文/程鸿

最近流氓软件被炒得沸沸扬扬，网上有一篇被广泛转载的出自《东方早报》的文章称“万事达国际信用卡公司宣布说，位于亚利桑那州土桑市的一家信用卡数据处理中心的电脑网络被侵入，4000万张信用卡账号和有效日期等信息被盗，盗窃者采的手段正是在这家信用卡数据中心的电脑系统中植入一个‘流氓软件’。”

好厉害的“流氓软件”，它究竟怎么定义？

“流氓”，辞典上说“原指无业游民，后来指品质恶劣、不务正业、为非作歹的人”。对于“流氓软件”，一种流行的说法是“恶意广告软件(adware)、间谍软件(spyware)、恶意共享软件(malicious shareware)等等都处在合法商业软件和电脑病毒之间的灰色地带。它们既不属于正规商业软件，也不属于真正的病毒；既有一定的实用价值，也会给用户带来种种干扰。”这样的界定看不出准确含义，也自然难以划分准确的范围。

谁是“流氓”？主席说过，群众的眼光是雪亮的，但是以屈指可数的投诉量为准来衡量和定义流氓软件是否可行呢？受投诉最多的软件就是危害最大、潜伏最深的么？我不这么看。

Spyware、浏览器劫持泛滥确实是目前威胁个人和企业用户信息安全的棘手问题，新出现的Spyware和蠕虫病毒捆绑的情况更应当警惕。但笔者认为，没有流氓软件，只有流氓行为。之所以这么说，首先是因为这类软件(插件)的优劣与使用者的目的和操作方法往往相辅相成，将3721网络实名用得不亦乐乎的人也不在少数。其次，解决安全问题不是为了打击“十大”、“八大”，而是要惩治威胁用户信息安全的行为。

笔者认为，当务之急的不是辩驳谁是“流氓”，谁有“黑幕”。而是信息安全厂商和互联网企业应当在政府主管部门和行业协会的指导下坐到一起，针对弹出广告窗口、入驻浏览器工具栏、收集用户私人信息等行为制订一系列分级规范。依照行业公认的规范来评析当前的现象，确保用户能得到必要的明晰提示，对为揽访问量而不择手段的厂商进行约束。

“十大”发布后不久，有的安全厂商又起草了一个“软件产品行为安全服务规范”。规范有了，但能否行得通还有待考验，在此先给起草人提点建议——去掉杀毒软件主界面上的滚动新闻吧，这可是违反了“软件的可操作性原则”和“软件的安全安装原则”呢。