现在新
病毒层出不穷,每天都会产生20至30种新病毒,比以前增加3倍以上。我国目前的病毒疫情呈现出两种趋势,一种趋势是国外流行的网络化病毒大肆侵袭我国的计算机网络,另一种趋势是出现大量本土病毒,并且传播能力和破坏性越来越强。企业在电子商务和金融电子化的不断发展的环境下,网络及其应用系统已成为企业日常经营管理的基础平台。企业管理系统具有多平台、多应用的特点,所以建立一个有效的、可管理的企业整体防病毒体系满足了这一需要 。
一、病毒的趋势
自从1983年世界上第一个计算机病毒出现以来,在不到20年的时间里,计算机病毒已到了无孔不入的地步,有些甚至给我们造成了巨大的破坏。每当一种新的计算机技术广泛应用的时候,总会有相应的病毒随之出现。在现今的网络时代,病毒的发展呈现出以下趋势:
l 病毒与
黑客程序相结合
随着网络的普及和网速的提高,计算机之间的
远程控制越来越方便,传输文件也变得非常快捷,正因为如此,病毒与黑客程序结合以后的危害更为严重,病毒的发作往往伴随着用户机密资料的丢失。病毒的传播具有一定的方向性。
l 蠕虫病毒更加泛滥
其表现形式是邮件病毒会越来越多,这类病毒是由受到感染的计算机自动向用户的邮件列表内的所有人员发送带毒文件,往往在邮件当中附带一些具有欺骗性的话语,由于是熟人发送的邮件,接受者往往没有戒心。因此,这类病毒传播速度非常快,只要有一个用户受到感染,就可以形成一个非常大的传染面。
l 病毒破坏性更大
计算机病毒不再仅仅以侵占和破坏单机的资料为目的。
木马病毒的传播使得病毒在发作的时候有可能自动联络病毒的创造者,或者采取DoS(拒绝服务)的攻击。一方面可能会导致本机机密资料的泄漏,另一方面会导致一些网络服务的中止。而蠕虫病毒则会抢占有限的网络资源,造成网络堵塞。如有可能,还会破坏本地的资料。
l 制作病毒的方法更简单
由于网络的普及,使得编写病毒的资料越来越容易获得。同时,各种功能强大而易学的编程工具让用户可以轻松编写一个具有极强杀伤力的病毒程序。用户通过网络甚至可以获得专门编写病毒的工具
软件,只需要通过简单的操作就可以生成破坏性的病毒。
l 病毒传播速度更快,传播渠道更多
目前上网用户已不再局限于收发邮件和网站浏览,此时,文件传输成为病毒传播的另一个重要途径。随着网速的提高,在数据传输时间变短的同时,病毒的传送时间会变得更加微不足道。同时,其它的网络连接方式如ICQ、IRC也成为了传播病毒的途径。
l 病毒的实时检测更困难
众所周知,对待病毒应以预防为主,如果发生了病毒感染,往往就已经造成了不可挽回的损失,因此对网上传输的文件进行实时病毒检测成了亟待解决的重要问题。
l 网关防毒已成趋势
如果等病毒已经进入
局域网后再作剿杀,显然为时已晚。因此,通过网关把病毒拒绝在网络之外是最好的解决办法。这种办法还可以防止将网络内部受到感染的病毒文件传到其它的网络当中,使得各个网络能够互相独立。
二、病毒的传播途径
目前绝大多数病毒传播的途径是网络。对于一个网络系统而言,针对病毒的
入侵渠道和病毒集散地进行防护是最有效的防治策略。正如一个国家如果只让每个公民进行自我保护是低效和不可控制的,必须设立专门的海关、警署等机关,对进入本地的人员进行检查,以便将外来的威胁阻止在本地的入口。因此,对于每一个病毒可能的入口,部署相应的防病毒软件,实时检测其中是否有病毒,是构建一个完整有效防病毒体系的关键。
l 来自系统外部的病毒入侵
这是目前病毒进入最多的途径。因此在与外部连接的网关处进行病毒拦截是效率最高,耗费资源最少的措施。可以使进入内部系统的病毒数量大为减少。但很明显,它只能阻挡进出网关病毒的入侵。
l 网络邮件/群件系统
如果网络内采用了自己的邮件/群件系统实施办公和信息自动化,那么一旦有某个用户感染了病毒,通过邮件方式该病毒将以几何级数在网络内迅速传播,并且很容易导致邮件系统负荷过大而瘫痪。因此在邮件系统上部署防病毒也显得尤为重要。
l 文件服务器
文件资源共享是网络提供的基本功能。文件服务器大大提高了资源的重复利用率,并且能对信息进行长期有效的存储和保护。但是一旦服务器本身感染了病毒,就会对所有的访问者构成威胁。因此文件服务器也需要设置防病毒保护。
