安防２００８

編輯：吳敵 宋晶晶

美編：彭嘉鳴

2008年上半年，關于數據安全的話題很多，網絡上不斷爆發的各種病毒和木馬讓網游玩家、網銀用戶每天提心吊膽；因數據存儲設備丟失而爆出的各種丑聞讓用戶開始擔心自己的數據是否也在某次電腦維修時不慎泄露。2008年的春天，不少用戶第一次發現，自己所處的網絡環境、數據安全環境竟然是如此脆弱。究竟如何保證重要數據不外泄，成為每一個使用PC的用戶最為關心的事情之一。然而，所謂“時勢造英雄”，越是這種看似黑暗的時候，往往孕育著一個美好的黎明。無論是各大軟件、硬件廠商的不斷努力，還是網絡安全立法的呼聲，都預示著目前網絡安全所面臨的壓力，將催生一個制度健全的網絡環境。在此之前，作為用戶，我們能做的是通過各種一手段，保護好我們自己。然而，這并不容易做到。

新威脅來勢兇猛

2007年，讓人們印象最為深刻的病毒恐怕非“AV終結者”莫屬了。它的出現標志著病毒進入了一個全新時代，一個赫然向安全防護軟件發起反攻的時代。感染了AV終結者病毒的電腦中，在第一時間被破壞的是各種安全防護軟件。隨后該病毒開始自動從網絡上下載各種木馬，這些被病毒下載的木馬在安全防護軟件被破壞的情況下，肆無忌憚地盜取用戶的關鍵信息。

從2007年年底到現在，類似的病毒不斷出現，比較著名的有“機器狗”、“磁碟機”，以及近期逐漸流行起來的“Auto木馬群”。

機器狗病毒可以說是專門針對網吧開發出的一種病毒，它利用Hook系統取得硬盤控制權，獲得高于各種軟硬件還原程序或設備對硬盤的控制權。換句話說，即便是裝了還原卡，中了機器狗也無法還原到中毒前的狀態。

磁碟機病毒的歷史更長一些，早在2007年2月便已被發現，當時它的名字叫做“千年蟲”。當時由于這一病毒自身編寫的一些問題而沒有流行起來。經過差不多一年時間的完善，病毒編寫者終于成功了，該病毒前不久大規模爆發，其癥狀與AV終結者、機器狗一樣，首先是屏蔽安全防護軟件，然后通過注冊系統Hook獲得高控制權，取得開機自動運行能力，將病毒注入系統，在U盤等移動存儲介質上建立Autorun文件——最后，自動下載各種木馬。

而最近的有爆發趨勢的Auto木馬群則采取以數量取勝的策略，對安全防護軟件發起挑戰。這一病毒在執行流程上，大體與前面提到的幾個病毒相似，不過它更加兇狠。這款病毒會用關鍵字，比如“360”、“毒霸”等，掃描系統注冊表啟動項，一旦發現立刻使用NTSD指令將其禁用，而對于卡巴斯基則采用調整系統時間的手段使其失效。待安防軟件失效后，這款病毒便開始注入系統，其行為包括根據系統盤內容自動算出符合系統規則的EXE、DLL文件名，并在各盤符下安置病毒文件；當病毒的DLL文件成功注入系統后，自動刪除自身源文件，加強隱蔽性。而最為夸張的是，這款病毒目前仍在不斷更新，發作后除了同時從網絡上下載多達十七個針對不同游戲、網銀的木馬外，還會自動下載病毒更新，以對抗安全防護軟件的更新。

從2007年的暗中對抗，到2008年的公開挑戰，以盜取虛擬財產、網銀帳號非法牟利的“網絡黑金”組織已經明顯地擺在大眾面前。一張來自金山的網絡黑金流程圖，很好地說明了這一切。

在網絡安全立法之前，我們只能依靠不斷提升自身對安全防護的認識，并依靠安全防護軟件廠商推出的產品保護我們的數據、信息安全。但今年年初發生的一些事情，讓我們發現單純的病毒、木馬防護是遠遠不夠的。

數據安全不等于安全防護軟件

2008年年初的“女星照片事件”，讓用戶們首次發現原來安全隱患不僅僅來自病毒、木馬，看似安全的本地脫機數據居然同樣面臨種種人為的安全威脅。這就不僅僅是裝一個安全防護軟件的問題了——電腦或硬盤一旦丟失，你的數據損失將是難以估計，無法恢復的。而隨著數據丟失帶來的問題往往是任何人都難以承擔的。

