芬兰赫尔辛基理工大学的教授汉努·卡里悲观地认为，如果病毒和垃圾邮件迅猛增加等不利情况得不到有效遏制，互联网有可能因不堪重负而在两年内崩溃。

        这绝不是危言耸听。公安部颁布的《2004年全国计算机病毒疫情调查分析报告》显示，2004年重复感染病毒3次以上的用户高达57.07%。其中，相当一部分用户是因为杀毒软件对新病毒反应滞后而遭受重复感染的。

        大量新病毒的出现，使用户们惶恐而又无奈。那么，反病毒厂商们在干什么？用户在想什么？

        一位网管很无奈地说，“我已经很小心了，做了很多限制，但是我不知道什么时候我的系统会因为新病毒而崩溃，坦率地讲，升级杀毒软件对我而言是亡羊补牢—不干不行，干了又不一定行。”

        病毒为何如此可怕？目前我们所依赖的“特征码扫描”杀毒机制，只有在一部分人受到损害后，病毒才有可能被遏制。而这一人群正变得越来越大，甚至有很多人在受到一些特制的病毒损害后自己都不知道，那些病毒并没有“捕获”更没有被杀掉。杀毒厂商的买卖越做越大，但这一杀毒机制将永远跟不上病毒的速度。凭借厂商提供的“过期药”，我们的投资能让我们在多大程度上放心呢？

        从破坏设备到偷盗财产

        病毒最早出现时，只是程序高手们炫耀技术和满足自我成就感的玩笑或者恶作剧，渐渐地开始具有破坏性，从破坏数据到破坏硬盘，其中CIH是一个分水岭。CIH制造者陈盈豪一夜成名，虽然陈盈豪本人对反病毒概念大众化普及功不可没，但是他这种以破坏为目的的病毒制作思想注定成为过去。

        根据国际著名病毒研究机构ICSA统计报告，目前通过磁盘传播的病毒仅仅占7%，剩下的93%来自网络，其中包括Email、网页、网络下载、QQ和MSN等即时通信工具。而赛门铁克方面表示，他们在全球180个国家和地区有2万台服务监视器，公司从运行反间谍软件的1.2亿个客户、服务器和网关上收集恶意代码数据，这从另一个角度反映了“恶意代码”普遍泛滥的现状。

        2004年，电脑病毒已经开始将破坏重点从单纯的破坏系统文件转移到盗取用户卡号、密码等隐私信息上面。更多病毒制造者已不再满足游戏账号的盗取，经过尝试盗取信用卡的试探后，充分利用各种各样的新技术、系统漏洞，试图用“网络钓鱼”等欺骗手段，伪装官方网站或假冒官方发送客服邮件等手段，偷窃电脑用户的银行账号和其他机密信息，病毒的牟利特征十分明显。

        我们可以清晰地看到，今天的病毒已不再是当年的“病毒”，而是具有很强目的性和攻击性的恶意代码。

        反病毒厂商江民科技公司在其《2004病毒疫情报告》中指出：2003年所截获的各类病毒中，木马占全年截获病毒总数的32.24%， 2004年这一比例达到63%，同比增长了30.76%。统计结果还表明，在所发现的木马类病毒中，窃取银行账号、信用卡、游戏账号、邮箱账号等偷窃个人信息性质的木马数量有快速增长趋势，其中2004年发现此类木马占所发现木马类病毒的31.74%。

        今天，病毒已经真正地上升到信息安全的高度。我们的印象中，以前的病毒是对机器造成危害，而现在是危害你的信息安全，甚至是与此相关的个人虚拟财产和现实财产。

        据反病毒专家分析，当今的“病毒”已经具有一些明显特征。首先是攻击途径多样化，可以直接对联网的计算机进行攻击。有的在用户浏览网页时进行攻击，有的通过邮件、MSN或QQ等网络交流工具进行攻击。第二，传播速度快，从病毒的出现到感染上百万台计算机仅需几分到几十分钟。第三，有很强的“偷盗性”，与利益密切相关。以往病毒制造者所编写的病毒通常是“损人不利己”，目前病毒越来越多的是以窃取银行账号、信用卡、游戏账号、邮箱账号、机密文件等偷窃个人或企事业核心信息为主要目的。

        道路是坎坷的，前途是光明的吗？我们又该如何面对这样的新病毒时代？

       杀毒厂商难以自圆其说

       病毒从诞生之日起就是一场战争，永无休止的战争。

        首先是病毒损害了一部分用户的利益。第2步，杀毒厂商通过有限途径拿到“病毒样本”，然后程序员们对病毒样本进行分析，将病毒特征码放进“病毒库”，然后让用户升级他们的杀毒软件，这个过程有长有短。这就是“捕获→分析→升级”的杀毒市场模式，并且一直沿用至今。

