网络发展—信息安全产业二十年的拐点

    20世纪80年代末期病毒传入我国，自此，我国信息安全产业快速发展的大幕逐渐拉开。在这20年的发展过程中，伴随着硬件技术、操作系统技术以及网络应用技术的不断深入发展，信息安全产业也逐渐成熟并发展起来，需求创造产业，我国信息安全产业20年的发展也正验证了这一点。纵观我国信息安全产业的成长过程，我们不难发现网络的发展与应用使我国信息安全产业的发展经历了两大时代，即前网络时代和网络时代。

　　前网络时代

　　所谓前网络时代既是指在20世纪90年代中期以前，网络在全球范围内还没有得到广泛应用的时代。这一时代计算机系统基本上是以单机形式独立运行，计算机系统之间的信息交换或传递主要依靠的是可移动存储介质，如当时的软盘、可移动硬盘等等，而计算机病毒的传染主要利用的是计算机系统的信息交换与信息传递的方式，并通过系统的信息交换达到自身转染的目的。前网络时代，由于信息交换载体的移动在一定程度上受到时间和空间的影响且，因此，信息的交换也存在着一定的地域性和传递时间相对较长的特点，和网络时代相比，致使病毒的传染存在一定的地域性和传染时间较慢的特点。因此，在前网络时代的信息安全产品的生产厂商主要以先关注并首先解决地域内传播的计算机病毒为主，因而，此时的反病毒产品的地域性表现的比较重要。

　　前网络时代的后期也是病毒诞生的初期时代，病毒由引导区传染的病毒、文件传染的病毒、引导区与文件传染的“双料”病毒，到像在传染的过程中能对自身进行简单加密的病毒如1366(DaLian)。在此期间，尽管随着计算机的深入应用混合型病毒越来越多，并逐步成为病毒发展的一种趋势，病毒的种类也主要集中在以引导区、文件以及引导区和文件为主要宿主的时代，病毒的制造者的目的也主要集中在恶作剧性质方面。当时由于普通计算机用户对病毒了解较少，因此，病毒的出现在用户之间造成了很强的恐慌感。为防止病毒对我国计算机用户造成破坏，公安部计算机安全监察局的反病毒研究小组，在1989年即推出了我国第一款查杀计算机病毒的反病毒软件KILL。此后，即上世纪90年开始在我国反病毒市场形成的初期，曾经出现了盛极一时的病毒预防卡，但由于操作系统的发展以及计算机应用的逾加广泛，病毒预防卡与系统的兼容性问题显得越加突出，加之病毒种类的增多使病毒预防卡预防一切的幻想成为泡影，用户对此类产品很快失去了信心，病毒预防卡成了信息安全产品市场中昙花一现的一种短期的过度产品。此后，一些有远见的病毒预防卡的生产厂商在逐渐发现病毒预防卡的先天的技术弱点之后开始基于自身的技术逐渐进行了产品转型，至此，以国内最早研发的反病毒软件KILL为代表的反病毒软件在国内广泛应用并发展起来。前网络时代也是我国反病毒产品的应用从盲从逐渐走向成熟的时代，在这一时代，用户经历了：由病毒预防卡与反病毒软件KILL同时应用到病毒预防卡退出历史舞台进而形成反病毒软件一统反病毒市场的一个快速的发展演变过程。

　　如前所述，此时代用户的计算机系统基本是以单机形式独立运行，系统之间的信息交换依靠于可移动存储介质，反病毒产品的功能主要集中在解决单机的反病毒问题上，反病毒厂商的竞争焦点主要表现在以下几个方面：首先，在反病毒软件产品被市场广泛接受之后，由于病毒数量与种类的不断增多，用户对于反病毒软件病毒库的快速升级需求表现得越来越强烈，反病毒产品的即时升级及升级途径的建设成了反病毒厂商市场竞争的一个焦点；其次，反病毒厂商要为自身的客户及时提供新出现的计算机病毒的解决方案就必须快速地获得地域内新计算机病毒的样本代码；第三，在快速获得地域内新出现的病毒或病毒变种样本代码之后，通过自身技术实力快速提供处理新病毒解决方案，因此，技术实力从传统上就是反病毒厂商竞争实力的一个重要的体现；第四，操作系统在上世纪90年代中期由原来的文本界面的DOS系统逐渐发展成为视窗界面的WINDOWS系统，为了使自身反病毒软件的运行效率更高，灼深地了解操作系统，甚至对于操作系统了解到原代码级也成了困扰反病毒厂商的一个重要的现实问题。在此时代，由于受预防概念的影响，厂商也在不断探讨着依托于病毒行为规则判定的具有一定预防能力的反病毒软件，但由于应用系统和操作系统以至于病毒本身技术的发展使行为规则的归纳存在着不可完全预见性甚至与标准程序行为冲突的矛盾，因而，基于特征码技术的反病毒软件在此后得到了广泛的发展与应用。