單純的病毒防護只能保證用戶在訪問網絡環境時不受病毒、木馬、惡意程序的騷擾，而離開這個環境的時候，或者說將數據“落實”到物理存儲介質層面的時

如果說來自網絡上的各種病毒、木馬，讓用戶養成了安裝安全防護軟件的習慣，那么種種數據被盜事件，理論上來說應該讓用戶養成更好的數據存儲、管理習慣。不過，就我個人了解，至少我周圍的朋友中具有良好的數據存儲、整理、備份習慣的人不多。動輒因為硬盤故障丟失全部工作內容的人有之；經常找不到文件存放位置的亦有之；更有甚者，在重新安裝候，安全防護軟件毫無意義。存儲設備的特性決定著你的數據是否能夠在該設備丟失的情況下仍舊保存完好，不為他人所訪問。這等于是對存儲產品提出了新的要求。實際上這方面，硬盤、光存儲廠商早有準備，早在2006年年底，硬盤廠商就開始推出各種加密產品，只是當時并不普及。而光存儲方面，在Nero和LG的推動下，我們現在已經可以刻錄加密光盤了。操作系統的時候迷糊地將系統盤符設定為移動硬盤。因此，從這個角度來說，一套完善的數據存儲機制，配合一些具有加密功能的硬件設備，可以有效地幫助用戶管理好、保護好他們的數據。

軟硬件廠商——我們一直在努力

2007年，金山曾經組織過一次小范圍的媒體溝通會。會上，來自金山珠海研發部門的發言人帶給與會者的是一縷淡淡的無奈——在沒有法律約束的互聯網上，道德成為最后的底線。但是對于那些通過互聯網，使用非法手段謀取暴利的病毒、木馬編寫、散布者而言，道德遠不如金錢誘人。即便是有這樣或那樣的無奈，各大安全防護廠商仍在不斷努力，竭盡可能為用戶創造一個相對安全的互聯網環境。

從去年年底各大安全防護廠商發布的新款安防軟件來看，主動防御技術已經成為標準配置。而不少廠商在此基礎上研發出的基于網絡的增強型程序安全認證技術，更是讓主動防御功能擁有更高的效率。通過網絡認證程序安全，相當于獲得了一個非常龐大的文件樣本數據庫，并且這個數據庫是全動態的。這有點像網絡集群運算，每一個節點都是安裝了具有這種功能的安全防護軟件的用戶計算機。一旦有一個節點上報可疑文件，服務器端立刻開始進行分析、判定該程序是否為新的安全威脅；如果是新的威脅，那么服務器端會迅速將該信息以更新的形式部署到網絡上的每一個節點。這樣一來，凡是安裝有該安全防護軟件的計算機，在遇到該威脅，或類似未知程序時，即可做出相應判斷，禁止該程序運行，從而實現了所謂的主動防御功能。

這種基于互聯網的認證體系，要比本機基于人工智能算法的主動防御更有效一些。尤其是對于木馬或是具有欺詐性的程序而言，這種方式效率要高得多。原因很簡單：木馬本身并不能歸為病毒，木馬和病毒在基本定義上是完全不同的。按照傳統的殺毒模式來對付木馬，是非常困難的。而且我們前面也提到了，現在病毒木馬已經結合在一起——先由病毒破壞系統、破壞殺毒軟件，并下載木馬；再由木馬盜取信息。單純的“打補丁”式的殺毒軟件更新，已經難以對抗這種可以說是相當有“創意”的安全威脅了。

而基于互聯網的認證系統，則可以保證系統不被類似的問題困擾，畢竟未通過認證的程序是無論如何也不可能運行的，既然不能運行也就不存在是否要清除的問題了。當然了，這種認證體系仍然存在一定的“時間差”，因為從一個節點發現問題，到其他節點全面更新，這一過程中總是需要一點時間來進行分析，并制作相應更新或是策略。即便如此，這種方式仍然是目前為止，看起來最為有效的主動防御模式。

除了病毒、木馬外，另外一種導致數據外泄、被破壞的因素，就是存儲設備的丟失或誤操作。誤操作主要是對于可擦寫的存儲設備而言的，只讀光盤一般不存在這一問題；而存儲設備的丟失，則是所有數據保存設備都要面臨的問題。一般來說，我們的計算機都會有各種各樣的密碼保護，比如BIOS的開機密碼、Windows的開機密碼，甚至我們還可以給硬盤用上一套ATA密碼，用于保護數據不被訪問。但是這些密碼保護面臨著同樣一個問題——它們都可以通過種種方法清除。一旦這些密碼被清除掉，你的數據就赤裸裸地暴露在光天化日之下了。

更為有效的方式是對數據本身進行加密，這樣一來不管你的保護密碼是否被破解，你的數據都是安全的。因為即便非法訪問者得到了這些加密后的文件，對他而言也是無用的數據——除非他可以破解這些數據的加密算法——那將是一件極為耗時費力的工程，也并不是什么人都能做到的，至少那些電腦維修人員很難具備這樣的技術實力。目前希捷推出的FDE硬盤具有數據加密能力。這種FDE硬盤在向硬盤內寫入數據的同時，便對數據進行加密。這樣一來，該硬盤一旦脫離當前硬件平臺環境，則無法讀取原始數據，只能訪問到一些無意義的加密存儲文件。

