后XP时代，安全生态将上演动态攻防博弈

本刊记者 | 黄海峰

后XP时代，安全生态将上演动态攻防博弈

本刊记者 | 黄海峰

Q：《通信世界》

A：腾讯公司副总裁 丁珂

丁珂腾讯公司副总裁

4月8日，服役13年的XP系统“停服”：微软正式停止WindowsXP系统的技术支持，随之XP电脑用户安全问题引起业界高度关注。但在大家全力保护用户XP系统安全的时候，4月5日一场耐人寻味的XP“挑战赛”让XP用户人人自危。整个XP挑战赛被业界分析为一次公关事件，背后疑似某数字公司推动。对此，安全领域专家、腾讯公司副总裁丁珂从专业的角度来解读大家的疑问。

作为微软史上生命周期最长的操作系统，XP在中国市场的用户占比超过60%，尽管其“停服”后众多企业与个人用户依然可以继续使用XP系统，但是其电脑和账号安全将受到严峻的挑战。那么，微软停止XP服务后，国内用户何去何从？安全厂商有哪些布局？用户到底该如何保障自己的电脑安全？

Q：4月5日的XP挑战赛，先是比赛结果显示除360 XP盾甲外，国产安全软件无一幸免，随后第二天又爆出360 XP盾甲在10秒钟内就被黑客攻破。对该XP挑战赛，您如何看？

A：了解了下此次比赛规则，个人感觉诸多不合理，有些儿戏。其实有很多更好的赛制和办法能够把大家的真实实力展现充分，也需要法律上支持，确保知识产权的归口，发挥持续价值给到国家和用户。

比如主办方没有任何的相关资质，只是一家去年9月刚刚注册，今年1月才备案的新公司，像是“从天而降”；比赛中，我们没看到有符合资质的评审，技术由谁来考核？如何筛查报名者，怎么评价他们的技术能力和保证他们的正直？再有，赛制也有问题。

没有程序和规则的公平，当然也就没有结果的公正。我们觉得比起民间组织的此类不严谨比赛，大家更应该相信国际安全机构的评定，这些评定有着足够严谨的流程、技术标准，客观也更有权威性。

Q：关于比赛的结果，很多厂商的XP保护软件被几分钟攻破，这让XP用户人人自危，对此您怎么看？

A：如前所述这个比赛近似儿戏，除了吸引眼球、哗众取宠外没有太多价值。最终结果中，所谓某些安全软件被1分钟攻破之类，从专业角度看就是个笑话。我们不认为这样的结果真实有效。按照这样的说法，腾讯电脑管家XP版被一分钟攻破，而后来有同行10秒钟就被攻破了，难道该同行的产品安全性就只有我们的六分之一？

某些世界顶级黑客大赛中，有黑客团队可以在20秒内搞定最新的苹果MAC操作系统和Windows操作系统，但是大家都知道MAC的系统是出了名的安全。这样的结果并不能表明苹果和微软不可靠。

所谓现场1分钟就是表演性质，这背后需要事前用数星期或者数月的准备、在特定的软件版本之下来发现漏洞。现实世界没有攻不破的安全系统，如果不限制时间，再高安全级别的系统都迟早会被打破。而真实情况是在黑客发现漏洞的同时，安全厂商也在和他们竞赛先发现漏洞，先弥补。

Q：XP挑战赛中，沙箱问题被认为是一个关键点，是这样的么？沙箱究竟是怎样的功能？

A：比赛中的状况我不了解情况，我回答不了。对于沙箱我可以打个极端些的比方，我们把操作系统比成一座房子，都会留下一扇大门供人进出，用户能进去，黑客也能进去。沙箱的做法是直接将大门封死了，比较极端。从安全的角度考虑，这样当然是最安全的，因为黑客的确进不去了，门都没了。但是问题是，用户也没办法进去了。对此，腾讯电脑管家XP版，选择的是一种更先进合理的方式，大门依然敞开，但是在门口设置足够强的力量和敏锐的设备，一个个的筛查，做到既让用户进去使用房子，又不让黑客有机可乘。

Q∶既然所有的XP安全产品都被攻破，那么用户是否该相信后XP时代的安全产品？中国安全企业的能力到底怎样？

A：打个比方，你可以把XP系统看作是一座长长的江堤。无论你用什么筑起来的长堤，都可能会有漏洞。所以，就有了护堤员，也就是安全软件，他不停地巡视，一方面及时发现新的漏洞，修补漏洞，一方面保证旧有的漏洞不再复发。但中国互联网的现状是有人专门以挖江堤为生，不断地制造漏洞，而安全软件得不停修补。整个体系是在挖和补的博弈中，形成动态的生态安全。

我们相信中国的安全企业有足够的能力守卫中国用户的电脑安全。并且会协助国家和政府探索出更有创新，更具前瞻的安全生态体系。保驾护航我们未来的便利生活，如移动支付、安全扫码。

15年来，腾讯持续成功地保障了QQ、微信、邮箱等海量用户的上网安全，这背后是腾讯对互联网安全领域的深入研究和经验积累。安全一直是腾讯的生命线，也是腾讯一步一个脚印走到今天的基础，腾讯的成功本身就证明了腾讯安全能力的可靠。

我们一直都愿意把15年来积累的安全保护能力应用在XP用户身上。我们也希望国内的安全厂商也和我们一道，多花力气在保障用户利益和技术提高上，让用户可以自由自在、安全无忧地享受互联网的精彩。