挑战恶意软件新赛季

挑战恶意软件新赛季 <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

                            2005-2006 热点问题回顾与前瞻

 

2005年已成过去，在这纷纷扰扰的一年中，计算机安全领域发生了很多能够吸引全球的目光的事件，这似乎在昭示着一些转变正在发生。已在之前露出苗头的网络钓鱼问题在2005年颇有愈演愈烈之势，在这一年刚刚开始就令国际社会哗然。2004年与2005年之交在东南亚地区发生的地震和海啸造成了巨大的生命和经济损失，但在全球的援助过程中却出现了大量欺骗性的活动，以假冒网站和电子邮件骗取善款的活动在全球各地都有出现。之后2005年发生的灾害性事件几乎都成为骇客活动的幌子，大量以这类事件的病毒出现在网上，包括在2005年末开始在全球引起注意的禽流感问题。从这类事件可以发现的最主要问题是社交工程性的手段正在越来越多的被骇客团体们使用，包括病毒在内的各种恶意软件也开始广泛的应用社交工程手段进行传播。而这类事件带来的另外一个启示就是这些恶意群体的目标正在从单纯的显示力量向获取经济利益转移。2005年中旬，美国众媒体曝出有四千万张信用卡的帐号信息被盗取，这些敏感的信息正在以越来越快的速度流入到骇客团体的手中，目前全球每年为数据失窃受到的损失已达数以千亿美金。尽管信用卡盗窃早已不是什么新闻，但是仍有大量的用户没有认识到信用卡等个人金融工具的安全性问题。在当今的金融机构纷纷将经营与网络结合之后，不但用户的安全风险在不断提高，而骇客们似乎也因为网络而拥有了更方便安全的工具及媒介。尽管2005年与往年相比没有更多的技术性问题被发掘出来，但是这一年却有可能成为计算机安全领域分水岭性的一年。因为以上所提到的这些事件还只是冰山一角，海面之下的暗流远比看到的汹涌。中央情报局的负责人在1996年对电子犯罪所做出的预计已经成为了现实，职业的计算机犯罪正在成为安全领域的头号问题。

 

恶意软件仍旧是计算机安全领域的头号威胁，在此岁末之际，我们尝试以此为主线带领读者去更加深入的探询变革性的2005，并借此了解到未来一段事件里计算机安全领域的走势。培根的一句名言极度准确的在我们的年代被验证：知识就是力量！希望我们提供的内容能够真正在读者抵御安全威胁的过程中发挥出作用。尽管针对防范计算机病毒的努力从来没有停止，但是计算机病毒的不断推陈出新仍让全球的用户与厂商有些应接不暇。更加重要的是，这种演进不仅仅出自于形态的变化，而加是一种形式上的变化。

 

一个新时代的开始 – 从蠕虫病毒到间谍软件

曾经有很多年，计算机用户所担心的病毒问题大多通过可执行文件进行感染。而随着互联网的萌芽，在八十年代末期开始出现了一种新的病毒形态：蠕虫。蠕虫病毒与可执行文件病毒的最大不同之处在于蠕虫病毒不需要寄生在其它文件上，并且具有自我复制和传播的能力。九十年代末期，蠕虫的破坏性开始在全球引起瞩目，并且成为了最新一轮计算机病毒浪潮的主宰者。然而，在2005年这一地位受到了极大的挑战，这个挑战来自于旧有病毒机制的混合体：间谍软件。间谍软件结合了蠕虫的传播能力以及特洛伊***的潜伏性特征，在计算机用户毫不知情的情况下开展着自己的破坏行动。间谍程序的最可怕之处就在于其隐秘而安静，事实上大部分间谍软件并不对系统造成可察觉的影响，除非具有专门的技能或使用相关的工具，否则用户很难发现计算机系统中的间谍软件。据一些调查研究的结果显示，全球有超过半数的计算机中都感染了具有间谍特征的恶意软件。也许你认为你的机器非常安全，但是很可能间谍软件正驻扎在你的系统中静静的聆听你的各种帐号密码并将其发送到恶意用户的手中。事实上自从新千年开始，计算机病毒的形态就已经呈现出多元化和组合化的特征了。本世纪出现的具有较大影响力的病毒通常都结合了多种机制，这说明在目前的应用环境下单一的机制已经难以保证大面积的传播。2005年全年新增的病毒已经远远超过了2004年，其中带有特洛伊***和后门性质的恶意软件占到了其中的四分之三以上。计算机病毒的一个新时代正在来临，今后的五年间谍软件是否会成为真正的主宰以及会出现哪些新形态的病毒现在还无法准确的断言，但是象征着时代变迁的大幕已经拉开。