不過，目前這種FDE硬盤在民用領域并不普及，普通用戶也很難買到這樣一款產品。但是，我們是可以用到擁有類似技術的產品的，不過這些產品往往是一些外置硬盤產品。比如Western Digital(西部數據)推出的Passport系列外置移動硬盤和Seagate(希捷)推出的FreeAgent系列外置移動硬盤均具備數據同步、加密功能。通過集成在硬盤上的同步程序，我們可以把重要數據同步到外置硬盤上。如果沒有密碼的話，訪問者將看到加密后無法正常訪問的數據。當然，這些產品也可以提供標準外置硬盤功能，按照正常方式復制到外置硬盤中的數據則不被加密，可以任意訪問。此外，還有一類產品采用的是硬件加密的方式，比如BenQ推出的DP360，就是一款使用硬件密鑰加密的外置移動硬盤產品——在缺少硬件密鑰的情況下，硬盤將不可被訪問。

習慣決定一切

對于數據存儲、互聯網安全方面發生的種種情況，其實都是可以避免的，前提條件只是要求用戶有一個好的使用習慣而已。所有的失誤、意外，都可以歸結為長期不良習慣導致的必然結果。如果你將重要數據通過加密的方式保存在外置硬盤中，并妥善保管這塊外置硬盤。那么你的重要數據很難因重裝系統，或是其他什么別的原因造成損失。即便不使用加密功能，這種方式仍然能夠最大限度地保護你的重要數據。此外，良好的磁盤分配方案，也可以在出現意外時幫助你減少損失；而對于難以找到的文件，我們則可以通過“桌面搜索”功能幫助我們找到。

對于網絡安全而言，如果只是單純地安裝一個安全防護軟件，也不見得就能保證你永遠不受病毒、木馬的侵害。安全防護軟件還是需要用戶花上一點點時間來關注和維護的。盡管目前的安全軟件廠商已經盡可能地將各類提示做到最少，但有些時候防火墻或實時監控模塊，還是會彈出一些對話框讓用戶確認。這個時候往往是安全威脅最有可能穿透你的防御工事的時候。因為一旦安全軟件彈出對話框，需要你對下一步操作進行確認，說明安全防護軟件對于這個即將運行的程序產生了質疑，但又不能完全確定其性質，因此需要用戶做進一步確認。這個時候如果根本不看內容，而直接選擇通過認證的話，就很有可能釀成數據災難。

總體來說，養成良好的習慣，可以十分有效地減少出現關鍵數據損失的幾率，并且能夠將數據災難發生時的損失降到最低。個人認為，無論是安全軟件廠商，還是各類硬件設備生產廠商，在這方面都有責任給用戶提供幫助。幫助用戶養成良好的使用習慣，進而從用戶層面斷絕發生數據災難的可能。

編輯選擇獎

空缺

如何決定一款安全防護軟件的好壞?是更少的資源占用、更快的掃描速度?還是更少的提示、更安靜的環境?又或是發現病毒的數量?實際上。由于各款安全防護軟件的引擎不同，對于各種安全威脅的處理、應對方式也不同，我們怎么才能說哪種方式才是好的呢?

另外，單從功能性角度來看，我們測試的這些安全防護軟件的功能都很全面，可以說是不分伯仲。至于性能方面的表現，各款軟件之間差異也并不算太大。除了ESET的NOD32具備超快的全盤掃描表現外，其他軟件的表現可以說是比較接近。而ESET的NOD32在功能上的缺陷(不具備高級防火墻功能)，單看性能表現也是不全面的。因此，從全面的角度考慮，我們決定本次專題的編輯選擇獎空缺。

性能測試

安全防護軟件的測試

本次專題，我們將測試分成幾個不同的部分，分別考察軟件在不同狀態下的工作狀態。我們將重點放在了性能，以及用戶體驗兩個方面。相對于之前一次專題(詳見2007年9月號雜志)而言，本次專題我們嘗試了一些新的測試方法，包括一個病毒庫的掃描測試。雖然這種病毒范本庫的掃描測試在安全防護引擎的測試方面并沒有太大意義，但它可以體現出安全防護軟件的一些基本特性。比如在執行掃描任務時的CPU、磁盤、內存占用率。掃描所用時間。以及發現未知問題時提供的解決方案等等。而是否能夠發現全部病毒樣本，僅僅是一個參考。

具體的測試項目包括：系統資源占用測試、全局掃描性能測試、病毒樣本壓縮文檔掃描測試、病毒木馬模擬入侵測試。其中，系統資源占用測試主要用于考察安全防護軟件在系統無任何操作的狀態下消耗多少系統資源；全局掃描性能測試主要用于考察在手動或自動執行全局掃描時。安全防護軟件的資源占用情況；病毒樣本壓縮文檔掃描測試主要用于考察在執行此類操作時系統資源占用情況，以及發現病毒、木馬時安全防護軟件的反應及處理方式：最后一項病毒木馬模擬入侵測試則采用模擬病毒入侵的方式考察安全防護軟件面對入侵時，提供的處理方案以及反饋表現。

