未知威脅的測評。性能測試也是，剛才也提到了，各種不同平臺下受到終端環(huán)境的影響也是非常復(fù)雜的，他做性能測評怎么做。

個人信息保護，國家標(biāo)準(zhǔn)的要求，在終端上要搜集很多信息，這些信息是不是符合相應(yīng)的標(biāo)準(zhǔn)和規(guī)定也是下一步工作要討論的一個方向。