谁让“间谍”无处可遁

视野最前沿

间谍软件不可不设防

间谍软件(Spyware)，是指隐藏在各种免费软件里面，在用户安装之后能够跟踪用户上网的历史记录，并将这些信息发送给互联网中的某一台服务器的一种软件。利用这些信息，间谍软件供应商帮助商业客户拓展网络营销。

间谍　防不胜防

无论是企业用户还是个人用户，对间谍软件的破坏力和威胁程度的认识都远远不够，其原因主要是由于间谍软件的传播扩散方式多种多样，如通过网络小游戏、程序和flash等扩散传播，这样就能隐藏其真实目的，通常用户在没有警惕和意识到的情况下就下载了。

另外，与病毒和蠕虫等传统威胁不同，间谍软件在安装后有时不会造成致命的破坏。比如只是窃取用户的一些上网信息。上网习惯出去，而不像蠕虫等病毒，一旦发作，就会删除用户的文件，甚至造成整个网络系统的瘫痪，所以用户往往会忽视其危害性。

再次，很多人可能难以置信的是，很多著名软件厂商的产品，包括硬件厂商的驱动程序内也会携带一些间谍软件，令人防不胜防。

此外，由于对间谍软件没有统一的标准．对于编写、应用间谍软件程序的个人和企业也没有相应的法规法律加以约束和惩罚，也是间谍软件十分猖獗的原因之一。

防身术　有的放矢

由于间谍软件的种种特性，其解决方案比起防病毒的相对比较复杂。企业用户和个人用户因面对的威胁情况和需求不同，在选购方面也有很大不同。

对于个人用户，选购时应当首先考虑选择集成产品。个人用户安全产品主要是些防病毒产品。虽然有些新版本的防病毒产品对于间谍软件或广告软件具有检测和清除的功能，但在防范各种混合型威胁时，这种产品的效果不太好。因此，笔者建议个人用户最好选择采用综合技术的客户端个人产品。

市场上也有一些针对个人用户的其它包含反间谍软件功能的产品。用户在选择时应该首先考虑厂商的实力。由于间谍软件是一种新出现的安全威胁，本身变化速度快，更新也快；并且间谍软件通常还会结合其它一些黑客技术或者病毒技术对用户进行攻击，因此需要安全厂商根据间谍软件的发展，不断提升检测技术的复杂性。如果安全厂商的实力不够，缺乏相关的预警机制和后台的支持系统，就不能快速地了解、捕获、预测可能出现的一些威胁，也就不能做到很好的安全防护。

企业用户由于其自身应用和防护要求相对复杂，加上间谍软件“多”与“快”的特点，单一反间谍产品的防范效果是远远不够的。因此在选购时，建议选择具有多层防护技术的集成安全产品。多层防护技术主要是指企业应在网关和其自身的客户端，服务器都部署解决方案。如在网关方面，一些新型的防火墙，IPS产品等都有检测和阻拦间谍软件连接的能力。企业应当在网络不同层面部署多层次的解决方案，从而达到综合的防范。而集成技术可以满足防范威胁不同方面的要求，如路径检测、阻拦、识别等。以赛门铁克的产品为例，反间谍软件技术被运用于网关，服务器，客户端，防火墙不同层次当中，实现多层次的集成解决方案，用户在选购和部署产品时就拥有更多的灵活性。

总体来说，现在的间谍软件在存在方式、造成的威胁和破坏力等方面都是多样的，且更新速度快，用户在选购产品中应牢记以下原则：

第一，不要选用单纯的反间谍软件(如一些免费软件)，而应该选择多层次的集成的产品。另外，要考虑所选择产品的保护程度和效果。

第二，选择既有检测功能又清除功能的软件，且具有实时防护功能的软件。有些产品只能够检测系统中的间谍软件，但却不能进行清除。

第三，用户应选择正规安全厂商提供的正版软件。一些免费软件可能在清除的同时对系统造成影响，造成应用程序的不正常工作。

趋势多层次与集成

间谍软件未来的传播方式将更加多样化，技术更加复杂化，检测起来也更加困难。间谍软件已经可以绑定其它攻击方式(如垃圾邮件、蠕虫等)，通过在线方式(小游戏，小程序)传播，给防范技术带来新的挑战。