整套測試在一個封閉的網絡環境下完成，操作系統為Windows Vista Enterprise，測試時所有安全防護軟件的病毒定義均更新到最新版本。測試時使用的病毒樣本壓縮包為總容量1GB的RAR格式多重壓縮文件。在進行病毒樣本壓縮文件掃描時，我們并未統計每款軟件發現的病毒數量。這是因為每款軟件對于多重壓縮文件的處理方式不同，并且對于病毒、威脅的標識也不同。比如有的軟件對于多重壓縮文件并不進行太多過問，但解壓縮這種文件時發現威脅，軟件會第一時間報警并阻止它們運行；而有的軟件則會對多重壓縮文件進行深度掃描，但真正解壓縮帶毒文件時卻并不過問，直到該文件進入內存準備運行時才做出相應反應。發現病毒樣本數量的多少并不能說明問題。

[看好你的數據]

“不要把雞蛋放在一個籃子里”，這是一個很淺顯的道理——放在不同的地方，一旦籃子打翻了雞蛋損失不那么大。這一道理放在數據安全，或是存儲領域，再合適不過了。目前用戶最為擔心的是什么?那就是個人數據的安全性。2008年年初的一起“照片外泄”事件，給人們帶來了不小的震撼，不管人們關注的角度是什么，這種情況理論上來說是可以從根本上避免的。

簡單來說，如果是極為重要，又不想繼續保存的數據文件，簡單的刪除不足以保證絕對的安全。因為現在數據恢復軟件機制，可以說是十分健全。以往數據丟失，我們可能會束手無策；而現在，隨便去網上找找，就能找到一套功能強大的數據恢復軟件，想要恢復一些因為刪除或是格式化硬盤損失的數據，易如反掌。對于這些數據，我們建議使用“文件粉碎機”功能將其徹底摧毀。

對于那些想要保留的機密數據，存儲在系統的硬盤上是極不明智的一種選擇。存儲在系統硬盤上的數據很不安全，一旦黑客控制電腦，或電腦被別有用心的人使用過，都有可能造成數據丟失；而系統故障，誤操作(比如安裝操作系統時選錯分區)更有可能造成數據的硬損傷，并且不易恢復。不要覺得這種事情很少發生，實際上系統內數據丟失、遭破壞是這個世界上每天都在發生的事情，如果你從沒遇到過只能說明你很幸運。

其實解決的方法很簡單，那就是多準備幾個“籃子”——備份。備份有很多種方式，簡單的文件拷貝是其中之一，但它的安全性最差。比如，你把一些關鍵數據備份到自己的移動硬盤上，但是不慎將移動硬盤遺失，或是借給別人用了。那么，你的這些關鍵數據就很危險了。同理，將關鍵數據進行刻錄也會面臨類似的問題——你，必須看好你的備份存儲設備。

隨著技術的不斷進步，我們目前已經可以使用一些具有新功能的存儲設備來備份我們的數據了。目前不少移動硬盤都具備同步功能，并且是加密同步。這樣一來，同步到移動硬盤中的數據首先經過加密，并以特定方式進行存儲，比如有些產品會把加密數據存儲在加密分區內，有些則通過加密算法將數據轉換成無法識別的格式保存在硬盤上。這樣一來，即便這些備份有重要數據的設備落入他人之手，也不必擔心數據會被非法訪問。

不過這種方式存儲的數據雖然安全性很高，但調用起來不是特別方便。為了方便使用，就需要我們平時養成對數據分級、分類存儲的習慣，只同步那些關鍵且不需要經常調用的數據：而要經常調用的數據，則可以用非加密的方式存儲在外置存儲設備上，以方便調用。而這些經常使用的數據，輕易也不會離開你的身邊，被盜取或遺失的可能性較小。

另外，對于公共PC或公用存儲設備，設置多帳號訪問是十分有必要的。比如有人要借用你的PC，那么你最好是給他單獨開設一個臨時帳號，比如你可以打開Windows的Guest帳號供他人借用PC時使用。由于Windows的帳號具有明確的權限劃分，不同帳號之間不可互相進行數據訪問。這種方式對于本機數據的保護具有一定幫助。

就算是有健全的帳號、權限規范，我們還是建議你經常備份重要的數據，并且最好采用加密備份的方式。目前市面上支持該功能的產品非常豐富，而且并不需要投入太多資金就可以實現加密存儲的功能，可以說這是一種極其劃算的選擇。

BenQ DP360

BenQ的DP360讓我們看到了已經很少見的硬件加密設備——密鑰。DP360帶有兩個專用密鑰，如果不連接專用密鑰，DP360將無法訪問。區別于使用復雜加密算法的軟件數據加密，硬件加密有其獨特的優勢，那就是很難被破解。不過問題也同樣明顯，因為總會有粗心大意的用戶丟失硬件密鑰，哪怕有兩把。