 

计算机病毒浪潮
次序	时间段	浪潮主角	代表性病毒
第一波浪潮	1982-1989	文件病毒	Lehigh
第二波浪潮	1990-1994	引导病毒	Tequila
第三波浪潮	1995-2000	宏病毒	Melissa
第四波浪潮	2000-2002	电子邮件病毒	LoveLetter
第五波浪潮	2003-2004	蠕虫病毒	Blaster

注：该表概略的列出了病毒发展史上几次影响较大的传播浪潮，划分并不仅仅依据病毒的类型同时还考虑的病毒的传播方式。

 

精确制导武器横行 – 计算机病毒瞄准特定目标

除却病毒形态本身的变化之外，2005年计算机病毒带给我们另一个深刻的印象是其明确的目的性。在蠕虫病毒时代，仍旧有大量的病毒是以挑战传播能力和验证技术为目的。而现在，绝大多数计算机病毒的目标已经转向了窃取信息等功利性活动，例如偷取计算机帐号、银行密码、电子邮件帐号等等。目前击键记录功能已经被包含到了很多间谍软件当中，通过记录用户的键盘操作来获取用户的私密性信息。有一些击键记录程序针对特定的帐号类型捕获登录信息，而另一些则将用户的全部击键记录打包带走，这些恶意软件极大的威胁着用户的隐私和经济利益。2004年网银大盗和快乐耳朵第一次使中国的消费群体了解了自己的银行帐号面临的是怎样的威胁，而2005年出现的以盗取银行帐号为目的的计算机病毒已经能够识别超过50家银行的网上帐号。除了直接盗取金融帐号之外，由于网络游戏和各种在线消费服务建立起了虚拟货币体系，以这类帐号为目标的病毒也有了很大的增长。特别是腾讯公司开始注重OICQ聊天软件的安全性之后，解密OICQ帐号已经越来越困难了，在此之后盗取OICQ密码为目的的间谍软件增长非常迅速。另外，为了盗取网络游戏帐号以换取现金，面向网游的***程序同样发展迅猛。以2005年12月出现的FireFly变种为例，该后门程序不但可以盗取网络银行的帐号和密码，同时也能够盗取即时通讯工具和网络游戏的帐号和密码，这种组合式的窃密病毒威力已经远超从前。同样重要的一点在于，这些窃取信息的病毒所依赖的传播机制也开始逐步升级。以往这类病毒只能通过网页、电子邮件等手段向用户传播，而现在利用系统漏洞自动注入用户的计算机已经成为可能。这些情况体现出当下主流骇客群体已将目标集中于经济利益，职业计算机犯罪正处于井喷的边缘。

 

近年的流行词汇是“忽悠” – 社交工程手段盛行

社交工程是一种通过非技术手段骗取用户信息的方法，例如伪装成管理员向用户询问密码信息，这种手法被骇客团体广泛的应用于网络***等恶意行动当中。而如今社交工程手段已经开始深深渗入到恶意软件领域，计算机病毒也开始大量使用社交工程手段完成恶意目标。以2005年上旬出现的MSN性感鸡为例，该病毒通过系统漏洞和网络共享大量传播，并向好友发送伪装成图片的病毒文件以达到感染的目的。2005年这类即时通讯病毒增长速度已经远高于2004年，通过欺骗和伪装，类似即时通讯工具这样基于信任的网络通信手段非常容易受到这些问题的困扰。更为严重的是，这类情况不仅仅在局部发生，2005年出现的大部分计算机病毒都或多或少的融合了一些社交工程方法。造成这种局面的原因很多，最主要的原因之一在于微软对系统漏洞的修补已经达到了一定的成效。随着Windows XP SP2的推出和补丁更新速度的加快，通过操作系统感染的情况已经在一定程度上被遏制。在通过漏洞进行感染的可能被削弱之后，社交工程手段是病毒作者开拓新传染途径的最直接结果。另外，社交工程被极大的融合到计算机病毒中还有一个本质上的原因，那就是社交工程手段本身的诱人特性。以即时通讯病毒为例，尽管其传播速度不如网络蠕虫，但是即时通讯工具通讯簿中的每个用户都对发出病毒的用户具有一定的信任，这就使得社交工程病毒具有了很高的感染成功率。骇客群体已然发现，与千辛万苦的突入系统相比，使目标系统相信自己是一个受到信任的对象容易的多。