l 最终用户
病毒最后的入侵途径就是最终的
桌面用户。由于网络共享的便利性,某个感染病毒的桌面机可能随时会感染其它的机器,或是被种上了黑客程序而向外传送机密文件。因此在网络内对所有的客户机进行防毒控制也很有必要。
l 内容保护
由于目前邮件系统的使用异常方便,造成了用户很容易在不经意间将重要的、机密的或是不当的信息通过邮件发送出去;另一方面,来自Internet上的垃圾邮件也到处都是,导致用户需花大量的精力和时间去处理,降低了工作效率。因此对往来的邮件内容进行过滤也很重要。
l 集中管理
对于一个大型网络来说,部署的防毒系统将十分复杂和庞大。尤其在各网点在地域上分离的情况下,通过一个监控中心对整个系统内的防毒服务和情况进行管理和维护显得十分重要。这样可以大大降低维护人员的数量和维护成本,并且缩短了升级、维护系统的响应时间。防毒系统的最大特点是需要不断的升级和更新防毒软件,以应对新产生的各类病毒。因此各点的防毒软件集中进行升级行动也是有效防毒的重要一环。
三、企业整体防病毒需求分析
1、潜在病毒威胁分析
基于病毒入侵途径的分析,评估企业是否存在以下的病毒防护
漏洞:
l 是否具有良好的防病毒
安全策略,且能构成动态自适应防病毒系统
构建一个全面有效的网络防病毒系统,应根据特定的网络环境定制病毒防护策略:策略包括预防策略、升级策略、病毒爆发初期管理控制策略、集中清除策略、审计策略、集中管理策略等。从宏观角度统筹规划网络安全体系,全面顾及到网络系统病毒发生、预防、清除、审核等各个阶段,能够在病毒爆发生命周期各个阶段对病毒进行有效的控制,将病毒造成的损失降到最低。
l 是否部署针对不同操作系统平台及应用防病毒软件
在网络体系中,各类操作系统平台有大量应用,如Windows/NT/2000系统,Unix/Linux/Netware系统,此外还分布有大量应用系统,如邮件系统,数据库系统等。如果没有采取任何病毒防护措施,这样信息交换很难保证该网络系统的安全,会对各类操作系统及关键应用业务产生潜在的安全威胁。
l 缺少防病毒中央控管系统
由于网络节点太多,且分布较散,要管理好整个防病毒系统良好运行必须有一个良好的管理控制系统。能通过
浏览器方式实现远程异地管理远程防病毒软件,监视该软件的运行状况参数(如防病毒软件病毒库、扫描引擎更新日期,系统配置等)。能实现病毒集中报警,准确定位病毒入侵节点,让管理员对病毒入侵节点做适当处理以防危险扩大。控制中心能与其它网络安全系统实现联动,协同管理工作。
l 缺少全网病毒代码统一自动更新功能
构建有效病毒防护的关键环节需要保证产品能做到定期升级,网络防病毒软件必须具备主动式、零干预、增量式的自动升级功能,同时具备自动分发功能,能够在单点更新,然后在不需要人为干预的情况下,实现全网所有产品的病毒码更新。
l 尚未建立完善的安全制度和制定安全培训机制
防病毒工作是一项复杂、长期的任务,需要全体人员配合,提高对病毒的警觉和防范意识。防病毒系统需要建立良好的安全规范,以制度严格控制不良行为,另外还得提高全体人员的防范病毒的能力。网络安全应急小组至少配备2-3人才能很好的处理网络安全运营的所有事件,应急处理技术和人员管理也需要专业应急小组提供技术培训和长时间的跟踪培训。
l 缺乏完善的防病毒信息支持体系
防病毒厂商长期提供防病毒信息,新病毒预警信息,安全培训等专业的支持,以提高整个网络使用人员的防病毒素质。
2、病毒对企业网络运营威胁
l 外部
企业与互联网有直接通道,虽然中间有防火墙验证数据的合法性,但仍会受到来自互联网以HTTP、SMTP、FTP等数据流为载体的潜在病毒的威胁。
l 内部
局域网中的工作站及文件服务器都会受到病毒的感染,病毒的攻击方式多种多样,有通过局域网传播、传统介质(光盘、软盘等)传播等等,一旦受到感染,便会迅速传播,会给日常的工作和生产带来极大的威胁。
l 邮件服务器