WD Passport

Passport最大的特色是提供了一套獨立于系統的工作平臺，除了可以與主機之間同步數據外，還可以收發Email。對于經常外出的用戶來說，使用起來極為便捷。經過WD Sync同步過的數據，即經過加密處理。雖然從資源瀏覽器中可以看到這些數據，但它們已經被加密成無法打開的特殊數據了。此外，WD Sync提供“失物招領”功能，相信那些拾到硬盤，卻打不開任何數據的人，會按照失物招領里的地址聯絡我們的吧。

LG GSA—H55L

這款LG的GSA-H55L與其他光存儲產品，在基本性能方面并無太大不同。但從功能方面來看，這款產品除了提供了對Light Scribe的支持外，還提供LG與Nero公司共同開發的全新光盤加密技術SecurDisc。這項新技術能夠防止未經授權訪問CD和DVD上的數據。如果在刻錄數據時使用了SecurDisc，那么這張光盤上的數據要保險得多——沒有驗證碼就不能訪問。

ESET NOD32防病毒軟件

ESET的NOD32防病毒軟件最大的特色在于小巧。其安裝程序僅有12MB，并且擁有極好的掃描速度和系統占用率。相對于其他安全防護軟件而言，NOD32的內部結構簡單到了極致。采用匯編語言編程，基于模塊化的設計，讓NOD32不但體積小巧，并且性能表現出色。當然，也正是因為精簡的設計、小巧的體積，導致它的界面十分簡陋。甚至，我們很難相信這是一個可以運行在Windows Vista下，并與系統結合緊密的安全防護軟件。

在功能上，這款產品雖然小巧，但功能依然算得上很全面。首先，它并沒有明確的防火墻功能，而是提供了一個網絡監視模塊(IMON)，這個模塊常駐于內存，在Winsock級來防止惡意代碼入侵電腦，它會掃描互聯網瀏覽網頁(HTTP)、以及POP3電子郵件協議。這一模塊具備部分防火墻功能但并不全面，在防止黑客入侵方面，這一模塊可以說是無能為力的。不過Windows Vista用戶不需要擔心這一點，Windows自帶的防火墻功能在大部分情況下已經足夠了，結合NOD32的IMON模塊，系統仍舊可以保持在安全狀態。

NOD32中最為重要的一個模塊是AMON，即文件實時監控功能。這一模塊的主要作用就是實時掃描計算機即將訪問的文件。NOD32整體采用ThreatSense智能啟發式偵測引擎配合傳統特征碼掃描引擎，能夠有效地防護來自互聯網的多種未知、已知安全威脅。而AMON模塊正是基于這一技術的具有主動防御能力的實時監控模塊。當有惡意程序試圖進入系統時，AMON模塊會對用戶提出警告，并阻止程序進一步運行。而另外一個DMON模塊的作用是專門監視微軟的Office軟件，通過監視微軟提供的API，在打開Office文件時首先檢測文件是否被感染(包括在IE上打開Office文件)，可以有效地避免因打開受感染，或帶有惡意宏指令的Office文件而導致系統受損。最后一個模塊EMON，是一個輔助的模塊，通過MAPI接口與電子郵件客戶端軟件協同工作，比如Microsoft Outlook、Microsoft Exchange，配合IMON給用戶提供完善的系統保護。

除此之外，NOD32還具有基于網絡的認證體系。當本地的NOD32發現未知威脅后，首先是阻止威脅運行，并對可疑文件進行隔離。隨后，NOD32會將本機不能確認是否是新型威脅的可疑文件向ESET服務器提交，將這些文件交由ESET分析、取得認證后，類似程序或威脅再次出現，NOD32會根據新的更新進行自動處理。

江民殺毒軟件KV2008

江民殺毒軟件KV2008，在保留之前版本全部功能的基礎上，提供了更多的安全防護模塊。與之前的KV2007相比，KV2008再次改進了智能分級殺毒引擎，在掃描速度上有更好的性能表現。同時，KV2008更加完善了實時數據流檢測、主動防御功能，不再需要像KV2007那樣在正常掃描后進行未知病毒掃描，主動防御功能徹底實現了實時化，隨時保護系統安全。

另外，江民殺毒軟件KV2008提供了一個獨立的防火墻控制界面。通過簡潔的控制界面，用戶可以實時了解當前網絡狀態，并對突發事件進行響應。比如在被感染的情況下，用戶可以通過防火墻控制界面及時切斷網絡，最大化保護自己的機密信息不被泄露。除此之外，江民殺毒軟件KV2008仍舊是一體化UI設計，用戶可以在主界面上了解到絕大多數信息，并實現絕大多數操作。同時，江民殺毒軟件KV2008還提供了一個迷你面板，在不需要復雜操作的時候，一些簡單的應用，比如升級、掃描，都可以在迷你面板中完成，啟動速度更快，使用更便捷。

江民殺毒軟件KV2008提供了“一鍵恢復”功能。這實際上是一個獨立的程序，叫做江民電腦保護系統。這套保護系統可以根據用戶需要制作系統快照，創建還原點。以便在系統出現故障時做恢復使用。不過與操作系統自帶的系統還原功能不同的是，江民電腦保護系統的速度非常快，創建還原點和恢復時間都很短。此外，江民電腦保護系統可以創建多達1000個還原點，功能十分強大。

