4月28日下午，由中国互联网协会网络诚信联盟主办的首届中国互联网信用与安全服务高峰论坛在北京召开，这是中国首个关于互联网企业的信用与安全方面的高峰会议。来自政府、企业及研究机构的嘉宾就电子商务、团购、视频等细分领域的互联网信用与安全话题展开深入探讨。

　　以下为奇虎360副总裁石晓虹主题演讲《安全公司推动互联网诚信建设》全文：

　　各位领导朋友们下午好，很高兴代表奇虎360参加这个，大家知道360是以网络安全服务为核心业务的，过去五年来我们一直解决用户上网安全问题，包括我们现在在云计算这种架构建立利用服务器端庞大的文件，包括网页的黑白名单这样一套机制，为用户提供一个防范。今天这个论坛的主题是信用，实际上我想说，我们在做网络安全服务的过程中，其实本质的思路跟信用是非常一致的，我今天希望从个人网络安全这个角度向大家介绍一下或者跟大家共同探讨一下中国目前整体的互联网的安全状况是什么，我们为什么需要用信用体系这样一套规则来解决我们安全问题，以及我们360在这个过程中做的一些经验。

　　首先我想跟大家说一些数据，在去年全年360检测到的或者截获到的恶意文件软件的数量达到7亿个，这个数量是非常庞大的，跟2009年是十倍的增长。从网站来看，恶意网站的数量，在去年我们截获的网站有将近63万家，经过人工审核确认之后钓鱼网站将近27万家，2009年钓鱼网站并不是一个很明显的安全威胁。

　　这么多安全威胁在爆发面的增长，一方面是黑客的攻击手段越来越多样化、自动化，之所以有这么大量恶意文件软件的出现，大量的采取自动化的工具，产生了如此巨大的变种。

　　另一方面，也是因为互联网的应用越来越多，不可避免会产生负面的效应，比如大家现在都在讲生活网络化的趋势，网络和经济一结合会越来越紧密，包括现在网上的购物，网银，包括有戏，甚至社区里面，都会关系到用户除了个人隐私之外还包括个人的资产，无论是真实的还是虚拟的。

　　由于这样经济利益的刺激，我们也看到网上支付的普及也非常快，到去年年底，中国网络网上支付用户的规模已经到了1.37亿，这么巨大的一个经济价值刺激着黑色产业链的形成。举个典型的例子，现在一种新的危害木马出现了，它专门在网购用户做在线支付的流程中劫持，然后再利用第三方支付平台的漏洞，把赃款迅速转换为手机充值、有戏点卡一样的虚拟商品，通过出售商品把骗过来的资金拿来。所以可以看到现在新的木马已经发展成犯罪的手段非常成熟的黑色产业链。

　　从网络攻击的传播途径来看，攻击的方式也越来越多元，很多攻击结合了其他的包括社会工程学的方法，并且通过类似于微博或者社区来传播。所以现在可以说绝大部分的网络攻击已经不光是黑客用病毒和技术上的攻击，而且还把人性的弱点，包括类似社会工程学，经常出现一些热点社会事件的时候做假冒的视频网站，通过搜索引擎让很多网民搜这些内容的时候，能够访问到他的网站，然后在这个网站上面给用户提供一种专门所谓的播放器，专门看一些好的视频，但是实际上系一个伪装的木马，或者你在网购的时候，碰到一个商户说一个特别低价的商品，你被吸引去了之后他通过聊天工具发给你一个资料或者图片，你一运行或者打开其实是一个木马，这个木马会劫持你在线支付的流程，最终就面临着你的资产和个人信息的丢失。

　　这种安全软件已经不可能通过技术解决所有问题，而且安全软件的相应速度也面临着极大的挑战，我们现在每天能够劫持到的恶意软件文件的数量大概在300万到500万，意味着每小时有20多万个新的木马文件，你的安全软件速度怎么跟的上这样的木马和病毒的威胁速度，这是一个非常严峻的问题。

　　我们有一个思路，就是采用信用体系，才有可能是唯一化被动为主动的解决方法。以前大家认为杀毒软件安全防护软件是客户端的软件，已经不适应现在的这种状况了，这里面刚才谈到了，在现在恶意软件爆炸性增长的情况下，你不可能每天把恶意软件的特征更新到你的电脑终端的病毒库里，这样的话你的电脑资源可能会被杀毒软件本身耗尽，严重制约了电脑杀毒软件技术的发展，成为一个瓶颈。

