CIOI:在你谈的过程中，一直离不开网络这个环境，这是否意味着不怎么用网络的企业就不用关注僵尸网络了？

　　杜跃进：是否关注僵尸网络和企业有没有自己的网站之间并不能完全划等号。对于任何一个CIO来说，很重要的一点就是要意识到我们现在计算机里的恶意程序的危害不在于程序本身，而在于它是否会把数据传出去。所以一定要时刻提醒自己，要树立这样的安全意识。打个比方，假设你是个CIO，今天发现自己的房间里面有几只毛毛虫，于是你就把它们扫出去了；明天又发现几只毛毛虫，你还是把它们扫出去了；后天发现接着扫。可是后来我告诉你，这些毛毛虫都是别人故意往你房间里放的，而且这些毛毛虫还有这样的功能，它可以记录你房间内发生的所有事情，并直接发送这些信息。这个时候你是不是还能像之前那样，来毛毛虫就扫掉呢？你肯定要想，这些毛毛虫进来之后，我是否曾经开过极端机密的会议？如果是的话，你必须马上要采取措施了，因为你即将竞标的标底可能已经被偷走了。

　　如果你有这种心态的话，你自然就会有不同的做法。你更关注的不仅是能否及时发现计算机被病毒感染，而是能否在企业网络上做出更有效的控制措施，使得即便计算机被感染，但企业该保护的信息还是不会被偷走。我反复强调，可怕的不是这个恶意代码（“病毒”）本身，而是这些恶意代码的行为。对于所有的企业用户来说，最需要关注的是这些恶意代码有没有从我这里盗取机密，而有网站的用户才会同时兼顾外界恶意代码的攻击。

　　CIOI:总的来说，企业在面临僵尸网络的时候只能被动地防范吗？

　　杜跃进：对。就像我刚才说的，首先他只能看到病毒。所以对于防范来说，他能做的也就是清除这个病毒，切断这个病毒和外面的联络，仅此而已。那个背后的真正的黑社会司令部不在企业那儿，它就是想铲除也铲除不了。企业在防范的时候往往很被动。

　　CIOI:那在被动的处境下，企业又可以做些什么呢？

　　杜跃进：企业要保证自己的网络不被僵尸网络控制。如果把公司想像成为我们自己的身体，我的身体不能有任何部分背叛我自己。为此，我得先确保我自己的身体是干净的。僵尸程序其实和木马软件一样，只不过它更不容易被发现。因为一个僵尸计算机从表面看来是很正常的，但实际上其意识是受他人控制的。因此，首先企业要把自己身体清理干净，另外，如果内部被僵尸网络控制，会存在严重的泄密等威胁。这时候就算你没有意识到僵尸网络的问题，但是有最简单的做法，就是对各种病毒做到及时发现和清理。这是企业可以做的。但是另外一个危害是企业无能为力的。就算是我自己的身体很健康了，但是外部环境并不健康怎么办？就像SARS期间，虽然我身上没有SARS病毒，我们这个楼里没有SARS病毒，可是整个社会却隐藏有SARS病毒。这时候你能做什么呢？同样道理，当外部的网络充斥着僵尸网络，企业能做什么呢？企业做不了什么。因此这时候就需要一个更高层次的力量，国家或者整个社会来做一些类似于我们在处理SARS病毒时候做的事情。

　　CIOI:如果具体到安全方案的制定、实施方面，企业应该注意哪些问题呢？

　　杜跃进：其实人人都在说的那些注意事项都是很正确的：包括一般的企业，不管规模多小，你的终端都是你最后需要保护的地方。保护终端最有效的方法就是安装防病毒产品。不管病毒有多少，这些软件都可以助你一臂之力。它们可以尽快地识别出病毒并清除掉。稍微有一点经验的企业，可能需要和更多的安全机构建立服务上的联系，使得企业网关上的产品、网络的审计或其他的安全产品能够在策略升级和安全事件响应上更有针对性。如果不是这样，还是把病毒当做纯粹的病毒，来一个打一个，来一个杀一个，是不够的。如果你的企业要防止计算机被劫持，数据被人盗取的话，就必须要跟安全服务机构建立更广泛的联系，这样事件应对的时候你会更聪明一点。比如说屏蔽掉一些域名，尽早做一些有针对性的检查，而不是只知道被动地“扫毛毛虫”。

　　CIOI:也就是说所有企业以及CIO，他们的安全意识非常重要？

　　杜跃进：对，所以你会发现，一些老生常谈的安全措施是很有用的。不要觉得虽然有涉及企业机密的内容，但是只要是临时上上网就没有关系。如果攻击者长期盯着你的话，只需要你上一次网就够了，哪怕就短短的几分钟，你的机密就可能已经被偷走了。用俗话说，就是“不怕贼偷，就怕贼惦记”。现在很多人在说漏洞这个问题的时候，都常常说技术漏洞，他们会批评微软，说“你看你这个补丁又没及时打”，或者说“你的浏览器要打补丁，那个软件要打补丁”。但是，他们有没有想过给自己打补丁呢？他们自己开发的各种应用程序，是不是够安全呢？而且，安全漏洞不仅仅是技术漏洞，还包括管理漏洞。就像我们自己的家，防盗门装得很好，质量不错，可如果因为我的原因没有锁门，贼照样会进来。如果管理意识上不去的话，再好的技术也没有用。