金山毒霸2008

金山毒霸2008是一款具有主動防御能力的安全軟件產品，而且它實現主動防御的方式十分特別。金山毒霸在病毒庫和主動防御的基礎上，采用了最新的“互聯網可信認證”技術，進一步提高了抵御未知病毒的能力。當用戶的系統遇到無法準確判斷其性質的可疑程序行為時，立即鏈接金山毒霸的服務器，通過“毒霸互聯網安全認證中心”瞬時即可完成后續的處理工作，既避免了對普通用戶的困擾、又可有效地堵塞安全漏洞，從而大大提升了對電腦病毒的查殺能力，增強了對新病毒的反應速度。實際上，這是一種通過擴大數據樣本庫，進而提升人工智能對程序識別能力的一種做法。這種方式巧妙地避開了單機狀態下數據樣本單一的缺陷，從而使得對潛在威脅的識別率大幅提升。

當然，除了比較流行主動防御外，金山毒霸原有的功能在新的金山毒霸2008版本中仍舊予以保留，并進一步增強。金山毒霸2008包括三個組件，分別是：金山毒霸、金山網鏢，以及金山清理專家。三個組件各司其職并且相互關聯，有效地起到病毒防護、網絡安全防護，以及漏洞修補等作用。

金山毒霸2008可以對病毒和木馬等威脅進行查殺，提供本地病毒庫掃描、惡意行為攔截和可信認證技術的三重防護。能夠對用戶系統中多達1000項的關鍵區域進行掃描，結合可信認證技術以及各類監控狀態判斷，從而智能判斷當前用戶系統的安全性。而增強的搶殺技術確保在系統啟動早期，徹底清除所有病毒、木馬、惡意軟件等威脅，讓各種威脅在發作前就徹底被清除干凈。金山網鏢作為個人網絡防火墻，根據個人上網的不同需要，設定安全級別，有效地提供網絡流量監控、網絡狀態監控、IP規則編輯、應用程序訪問網絡權限控制，黑客、木馬攻擊攔截和監測等功能。而金山清理專家則可以與金山毒霸聯合對系統進行診斷，給用戶更為準確的系統健康指數，作為系統是否安全的權威參考。集成的金山清理專家還提供方便實用的自動運行管理、文件粉碎器、歷史文件清理、垃圾文件清理和LSP修復等多款小工具。

卡巴斯基互聯網安全套裝7.0

新一代的KIS在基本引擎上進行了進一步完善。除了保留了之前的全部功能外，這次的KIS 7.0還加入了前攝行為分析和實時行為分析功能。如果用戶下載的程序和卡巴斯基實驗室數據庫中的特征碼不匹配，卡巴斯基反病毒軟件7.0將在一個安全隔離的虛擬環境中運行該程序。在這里，反病毒軟件將在用戶運行該程序前檢查惡意或者潛在的威脅行為，確保在用戶計算機上運行的程序是干凈安全的，而實時行為分析則會對系統上的程序、進程進行即時分析，如果發現惡意程序或者潛在的危險程序行為，反病毒軟件將阻止該進程，同時通知用戶該進程的危險行為并恢復惡意進程對系統的更改。

卡巴斯基互聯網安全套裝7.0單機版中，產品除了包含反病毒軟件7.0所有功能外，還添加了更具針對性的安全保護技術。它在反病毒軟件7.0的基礎上，內置了個人防火墻，為計算機防御入侵和數據泄露提供新一代保護；而個人防火墻使用IDS/IPS技術來監控網絡活動，防止黑客控制用戶的計算機或者竊取數據；隱身模式允許用戶以隱身方式安全地上網沖浪，以防止計算機成為黑客攻擊的目標；同時，卡巴斯基互聯網安全套裝7.0單機版還可以過濾釣魚郵件，防止用戶訪問釣魚網站。

除此以外，卡巴斯基互聯網安全套裝7.0單機版還開發了隱私控制和家長控制兩大新功能。當前網絡中存在很多惡意程序，它們大多數都會企圖從Windows存儲區獲得用戶的網上銀行、拍賣網站、支付系統、聊天室及在線游戲的帳號和密碼。卡巴斯基互聯網安全套裝7.0單機版能夠監控并阻止一切企圖從這個存儲區竊取機密數據的活動，從而很好地保護用戶的隱私數據。

家長控制功能是指卡巴斯基互聯網安全套裝7.0單機版可以讓家長通過創建網站黑名單的方式，以此來限制孩子訪問一些網站。并能定義禁止訪問類型，如禁止訪問暴力、色情及賭博網站，能夠根據用戶類型為孩子、青少年及成人定義訪問列表；另外，家長也可以限制孩子的上網時間。