 

技术之外 – 灰色软件带来道德困境

灰色是一种介于黑色与白色之间的颜色，将这种颜色应用于恶意软件，体现出这一类软件难以被界定的情状。就象我们将那些纯粹以破坏为目的的群体称之为黑帽***而将潜心为技术领域奉献力量的用户称之为白帽***那样，灰色软件是界乎于以破坏为目的的计算机病毒和完全无害的计算机应用软件之间的一类恶意软件。这类软件不一定给计算机用户带来直接性的破坏，但是又在一定程度上对用户产生了骚扰。一般来说，灰色软件主要包括了广告程序、后门程序、击键记录程序、远程控制工具、拨号器、浏览器插件、玩笑程序等多种分类，而向浏览器和即时聊天工具等应用程序发送垃圾信息的骚扰程序也应属此类。这种分类方法虽然不能准确的划分出恶意软件的灰色地带，但是提供了一个很好的指导和基准。事实上，单纯从技术层面来看灰色软件并不复杂，查杀的难度也不会被传统的计算机病毒更大，处理灰色软件的主要难点在于没有一个清晰的界定标准。在界定灰色软件的过程中既没有成熟的法规可以参考，又没有统一的行业规范可供遵循，这给了灰色软件以可乘之机。近年来存在着在共享软件等软件包裹中打包其它程序的趋势，例如很多工具软件的安装文件中都集成了CNNIC、3721、易趣等公司推出的插件程序。更加严重的是，很多插件程序为了达到安装的目的，会将自己的安装确认信息隐藏在所寄生工具软件安装确认信息的底部和背后等不明显处，从而起到欺瞒用户的目的。这类行为在技术上非常难以判断，而且如果过分的扩大检查范围，那么很可能央及无辜的工具软件。另一个典型的例子就是广告程序，大部分广告程序都只是在用户的计算机上显示广告画面并且可以被用户关闭，只有少数的广告程序会强制性的进行显示，进行这类程序的区分也是相当复杂的。灰色软件问题归根结底既不是技术上的问题也不是界定上的问题，这些都可以通过安全产品厂商的努力获得解决。一个更难以解决的问题是用户需求问题，不同的用户对安全产品的防护强度和范围都会有不同的要求，如何满足不同用户的个性化需要以及是否能够有效的获得用户的授权对这些问题进行处理，这也是我们将灰色软件问题称之为一场道德困境的核心原因。

 

 

流氓软件事件 ü         <?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" /> 2005 年6月14日 ，一篇由瑞星公司工程师撰写的文章被登载于《北京青年报》上，这篇文章中第一次提出了“流氓软件”的概念并对其进行了初步的界定和分类。 ü         2005 年6月28日 ，16家国内知名互联网企业联合签订了《自律公约》，试图阻止不规范软件的传播。 ü         2005 年7月11日 ，北京市网络行业协会发起的“十大流氓软件”在线投票结果公布，3721、CNNIC、eBay易趣等多家知名互联网企业名列其中。 点评：经此之后，流氓软件这个词汇开始遍布全国的IT媒体，互联网上有大量的用户展开了对流氓软件的声讨和论争并使流氓软件事件成为2005年IT行业最具影响力的事件之一。事实验证了最吸引眼球的事件往往褒贬不一。流氓软件事件的积极意义在于成功的引导了全国互联网用户对骚扰性软件产品的愤慨并对整个软件产业规范和安全产业发展起到了一定的积极性作用；而该事件的消极意义在于之后的舆论关注焦点被导向了瑞星公司是否涉嫌背后操纵和恶意炒做，从而没有完全释放出全国互联网用户的舆论力量，浪费了全面净化互联网的一次宝贵契机。

