移动安全 安全管理 应用案例 网络威胁 系统安全 应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 移动安全 >

带你走出网络安全的误区(3)

时间:2013-03-11 15:12来源: 点击:
对,连接INTERNET是要上网的,但是可以上网的独立机器,与一台商业网络中心的机器相比,所使用的网络协议仍然有一些甚至全部相同,而一台商业网络中心的机器还可能安装了公共防火墙或者
Tags杀毒软件(76)查杀木马(3)利用特(2)  

  为何其他网络连接,自认为安全的误区

  对,连接INTERNET是要上网的,但是可以上网的独立机器,与一业网络中心的机器相比,所使用的网络协议仍然有一些甚至全部相同,而一台商业网络中心的机器还可能安装了公共或者有专门负责安全的人员。与此形成强烈对比的是一些用于家庭、办公室、小公司的个人用机确是门户大开,完全没有防范的能力。这种威胁是很现实的:如果你使用了cablemodem或是DSL连接上网,而且在网上的时间很长,一天里也许就会有2-4个卑鄙的黑客企图攻击你。

  使用拨号上网,自认为安全的误区

  每次当你开始拨号上网,你使用的IP地址都会不同,也就是动态IP,所以相比静态IP的用户而言。黑客是很难找到你,但是有一些黑客软件已经发展到可以在1个小时以内逐个扫描上万个IP地址的能力,所以只要黑客使用了这些工具,即使是拨号上网的用户也可能受到攻击。

  使用了防软件,自认为安全的误区

  一个好的病毒软件确实是在线安全不可或缺的部分,但是也是很小的一个部分。它能够通过检测病毒和类似的问题保护你,但是它们对防范黑客、对带有恶意的“合法”程序却无能为力。

  使用了防火墙,自认为安全的误区

  防火墙是很有用处,但是如果你的机器总是采用一些不够安全的方式接收和发送数据,而你又仅仅依靠一些附加的程序提供安全,这就等于把所有的蛋放在一个篮子里,一旦防火墙软件出现bug或者有漏洞,那你很危险了。

  另外,防火墙对于病毒一类的软件完全没有防范能力,尤其是那些带有恶意的悄悄地向你的机器发送或提取数据的程序。最后,一些防火墙软件还可能帮倒忙,因为它们的厂商在广告中把产品的特点介绍出去,可能招致一些专门针对它们弱点的攻击。

  当我在帮朋友处理计算机安全问题的时候,总会遇到他们这样问我:我的系统上已经安装了防火墙和,而且都是正版的,并且天天升级病毒库,为什么还会感染呢?

  就目前来说,不只是普通网络用户存在这样的问题,甚至一些用户也存在同样的困惑,明明已经按某种方式实施了安全防范策略,可还是会不断出现系统或网络被攻击而引起业务中断,以及内部的机密数据由于而引起泄漏等安全事件的发现。经过对已发生的各类安全事件进行分析,从中不难发现之所以会造成这样的局面,主要是我们在安全防范过程中还存在下列六个方面的误区。

  认为系统中安装了杀毒软件就应该很安全了的误区

  如果我试着问几个计算机网络用户使用什么方法来防范,他们肯定会毫不犹豫地回答就是使用杀毒软件。我还经常听到人们在私下谈论自己使用的是什么类型的杀毒软件,以及它们杀毒的功效等,从他们说话的口气中就可以猜出他们对杀毒软件有多么的信任。可是,杀毒软件就真如人们所期盼的这样能防范所有的已知和未知木马病毒吗?

  目前,通过特征码查杀木马仍然是最快和最有效的查杀方式,一直被所有的杀毒软件所采用。利用木马的特征码来查杀它们,主要是利用木马程序中的一段或几段代码来作为表明它身份的特征码,或者通过将木马程序执行后,驻留在系统内存中的某些特征来作为表明它身份的特征码。

  从特征码的提取方式我们就可以知道要想查杀木马,就必先获得它们的相关特征码,而这必需在木马暴发后才能得到。因此,利用特征码查杀木马,只能对一些已经出现了的木马有效。

  可是,现在大部分的木马,通过修改其编码和执行方式,对其进行加密和加壳,以便能躲过杀毒软件通过特征码方式的查杀,由此,杀毒软件开始使用一种叫作启发式杀毒的技术来应对不断出现的新木马。

  启发式杀毒分为静态和动态两种方式,其中动态方式能预先构造一个虚拟环境让可疑的程序运行,通过分析其行为特征,一旦发现可疑行为就被禁止。这种方式不依赖木马的特征码,对未知的木马有一定的防范效果,但是,它仍然存在许多问题,例如漏报和误报,以及会牺牲一部分系统性能作为代价,也就说启发式杀毒也不可能完全防范未知的木马病毒。

  现在,一些主流的杀毒软件厂商提出了“”的查杀技术,通过了解其原理,主要是通过一个客户端在用户系统中运行,监控用户系统是否感染了木马,如果检测到不正常活动,就会将这些内容提交给杀毒软件的端,然后杀毒软件服务器端就会迅速对这些内容进行分析,提取木马的特征码,几分钟后就可以将特征码返回客户端进行查杀。

  云安全虽然解决了用户手工更新病毒库的方式,并减轻了客户端的计算量,但是,这种方式需要用户已经连接到了因特网,另外,它的杀毒处理仍然会有一段时间的延迟,而且让人怀疑云安全是否会泄漏用户的隐私,这样就有可能造成用户的主机只是变成了杀毒软件提供商的病毒库来源,而真正起到的防病毒作用却收效甚微。

  从这里我们可以看出,杀毒软件到目前为止是不可能防范所有的未知木马的。而且,一些利用木马进行攻击的攻击者还会利用杀毒软件来麻痹用户,例如当木马在目标系统中运行后,只破坏杀毒软件的查杀功能,而不停止它们的运行,让用户认为杀毒软件仍在保护系统,这样,当用户发现时,一切都已经晚了。

  因此,我们不能将保护系统安全的任务全部交给杀毒软件,还要对系统进行其它方面的加固,例如停止不需要的服务,提高用户权限管理,以及加强对自己网络操作行为的管理,不去不安全的网站浏览,不打开,不打开等即时聊天软件发过来的文件或图片,使用安全的软件等。

  网络安全误区的更多分析请读者阅读:

------分隔线----------------------------

推荐内容