        有业内人士提出，这就是所谓的杀毒产业“医院模式”。这里面有一个潜台词:“病毒是不可避免的，损失也是不可避免的。”

        Java程序员戚先生则一针见血地指出：“所谓‘医院模式’是个借口，诚然软件不可能没有缺陷，但并不意味着软件思想可以不提高、不改变。”

        对于用户而言，购买杀毒软件是要最大限度地保障信息安全，网管袁先生说，“我们期待的杀毒软件应该是像UPS一样能够有保障的，而不是建立在损失的基础上。”

        病毒的不可避免这是真理，但不意味着它的损失可以不停地放大。仔细追究，“医院”和“杀毒软件”有着本质上的不同，从用户需求和“病”的产生模式而言，它们都是不同的：医院是以救治为主的，而杀毒软件是以保护为 初衷的。“UPS模式”才是用户们的期待。

        一方面是巨大的损失。2004年4月份，云南某家网吧传出80余台电脑网络游戏账号一夜全部被盗事件。紧接着“网银大盗”突现网络，能够轻松绕过某银行网上银行系统的安全插件，盗窃用户银行卡账号及密码，巨额资产岌岌可危。

        另一方面，病毒制造者们的热情和利益又造就了日益膨胀的信息安全市场。总部设在美国、关注计算机病毒和网络安全的赛门铁克公司，目前的市值为163亿美元；专注计算机病毒、在美国和日本两地上市的趋势科技（股票代号：TMIC）公司，其市值为71.9亿美元；专注网络安全的Check Point (股票代号：CHKP)，市值为61.4亿美元。（注：上市公司市值来源于2004年12月31日收盘时数据）

        而在国内市场，2003年网络安全产品的总销售额达23.57亿元，比2002年增长了5.21亿元。预计到2006年，我国网络安全产品市场的规模将达到100亿元人民币。

       信息安全产业不完全取决于反病毒软件，但用户对终端保护的依赖性是极强的，信息安全损失虽然不能完全与反病毒软件挂钩，但最起码是息息相关的——网管袁先生就强烈表示：“要不然我们购买反病毒软件干什么？!”

        反病毒厂商做的正是抑制病毒危害的工作，如果它们的商业价值越高，就应该更好地抑制病毒危害，减少病毒带来的损失。虽然不是直接关系，但在理论上，两者价值应该成反比。

        这种奇怪的价值正比增加的根源就在于，杀毒厂商永远是跟在病毒后面。就算杀毒厂商以最快速度截获病毒，损失依然不可避免。今天，我们国内最大杀毒厂商已经开始用70多人的技术队伍来应付每天几十个病毒。那么，病毒在递增，杀毒厂商的人力资源是不是也可能无限递进？这些递进成本从哪里来呢？

        这也正是这个产业大厦地基上的裂缝所在。那么，产业危机在哪里？未来在哪里?

        欲速而不达

        信息安全的关键在哪里？首推的应该是速度。病毒的可怕之处在于其感染速度，因此信息安全厂商们似乎也在比着速度——谁先为用户解决问题谁就更有价值。

        据闻，在红色代码突发的时候是一个星期六，国内最先捕获该病毒的厂商实际是在6天之后才给出反应，但在市场上已经占领了先机。

        可以说，这种速度甚至意味着商业地位。早在2001年，因为提前了24小时捕捉到新病毒，趋势科技的市值飙升几十亿美元。

        可是，每24小时里将有亿万互联网用户面对诸多未知病毒。而且可以确定的是，他们中的部分人注定要付出代价。这是一个不小的数字，并且随着网络和病毒的发展，这个数字还将不断变大。

        从这个角度来说，这带来了几十亿美元的24小时还值得称道吗？对于那些已经受害了的用户，他们完全有资格说一句：这些忙碌的杀毒厂商确实没有尽到他们的责任，只是被动地固守着现有的赢利模式，缺乏足够主动性。

        基于事实我们发现，杀毒厂商最可悲的地方实际上也在于速度。产业链中的杀毒厂商们只有通过更加频繁的升级来掩饰这种速度上的致命弱点，但是，无论如何高频率的升级，从目前的杀毒机制而言都是滞后的，人工的反应永远滞后于病毒，频繁升级的“伪速度”正好反映了反病毒产业的窘迫。

        目前，杀毒市场的商业模式是这样的：病毒好像一个火车头，后面拉着信息安全厂商，它们行驶在同一条铁轨上，厂商永远无法“超车”病毒。这种思路下，它们只有无可选择地充当滞后者。

        难道这一命运真的无法改变吗？

        进攻是最好的防守？

         今天，信息安全已经不再是一个单纯的IT问题，而是一个社会问题。

         从技术上而言，摆脱传统的跟随思想，才能从根本上解决问题。要了解病毒，不是拿到病毒之后再去了解，而应了解它的思路、了解黑客、了解病毒制造者。“最好的防守是进攻，从源头去了解，才有可能制服病毒。”或许，这是一个更好的思路。