电子邮件已成为病毒传播的最大载体,任一与外界有邮件往来的邮件服务器如果没有采取有效的病毒防护措施,极易受到攻击,并会导致病毒在企业内部网中快速传播。其实邮件服务器本身不会受到邮件病毒的破坏,只是转发染毒邮件至客户信箱中,但是当客户机染毒并产生几何数量级的信件时,邮件服务器会由于在短时间内需转发大量邮件而导致性能迅速下降,直至当机。
l 网络带宽
高速传播和具有网络攻击能力的病毒,能占用有限的网络带宽,导致网络瘫痪。CodeRed就是典型导致网络瘫痪的病毒,能导致网络交换机、路由器、服务器严重过载瘫痪。
l 间接损失
病毒造成的间接损失可能更大,病毒造成的事故对企业的影响是直接导致企业信息资产损失,可能影响生产运营。而病毒事故对企业造成信誉损伤可能更严重,一次病毒引起网络故障可能造成客户的信任度严重下降,而丢失大量客户。
四、整体防病毒体系的部署
1、 网关防病毒产品部署
推荐产品:
熊猫Panda Antivirus GateDefender
硬件防毒网关,在网络边界或Internet网关处提供全面的病毒防护,而该病毒防护设备是即插即用的,不需要改变任何Internet设置,并对所有应用及服务透明,通过全面阻截已知及未知病毒达到针对企业网络环境的全面防护。
特性:
l 性能高度优化的病毒防护:整合最新硬件及软件技术,熊猫病毒墙提供超乎寻常的优异性能,能够在一个小时内扫描上万封邮件,完全对企业网络透明。
l 优良的拓展性及负载均衡:由于熊猫硬件防毒网关的高度可拓展性,熊猫硬件防毒网关适合中到大型企业,能够根据网络通讯流量调节扫描能力。熊猫防毒墙的负载均衡是完全自动的,允许工作负载量能够自动在不同工作单元间进行均衡,良好地保障了产品的可拓展性及对企业边界的全面防护。
l 易于安装及配置:熊猫防毒墙按照即插即用的设计思路,能够非常简便地安装在企业网络中,不需要重新配置或重新路由Internet流量。一旦安装完成,熊猫防毒墙就开始扫描所有网络流量。
l 保护所有广泛使用的网络协议:熊猫防毒墙保护所有可能的Internet相关威胁,完全扫描所有常用Internet协议,包括: HTTP、 FTP、 SMTP、 POP3、IMAP、NNTP及SOCKS。
l 内容过滤:内容过滤防止未知病毒及蠕虫进入企业网络,大幅减少整体网络资源占用及带宽,防止可能的恶意代码进入到企业网络。
l 远程管理:熊猫防毒墙可以通过一个简洁、启发式的WEB管理控制台远程管理,让企业网络管理员通过企业内部任何一台电脑管理该产品。
l 每日自动病毒更新:熊猫防毒墙可以每日自动病毒更新,意味着熊猫防毒墙始终可以防护所有最新病毒。
l 详细报告及可客户化的报警:熊猫防毒墙提供完整的扫描报告,并可以客户化在企业内部网络的病毒报警机制。
l 实时系统监控:熊猫防毒墙提供网络管理员对网络病毒行为及网络流量的实时监控。
部署:
熊猫硬件防毒网关安装在防火墙与中心交换机之间,即插即用。
2、Exchange系统防病毒产品部署
推荐产品:
趋势ScanMail for Microsoft Exchange with eManager,ScanMail for Exchange提供最彻底的邮件安全策略。多次获奖的防毒和内容过滤技术,结合了领先业界的技术服务和支持体系。从此以后,企业网络可以免于病毒的威胁,同时过滤掉不适当的内容。要确保企业邮件系统的生产力,这是最简单、最有效的方法。
特性:
l 主动式邮件过滤器,可实时侦测和拦截感染病毒的电子邮件和附件。邮件清除功能可立即拦截大量寄送的邮件病毒或特定的附件文件,并且可删除夹带零字节(zero-byte)附件文件的邮件,以避免这类邮件造成处理困扰、降低工作效率。
l 内存扫描和多线程扫描程序,可加快邮件扫毒的速度,提高扫描效率。扫描所有经过Exchange信息储存体的交通,对Exchange 2000环境中的SMTP、HTTP、MAPI、POP3和IMAP4等通讯协议以及IFS(Installable File System, 可安装式文件系统)提供保护。
l 提供群集服务器的病毒防护和内容安全检查,即使发生部分停机事件,仍能提供一个安全的全天候讯息传递和协同工作环境。支持Active/Active(主动/主动)和Active/Passive(主动/被动)两种群集模式。