　　综上所述，前网络时代的反病毒产品主要集中于单机版反病毒产品，用户评判产品的主要标准主要集中于：反病毒产品的快速升级以及反病毒产品的查杀病毒的效率方面。

　　网络时代

　　20世纪90年代中后期，INTERNET在全球范围内得到了广泛普及应用，网络的应用首先对于计算机系统的信息交换与传递产生了革命性的影响。在前网络时代只有通过可移动介质需要时间和空间进行传递的信息，在网络时代可以直接通过网络在极短的、甚至是在同时，跨地域地使信息传递到需要者的系统中，这种信息的传递手段大大缩短了信息传递的时间，大大提高了信息的利用效率，使得信息的传递已经再没有因为介质的移动造成的地域性的特点。信息传递实现了全球化，而这种全球化的快速信息传递途径的诞生也为病毒的传播提供了快速传染并寄生于宿主的途径。因此，网络时代计算机用户面对的是整个世界范围内病毒的攻击隐患。由于网络技术的深入应用，独立运行的单机时代基本上成为历史，网络在提高合法信息交换速度的同时也提高了病毒的传染速度，网络在消除了信息传递的地域影响的情况下也同样消除了病毒传染的地域性特点，同时，也造成了病毒种类的增加甚至使得通过网络的有目的的病毒攻击成为现实。

　　网络时代病毒威胁的复杂化

　　随着Internet网与之同来的病毒是蠕虫和木马，木马悄悄地在宿主系统上运行，在用户毫无察觉下，让攻击者获得了远程访问和控制系统的权限。木马通过被客户误绑定到某个合法软件上，通过服务器与病毒制造者进行联系。象蠕虫、木马、脚本等类病毒，还会通过网络或邮件漏洞进行传播，从而阻塞网络、使服务器瘫痪。网络时代,病毒概念逐渐延展，泛病毒概念的形成使得反病毒软件不能仅限于原有的病毒查杀功能，还要能妥善地处理蠕虫、木马等特例化病毒，此外，病毒制造者的目的也有所变化，他们从最初的恶作剧性质逐渐衍生出带有其他特定目的的行为，如木马病毒可盗取用户的帐户以及密码从而使用户出现财产损失。

　　随着操作系统的发展而出现的多为一体的病毒往往利用系统漏洞进行初次传染，漏洞是操作系统的安全缺陷，如果系统存在漏洞，即使有单纯的反病毒软件的保护，病毒依然可以长驱直入，对系统造成影响。随着人们对系统的了解，更多的漏洞被发现，更多的病毒制造者也据此编写出更多的漏洞型病毒，最终大量利用漏洞进行传播的病毒呈增长势头。“2003蠕虫王”病毒和冲击波病毒就是利用系统漏洞进行传播的。RPC服务是系统的远程调用服务，掌管着系统的网络连接，冲击波病毒利用它的漏洞造成了系统反复重启，无法打开网页的二级链接等现象。为了更好地避免病毒对这些系统漏洞的攻击，反病毒软件则产生了帮助下载和升级系统漏洞的功能。并逐步延伸出防火墙、防毒墙等保护产品。而网络的出现和深度应用，又让反病毒软件在实时监控和应对钓鱼网站方面有了功能性的增强。网络的深入应用，使阻止暴力、色情等不良网站，拦截钓鱼网站等功能也成了今天反病毒软件的功课之一。而实时监控是采用病毒检测引擎和特征码技术对文件进行扫描，相当于对系统实行透明保护，在实时监控中反病毒软件会进行恶意行为识别和行为拦截，首先是识别技术，将程序的执行行为进行分析，识别出一些恶意的行为。对一些木马盗号等未知威胁作出防御，同时也可以很好的阻隔已知病毒的变种。可以说实时监控的出现，反病毒软件的反病毒概念得到了一次提升。实时监控把原有的病毒安全概念当中的能够及时清除病毒，变为不感染病毒，从检查所有文件和定期扫描转变为打开实时监控和经常升级病毒库。自此反病毒软件的首要功能从查杀病毒，逐渐形成尽量保证用户不被病毒传染。

