齐玄江

　　最近，一些国家机关发生了泄密事件。事件发生后，追根溯源，发现大部分当事人都是“稀里糊涂”泄密的：他们或者用自己的工作电脑接受了一些不明邮件，或者用U盘在电脑间拷贝文件，仅此而已。有关专家指出，随着盗取用户密码账号、个人隐私、商业秘密、网络财产、政府机密等为目的的木马病毒攻击和黑客入侵行为的日益猖獗，一个新的安全隐患——“被动泄密”正在严重威胁着网络用户的信息安全。

　　公安部近日发布的《2008年全国信息网络安全状况暨计算机病毒疫情调查报告》显示，在发生网络信息安全事件的类型中，感染计算机病毒、蠕虫和木马程序的情况依然十分突出，占72%。据记者了解，正是由于木马、间谍病毒的猖獗，导致“被动泄密”现象日益增多，用户对此防不胜防，深受其害。

　　什么原因导致了“被动泄密”现象的增多，用户该如何避免糊里糊涂成为木马病毒的牺牲品，或“间谍”程序的攻击对象？记者专访了著名反病毒专家、国家863计划“基于程序行为自主分析判断的实时防护技术”课题组组长刘旭。

　　用户不知不觉中被动泄密

　　刘旭介绍说，在业内，被黑客控制的计算机就叫“肉鸡”，任何一台电脑都可能成为“肉鸡”。对于黑客而言，“肉鸡”是没有秘密可言的，所有信息文件都可以轻而易举地调看。这样一只“肉鸡”,如今在网上的叫卖价只有0.1元，由于价格低廉，“肉鸡”一般都是成千上万台批发买卖。最近，利用“微软黑屏正版验证”传播变种灰鸽子新病毒，就是让用户电脑成为被远程控制的“肉鸡”。

　　还有更可怕的“僵尸”，也就是被“僵尸”病毒控制的计算机，这种计算机带有攻击性，被黑客控制的“僵尸”计算机组成网络，会攻击别人的计算机以及重要网站。“僵尸”多是境外黑客网络，主要窃取商业秘密、威胁国家信息网络安全。

　　刘旭说，现在编写和制作病毒的目的，已由过去的“损人不利己”，变为趋利性攻击，如窃取信息等；电脑的中毒率也由2001年的73%，上升到去年的91.47%。当前病毒出现工具化和自动化生成等最新特征，同时呈现隐蔽性、抗杀性、针对性的特点，未知病毒和新病毒让用户防不胜防。这两年，“网游大盗”、“熊猫烧香”、“德芙”、“QQ木马”、“僵尸木马”等入侵用户电脑，盗取密码账号、个人隐私、商业秘密、网络财产甚至国家机密等，就是典型的例子。如果不对这些木马、间谍病毒加以防范，就容易造成用户在不知不觉中被动泄露信息。

　　传统杀毒对化妆改造者束手无策

　　几乎所有的计算机都配置了杀毒软件，但用户为什么屡遭攻击，甚至发生被动信息泄密呢？刘旭表示，传统杀毒软件在过去病毒数量不多、传播速度不快的背景下，还是比较有效的工具，但在互联网广泛应用、全球病毒特征出现颠覆性变化的今天，显然已力不从心。刘旭分析了传统杀毒软件的原理。打个比方，传统杀毒软件查杀病毒，就像低水平的保安抓小偷，完全依赖局部特征，今天抓到一个穿红色衣服的小偷，就认为穿红衣的都是小偷，明天抓到一个穿黄色衣服的小偷，又认为穿黄衣的也是小偷。发现病毒，找出一段或几段程序代码，就是病毒特征码，一旦发现类似或相同的代码，就认为是病毒。传统杀毒软件采用的是特征值扫描技术：“病毒出现——用户提交——厂商人工分析——软件升级”这样的思路，对病毒的防范始终是落后于病毒出现，一般只能杀厂家已发现的病毒，对于新出现或者经过“化妆”改造的病毒，则束手无策。

　　当前病毒都已经自动化产业化了，杀毒厂商还在采用落后的人工分析的思路，必然做不到对未知病毒和新病毒的防范。实现反病毒技术由被动事后杀毒，到主动防御的变革，不仅是全球反病毒产业的共同课题和新的竞争焦点，更是计算机用户的迫切需求。

　　主动防御软件应运而生

　　毫无疑问，当前网络安全的严峻形势需要具有主动防御技术的反病毒工具。正是基于这种认识，现在绝大多数杀毒软件都自称具有主动防御功能。刘旭认为，主动防御是基于程序行为自主分析判断的实时防护技术，必须具备对未知病毒和新病毒自主识别、明确报出并自动清除三大基本特征，这是区分真假主动防御的试金石，尤其“明确报出”未知病毒和新病毒，大多数杀毒软件还做不到。一些杀毒软件对是否真正存在病毒不明确报出，而是采用一些普通用户读不懂的语言，如:“有程序正在向您的计算机设置全局挂钩、是否允许”、“有程序正在加载驱动，请选择”，让用户自己判断，而非计算机专业人员是难以选择的。

　　刘旭认为，国家863项目——微点主动防御软件，是世界首套真正具有主动防御功能的软件，其采用模拟反病毒专家及其病毒判定机制，实现了“动态仿真反病毒专家系统，自动准确判定新病毒、程序行为监控并举、自动提取特征值实现多重防护、可视化显示监控信息”等五项核心技术的突破。经过近百万种病毒的测试，防杀未知病毒和新病毒的有效率达99%以上。

　　防“被动泄密”要注意四个方面

　　刘旭指出，防“被动泄密”，用户应有自觉的信息安全意识。首先应养成良好的上网习惯。一些不健康的网站往往是造成用户病毒感染的重要原因。

　　其次，在一个单位，同事之间，随意通过U盘把自己的文件拷给别人，或者到别人机器上拷文件，不仅是感染并传播病毒的途径，也是造成病毒攻击、黑客入侵而导致信息被动泄密的重要原因。在实际工作中，特别是对信息安全要求高的用户，尽量杜绝用U盘在不同的用户间来回拷文件的做法，还应加强对用户自身邮件安全的保护，拒收不明邮件。同时，有条件应该做到专机专用。

　　再其次，采用安全可靠的反病毒工具。越来越多的例子已经证明，杀毒软件自身也容易被攻击。所以，不仅要慎用非正版软件，还要谨慎选用反病毒工具。采用真正具有主动防御技术的反病毒工具，是比较可靠的选择。

　　对于单位用户来说，则还要加上一项：建立严格的信息安全管理机制。包括建立信息安全保障的管理流程等，从习惯、意识、工具、机制等四个层面上确保网络安全，防止出现信息“被动泄密”。