校園網選擇安全軟體 需全面審視四對矛盾

【賽迪網-IT技術報道】面對防病毒軟體的選擇，不同的高校有不同的考慮。以筆者的實踐經驗來說，選購防病毒軟體應對產品在以下幾個方面的策略應用進行全面審視。　　

一、功能多樣化vs短板效應

由於目前安全威脅多樣化，單一的防病毒軟體已無法應對，防病毒軟體廠家紛紛推出了所謂的安全套裝產品。新加了如防火牆、主機入侵檢測、垃圾郵件過濾、註冊表和程序行為監控等許多功能，甚至國內有些廠家把類似雅虎助手這類清理惡意腳本的工具也做進套裝裡，以增強產品整體的防護能力。但在實際使用中，這類套裝並不被用戶看好，因為套裝產品並非是最佳組合，廠家難於把所有模塊都做得很好，特別是對大眾用戶，套裝產品裡的許多模塊需要做配置，比如防火牆規則，會使用戶感到無所適從。

二、傳統vs創新

目前安全威脅呈急劇爆發狀態，每天都會新出現大量惡意代碼、木馬間諜等威脅。傳統方式的特徵碼掃瞄技術，只能依靠擴大樣本收集的範圍、加快應急響應速度，提高病毒庫更新頻率來應對。缺點是明顯的，滯後的病毒庫，高強度工作量，逐漸龐大的病毒特徵碼給防毒引擎帶來性能的壓力。

啟髮式查毒是解決上述缺陷的一種技術，即通過對程序行為的綜合分析來判斷，變被動為主動的偵測模式，但由於惡意行為與正常行為之間的界限模糊，對規則的制定就要精心權衡，評估標準寬鬆易引起漏報，嚴格則又會導致誤報，所以實現難度大，做得好的廠商也非常少。NOD32是這類技術較典型的代表，其病毒庫短小，速度快，偵測能力強，誤判率也較同類產品低。

三、「殺」vs「防」

在病毒庫中具備特徵碼的已知病毒，其行為得到了較為完整的認知，對已感染的文件一般能進行有效的清除與還原，即通常意義上的「殺病毒」，也許以前殺病毒的理念並沒有爭議，但現在的情況就不同了，許多病毒具有不可還原的高破壞性，如果「殺」得太狠不僅導致文件損壞，甚至會導致系統癱瘓，會擔當很大的風險，因此更應強調的是「防病毒」，即不讓病毒「落地」運行。而且當前啟髮式查毒技術，只要程序行為達到惡意的基準線上就被阻止，難於做到也沒必要做到對未知威脅行為的完全認知，故在已感染的系統上做清除還原顯然也是不現實的。做好事先的防範，也正是體現了安全最基本的原則。

四、效率vs安全

通常情況下，殺毒率與病毒庫的大小應成正比關係，與效率是反比關係。比如防病毒引擎技術之一的虛擬機，模擬系統環境越真實，查殺變種病毒的能力就越強，也就越消耗資源，系統負擔就越大，安全和效率是一對矛盾，廠家必須在這兩者中權衡，若效率與安全嚴重失衡，就應該尋求新的技術突破點。

不過，儘管部署了防病毒軟體，但是一些客觀情況仍然會影響軟體的使用效果。校園網內一般都提供企業防病毒系統，理論上能實現集中管理，收集匯總網內威脅的報表，但在實際使用過程中，由於各廠家防病毒能力的不同，用戶個人喜好和熟悉程度不同，提供單一的防病毒軟體難以獲得普遍認同，裝機量沒有預想中的大，而且校園網管理與服務單位不能通過強制手段讓每個用戶都安裝校園網提供的防病毒軟體，大量的用戶選擇了自己偏愛的防病毒軟體，有的甚至是盜版軟體，這使得防病毒工作難以取得預期效果。

另外，防病毒軟體目前還基本是滯後的，主動偵測功能大部分軟體還很弱，報表只是已知威脅的資料匯總，對於未知威脅的預警沒有太大的作用，網絡中心應該客觀面對這些因素並且注重找到相關的解決方案。　

(