但魔高一尺，道高一丈，反间谍软件也会不断进行自我完善，多层次和集成技术仍将是反间谍软件发展的重点。多层次的防范技术可以让企业在不同的层次方面对于间谍软件扩散和传播过程中从不同阶段进行防范。而集成技术把多种安全技术集于一身从而满足多种安全防范的需求。

选型指南针

目前反间谍软件功能主要融汇在杀毒软件中。针对个人用户的产品和针对企业级用户的产品差别非常大。企业级用户更注重于产品的管理、数据统计、整体预警及技术服务等，而个人用户则喜欢操作简单，智能强大的产品。

个人用户选型时应该仔细查看产品功能是否能满足需求，主要是：

・产品的稳定性。清除间谍软件时存在一定的风险，可能对系统正常的应用造成影响。有报道显示，微软的反间谍软件工具测试版与Flashget就可能形成冲突。

・防护的实时性。不少反间谍软件工具需要用户手工启动和执行，这样的保护是不够全面的。

此外，是否占用过多资源、是否能涵盖不同时空间的间谍软件，也应当是个人用户选型的关注点。

而企业级客户在防护间谍软件时，除去与个人用户相同的因素之外，还应注意：

・可管理性。部署、更新、执行，是否能够采取集中管理的方式进行控制，是否易于扩容。

・防护的层次性。部署网关、客户端多层次的防护体系，尽可能早地发现问题和控制局面。

技术气象台

目前，多数间谍软件开发者早已超越了技术炫耀的阶段，而其运行是有组织、有目的的用户隐私信息盗取和商业信息过程，包含一定的商业目。

现在间谍软件比较新，出现也很快，现在大家把它当作相对独立的防护解决对象，但是未来也可以把间谍软件当作病毒的一部分，这种情形与当年对黑客的侦测类似。也因为这个原因，技术上会与防病毒软件会有密切的结合。

从技术的角度上看，很多间谍软件采取的都是正常的程序接口和调用过程，在间谍软件发展的初期，甚至有一些被作为网络管理的工具利用。因此，现在我们所说的间谍软件，从某种角度来看介于正邪之间，很难通过其技术特征简单判断是或不是的。

因此对间谍软件的防护，最有效的方法还是将其融合到现有的反病毒解决方案中。然而，简单地扩充病毒特征码数据库以处理间谍软件问题，似乎很难完美地解决这一问题。试想下面的一个情况，某中小企业网络管理员，限于资金问题无法使用成熟的商业管理软件完成网络的管理工作，恰巧某种间谍软件能够协助他收集网络中必要的信息，并协助他高效率地完成工作，那么他将如何处理呢?以停止病毒防护的手段达 成管理的目的，那肯定是不可能的。简单地说，现在的网络安全防护解决方案，必须分化出一个单独的间谍软件类别，并考虑用户的实际应用需求，才能够很好地处理好这个问题。

因此，如何在保持产品的易用性的同时，达成扩大防护范围，这是未来主要的挑战之一。

厂商留言板

McAFee陈联

企业级防病毒厂商有把反间谍与防病毒集成在一起，在技术上将会遭遇三大挑战：

首先，真正属于间谍软件范畴的有3000多种(也有说是2万多种)，要把这么大量的资料加入病毒侦测里面，是否会影响到杀毒软件的完美性，这是比较有挑战性的。

其次是集中管理的部分，企业级的安全解决方案怎么样可以做到很有效的管理值得重视。

还有一点就是，需要经过一段时间的法律上的沟通。因为有些公司专门在推间谍软件，如果通过防病毒软件直接拦截它们，就会影响到它们的利益，对这一问题的处理也需要很小心(如Windows　AntiSpyware错误地将荷兰Startpagina网站当成恶意代码而禁止人们将该网站设为主页――编者注)。

