很多网络初级用户认为,只要装了杀毒软件,系统就绝对安全了,这种想法是万万要不得的!在现今的网络安全环境下,木马、病毒肆虐,黑客攻击频繁,而各种流 氓软软件、间谍软件也行风作浪。怎样才能让我们的系统立于如此险恶的网络环境呢?光靠杀毒软件足以保证我们的系统安全吗?下面我就从影响系统安全的几个方 面来剖析防火墙的重要性。
现在的网络安全威胁主要来自病毒攻击、木马攻击、黑客攻击以及间谍软件攻击。杀毒软件发展了十几年,依然是停留在被动杀毒的层面(别看那些自我标榜主动防御,无非是一些骗人的幌子,看看这个文章就知道了http://column.chinabyte.com/388/2014388.shtml), 而国外的调查表明,当今全球杀毒软件对80%的病毒无法起到识别作用,也就是说,杀毒软件之所以能杀毒,纯粹是根据病毒样本的代码特征来识别他是否是病 毒,就如警察抓住一个小偷,这个小偷留着大胡子,于是警察就天天在街上盯着大胡子的人。这样的杀毒效果可想而知。同样的道理,杀毒软件对于木马、间谍软件 的防范也是基于这种方式。
现在病毒、木马的更新很快,从全球范围内来看,能造成较大损失的病毒木马,大部分都是新出现的,或者是各类变种,由于这些病毒木马的特征并没有被杀毒软件 掌握,因此杀毒软件对它们是既不能报警,也无法剿杀。难道我们就任病毒木马宰割了吗?当然不!高手岂能向几个病毒木马低头!虽然杀毒软件只能干瞪眼,可是 我们还有严守大门的防火墙呢!
防火墙为什么就能挡住病毒木马甚至是最新的病毒木马变种呢?这就要从防火墙的防御机制说起了。防火墙是根据连接网络的数据包来进行监控的,也就是说,防火 墙就相当于一个严格的门卫,掌管系统的各扇门(端口),它负责对进出的人进行身份核实,每个人都需要得到最高长官的许可才可以出入,而这个最高长官,就是 你自己了。每当有不明的程序想要进入系统,或者连出网络,防火墙都会在第一时间拦截,并检查身份,如果是经过你许可放行的(比如在应用规则设置中你允许了 某一个程序连接网络),则防火墙会放行该程序所发出的所有数据包,如果检测到这个程序并没有被许可放行,则自动报警,并发出提示是否允许这个程序放行,这 时候就需要你这个“最高统帅”做出判断了。一般来说,自己没有运行或者不太了解的程序,我们一律阻拦,并通过搜索引擎或者防火墙的提示确认该软件的性质。
写到这里,大家估计对杀毒软件和防火墙的区别有一定了解了,举个直观的例子:你的系统就好比一座城堡,你是这个城堡的最高统帅,杀毒软件和防火墙是负责安 全的警卫,各有分工。杀毒软件负责对进入城堡的人进行鉴别,如果发现可疑的人物就抓起来(当然,抓错的几率很大,不然就没有这么多误杀误报事件了);而防 火墙则是门卫,对每一个进出城堡的人都进行检查,一旦发现没有出入证的人就向最高统帅确认。因此,任何木马或者间谍软件,或许可能在杀毒软件的眼皮底下偷 偷记录你的帐号密码,可是由于防火墙把城门看得死死的,再多的信息也传不出去,从而保护了你的系统安全。
另外,对于黑客攻击,杀毒软件是没有任何办法的,因为黑客的操作不具有任何特征码,杀毒软件自然无法识别,而防火墙则可以把你系统的每个端口都隐藏起来,让黑客找不到入口,自然也就保证了系统的安全。
在国内软件业以至整个IT业,杀毒软件可以说是市场环境最好的领域之一,几家主导厂商的发展前景一片光明。然而,就在这一片大好形势下,细心的人们却发现,光明的背后隐藏着一个无奈的现状:杀毒总是在病毒暴发之后。
