后XP時代，安全生態將上演動態攻防博弈

本刊記者 | 黃海峰

后XP時代，安全生態將上演動態攻防博弈

本刊記者 | 黃海峰

Q：《通信世界》

A：騰訊公司副總裁 丁珂

丁珂騰訊公司副總裁

4月8日，服役13年的XP系統“停服”：微軟正式停止WindowsXP系統的技術支持，隨之XP電腦用戶安全問題引起業界高度關注。但在大家全力保護用戶XP系統安全的時候，4月5日一場耐人尋味的XP“挑戰賽”讓XP用戶人人自危。整個XP挑戰賽被業界分析為一次公關事件，背后疑似某數字公司推動。對此，安全領域專家、騰訊公司副總裁丁珂從專業的角度來解讀大家的疑問。

作為微軟史上生命周期最長的操作系統，XP在中國市場的用戶占比超過60%，盡管其“停服”后眾多企業與個人用戶依然可以繼續使用XP系統，但是其電腦和賬號安全將受到嚴峻的挑戰。那么，微軟停止XP服務后，國內用戶何去何從？安全廠商有哪些布局？用戶到底該如何保障自己的電腦安全？

Q：4月5日的XP挑戰賽，先是比賽結果顯示除360 XP盾甲外，國產安全軟件無一幸免，隨后第二天又爆出360 XP盾甲在10秒鐘內就被黑客攻破。對該XP挑戰賽，您如何看？

A：了解了下此次比賽規則，個人感覺諸多不合理，有些兒戲。其實有很多更好的賽制和辦法能夠把大家的真實實力展現充分，也需要法律上支持，確保知識產權的歸口，發揮持續價值給到國家和用戶。

比如主辦方沒有任何的相關資質，只是一家去年9月剛剛注冊，今年1月才備案的新公司，像是“從天而降”；比賽中，我們沒看到有符合資質的評審，技術由誰來考核？如何篩查報名者，怎么評價他們的技術能力和保證他們的正直？再有，賽制也有問題。

沒有程序和規則的公平，當然也就沒有結果的公正。我們覺得比起民間組織的此類不嚴謹比賽，大家更應該相信國際安全機構的評定，這些評定有著足夠嚴謹的流程、技術標準，客觀也更有權威性。

Q：關于比賽的結果，很多廠商的XP保護軟件被幾分鐘攻破，這讓XP用戶人人自危，對此您怎么看？

A：如前所述這個比賽近似兒戲，除了吸引眼球、嘩眾取寵外沒有太多價值。最終結果中，所謂某些安全軟件被1分鐘攻破之類，從專業角度看就是個笑話。我們不認為這樣的結果真實有效。按照這樣的說法，騰訊電腦管家XP版被一分鐘攻破，而后來有同行10秒鐘就被攻破了，難道該同行的產品安全性就只有我們的六分之一？

某些世界頂級黑客大賽中，有黑客團隊可以在20秒內搞定最新的蘋果MAC操作系統和Windows操作系統，但是大家都知道MAC的系統是出了名的安全。這樣的結果并不能表明蘋果和微軟不可靠。

所謂現場1分鐘就是表演性質，這背后需要事前用數星期或者數月的準備、在特定的軟件版本之下來發現漏洞。現實世界沒有攻不破的安全系統，如果不限制時間，再高安全級別的系統都遲早會被打破。而真實情況是在黑客發現漏洞的同時，安全廠商也在和他們競賽先發現漏洞，先彌補。

Q：XP挑戰賽中，沙箱問題被認為是一個關鍵點，是這樣的么？沙箱究竟是怎樣的功能？

A：比賽中的狀況我不了解情況，我回答不了。對于沙箱我可以打個極端些的比方，我們把操作系統比成一座房子，都會留下一扇大門供人進出，用戶能進去，黑客也能進去。沙箱的做法是直接將大門封死了，比較極端。從安全的角度考慮，這樣當然是最安全的，因為黑客的確進不去了，門都沒了。但是問題是，用戶也沒辦法進去了。對此，騰訊電腦管家XP版，選擇的是一種更先進合理的方式，大門依然敞開，但是在門口設置足夠強的力量和敏銳的設備，一個個的篩查，做到既讓用戶進去使用房子，又不讓黑客有機可乘。

Q∶既然所有的XP安全產品都被攻破，那么用戶是否該相信后XP時代的安全產品？中國安全企業的能力到底怎樣？

A：打個比方，你可以把XP系統看作是一座長長的江堤。無論你用什么筑起來的長堤，都可能會有漏洞。所以，就有了護堤員，也就是安全軟件，他不停地巡視，一方面及時發現新的漏洞，修補漏洞，一方面保證舊有的漏洞不再復發。但中國互聯網的現狀是有人專門以挖江堤為生，不斷地制造漏洞，而安全軟件得不停修補。整個體系是在挖和補的博弈中，形成動態的生態安全。

我們相信中國的安全企業有足夠的能力守衛中國用戶的電腦安全。并且會協助國家和政府探索出更有創新，更具前瞻的安全生態體系。保駕護航我們未來的便利生活，如移動支付、安全掃碼。

15年來，騰訊持續成功地保障了QQ、微信、郵箱等海量用戶的上網安全，這背后是騰訊對互聯網安全領域的深入研究和經驗積累。安全一直是騰訊的生命線，也是騰訊一步一個腳印走到今天的基礎，騰訊的成功本身就證明了騰訊安全能力的可靠。

我們一直都愿意把15年來積累的安全保護能力應用在XP用戶身上。我們也希望國內的安全廠商也和我們一道，多花力氣在保障用戶利益和技術提高上，讓用戶可以自由自在、安全無憂地享受互聯網的精彩。