        在这场病毒与杀毒的较量中，厂商正在更换自己的思路。未知病毒查杀技术被国际反病毒界公认为未来反病毒技术的发展趋势，对未知病毒查杀能力的高低将标志着一个杀毒软件的技术是否先进。

        在专家看来，所谓“预杀毒”的几种思路大致是这样的：用硬件协防，提前进行端口检测；对注册表进行检测也是一种方法；另外，对同一个漏洞的攻击，它的“攻击包”是相对一致的，所以针对某一个漏洞的病毒是可以预防的。比如，对于某些蠕虫病毒“预杀毒”是可以实现的；还有一种思路是通过对病毒行为或者运行机理的判定，进行动态的“病毒行为的判断”。

         目前，国外几大著名反病毒软件厂商均将对未知病毒的查杀作为主要的研发方向。据介绍， 微软正在研究“behavioural blocking（动作阻挡）”技术，并准备推出相应产品，用以减少由蠕虫和病毒带来的伤害。它的原理是以病毒的可疑动作作为判断依据，这样可以一定程度上实现“病毒预防”的作用；瑞星声称，他们研发了行为模式分析（BMAT）和脚本判定（SVM）两项查杀病毒技术来实现对未知病毒进行检测; 趋势科技采取的则是对漏洞包的监测，也可以起到一定的预防效果。

        但是业界普遍认为，还没有一种“预杀毒技术”能对现有杀毒商业模式起到颠覆作用，“没有成熟的产品，各种预防技术还都相对片面，还不能够商用。”但也有渠道商刻薄地笑言：“现在的杀毒软件已经很能赚钱了，为什么要换新的——反正用户习惯了，具体多大效果无法量化。”

        技术专家王先生表示，“人的想法是没有定律的，病毒制造者们做病毒的思路也没有定律，这就注定了‘预杀毒’也不可能一个不漏地捕获病毒。”

● 评 论

        谁来为我们保险？

        倘使我是保险公司，我一定开设一个新险种，叫做“病毒险”。

         这样，保险公司就可以和病毒制造者、微软、杀毒软件公司还有用户就形成了一个真正完整的产业链。今天的用户和杀毒产业都太需要买一个保险了。

        病毒不断在新的思路上升级破坏性，而杀毒厂商却仍然在旧有的思路上升级产品。用户已经对杀毒软件的“病毒特征码”库升级形成了依赖，可悲的是，这种依赖已经越来越不可靠。

        问题就在于，在“捕获→分析→升级”这个杀毒产业赖以生存的旧有模式上，最基础的“捕获”这一环节出了问题，而且是目前还无法解决和规避的问题。

        面对机器里已经造成损害的病毒，或许懂礼貌的杀毒公司会送上安慰的话，但最重要的是将病毒样本“捕获”以丰富他们的病毒库。这种建立在既有用户受损害基础上的病毒“捕获”，作为杀毒市场的基础，曾经是适用的，并且起到了很大的作用。但是随着病毒种类的增加，这种“捕获”背后的牺牲者会越来越多，更不可容忍的是，一定会有很多“定制”出来的病毒永远都无法“捕获”。并且，随着病毒量的飞速递增，这后面的损失无可估量。

        也就是说，假如病毒是“小偷”的话，充当警察的“杀毒公司”们就只能抓那些有案底的“小偷”，这些案底就相当于“病毒特征码”库。可是正如陈佩斯的光头比朱时茂抢眼一样，在大量病毒层出不穷的今天，病毒这个“小偷”已经比“警察”更出风头了。

        对那些掏钱的人来说，这真是个不幸的消息。

        你的私人信息、虚拟财产，甚至银行里的存款都是不安全的，而你和你花钱买的杀毒软件还都浑然不知。这并非恐吓或者科幻，这样的噩梦已经开始了。

        理论上没有一种软件能够杀死所有的病毒。可这并不是理由，我们可以容忍有缺陷，但这并不代表我们能容忍越来越多的缺陷。除了共产主义社会外，不可能有哪个社会没有小偷，但是，我们的警察能总是以不变的手段来对付小偷吗？警察不仅要抓小偷，还应有防范作用！

        最大的问题就是，杀毒市场的基本思路最近多少年来没有改变，已经不适应目前病毒的新特征。从一个角度看，他们“对不起”那些自己辛辛苦苦培养起来的依赖着他们的用户。

        很遗憾，我不是保险公司，那些跟杀毒厂商同样会做买卖的保险公司断然不会大规模地推行“病毒险”。因为，倘若我们的杀毒厂商们还这么干下去，保险公司的风险实在太大了，赔不起。

        那么，我们的信息安全，谁来为我们保险？