走出計算機安全防范的六個誤區
原創 作者:妖界之箭 編輯:楊京京 評論:0條 .
本文Tag: 技術
.
【IT168 專稿】當我在幫朋友處理計算機安全問題的時候,總會遇到他們這樣問我:我的系統上已經安裝了防火牆和殺毒軟件,而且都是正版的,並且天天升級病毒庫,為什麼還會感染木馬呢?就目前來說,不只是普通網絡用戶存在這樣的問題,甚至一些中小企業用戶也存在同樣的困惑,明明已經按某種方式實施了安全防范策略,可還是會不斷出現系統或網絡被攻擊而引起業務中斷,以及企業內部的機密數據由於入侵而引起洩漏等安全事件的發現。經過對已發生的各類安全事件進行分析,從中不難發現之所以會造成這樣的局面,主要是我們在安全防范過程中還存在下列六個方面的誤區。 .
誤區一:認為系統中安裝了殺毒軟件就應該很安全了
.
如果我試著問幾個計算機網絡用戶使用什麼方法來防范木馬病毒,他們肯定會毫不猶豫地回答就是使用殺毒軟件。我還經常聽到人們在私下談論自己使用的是什麼類型的殺毒軟件,以及它們殺毒的功效等,從他們說話的口氣中就可以猜出他們對殺毒軟件有多麼的信任。可是,殺毒軟件就真如人們所期盼的這樣能防范所有的已知和未知木馬病毒嗎? .
目前,通過特征碼查殺木馬仍然是最快和最有效的查殺方式,一直被所有的殺毒軟件所采用。利用木馬的特征碼來查殺它們,主要是利用木馬程序中的一段或幾段代碼來作為表明它身份的特征碼,或者通過將木馬程序執行後,駐留在系統內存中的某些特征來作為表明它身份的特征碼。從特征碼的提取方式我們就可以知道要想查殺木馬,就必先獲得它們的相關特征碼,而這必需在木馬暴發後才能得到。因此,利用特征碼查殺木馬,只能對一些已經出現了的木馬有效。 .
可是,現在大部分的木馬,通過修改其編碼和執行方式,對其進行加密和加殼,以便能躲過殺毒軟件通過特征碼方式的查殺,由此,殺毒軟件開始使用一種叫作啟發式殺毒的技術來應對不斷出現的新木馬。啟發式殺毒分為靜態和動態兩種方式,其中動態方式能預先構造一個虛擬環境讓可疑的程序運行,通過分析其行為特征,一旦發現可疑行為就被禁止。這種方式不依賴木馬的特征碼,對未知的木馬有一定的防范效果,但是,它仍然存在許多問題,例如漏報和誤報,以及會犧牲一部分系統性能作為代價,也就說啟發式殺毒也不可能完全防范未知的木馬病毒。
.
現在,一些主流的殺毒軟件廠商提出了“雲安全”的查殺技術,通過了解其原理,主要是通過一個客戶端在用戶系統中運行,監控用戶系統是否感染了木馬,如果檢測到不正常活動,就會將這些內容提交給殺毒軟件的服務器端,然後殺毒軟件服務器端就會迅速對這些內容進行分析,提取木馬的特征碼,幾分鐘後就可以將特征碼返回客戶端進行查殺。雲安全雖然解決了用戶手工更新病毒庫的方式,並減輕了客戶端的計算量,但是,這種方式需要用戶已經連接到了因特網,另外,它的殺毒處理仍然會有一段時間的延遲,而且讓人懷疑雲安全是否會洩漏用戶的隱私,這樣就有可能造成用戶的主機只是變成了殺毒軟件提供商的病毒庫來源,而真正起到的防病毒作用卻收效甚微。 .
從這裡我們可以看出,殺毒軟件到目前為止是不可能防范所有的未知木馬的。而且,一些利用木馬進行攻擊的攻擊者還會利用殺毒軟件來麻痺用戶,例如當木馬在目標系統中運行後,只破壞殺毒軟件的查殺功能,而不停止它們的運行,讓用戶認為殺毒軟件仍在保護系統,這樣,當用戶發現時,一切都已經晚了。
.
因此,我們不能將保護系統安全的任務全部交給殺毒軟件,還要對系統進行其它方面的加固,例如停止不需要的服務,提高用戶權限管理,以及加強對自己網絡操作行為的管理,不去不安全的網站浏覽,不打開垃圾郵件,不打開QQ等即時聊天軟件發過來的文件或圖片,使用安全的軟件等。 .
.
上一頁 .
1 .
.
【內容導航】 .
.
. .