扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:搜狐数码 来源:搜狐数码 2008年5月11日
关键字: 瑞星
一. 目前企业用户面临的主要威胁有哪些?08版如何应对的?
随着计算机与网络技术手段的日新月异,用户所面临的安全威胁也在不断发生变化。目前企业用户面临的威胁主要集中在以下五个方面:
首先是病毒加壳。
黑客利用加壳等技术手段“工业化生产病毒”成为趋势,网上甚至还有很多加壳工具可供下载。任何具备基础电脑知识的人,只要下载加壳工具,就可以自动生产出病毒。因此,2007年瑞星截获病毒样本数高达917839个,比去年增加70%。其中木马病毒580992个,后门病毒194581个,两者相加约为77万,占总体病毒的84.5%。
其次是流氓网站的大量出现。这种网站与流氓软件很类似,也会给用户带来极大安全隐患。他们利用网站注册、网络交友等流程上的设计,以欺骗的手段获取用户隐私资料,强迫注册、骚扰用户及其好友,获取了大量有商业价值的用户隐私,成为近期发展最快的灰色网络行业。
近年来,黑客与反病毒厂商之间的技术对抗不断升级,病毒从原来单纯的逃避追杀,发展到利用加壳、变形、结束杀毒软件等技术手段进行全面的对抗。病毒数量的暴增就是这个对抗过程的表现之一,这也给厂商带来了比较大的压力。而且,有的黑客组织甚至开始进行“前瞻性的研究”,针对瑞星最新采用的“主动防御”来研究反杀毒软件措施。
以第三方软件为主体的新的漏洞王不断产生,也让很多用户面对病毒和网络攻击防不胜防。我们知道,以往漏洞最多的是Windows系统,但在2007年,百度搜霸、暴风影音、realplayer等流行软件的漏洞成为病毒利用的新对象,本年度新出现的网页木马中,利用百度搜霸漏洞的占据总体比例的39%。未来的安全防护措施,已经不仅仅限于“打好windows补丁”,用户还要时刻注意常用软件的补丁更新。
此外,病毒的传播手段也在不断变化。2007年大多数病毒会同时利用多种方式传播,其中感染U盘、利用ARP方式感染局域网和网页挂马,成为其中最流行的三种途径。而且,这三者往往位于同一病毒的不同传播环节,有相互补充的作用,有效的提高了病毒的传播能力和传播范围。
针对上述问题,瑞星杀毒软件网络版2008集成多项技术应对措施,包括虚拟机脱壳技术、主动防御技术等,都在实际应用中取得了良好的效果,在可以预计的未来,病毒与反病毒之间的对抗将日趋激烈。
二. 瑞星杀毒软件网络版2008的新特点有哪些?
2008瑞星杀毒软件网络版与以往的版本相比,有很多的新特点:
超强病毒查杀:借助新一代“虚拟机脱壳”杀毒引擎,配合6000万客户端的超大病毒监控网络、200余名反病毒工程师、7X24小时新病毒快速响应系统,可以有效清除木马、蠕虫、Backdoor、Rootkits、bot、流氓软件、间谍软件、广告程序,有效阻击U盘病毒、ARP病毒、网页挂马等新威胁。结合强大的全网管理功能,网络管理员可轻松完成对网内每台电脑的病毒查杀,并即时统计全网病毒感染情况。
智能主动防御:三层智能主动防御策略,全面加固系统脆弱点,集成应用程序访问控制、应用程序保护、安全软件自我保护等功能,阻断未知病毒和各种网络威胁的入侵。结合强大的全网管理功能,网络管理员可快速制定、部署安全策略,轻松设定每台PC的主动防御配置。
漏洞管理:能够全面嗅探网络内的系统漏洞、不安全设置等,可以定时自动扫描所有客户端,并自动完成系统补丁程序的远程分发和安装。结合强大的全网管理功能,即时分类统计、汇总、备份,让网络管理员全面掌握、即时修补网络系统内所有漏洞。
全网管理:智能多样化安装可以轻松实现覆盖每台服务器和客户端的全网部署,提高全网安装效率;多级层次化管理可清晰显示当前全网的安全状态并实现多级网络系统的跨级统一管理和网络安全控制;智能化组策略能够根据多种规则和条件实现自动化逻辑分组,并采取不同的安全设置;全网漏洞管理可检测网络中节点的安全漏洞和用户设置,并下载和分发补丁程序,修复各种不安全设置,还可对所有漏洞及不安全信息进行分类、统计、汇总、备份,方便IT管理人员掌握全网络状况;升级代理功能允许自动或手动地将客户端设置成升级代理服务器,降低升级带宽压力;多种报警方式可以通过报警插件把病毒日志、漏洞信息、事件日志等定时或实时上报给指定的接收者;日志统计分析可以对病毒、事件、攻击日志进行查询统计和趋势分析,还可以看到本月发作病毒和被感染客户端的排名情况;针对国内网络及应用环境进行优化,提供全面的第三方二次开发接口,保证全网反病毒系统和其它管理、应用、安全软件的兼容和联动。