防病毒厂商是抵御计算机病毒等恶意软件的最重要力量，随着计算机病毒的不断演进防病毒厂商也在不断的提高自己。在这里我们结合一些2005年独具特色的主题词带领大家在更近的距离体验这场***战。

 

间谍软件

虽然不能说未来几年的计算机病毒主宰就是间谍软件，但是至少2005年可以被称之为间谍软件年。与盛极一时的冲击波和震荡波等网络蠕虫轰轰烈烈的表现不同，用户难以察觉到间谍软件的存在，这无形中增加了防范间谍软件的难度。2005年间谍软件的井喷，为防病毒厂商提出了全新的考验。基于对全球恶意软件发展形式的洞察力，赛门铁克和趋势科技在2005年初就在自己的个人套装产品中集成了反间谍软件模块，随后其它主流防病毒厂商都在自己的2005版产品中集成了相应的功能。这些厂商对反间谍软件功能采取了截然不同的两种设定，大部分产品的反间谍功能都自成一体而并没有与作为核心的防病毒模块紧密的集成在一起，而另外一些产品则对间谍软件执行与传统病毒相同的处理。采取哪种实现方式并不是最重要的，能否取得较高的防护实效才是用户最应该关注的问题。虽然间谍软件借鉴了很多经过验证的计算机病毒技术，但是在感染方式和传播机制上仍有很多个性特质。通过专门的反间谍模块进行检测更有针对性，同时也容易获得更高的效率，而对间谍软件与其它病毒采取一视同仁态度的产品则在使用性上更胜一筹。独立反间谍模块的一个潜在的问题是其防护能力的地域性限制，在采用这种设定的反间谍产品在检测其它地区流行的间谍软件往往有效能上的下降，例如欧美厂商的产品在检测国内独有的一些间谍软件形式往往力有未逮。总体来看在应用了合适的反间谍产品之后用户可以在很大程度上抑制间谍软件的影响，但是情况仍没有到达可以乐观对待的地步。由于反间谍软件在有效性和部署率上仍有待提高，目前全球的间谍软件感染率仍然较高，在防病毒厂商于2005年底及2006年初推出的新版防病毒软件产品中，反间谍功能得到了进一步的加强，我们也期待这些产品在反间谍软件方面能带给用户更多的帮助。

 

防病毒产品套装功能对比
功能特性	赛门铁克	趋势科技	金山	江民科技	瑞星
2004 年
防病毒	√	√	√	√	√
防火墙	√	√	√	√	√
漏洞扫描	√	√	√	×	√
反***	×	×	√	×	×
反垃圾邮件	×	√	×	×	×
反间谍软件	×	×	×	×	×
隐私保护	×	√	×	×	×
2005 年
防病毒	√	√	√	√	√
防火墙	√	√	√	√	√
漏洞扫描	√	√	√	×	√
反***	×	×	√	√	√
反垃圾邮件	√	√	×	×	×
反间谍软件	√	√	√	√	√
隐私保护	√	√	×	×	×

 

 