趋势科技齐军

对于目前广泛采用的安全防护措施而言，间谍软件利用了其设计上的一些问题，建立入侵的管道。以防火墙为例，如果是用户自内而外建立的访问．通常是被允许的，而间谍软件的安装，通常都依附在某种正常的软件安装过程中，不会产生新的连接，防火墙很难发觉这种入侵行为的发生。而防病毒软件对间谍软件的查杀，限于目前对间谍软件的定义还比较模糊，哪些软件属于正常的网络管理工具，哪些属于不正常的间谍软件，还缺乏统一的标准，因此，很多防病毒软件还没有包含对应的特征码，完全无法处理间谍软件问题，或者只能识别和处理很少一部分间谍软件。

从现有的间谍软件清除工具的工作方式来看，大多数还采取了专杀工具的作法，也就是如果用户调用则执行检查和清除操作，在用户没有调用的时候，不提供实时性的防护。这种情况也间接地导致了在已经发现间谍软件后并部署的必要的特征码更新之后，依然被间谍软件感染的情况。

国内用户对反间谍软件的意识处于萌芽阶段。网络游戏或网上交易的热衷人士对间谍软件的危害警惕性比较高，但这部分用户通常不是企业级网络应用的决策者，真正的大规模网络应用对防范间谍软件并未做好充分的准备。

相关链接：反间谍软件练几招

1．把浏览器调到较高的安全等级。大多数间谍软件只能在使用Windows操作系统／Web浏览器的计算机上工作，您可以自行调整其等级设定，将IE的安全等级调到“高”或“中”，可有助于防止下载间谍软件。

2．尽量避免从非官方的网站上下载和使用软件，对不了解的ActiveX插件禁止其安装。

3．阅读“协议书”。任何应用程序都可能夹藏间谍软件，下载软件时，请先仔细阅读服务条款或使用授权同意书。在安装软件的过程中，如果出现有“Sponsor”(赞助商)字样的协议，就需要特别留意。

4．设置障碍。在计算机上安装防制间谍软件的应用程序，以阻止软件对外进行未经许可的通讯。您也可以使用免费的防制程序检查系统，以了解是否有间谍软件入侵您的计算机。不过请注意免费程序往往无法处理最新的入侵技术，所以不能提供绝对的防护。

5．整理电脑。在电脑上尽量少保存个人的敏感信息。

就目前多数用户采取的安全策略而言，在防范间谍软件的入侵方面，还显得非常脆弱。例如，多数间谍软件的出现都是假借安装免费或共享的娱乐性程序完成的，而几乎所有企业中对于这些软件的安装缺乏控制，只有在发生问题之后才会发现这些软件的存在；企业的网络管理员对用户访问Intemet上什么样的站点、下载和安装什么样软件的缺乏控制。

欧美一些管理规范的企业在网络边界上常常设立有URL或下载程序的过滤检查机制，这些网关型设备能够通过实时更新获得安全厂商提供的特征码，一旦发现有可疑对象进入网络即刻进行干预。即便是在这样的严密防护下，考虑到目前网络边界的不确定性(VPN、漫游用户等等)，也很难完全避免此类危害的发生。因此对国内的广大企业用户和个人用户而言，安全策略上的完善和改进还有很长的路要走。

金山刘金光

反间谍技术同反病毒技术一样，都是先病后医。间谍软件的确比病毒更分散．受害点更少，所以更难处理。最难的就是间谍软件的监测和捕获。随着互联网应用的增多，间谍软件的问题将会越来越严重，其危害的范畴也会越来越宽泛，用户对反间谍的认识和需求也会越来越大，反间谍将会像防病毒一样形成其独特的市场。