　　根据这种情况，360在几年之前就采用了这样的思路，把主要的安全防护，对文件也好对网页也好，这种判定扫描放在云端来做，我们实际上在云端建立一个针对文件也就是程序以及网页的一个庞大的数据库，这个数据库其实就是一个对这些文件和网页的信任度或者可信度的一个数据库，其实就是针对软件或者针对网页从安全角度来看一个认证体系。

　　我们这里的一个主要思想就是利用这套信用认证的体系，跟传统的杀毒软件一个最大的区别，传统的杀毒软件主要利用黑名单，在你的电脑上面有一个病毒库，信用认证体系更多是采用白名单的思路，360在云计算和云安全的体系里面也是采取这套体系。

　　我举两个例子，在360里面有一个木马的云查杀，我们有一套策略就是黑百即黑，就是对电脑里面关键的位置，我们采用一个白名单的形式，我在这个名单里面我们就认为它是可疑的，不管你的木马如何变形总是变不到我的白名单里，我的白名单是经过严格的检测和认证才能进来的，这是对恶意软件的变形是一种非常有效的方法。这是一个例子。

　　另外一个例子就是我们的360的浏览器里面有个功能叫做地址栏名牌，大家也知道现在各种各样的钓鱼网站，甚至包括虚假内容虚假药品的网站特别多，在这种情况下用技术手段判断是很难做到自动化的完全识别的，这是一个技术上的难题。这里面有一部分比如银行、一些大的电子商务网站采用的就是白名单的机制，对这些网站我们经过认证的机制之后，客户浏览这些网站的时候，在360的浏览器里面会有特殊显示，告诉你这是一个真正的官方网站，而不是假冒的。如果你访问到另外一个号称工商银行，但是又没有特别显示网站的时候，用户就要担心。通过这种机制我们让用户减少被这些恶意网站侵害的可能。

　　这其实这里面利用这样一套信用的认证思路，一个很关键的点，就是你需要有一个很全面的白名单，这块在360是一个非常关键的工作，在目前来说我们可以说这套白名单的系统是最完善最全面的，我们通过我们技术的方法可以自动实现对这些正常软件的抓取、更新，包括对它进行验证，确保它没有问题，包括它所有后续的版本，包括不定，我们有一套制度去做。我们也提供广大的软件开发商提供免费的服务，这样把他们的网站提交给360，经过我们的验证之后加入到白名单，基本上我们现在经过这几年的发展，已经建立了一个能够覆盖95%以上中国用户最常用的各类正常软件的一个白名单系统，这里面包含了各种文件的样本，包括这些软件所有版本的内容，文件的数量将近3000万个，这个就有效保证了我们实施这样一个机制。

　　刚才提到了在云端我们有这样一个可信程序的数据库，就是白名单。那么针对网页这块我们还使用了搜索引擎技术，能够主动抓取互联网这种网页，搜索引擎里面有这样的一些技术，能够识别网页里面的恶意网页。当客户使用任何一个浏览器访问网页的时候，我们360安全卫士会做一次服务器的查询，告诉终端这是一个正常的网页还是恶意的网页，这个查询会在几秒之内完成。另外我们对网站也提供了一项安全检测服务，网站只需要将网站域名提交，我们在这个体系里面只要发现网站出现了挂马或者恶意代码，可能是被黑客入侵，我们会在第一时间通知。我们在中国超过70个城市120个机房部署这样的设施，向中国超过3亿网民提供这种可信的鉴定服务。

　　在云安全这个领域里面，我们在全球来说，大规模工业化的去运用，我们应该是全球比较领先。

　　参加这个论坛之前，我们也看到中国互联网协会的信用评价中心有一个网站信用证这样一个服务，我也觉得这是一个非常有价值的服务，我们在之前跟这方面也有一个很好的合作，我们之前发布了团购的任务开放平台，我们在审核加入我们团购开放平台团购网站的时候我们也会参考这种网站信用证。另外我们发现有团购的钓鱼网站的时候，我们会给用户的安全提示，这个提示里面也会建议用户参考，类似于像网站信用证，所以这里面我们这样一套思路跟过去很多传统的行业是有很大的差别。至于白名单这套体系，或者基于对信用认证这套体系非常有效的能够去解决用户上网安全问题，但是我想不是一个百分之百的解决，只能是一个不断的演化，跟黑客这个产业链不断的攻防。

　　在过去的几年里，360一直在做一种创新的事情，无论是技术上的创新还是商业模式上的创新，在未来，360一个主要的想法，我们会以开放的思路，如何给网民创造一个可信互联网环境，我们讲出我们自己的努力，以及我们将我们的技术通过开放的形式给合作伙伴提供支持，希望大家共同创造一个干净安全可信的用户上网环境，好，谢谢大家。