主动防御

由于病毒传播速度的不断加快，防病毒厂商多年来所依仗的特征码识别技术正在受到空前的挑战。目前防病毒厂商的典型工作流程如下：首先，通过设立在全球各个主要地区的病毒监控中心截获新病毒（也有很多新病毒是通过用户上报和厂商之间交换等方法获得的）；然后，对这些新病毒进行分析并发现能够唯一标识这些病毒的特征码；最后，将分析的结果制作成防病毒产品的病毒库更新供用户进行升级。仔细分析可以发现，整个过程的有效性首先有赖于发现新病毒的时间，另外还依赖于病毒库更新能否及时的在用户的计算机上获得部署，其中后者往往更加重要。因为主流防病毒厂商大多具有分布广泛的病毒监控中心，新病毒被释放之后很短的时间内就可以将病毒样本提交给研发部门，而实际制作出的更新文件则很难保证在短时间内交付到用户手中。假如用户对防病毒产品设置的更新周期是每日两次的话，那么平均来说在厂商发布更新之后六个小时甚至十几个小时之后用户的计算机才会安装这些更新，而且这还没有考虑那些并不总是开机和联入互联网的用户。被动应对的特征码识别技术体系已经捉襟见肘，防病毒厂商必须寻求更具主动性的防御技术才能继续保持病毒防护的有效性。目前已经在产品中获得较广泛应用的主动防病毒技术是病毒库主动更新，这项由金山公司率先推出的防病毒技术能够使防病毒软件与更新服务器获得实时沟通的能力。在制作出新的更新之后，更新服务器能“主动”的将更新文件推送到客户端上，最大限度的降低了用户获取更新所需要的时间。然而虽然这种更新方法能够最大限度的压缩更新到达用户的时间，但是从发现新病毒到制作出更新的这段时间用户仍然暴露在威胁之下，所以本质上主动更新仍不能算作真正的主动防御。真正一劳永逸的计算机病毒主动防御需要依赖于未知病毒识别，而截止到目前主要的未知病毒发现还停滞在不甚有效的启发式检测技术上。然而依据启发式检测的技术原理，如果人工智能不能达到人脑的思维水平，那么百分之百的检测出未知病毒是不可能的，所以在目前启发式扫描仍只能作为一种辅助的功能存在。除了启发式扫描之外，还有另外一些技术正在致力于抵御未知病毒的侵害，例如2005年推出的64位X86处理器谋求在与应用程序无关的底层进行恶意软件防护。通过在处理器中集成特殊的保护位，在与支持该功能的操作系统配合时能够防止恶意代码的执行。这种形式的病毒主动防御技术相信在未来的几年将获得更广泛的应用，而且很可能会给恶意软件领域带来决定性的影响。

 

处理器中的防病毒技术 AMD 与Intel处理器中内置的防病毒技术都是通过被称为NX bit的一种防止内存溢出的机制来实现的。目前的大部分恶意***都利用特定的方法使目标机器执行***者想要执行的代码，这通常是通过缓冲区溢出来完成的。以近年来大肆传播的网络蠕虫病毒来说，其感染机制就极大的依赖于这种技术。所以在理论上，如果我们能够防止发生内存溢出并验证软件的合法性就能防范几乎所有的安全威胁，而NX bit就是针对这类问题所推出的解决方案。非法的内存溢出通常在数据中植入了可执行的代码，这些恶意代码在溢出时会被推入执行队列。NX bit在映射内存的物理地址和逻辑地址的管理机制中添加NX位，当CPU提取指令的时候，如果一个生效的NX位被执行操作系统就会收到报错。利用这个机制操作系统可以将不应执行的内存区域标记为NX，这样就可以阻止大部分恶意程序的破坏行为。目前AMD和Intel的CPU防毒技术都是针对Windows XP SP2所提供的DEP（ Date Execution Prevention ）进行设计的，在该操作系统中可以针对单个程序设置其是否受到这种机制的保护。

 

隐私保护

2005 年曾经发生一起引起广泛关注的个人资料泄密事件，一个名为 Ucloo 的个人信息搜索引擎涉嫌盗取中国同学录中的个人信息并在未经允许的情况下将这些数据在互联网上公布。目前国内的各种网上服务逐步开始要求用户提供真实的个人信息，那么这些服务商是否能够保护这些信息呢？据我们进行的不完全调查显示，国内大部分大型的门户网站由于具有完善的管理制度和法律团队，在这些问题上处理的相对较好，而很多相对较小的在线服务网站则很难提供相应的保障。更加严重的是，很多进行信息中介服务的厂商没有严格的管理自己获得的资料，这些资料已经被搜索引擎获取并能够轻易的被所有上网用户获取，而正常情况下这些资料只应该被那些在网站上进行查询的用户获得。事实上已经被曝光出来的这些事件还只是隐私问题的冰山一角，用户缺乏隐私意识导致的隐私问题要严重的多。事实上国外的安全软件厂商早已经开始尝试在产品中融入隐私保护功能，而国内的防病毒厂商则起步较晚。对于不同的地区来说隐私问题也具有一定的差异，面对国内用户迫切的隐私安全需求，本地厂商还应该加强在这一方面的努力。整合式的安全产品已经受到了用户的认可，因为用户往往希望购买了一个套装产品可以解决全部的个人安全问题。

2005 年已然过去，2006年的恶意软件领域又会展现出什么样的面貌呢？结合前面的内容，我们将对恶意软件、防病毒行业乃至整个信息安全产业的发展进行一些分析和预测，希望给读者提供更多的参考。

