奇虎360资深安全专家 陈杰

　　微软宣称针对XP系统以及office2003停止服务，2003年我们反应不是很大，因为它只是一款应用软件。但是对于XP系统，我们明显就对它的反响非常大，因为XP这个东西一旦不用，我们就没有什么可以使用的。这对我们来说等于是被微软绑架了，因为微软停止服务的时候，我们只能跟着走。微软本身并不是很干净的，虽然我们现在用着它，但实际上微软早期曾在这上面暴露出过很多安全问题。比如中美黑客大战的时候，微软对这个漏洞的解释，这只是我们的开发人员所保留的一个正常登录的后门。很多东西掌握在别人手中的时候，我们是没有主控权的。虽然微软XP停止服务，好像我们要遭到非常大的攻击，实际上并没有炒的太大。当停止服务以后，其实代表我们现在所使用的微软的东西，今后针对XP操作系统所有的安全隐患全是零，那我攻击你是非常高的。安全是一个攻防的过程，微软现在做到这样一个安全防护，相当于我们使用了一种古代的铠甲，在原先是可以提供相应的防护的，但我的攻击者一旦研究出新的东西，就像清朝一样，穿着铁甲对普通的弓箭防护是可以的，但西方的机枪出现以后，这些铁甲是没有意义的。

　　微软对这方面的补丁并不是很快的，2013年微软公布漏洞细节334个，修复补丁数量只有106个。早期微软的工作，比如我们给微软报一个漏洞，同时微软要求我们必须提交一个能利用这个漏洞产生一些特殊行为的工具，把这两个结合起来，它审核机制三个月，三个月以后，这个漏洞是否是个高危漏洞，是否打相应的补贴。对于微软来说，源代码在他手里面，想进行安全防护，难度也是非常大的。比如发行一个漏洞，就像小孩有了近视眼，一种比较有效的方法就是拿激光治疗，那相应的手术准备和术后恢复都是花很长时间的。这对微软来说，成本很高的。微软最大的一个案例是03年冲击波病毒，02年6月份国内一个着名的黑客已经发现了，当时发现以后就直接报给微软了，但是微软不相信中国人对漏洞研究的能力，而且他觉得RPC是Windows操作系统相对底层的，这个一旦修改的话，对它整个的影响是比较大的，当时就没管。但是02年年底针对这个RPC漏洞所利用的工具，在黑客圈子里面已经比较泛滥了，而且当时这个漏洞工具可以达到指哪儿打哪儿的效果。

　　03年6月份，冲击波病毒大肆爆发的时候，很多单位设置的防火墙是没有意义的，因为当时的防火墙安全策略认为这种冲击波病毒是很正常的。

　　针对微软停服是一个正常商业行为，他不做了，我们就要考虑相应的保护手段。确实国内的生产厂家提出了很多，比如近视眼，微软从底层要做激光治眼比较麻烦，其实一种比较有效的方式，给戴个眼镜就行了，前期进行相应的验光，做精确度比较好的眼镜戴上，问题就解决了。这就代表，我们可以以不同的思路、不同的应对方式，来解决微软XP停服所产生的问题。

　　国内现阶段来说，真正可使用的，也就这么几家。但每家的思路还是不一样的。我们公司提出的XP盾甲主要是这种思路，内容层就是安全加固。系统层使用的是热补丁，应用层采取了危险应用的隔离。腾讯，提出了HIPS，他们做了一个安全漏洞的在线防御。北信源利用白名单、操作系统安全基线配置。

　　我简单说一下我们公司的整体的思路。相当于医生看病救人的模式，我们这样一层一层考虑的。微软本身可能是在机器里面，因为它自己有源代码，打补丁相对来说比较容易。因为漏洞产生一个问题，可能在基层源代码改几个语境就搞定了，但我们是没有资格读它的源代码的。源代码公开以后，我们进行研究就可以进行操作系统安全加固，代表在内核层进行安全加固是非常有效的一个机制。在这儿，我们的想法是改良基因。这有点类似于人类的物种进化，一步一步改良基因。像现在最容易理解就是小孩刚生出来的时候，把这个孩子带去打一大堆的疫苗。打疫苗就是一个改良基因，我们打了疫苗以后，就不害怕天花等等流行病。在古代的时候，天花只要一得基本上是必死无疑。我们现在从根子上解决，打疫苗。当然这就要求安全厂商对于操作系统本身有很深入的研究。这种研究对于我们公司来说，只能采取逆向工程的研究。虽然我们没有源代码，但是我们能拿到它的软件，然后进行还原，分析一下它里面的某些特殊机制，再进行相应的处理。

　　因为毕竟逆向还原代码太多了，即使微软本身也没法研究透彻，更不用说我们一些安全厂家了。但这种东西是一个比较长期的过程，很多时候会出现一些非常典型的漏洞，造成的影响是非常大的。针对这些漏洞，我们就采取手术。比如华佗，当时关公种了一箭，华佗就给他刮骨。这其实也是比较快的方式。我们就采取热补丁的方式，我们的热补丁跟微软的冷补丁是不一样的，微软的冷补丁是激光，而我们是采取戴个眼镜，如果做的更精细一点会变成隐性眼镜，但说实话，无论是框架眼镜还是隐性眼镜，毕竟不是人身上的东西，或多或少还会造成一些影响，这只能是应急的手段，是治标不治本的。真正治本的手段还是从改良基因方面。所以，以后我们会投入更大的经历研究针对系统本身的安全加固方面的使用模式。

