|
问:我在所有的客户端PC上全都安装了防病毒软件。这样,是不是就可以认为客户端PC和服务器的防病毒措施就万无一失了? 答:由于感染的形式五花八门,因此就需要使用多种防范措施。 首先是应用上的问题。防病毒软件是否有效地发挥作用主要与病毒数据文件(DF)的更新有关系。经常会发生诸如各客户端用户疏于数据文件更新,或在软件开发商提供DF之前就已经感染病毒的危险。 由于最近的企业级防病毒软件都具有可由网络管理员对固定更新时间和登录时的DF自动更新进行设置的功能,因此未更新DF的危险已大大降低。尽管如此,在移动状态下使用的PC中仍然存在着DF不能正常自动更新的危险。 另外,尽管从开发商得到病毒数据到建立DF之间的时间最短已缩短到不足1个小时,对危害性较高的病毒可以采取紧急发布的办法,但DF发布一般是每周一次。因此时间的延迟所带来的危险也不容忽视。而有的产品由于没有紧急时自动更新的功能,因此终端用户必须手动更新。 而且,由于执行实时检测需要占用内存和CPU资源,因此使用旧PC的用户有时会取消常驻内存的实时检测功能。 存在检测不到的病毒 即使在应用方面做得很完善,也不可高枕无忧。这是因为已经出现了几种客户端防病毒软件检测不到的病毒(从狭义上来讲,病毒指感染其他文件并进行自我繁殖的非法程序,但这里所指的病毒还包括蠕虫以及可以进行被动攻击的脚本程序等)。对于由外部直接感染服务器的病毒,客户端防病毒软件无能为力。 
图1●五花八门的感染途径 一种是由外部直接感染服务器(图1)。其中最具代表性的就是2001年肆虐一时的尼姆达和红色代码蠕虫病毒。这两种病毒的感染途径是:已经受感染的IIS(Internet Information Server/Services)通过因特网攻击其他的IIS安全漏洞,并繁殖。由于在感染过程中不需通过客户端PC,因此客户端防病毒软件无能为力。 另一种是只在内存中活动的病毒。目前销售的大多数防病毒软件的实时检测功能都是先捕捉文件向硬盘上写入的过程,然后对DF进行核对。反过来说,就是无法检测到不将自身写入硬盘的病毒。 这种类型的病毒截止目前发现了2种。 一种是非法脚本程序。当用户从Web站点读取包含有JavaScript等的HTML文件时,通常情况下,都会以缓冲的形式写入客户端PC硬盘中,并进行检测。但如果在HTTP消息头中指定no-cache,那么WWW浏览器就不对其进行缓冲处理。这样非法脚本就会顺利进入内存。 最典型的就是2001年11月发现的JS_EXCEPTION.GEN(由趋势科技命名)。一旦感染,就会修改注册表,并改变WWW浏览器的各种设置。由于IE 4.xx/5.00存在允许脚本进行非法修改的程序错误,因此使用旧版本IE的用户就会受到这种病毒的攻击。 第二种是红色代码。红色代码的原形是不具有文件实体而只作为内存中的过程而存在的特殊病毒。截止目前所发现的这种类型的病毒尽管只有红色代码的原形,但今后有可能出现具有同样性质的新变种。 综合使用多种防病毒策略 
表1●病毒的类型及其防御方法 为了使系统不发生上述危险,只有采用层层保护措施。为了消除客户端PC应用上的危险,就应该研究如何安装可以扫描服务器上的文件及邮件的服务器端防病毒软件,和可以设置在公司内部网络和因特网之间并对在此通过的信息包进行扫描的网关型防病毒软件。如果按客户端产品、服务器端及网关型产品来划分开发商,甚至能够降低DF发布的时间滞后而造成的风险。 服务器端产品的导入还可以有效地防止像尼姆达那样的由外部直接感染机器的病毒。而网关型产品可以检测像JavaScript那样的在内存上活动的脚本病毒。这是因为网关型产品会监视信息包,因此无论脚本是否向硬盘写入,它都能够对病毒进行扫描。 不过,唯有红色代码的原形病毒,即使是网关型产品也检测不到。这是因为,由于普通的网关型产品是作为客户端PC的代理服务器来工作的,因此无法对伪装成外部访问而侵入的病毒进行扫描。目前这种病毒所感染的只限于存在安全漏洞的IIS等服务器软件。不管有没有防病毒软件,如果安装补丁或改变设置,都可以防止感染。 病毒的感染途径和方法正呈现出多样化趋势。因此从防御角度讲,必须综合采取多种防病毒策略。
|