先认识小偷才能抓小偷
信息安全要求杀毒软件必须防住病毒,而杀毒软件杀毒的前提是通过对病毒暴发后的分析找到解决病毒的方法。为此,国内反病毒产业奠基人之一、“国家863计划反计算机入侵和防病毒研究中心”专家委员会专家刘旭表示,在高速网络时代,以传统杀毒软件作为病毒防范最主要工具的方式,已经很难适应用户新的信息安全防护要求了。网络新病毒的数量有增无减,已经越来越明显地暴露出杀毒软件滞后杀毒的重大缺陷———对新病毒的防范始终滞后于病毒出现。
杀毒软件又是如何背上“过期药”的恶名的呢?据专家介绍,杀毒软件采用的查杀病毒的方式可以概括为“特征值扫描法”。所谓计算机病毒就是由人编写的一种有害程序。每一种病毒都一定有着与别的程序不同的部分,这部分就构成了病毒的特征值。当某一种病毒暴发后,杀毒软件厂商就会从中找出病毒特征,并根据它的特征值将这一病毒从其他程序中找出来并用杀毒软件进行杀毒处理。这种滞后性就成为依据“特征值扫描法”的杀毒软件一道难以逾越的障碍,也成为其被称之为“过期药”的缘由。
更令人称奇的是,面对由此而来沸沸扬扬的议论,杀毒软件厂商们有些措手不及,只有行业中个别的佼佼者敢于站出来表示:正在开发能够提前预防未知病毒的产品。
有人形象地将这种“特征值扫描法”比喻为“笨警察抓小偷”,即抓住一个小偷后,根据这个小偷与众不同的某种特征值,如穿着红衣服,将所有穿红衣服的人都视为小偷。也就是说,要先认识小偷,才能抓小偷。
牺牲小部分人挽救大众
然而,令人遗憾的是,病毒的发展却不以人的一厢情愿而放慢步伐,传播速度以分秒计的网络新病毒也不会再给信息安全厂商以足够的分析病毒、升级软件的时间和机会了。公安部日前颁布的《2004年全国计算机病毒疫情调查分析报告》显示,2004年重复感染3次以上的用户高达57.07%%。其中,相当一部分用户是因为杀毒软件对新病毒反应的滞后而遭受重复感染的。
大量新病毒的出现,使用户们惶恐而又无奈。信息安全厂商也在尽力工作着,他们将发现病毒的时间和分析破解病毒的时间缩短了又缩短,将杀毒软件升 级的速度提高了又提高,将已知病毒库扩大了又扩大……总之,在他们力所能及的范围内,把该做的工作都做了。但是,效果又如何呢?
一位网管很无奈地说:“我已经很小心了,做了很多限制,但是我不知道什么时候我的系统会因为新病毒而崩溃。坦率地讲,升级杀毒软件对我而言是亡羊补牢———不干不行,干了,也不一定行。”
这种无奈蔓延开来,就成为了一种挥之不去的观念:对层出不穷的计算机病毒是防不胜防的,也不可能做到事先防范,只能采取牺牲一小部分人(最早的病毒感染者)来挽救大多数人。
难以承担网络防病毒重任
伴随网络在全球的飞速应用,利用网络技术、以网络为载体频频爆发的间谍程序、蠕虫病毒、游戏木马、邮件病毒、QQ病毒、MSN病毒、黑客程序等网络新病毒,已经颠覆了传统的病毒概念。据国际著名病毒研究机构ICSA统计报告,目前通过磁盘传播的病毒仅仅占7%%,剩下的93%%来自网络,其中包括E-mail、网页、网络下载、QQ和MSN等即时通信工具。
与传统病毒相比,网络病毒呈现传播速度空前、数量与种类剧增、全球性暴发、攻击途径多样化、以利益获取为目的、造成损失具有灾难性等突出特点,使杀毒软件面临严峻挑战。
以上信息转自:中国安全信息网及chinabyte