兼容多种平台:2008瑞星杀毒软件网络版支持包括微软64位Windows、Vista在内的各种主流Windows、Unix、Linux平台,适应国内多操作系统的复杂网络环境。瑞星还携手华为3Com、思科等硬件厂商,率先推出软、硬件结合的安全解决方案。
即时升级:杀毒软件不同于其它的软件产品,它需要经常进行升级才能查杀最新的病毒、木马等恶意程序。传统的杀毒软件需要用户经过一些设置或手动点击软件上的“升级”按钮才能完成软件升级。但在软件的实际使用过程中发现,大多数没有专业背景的普通用户并不了解杀毒软件必须经常升级,也经常有用户没有正确设置好升级的相关参数。
针对这种情况,2008瑞星杀毒软件网络版推出“即时升级”功能,用户只要安装好杀毒软件,无需进行设置,杀毒软件会在后台自动完成升级,时刻保持病毒库最新,以防范最新出现的病毒、木马、后门及其它的恶意程序。
木马强杀技术:当前正在被系统调用或被其它程序使用的文件是不能被删除的,如果这些文件是病毒,传统杀毒软件就会提示“清除失败”或“重启后删除”,但重新启动计算机后病毒文件仍然存在。
瑞星研发团队经过多年的技术积累,在分析数十万木马样本的基础上,结合“木马病毒强杀”技术,并应用在瑞星杀毒软件2008版中。该技术正是为了解决这一普遍性问题而开发的,打开瑞星的“强杀”功能后,即使病毒正在运行也可以直接将病毒文件强制删除,彻底解决传统杀毒软件“查得出杀不掉”的弊病。
通过结合“病毒DNA识别”、“主动防御”、“恶意行为检测”等大量核心技术,瑞星2008版可以有效地查杀目前各种加壳木马病毒、混合型木马病毒和家族式木马病毒共约70万种。
帐号保险柜:帐号保险柜是瑞星杀毒软件2008最大的技术亮点之一,是主动防御技术延展出来的全新技术应用模式。它会自动保护用户的网游、网银、聊天、股票等软件的帐号及密码不被盗号木马窃取。
瑞星“账号保险柜”利用主动防御技术自动屏蔽木马、病毒常用的多种恶意行为,包括注入DLL、内存被篡改、注入代码、挂起、强制结束程序、键盘监听等。如果用户感觉不够安全,还可以选择更多的保护规则。软件受保护之后,瑞星就会通过主动防御体系实时监控所有的不安全行为,自动加以屏蔽,用户的账号密码就相当于放入了保险柜,使那些试图窃取账号密码的木马病毒无可奈何。
瑞星通过与各大软件公司、网络游戏公司、银行、证券公司和互联网公司协作,目前已经可以保护网络游戏、网上银行、即时通讯软件、股票证券、下载工具五大类共170余款软件,同时随着瑞星的不断升级,瑞星帐号保险柜会支持更多的软件。
三. 瑞星2008主动防御的特点和优势?
主动防御是一种阻止恶意程序执行的技术。它比较好的弥补了传统杀毒软件采用“特征码查杀”和“监控”相对滞后的技术弱点,可以在病毒发作时进行主动而有效的全面防范,从技术层面上有效应对未知病毒的肆虐。
2008瑞星杀毒软件网络版中采用的主动防御技术包含三个层次:资源访问规则控制层、资源访问扫描层和程序活动行为分析引擎。
资源访问控制层就是我们现在经常提到的HIPS。它通过对系统资源(注册表、文件、特定系统API的调用、进程启动)等进行规则化控制,阻止病毒、木马等恶意程序对这些资源的使用,从而达到抵御未知病毒、木马攻击的目的。
资源访问扫描层就是传统的文件监控、邮件监控等。它通过监控对一些资源,如文件、引导区、邮件、脚本的访问,并使用拦截的上下文内容(文件内存、引导区内容等)进行威胁扫描识别的方式,来处理已经经过分析的恶意代码。
进程活动行为判定主要负责危险行为判定和DNA识别。它自动收集从前两层传上来的进程动作及特征信息,并对其进行加工判断。瑞星专家经过对数十万病毒的危险行为进行分析,提炼,设计出全新的主动防御智能恶意行为判定引擎。无需用户参与,该层可以自动识别出具有有害动作的未知病毒、木马、后门等恶意程序。
目前,市面上的一些主动防御软件只做了三层结构中的部分功能,瑞星认为,只有全面实现三个层级的主动防御,才是真正意义上的“主动防御功能”,如果用户使用不完全的主动防御,将给自己带来严重的安全风险。
四. 与之前版本相比,08版突出改进的地方有哪些?