l 外挂eManager内容和垃圾邮件过滤程序,防止不适当的内容通过邮件服务器传入公司或从公司流出。扫描所有邮件的内容和附件,除了邮件本文之外,并可扫描纯文字、HTML和
Word附件文件。内建的垃圾邮件拦截规则完全可自订,系统人员可以指定哪些类型的附件文件和内容能够进入或离开服务器。
部署:
如果企业采用的是Exchange系统的邮件应用解决方案,则在Exchange服务器上直接部署ScanMail for Exchange。
3、服务器的防病毒产品部署
推荐产品:
趋势防毒墙服务器版ServerProtect , ServerProtect可以对Windows™ 2000/NT、Novell™ NertWare或Linux Redhat网络上的服务器,提供全面性的病毒防护。ServerProtect 通过使用三层体系结构来保护服务器网络:管理控制台、信息服务器(中间件)和标准服务器。这些组件在一起创建了强大的集中管理的、节约成本的防毒安全系统。ServerProtect是通过直觉的、可携式的主控台来操作,它提供病毒疫情管理、集中式病毒扫描、病毒码更新、事件报告和防毒配置等功能。
特色:
l 防毒软件可通过单一的主控台来管理,并且主控台可多次安装,实现移动管理。可以跨广域网管理。安装时可以依照网域分组,同时替多部服务器进行安装。
l 利用集中式报表,管理人员可以监看整个网络的状态。通过Task Manager,管理人员可以轻松地完成各种病毒维护工作,例如设定扫毒模式、更新病毒码和程序、编辑病毒报告,以及设定实时扫描的参数等
l 反复扫描经过多层
压缩的档案,支持的格式包括ARJ、D
iet、LZEXE、LZH、PKLITE、PKZIP、Microsoft Compress,以及UUENCODE和MIME等邮件附件格式。先进的病毒检测技术—ActiveAction, Intelligence和OLE层扫描提供了更快捷和更高效的扫描。
l 增量式自动
下载和分发病毒码、扫毒引擎和程序文件。
l 可以执行病毒爆发抑制策略。
部署:
在总部及下属每一个分支机构中,建议增设一台服务器安装ServerProtect信息服务器及管理控制台,作为Serverprotect的管理中心,在管理中心上实现网内所有服务器的防病毒策略部署和病毒代码、引擎的升级,然后在每一台NT或2000服务器上安装ServerProtect的普通服务器防毒墙。
4、客户机防病毒产品部署
推荐产品:
趋势防毒墙网络版OfficeScan Corporate Edition,OfficeScan是对桌面客户机和移动客户机的综合防毒策略。OfficeScan 向客户机计算机提供完全的、可靠的和透明的病毒防护和损害清除服务。趋势科技的OfficeScan Corporate Edition将管理与部署的功能集中到服务器端。透过Web接口的管理主控台,管理人员可以从网络上的任何地点,来管理和设置全公司的防毒策略,并且也能迅速响应各种紧急事件。
特色:
l 具有多种安装和部署方式,例如可使用硬盘映像(hard disk imaging)、Windows NT远程安装、Login Script或ActiveX内嵌网页等方法,来替远程办公室进行安装。
l Web接口的管理主控台,让你随时随地都可以透过Internet来更新软件、修改客户端设定或执行紧急程序。
l 集中式的实时管理,通过
IE浏览器就能够对整个网络中的所有客户机或某些做统一或特定配置,以确保客户机的处于最佳状态。采取自动和集中式的更新和部署设计,不需麻烦使用者即可更新软件。
l 使用系统事件日志、更新日志和病毒日志分析您的网络保护并验证更新。如果正在将 OfficeScan 与控管中心一起使用,也可从控管中心控制台生成OfficeScan 的摘要报表。
l 漫游客户机可以直接从趋势科技更新服务器更新自身。可以下载无线防御管理程序并将它安装到 PDA 设备上,以保护它们免受病毒威胁。
l 安装邮件扫描模块并扫描您的 POP3 邮件消息和
