面对防病毒软件的选择,不同的高校有不同的考虑。以笔者的实践经验来说,选购防病毒软件应对产品在以下几个方面的策略应用进行全面审视。
由于目前安全威胁多样化,单一的防病毒软件已无法应对,防病毒软件厂家纷纷推出了所谓的安全套装产品。新加了如防火墙、主机入侵检测、垃圾邮件过滤、注册表和程序行为监控等许多功能,甚至国内有些厂家把类似雅虎助手这类清理恶意脚本的工具也做进套装里,以增强产品整体的防护能力。但在实际使用中,这类套装并不被用户看好,因为套装产品并非是最佳组合,厂家难于把所有模块都做得很好,特别是对大众用户,套装产品里的许多模块需要做配置,比如防火墙规则,会使用户感到无所适从。
目前安全威胁呈急剧爆发状态,每天都会新出现大量恶意代码、木马间谍等威胁。传统方式的特征码扫描技术,只能依靠扩大样本收集的范围、加快应急响应速度,提高病毒库更新频率来应对。缺点是明显的,滞后的病毒库,高强度工作量,逐渐庞大的病毒特征码给防毒引擎带来性能的压力。
启发式查毒是解决上述缺陷的一种技术,即通过对程序行为的综合分析来判断,变被动为主动的侦测模式,但由于恶意行为与正常行为之间的界限模糊,对规则的制定就要精心权衡,评估标准宽松易引起漏报,严格则又会导致误报,所以实现难度大,做得好的厂商也非常少。NOD32是这类技术较典型的代表,其病毒库短小,速度快,侦测能力强,误判率也较同类产品低。
在病毒库中具备特征码的已知病毒,其行为得到了较为完整的认知,对已感染的文件一般能进行有效的清除与还原,即通常意义上的“杀病毒”,也许以前杀病毒的理念并没有争议,但现在的情况就不同了,许多病毒具有不可还原的高破坏性,如果“杀”得太狠不仅导致文件损坏,甚至会导致系统瘫痪,会担当很大的风险,因此更应强调的是“防病毒”,即不让病毒“落地”运行。而且当前启发式查毒技术,只要程序行为达到恶意的基准线上就被阻止,难于做到也没必要做到对未知威胁行为的完全认知,故在已感染的系统上做清除还原显然也是不现实的。做好事先的防范,也正是体现了安全最基本的原则。
通常情况下,杀毒率与病毒库的大小应成正比关系,与效率是反比关系。比如防病毒引擎技术之一的虚拟机,模拟系统环境越真实,查杀变种病毒的能力就越强,也就越消耗资源,系统负担就越大,安全和效率是一对矛盾,厂家必须在这两者中权衡,若效率与安全严重失衡,就应该寻求新的技术突破点。
不过,尽管部署了防病毒软件,但是一些客观情况仍然会影响软件的使用效果。校园网内一般都提供企业防病毒系统,理论上能实现集中管理,收集汇总网内威胁的报表,但在实际使用过程中,由于各厂家防病毒能力的不同,用户个人喜好和熟悉程度不同,提供单一的防病毒软件难以获得普遍认同,装机量没有预想中的大,而且校园网管理与服务单位不能通过强制手段让每个用户都安装校园网提供的防病毒软件,大量的用户选择了自己偏爱的防病毒软件,有的甚至是盗版软件,这使得防病毒工作难以取得预期效果。
另外,防病毒软件目前还基本是滞后的,主动侦测功能大部分软件还很弱,报表只是已知威胁的数据汇总,对于未知威胁的预警没有太大的作用,网络中心应该客观面对这些因素并且注重找到相关的解决方案。
(作者单位为北京大学计算中心)
本文出自:《中国教育网络》2008年7月刊
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。