　　网络时代安全厂商的实力体现

　　和前网络时代信息安全厂商只要首先解决本地问题为主的时代相比，信息安全厂商的竞争焦点也产生的很大的变化：首先，在网络时代反病毒厂商需要解决的是全球的计算机病毒的问题，所以快速地获得全球新出现的计算机病毒的样本成了厂商竞争的焦点；其次，在技术方面由于操作系统的复杂化程度的提高，反病毒厂商在原有的解决病毒技术的基础上又要深入地了解操作系统；第三，由于网络的深入应用，各企业为了提高自身的管理、工作等各方面的效率不断地进行着企业网络化应用的改造和深入应用，因而反病毒厂商如何为企业客户提供量身定制的安全解决方案也成了一个重要的竞争方面；第四，由于病毒传播的国际性问题，以及客户计算机应用和技术水平的不断提高，为了能让客户快速认可并应用自身的产品，反病毒厂商产品的第三方技术认证也成了反病毒产品的用户和反病毒厂商关注的一个重要问题。

　　有鉴于此，面对网络时代对于反病毒厂商的要求，反病毒厂商开始苦心经营于自身的竞争实力，在网络时代，反病毒厂商之间竞争的焦点主要表现在两个方面：其一病毒样本的获取速度，谁能在第一时间快速地获得新出现的计算机病毒的样本谁就能第一时间为自己的客户提供解决方案从而得到客户的信任和支持；其二是技术实力情况，而在技术方面各反病毒厂商之间比拼的包括两个方面，第一快速地提供新兴病毒解决方案的技术能力，第二由于WINDOWS系统相对于DOS系统而言已经复杂了很多，因而反病毒厂商如何获得操作系统厂商的支持尤其是源代码级的支持成了反病毒厂商技术竞争的另一个焦点。这两大问题的解决与否成了反病毒厂商能否深入拓展市场的关键之一。

　　为此，传统的反病毒软件KILL于1998年与CA的深入合作以及于1999年3月在全球40个国家170多个城市建立的KILL全球反病毒检测网，一举解决了这两大问题，进而为国内反病毒厂商提供了一条问题高效解决之道。KILL通过与CA的深入合作解决了操作系统技术的深层合作问题，此外，通过全球的下属机构成立的全球反病毒监测网络使KILL成了在信息安全领域厂商中能够快速获得计算机病毒样本的第一家信息安全厂商。在此之后很多国际化厂商跟随KILL也开始利用自身在全球的分支机构建立病毒样本的监测体系，并因此获得了显著的成绩。

　　安全厂商的完善之路

　　和前网络时代相比，网络时代信息安全威胁增多，这即为安全厂商提供了机会，也为安全厂商提出了一个巨大的难题，这一难题既是安全厂商要根据自身的技术实力为用户提供全方位的安全解决方案的能力问题。此外是产品功能的延伸与产品种类的增加，如过滤网关有了防毒墙、邮件安全网关、综合安全网关、web安全网管的分类，终端安全有了防间谍软件、网络防毒系统、终端安全管理系统的分类。网络时代，企业在选择网络安全产品时，早已不再是一个简单产品组合的模式了，他需要的是一个真正的信息安全厂商，一套完整的信息安全解决方案，包括：终端安全管理系统、防病毒、防间谍系统。而这套管理系统是可以将资产管理、终端保护、应用监管、审计分析的设计思想，部署在网络中每一台计算机终端，通过一致的安全策略保障计算机安全使用，实现企业级统一管理。通过网关全面过滤以电子邮件、Internet访问、文件下载等形式传播的计算机病毒，阻碍断蠕虫攻击，拦截垃圾邮件，控制敏感内容扩散。通过入侵检测系统和防火墙技术共同使用，从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。这一套防病毒体系是立体化的，并将随着时代的发展越来越完善。

　　回顾历史，我们清楚的看到机会总是垂青于那些有准备的人的，反病毒软件如何研究并解决用户所遇到的实际的安全问题，将成为安全厂商未来发展的重中之重。网络时代为厂商提供了重重机会，如何根据自身的实力快速地根据市场环境实现转型将成为未来安全厂商能否适应市场需求，并进而深入、长久发展的关键。

　　需求塑造了市场，市场创造了机会，机会总是垂青于那些提前有准备的人的！■