 

 

手持设备病毒成热点

 

目前手持设备主要包括PDA和智能手机，这些设备具有独立的操作系统所以从功能和性能上看已经俨然成为一部微型计算机。在给用户带来更多便利的同时，手持设备的这些优点也使其受到病毒的困扰。基于手持设备的巨大用户基础以及未来的广阔增长空间，手持设备平台正成为病毒感染的一个最主要目标。在2005年，已被确认的手持设备病毒已经超过了200种，这一数字有望在2006年超过1000。目前主要的手持设备操作系统平台都有病毒感染的报告。其中Symbian操作系统由于在智能手机领域的巨大市场占有率，成为受到病毒感染最多的手持设备平台，另外在基于WinCE内核的手持设备平台上也有数十种病毒被发现。

 

一个好消息是目前手持设备病毒的传播能力还远远赶不上个人计算机平台病毒，一般从未受信任的网站下载文件以及通过蓝牙等无线传输方式接收文件是手持设备病毒传染的主要途径。以最早被发现的智能手机病毒Cabir为例，这种病毒获得全球范围的传播花费了大约6个月的时间，主要是由于感染该病毒的手机用户进行跨国活动时传播到其它国家的。然而，随着3G以及Wi-Fi等无线数据网络在2006年获得进一步的普及，手持设备病毒的传播速度也将得以呈现较大幅度的增长，2006年将会发生更多大面积的手持设备病毒感染事件。

 

2005 年已经出现了一些具有破坏力的手持设备病毒，例如于2005年7月发现的Doomboot。模拟Symbian版Doom2程序的Doomboot病毒整合了多个智能手机病毒的特性，例如可以象Fontal那样使用错误的字体文件替换手机中的正常字体文件，而且Doomboot的一些变种中整合了通过彩信功能进行传播的CommWarrior，最重要的是Doomboot可以通过覆盖操作系统编码使手机无法正常启动。 在未来的几年时间里，破坏手持设备程序以及数据的病毒将更多的出现；而2005年个人计算机病毒领域的情况也很可能获得重演，以盗取手持设备中的私人数据为目的的病毒将使手持设备用户更深切的体验到这种新兴的威胁。

 

针对手持设备病毒问题，很多防病毒厂商已经在市场上推出了面向手持设备平台的防病毒产品，其中国内的金山公司和日月光华还提供了可以免费使用的版本供用户下载。以我们对这些产品进行的试用来看，国内厂商的产品更加贴合国内用户的使用习惯并具有更好的功能性，而国外厂商的产品体现出了更好的检测引擎特性。相信在2006年所有的主流防病毒厂商都会在手持设备领域有所动作，并且手持防病毒软件将获得与PC版防病毒软件的更好整合，以构筑更严密的病毒防御体系。

 

 

***方式悄然改变

 

随着恶意软件等安全威胁的变化，安全防护方式也将随之转变。按照目前的情况来分析，社交工程手段仍将继续获得发展并在未来的***体系中占据更加重要的地位。事实上，我们相信社交工程手段在未来的几年中将成为绝大多数恶意软件和恶意***中必不可少的组成部分。这是因为在技术手段与安全意识持续发展的情况下，社交工程***成为了维持恶意成功可能性的新突破口。与以往的***元素不同，社交工程不但对受***的用户造成实质性的损害，更会对整个网络社会造成更深层次的伤害。泛滥的欺骗性行为将使用户在行动中更多的采取怀疑态度，这对继续推动网络的应用无疑是一种阻碍。

 

面对带有社交工程元素的间谍软件和网络钓鱼等威胁，传统的城墙式的防御手段正在失去效用，新版本的安全产品将更多的集成可信性验证能力以对抗这些新型的安全威胁。加密和过滤等保护手段已经不能再提供完备的安全保护，验证目标是否可以信任正成为另一个主要的安全元素。此前的两年认证能力增强已成为企业安全产品一个突出的变化，不仅仅是防火墙设备这样的信息安全产品，包括网络设备和软件设施都集成了更加丰富的认证功能。2006年个人安全产品领域也将呈现出这种气象，数字证书等用于身份认证的技术将成为个人安全产品的必要组成部分。总的看来，被动性的防护将更多的被主动性的防护所替代，而可信性计算设备将开始蚕食传统计算机设备的市场。