趨勢科技網絡安全專家2008

趨勢科技推出的網絡安全專家2008是一款具有主動防御功能，并且可以提供全方位網絡安全防護的安全防護軟件。

趨勢科技的網絡安全專家2008從命名方式上就已經表明了對于網絡安全的態度——那就是全方位防護。網絡安全專家2008的英文全稱是“Trend Micro Internet Security 2008”，簡稱“TIS”；而該軟件的上一個版本為“PC-cillin 2007網絡安全版”。熟悉趨勢科技的用戶都知道，PC-cillin實際上是趨勢科技的反病毒軟件品牌，網絡安全版則可以理解成通過“反病毒軟件+網絡安全軟件”，這種組合方式提供全面服務功能。

網絡安全專家2008一改此前留給用戶的印象，以全新的姿態出現在用戶面前。當然，名稱的變更并不能說明什么問題，一款安全軟件必須有“真本事”才能為廣大用戶所接受。網絡安全專家2008在功能上進行了大幅度改進，而功能上的改進則是來自底層技術的更新。

在網絡安全專家2008中，最為引人注目的一項技術革新就是“AEGIS億級盾”技術了。實際上，這項技術是由三個模塊組成的，包括針對網頁安全認證的“WRS網址信譽評鑒技術”、提供本地主動防御功能的“OSP系統主動防御技術”，以及針對文件信息認證的“FRS文件信用件測技術”。

其中WRS網址信譽評鑒技術主要針對用戶訪問的網址進行安全性鑒定，該技術可以對用戶所訪問的網站進行實時分析，發現可疑網站時，立即自動封鎖存取，保護用戶免受侵擾，而0SP系統主動防御功能會對系統關鍵區域，比如內核、文件、網絡、注冊表、進程等項目進行實時監控，從系統底層提供全方位安全防護；FRS文件信用監測技術則可以提供用戶文件信用等級檢測，并且結合中國本地病毒特征碼，提供最符合用戶需求的防護功能。

除此之外，針對傳統防御功能，比如病毒防護、網絡釣魚詐騙識別、Rootkit防護等等，網絡安全專家2008同樣提供完善的支持。

除了這些用戶層面外的技術、功能，在用戶能隨時接觸到的功能方面，網絡安全專家2008同樣提供了全新功能。比如個人帳號信息防竊取功能，可以時刻過濾用戶郵件、網絡訪問以及聊天信息，監控用戶設置好的保密信息不被泄露。而無線網絡監控功能則可以有效地監控來自陌生計算機的訪問，讓用戶在任何位置安全上網。

瑞星殺毒軟件2008

瑞星殺毒軟件2008是一套基于新一代虛擬機脫殼引擎的安全防護軟件產品，雖然在名字上它仍然叫做“殺毒軟件”，但瑞星殺毒軟件2008絕不僅僅是殺毒那么簡單。實際上，它是由多個不同組件組成的互聯網安全套裝。這套軟件包括：瑞星殺毒軟件2008、瑞星個人防火墻2008、瑞星卡卡上網安全助手。理論上來說，用戶可以根據自己的需要有選擇地安裝軟件的各個部分，但顯然整套軟件整體配合更好。

新一代的瑞星2008殺病毒軟件在引擎上進行了進一步優化，無論是在系統占用還是掃描速度上，都有比較不錯的表現。由于采用了新的虛擬機脫殼技術，讓這款產品能夠有效地檢測、查殺頑固病毒，并具備強殺功能，同時能夠監控即時通訊工具以及下載工具進行的文件傳輸，確保系統不被病毒木馬侵害。另外，這款產品同樣具有主動防御能力，這主要是體現在瑞星2008對于實時監控模塊的改進上，全新的三層主動防御策略可以有效地判別未知程序的安全性，而智能化的安全策略可以有效地減少安全軟件因未知程序進入系統做出響應，進而不斷彈出對話框打斷用戶工作的情況發生。

在智能防火墻方面，瑞星個人防火墻2008版具有木馬識別、家長保護、反釣魚、多賬戶管理、上網保護、模塊檢查、可以文件定位，以及IP攻擊追蹤等功能。其功能要遠遠強于Windows自帶的防火墻。另外，本次瑞星還同時推出了帳號保險柜功能。該功能可以說是專門針對網絡游戲、股票軟件、即時通信工具，以及網上銀行客戶端設計的。該功能可以采用加密的方式，將用戶的重要帳號信息單獨保存，并在必要的時候供用戶調用，從而實現用戶帳號與系統隔離的功能。這樣一來即便用戶的系統中了盜號木馬，也可以將損失降低至最小。

除此之外，卡卡上網助手則擔負著彌補殺毒軟件、防火墻功能不足的功能。卡卡上網助手與瀏覽器集成度極好，可以有效地防止間諜軟件、流氓軟件的入侵，并能夠提供廣告攔截、IE插件清理功能。同時，卡卡上網助手還能提供諸如系統一件還原、系統清理等功能。