　　这两层都解决掉以后，我们会发现对于很多东西、很多应用的漏洞发作机率是比较高的，我们采取ICU隔离。隔离病房最典型的就是前几年非典期间，只要一感冒就隔离起来。我们最典型的应用就是IE和Office，这些应用为什么危险呢？因为它们使用量太大了，这样攻击者对它研究的比较多、比较深入。任何一款软件都不可能是严丝合缝的。我们把它隔离起来，就算你给我下载一个木马，对我操作系统是不造成丝毫影响的，这种方式就比较有效。因为你感染的仅仅是一个虚拟杀伤而已，而那个虚拟杀伤我随时可以删除的。对于Office软件也一样，现在主流的攻击模式就利用Office文件，把恶意木马植入到文件里，当你打开这个文件，作为用户来说看到的是一个正常的文件内容，但后台已经操作了木马。我们现在也把它隔离起来，就算有木马运行，不会让它把你机器里有用的资料传递出去。

　　除了这三点以外，我们考虑了规范饮食。说白了，是个习惯的问题。把习惯确定了，就不容易受影响。比如我们养成饭前洗手的习惯，你就不容易吃坏肚子。我们对一些要求绝对安全的终端，比如军工、航天、军队，比如军队的导弹车，导弹发射车做的就是发射导弹的几个指令，使用非黑即白是比较困难的，把黑的东西认清楚是非常难的，那我们直接来个简单点的，非白即黑，我只要认清楚白的东西有哪几个就够了。认知世界可能小一点，感觉很傻很天真，但这种天真可以避免很多的伤害。白名单的方式，在国外现在有一家公司非常受重视的。

　　我们采取这样四种模式以后，构成了我们新的产品叫XP盾甲，从名字里面可以看到，既包括了我们手上的盾牌，也包括了身上的装甲，合起来以后，就可以理解为当微软停止对我们核心的这一块维护以后，我们给我们的XP系统穿上了一套比较全面的动力装甲。对于操作系统安全加固，我们采取更加彻底底层的杜绝各类漏洞。我们这种属于治本，把根子上的一些问题最小化。这儿有几个比较好的特点，从攻击原理上直接杜绝漏洞的危害。这种模式比微软打补丁的模式要好很多，我们现在掌握了14种加固办法。

　　热补丁有点类似于病毒的专杀工具，我们14种加固解决不了以后，我们就使用热补丁的模式，最终解决的方式是通过我们的产品推下去，直接使用。它的优势很明确：速度快、开发周期短、快速修复。对于漏洞本身的文件是不需要进行修改的，而且修复过程中，这种补丁装上之后不需要重启。这样对于很多服务器是比较适用的。针对性比较强，专门针对某一个漏洞，但对于其它漏洞是无效的。确实有些缺点：通用性比较差、头疼医头脚疼医脚、东西太多。

　　而我们在热补丁方面的经验积累，还是比较丰富的。我们已经有19次先于微软之前向用户提供热补丁，而且我们还维护了很大的权利。就是我们报上去两周时间，如果两周之后，微软还是不公布相应的补丁，我们就可以直接发布热补丁。实际上是把微软的工作速度给大大调快了。而且到现在为止，这方面对技术要求比较高，国内只是金山和腾讯各报出了曾经有一个热补丁，他们是远远少于我们的热补丁的。而且现在我们漏洞挖掘能力比较强，在今年第一季度就已经挖到了57个微软方面的漏洞，整体挖掘实力是比较强的。同时我们在全球收购漏洞。

　　对于危险应用隔离，主要是IE和Office。IE简单的模式允许访问网络，但限制本地资源访问。对于Office方面，允许本地访问，限制网络访问。

　　这是我们非白即黑的策略，我们公司是靠非白即黑起家的，现在我们公司最全的白名单库已经接近了1个亿，由于我们做的比较大，已经形成了一个很好的市场氛围，其它厂家在发布新版本的时候，会提前把软件交给我们，我们进行审核，然后再发布。

　　产品形态包括三种：对于个人市场，是一个单机版，作为安全卫士的存在的，用户可以在网上下载安装就可以了，而且使用起来很简单。对于企业，企业要求是集中管理的，我们采取两种模式：一是很多企业已经安装了瑞星或金山等杀毒软件，短时间内是不方便更换这些杀毒软件的，我们为了解决这个问题，出了一个XP盾甲的网络版，这可以跟其它的进行兼容的，我们就专门做这个事。它主要把咱们安全加固、热补丁，以及危险应用隔离三个功能结合起来使用。二是天擎操作系统，除了XP加固以外，还有额外的很多的集中进去，比如安全卫士等等功能，方便我们的用户直接进行升级。

　　部署方式：发网页链接，打开以后上面有一个下载链接，直接安装。另外，如果企业里面自己装了360卫士，我们可以升级为企业版。中科院还专门找我们进行这方面的沟通。