 

什么是可信计算 可信计算工作组（ Trusted Computing Group ，TCG ） 针对不同的终端类型和平台形式制订出了一系列完整的规范，例如个人电脑、服务器、移动电话、通信网络、软件等等，这些规范所定义的可信平台模块（TPM）通常以硬件芯片和软件组件的形式被嵌入到各种计算终端以用于证明这些终端的可信性。通过验证参与通信的计算终端是否符合其表明的身份和可信程度，可信计算将能够提升整个计算体系的安全性。从实际解决方案来看，Intel的主动管理技术、微软Vista的安全启动技术以及我们之前讲到的处理器防毒技术都可以划归到可信计算的范畴。

 

 

持续创新

 

2005 年的安全行业呈现出安全需求的放射性发展，为了应对变化频繁的用户需求，安全厂商除了着力打造产品之外，也在产品形式和产品的供应上加强适应性。在2006年安全需求的发展态势仍将延续，而那些能够在产品创新之外提供经营创新的厂家将获得更多的发展契机。下载版防病毒产品带来的启示不仅仅在于产品流通渠道方面，同时也暗示着安全产品特别是安全软件厂商的盈利结构正在发生变化。防病毒领域的厂商早已经饱和，继一些厂商将套件产品的价格调低到50元以下之后，不少厂商都谋求在价格战之外重新获得竞争优势。下载版安全产品的价格已经逼近了传统盈利方式的底线，2006年可能会有一些主流厂商完全免费提供面向个人消费者群体的防病毒软件等安全产品。这既是迫于价格竞争的情势，又是转换经营方式的一个突破口。有的厂商会因此而将经营重心转向企业级市场，而有的厂商可能会开始效仿Google的成功模式，通过广告等方面的在线运营形成盈利能力。

 

防病毒厂商普遍在2005年推出了自己的下载版产品，暂且不论这是应用方式上的变革还是渠道建设的创新，用户群体所得到的最直接利益就是价格的下降。计算低于五十元的防病毒软件套装是否能够盈利已经不再重要，真正重要的是寻找新的盈利模式。一个大胆的预测，2006年至少会有一家主流防病毒厂商实行个人用户产品免费，其可能性超过百分之九十。免费供应产品将使厂商摆脱价格战的纠缠，而且带来了转换运营模式的可能，正所谓：“塞翁失马，焉知非福”。特别是在微软表示要进入防病毒市场之后，不采取模式上的创新很可能面临着前所未有的竞争形势。作为个人计算机平台上必备的应用程序之一，防病毒产品蕴含了与互联网服务相同的一些特质，这预示着这类产品能够象Google一样通过在网络广告方面的运营获得利润，也许防病毒厂商应该认真考虑将扫描按钮更换为在线广告条。另一种可能的盈利模式是与上游的通信服务商合作，通过通信服务商向用户提供按端口执行的防病毒服务并与通信资费一起向用户收取一定的费用。这种模式下用户的防病毒成本将被压低至极限，而防病毒厂商和通信服务商也能够基于规模效应获得足够的盈利。

 

 

垃圾信息急需治理

 

安全威胁的范畴极大扩展是2005年带给我们的突出印象之一，事实上这种趋势在2004年乃至更早就已经开始了。尽管全球的相关机构不断加大对垃圾邮件问题的打击力度，但是目前垃圾邮件问题仍只是获得了局部性的缓解，而更加可怕的垃圾信息问题正在侵袭所有的互联网用户。由于应用程序类型的爆炸性增长，每种在互联网上运行的应用软件都可能成为散布垃圾信息的载体。与电子邮件不同的是，这些应用程序往往没有标准可供遵循，相对具有全球统一标准的电子邮件系统来说，这些程序所带来的垃圾信息问题将具有更大的治理难度。为了对抗这些垃圾信息，应用程序供应商将更多的在程序中增加信息源验证功能，以防止未经授权的用户向自己发送信息。同时在2006年的个人安全套件中可能会广泛的集成垃圾邮件防护功能，而在2007年，反垃圾信息功能有望被集成到操作系统当中。