賽門鐵克諾頓網絡安全特警2008

諾頓網絡安全特警2008重要功能涵蓋瀏覽器防護的Browser Defender、提供身份安全保護的Norton Identity Safe功能、Home Network家庭網絡狀態檢測與防護、行為偵測技術SONAR、反釣魚防護、SONAR智能型防火墻、One-ClickSupport單鍵支持以及增強的效能，各項增強功能將提供計算機用戶完善的保護，抵御各種新興的在線威脅。

對于Internet Explorer所面對的網絡漏洞的新興或未知威脅提供防護，尤其是防止利用ActiveX、JavaScrip和VBScript以瀏覽器為目標的混淆程序代碼的攻擊，Browser Defender能夠保護用戶不受偷渡式下載(Drive-by Downloads)或是造訪已被黑客植入惡意程序的網站之害。

SONAR智能型防火墻則像之前帶有SONAR技術的反病毒模塊一樣，可以自動判斷并做出決定，讓用戶省去繁復的安全設定的手續，并且封鎖間諜程序，防止其從網絡偷取個人資料，也協助阻擋黑客入侵控制用戶的計算機。

賽門鐵克諾頓網絡安全特警2008提供的Norton Identity Safe功能非常強大。它被集成在瀏覽器中，結合Norton Account功能，將用戶的重要信息，比如信用卡、身份證等等，存儲在網絡上。在用戶通過瀏覽器進行交易時，只需要輸入Norton Identity Safe的驗證密碼，即可直接調用加密后的個人信息，并自動完成瀏覽器中信息表單的填充。

這樣做的好處一來是比較方便，用戶只要記得一個密碼就可以方便地調用各類信息；二來是可以徹底避免Key Logger之類的木馬盜取用戶關鍵信息，將安全級別提升了一個檔次。可以說，這是一種非常人性化的設計，真正做到了設計上以用戶為第一優先考量。

而Home Network則提供了一些只有企業版安全防護軟件才有的功能。首先是它會對局域網的網絡環境進行檢索，搜索當前網絡中的計算機，然后判斷當前PC的安全性，用戶可以根據提示對不信任，或是存在安全隱患的PC進行訪問限制，被限制的PC無法訪問用戶PC上的資源。這樣在局域網內爆發病毒時，可以最大限度保證自己的數據安全。

此外，諾頓網絡安全特警2008也開始像Norton 360一樣，提供簡單明了的提示和解決問題方法，大多數情況下用戶只要單擊一下“修復”按鈕，就可以完成整體的維護工作(包括掃描、升級等常用操作)。此外，用戶可以通過在線即時通信方式與賽門鐵克的技術支持人員在線溝通，以最方便快捷的方式解決用戶遇到的問題。

賽門鐵克諾頓360 V2.0

賽門鐵克一直嘗試著在用戶體驗方面進行一些革新，比如最進的兩個版本NIS套件，就在這方面做了不小的嘗試——統一化的用戶界面，更為簡潔的操作模式，讓用戶耳目一新。但真正做到了簡潔易上手的是諾頓360產品，雖然在安全引擎方面，這一系列產品與NIS有著密不可分的聯系，但在用戶UI以及應用體驗方面，諾頓360卻與NIS迥然不同。

與上一代產品相同，諾頓360 V2.0同樣將功能劃分為四個模塊，包括：PC保護、身份保護、備份以及PC整理。而新版的諾頓360 V2.0與之前的諾頓360相比，基本引擎和安全功能上有較大提升。目前新版的諾頓360 V2.0可以提供與諾頓網絡特警2008相同的安全防護引擎，包括SONAR行為偵測技術、SONAR智能防火墻；另外像是Browser Defender、Norton Identity Safe等最新功能，也已經被集成在諾頓360V2.0中。PC防護引擎更新后，帶來的好處是防御能力更強、安全性更高，以及更好的性能表現。

值得一提的是諾頓360 V2.0中的身份防護，直接將Norton Identity Safe功能帶到了用戶面前，用戶可以在這里直接設置好相關身份卡等信息，而不需要像在NIS2008中那樣，要么在瀏覽器中設置，要么在NIS中反復點擊多次，進行設置。在諾頓360 V2.0中，這項操作變得極易上手。功能方面，這項功能與NIS2008中完全相同，可以保護用戶的重要信息不被Key Logger等惡意程序盜取。

除了在基本安全防護功能上的改進外，諾頓360 V2.0在備份功能上也做出了新的調整。諾頓360 V2.0現在支持HD-DVD、Blu-ray Disc格式的光盤，以及iPod，備份數據位置選擇更多，用戶可以根據自己的需要選擇備份位置，確保機密數據的安全。諾頓360 V2.0仍然支持網絡硬盤備份，并提供2GB免費備份空間供用戶使用。這次的諾頓360 V2.0加入了對FireFox瀏覽器的反釣魚功能支持。而諾頓360 V2.0的幫助支持界面也進一步改進，去掉了一些不必要的窗口，讓用戶可以更快地通過在線方式獲得來自賽門鐵克的專業技術支持。