2008瑞星杀毒软件网络版管理功能上又有了很大提高,具体表现在:
管理功能的改进:在宏观管理层面,管理员可以全局掌握网络中的安全情况,作出反应,调整策略。系统中心能够全面直观地展现整个网络中的安全情况,网络内存在哪些病毒、哪些客户端存在病毒、存在哪些漏洞,哪些客户端存在漏洞、客户端的升级情况和比例、系统的运行情况怎样(比如系统中心升级情况, 日志记录是否超大, 授权数是否超出),所有状况一目了然。还可以划分管理员,对客户端分组,并按照分组设置不同的防病毒策略。在微观管理层面,管理员能够掌握客户端的更多的安全状态和系统信息,以分析系统出错的原因和解除客户端的安全威胁。控制台首页给出网络内的总体安全情况,让管理员对整个网络内总体安全情况有直观的和防病毒系统的运行情况有一个全局的了解,并针对问题给出指导操作。
系统中心首页显示的内容包括:
总体安全情况:病毒排行Top5, 感染最多客户端排行Top5;
防病毒系统的运行概况:系统中心最近升级版本、时间及升级警告信息、客户端的最新版本升级比例、授权使用情况及相应提示信息、日志数量及相应提示信息
其它重要事件:如发现系统中心日志是Access(会给出提示)、系统中心升级遇到的严重问题(如磁盘空间不足、无法连接Internet或上级中心)、系统中心核心组件运行不正常、升级需要重新启动等
支持远程提取客户端的诊断信息
当客户端存在安全问题或防病毒软件运行不正常时,管理员能远程提取到一些信息以便分析客户端的安全情况或防病毒系统不正常工作的原因。并远程解除客户端的一些安全威胁。
需提取的客户端信息包括:当前运行进程/模块列表、普通自启动项(注册表Run)、 AppInit_DLLs、系统文件关联(.exe .com .cmd .bat .txt .log .scr .reg .doc .htm .html .pif、其它启动项(Win.ini,System.ini等)、Winlogon 启动项、IE – BHO、IE – TOOLBAR、Winsock SPI、系统服务、文件驱动、系统驱动项和已安装软件列表,
对管理员权限细分的细分:根据企业用户的网络管理需求,将管理员分为三个类别:超级管理员,审计管理员,操作管理员。超级管理员拥有最高权限,管辖范围包括本级中心和下级中心;审计管理员可以查看/导出客户端信息,查询/统计日志(病毒、事件、攻击、防火墙、防御、操作)和漏洞信息,管辖范围包括本级系统中心的所有客户端;操作管理员没有对系统中心的设置和组策略设置的权限,不能删除日志,但对本级系统中心的所有客户端有全部操作权限,可选择本级系统中心的客户端进行管理,并支持按组添加可管理的客户端
集成对主动防御的远程管理:支持远程开启/关闭主动防御监控、远程设置客户端的主动防御策略,可以设置“主动防御”组策略,还提供主动防御日志上报与管理,可以显示哪些客户端触发了主动防御规则。
漏洞扫描与补丁分发功能改进:上级中心手工导入补丁,二级中心客户端也能从上级中心获取升级补丁;可以定时自动扫描客户端的漏洞。
升级改进:支持升级代理功能,并且客户端可锁定升级代理;支持客户端主动请求升级功能,允许客户端自主发起升级请求
安装部署改进:集成客户端安装包制作工具。由于某些原因,客户端软件损坏需要重新安装,但使用光盘安装版本又比较低,安装后还需要再进行升级,故增加瑞星安装包制作工具,如果用户卸载某台客户端,可以直接使用制作的安装包进行安装,避免重复升级,并且也能解决某些客户端版本过低无法升级的问题。管理员可以根据企业的实际情况在瑞星系统中心上定制出客户端的安装包,选择需要安装的组件。以实现客户端的快速方便地部署。并配合上述的Web安装和脚本登录安装模式使用。
病毒报警与日志报表改进:为了解决大型网络中病毒日志庞大引起的效率问题,同时又兼顾新病毒的及时报告,调整了病毒的上报策略——当天客户端的新病毒信息立即上报给系统中心报警中心,重复的病毒信息将定时报告统计信息,下级中心只上报病毒统计信息(病毒名称和病毒数量)。此外,日志报警插件增加了支持上报SysLog日志服务器,采用水晶报表增强病毒日志报表的表现效果,支持按计划生成日报、月报并发送给指定管理员的邮箱中。
其他改进:管理员管理的客户端支持按组添加,分组规则中计算机名支持通配符,集成了专杀工具的获取和分发,管理员可设置客户端的描述信息(如:房间号,联系人名称,电话等信息),还可以查看客户端的MAC地址信息。
五. 08版新产品是如何在易用性方面进一步体现瑞星的一贯优势的?
瑞星杀毒软件网络版一向以“功能强大、操作简便”著称。2008瑞星杀毒软件网络版在设计之初,就收集了大量用户的需求和反馈建议,从用户角度出发,在设计上大量考虑国内用户的使用习惯,让用户操作使用更方便、更易用。
六. 瑞星的老用户在升级到08版时,是否方便?
针对瑞星老用户升级到2008瑞星杀毒软件网络版问题,瑞星公司特别提供了多种升级方式,如自动升级、手动升级等,使升级更加方便、平滑。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。