Outlook文件夹。
l 具有手动关闭共享和封闭端口的功能,以避免病毒大面积在内部网络中传播。可以执行病毒爆发抑制策略。
部署:
对于网络中大量桌面客户机以及便携式计算机的病毒防护:在32位Windows操作系统的客户端上统一采用OfficeScan。
5、网络入侵检测产品部署
推荐产品:
启明星辰天阗入侵检测系统N500,N500是一种动态的入侵检测与响应系统。它能够实时监控网络传输,自动检测分析可疑行为,发现来自网络外部或网络内部以及针对主机的攻击,并可以实时响应,通过多种方式发出警报,阻断攻击方的连接。主要应用在安全需求明显,投资规模较大,安全要求较高,业务管理有多层次的结构,分支和下属单位多,网络结构较复杂,有核心业务的主机需要保护,有特殊的网络行为需要监控,网络流量在百兆环境下较高的单位。
特色:
l 采用独创的“多目标跟踪锁定”功能,对用户所设定的报警内容进行多方位的定点跟踪和显示,明确用户所关心的服务地址、攻击类型、攻击源、攻击目标和方式等。
l 采用独创的“北京流量过滤”技术,对用户所指定的端口、协议、地址和应用相关的高数据流自动免检。
l 采用实时统计比较方法,显示当前TOP10报警事件,随时把握网络主要安全动态。
l 采用深层协议分析,实时显示原始报文、重组会话信息。
l 流量分析:可以实时监控网络流量,进行网络流量的分类、分析和统计,生成点对点数据流、实时流量排名等详细图表;还可以定义流量异常的阀值,对网络流量的异常变化进行实时的报警。
部署:
天阗N500入侵检测系统部署在企业内部网的中心交换机上,对网络的流量与蠕虫病毒的传播进行实时的监控。
6、中央控管产品部署
推荐产品:
趋势Trend Micro Control Manager,控制管理中心TMCM是一种软件管理解决方案,使管理员能从一个中心位置控制防毒和内容安全程序,而无论该程序的物理位置或平台如何。此应用程序简化了企业的病毒和内容安全策略的管理。三层管理体系结构:客户机机器、产品级管理服务器、控制服务器。可以通过因特网访问的基于Web 的管理控制台的使用,用于控制被管理产品的代理的网络的使用。
特色:
l 积极的爆发预防;使用爆发指挥中心,您可以采取积极的步骤保护您的网络不受逼近的病毒爆发的威胁。
l 安全通信基础架构:控制管理中心使用一种新的通信基础架构— 建立在安全套接层(SSL) 协议上。根据使用的安全设置,通信可以加密或使用认证加密。
l 任务委派:可以向每个用户提供一个具有其自己的权限的个性化帐户,该帐户定义用户可以看到和操作的内容。帐户使用可以通过用户日志跟踪。
l 命令跟踪:此功能使您可以监控在控制管理中心上执行的所有命令。这对于确定长持续时间的命令(如病毒码更新)能否成功执行尤其有用。
l 实时按需产品控制:控制管理中心向您提供实时的产品控制。在控制台上做出的配置更改会立即发送到产品,甚至可以从控制台上运行手动扫描。这种没有等待时间的命令系统在病毒爆发期间是不可缺少的。
l 集中式更新控制:集中式更新垃圾邮件规则、病毒码和扫描引擎文件,可以确保所有被管理的产品都使用最新的组件。也使您可以从一个单击的管理控制台查看整个网络的防护状态。
l 集中式配置:集中式配置使您可以从一个单一控制台协调病毒响应和安全措施。这确保了公司的防毒和内容安全策略的一致实施。
l 集中式日志报告:使用全面的日志可以得到对防毒和内容安全网络性能的一个概览。控制管理中心可以从所有其管理的产品收集日志;您不再需要检查每个单个产品的日志。
部署:
在ScanMail for Exchange、 ServerProtect管理中心、OfficeScan管理中心上安装TMCM的客户端产品;而在一台防病毒专用服务器上安装TMCM的服务器端,管理员就可以实现全网防病毒产品的管理及监控。
五、安全策略
我们遵循深层防御战略思想建设的企业网络防病毒系统具有层次化、多样性的特点,同时在管理也能进行统一的策略规划和实施:
1、日常防护
l 每日开机进入到Windows后,检查OfficeScan是否正常的在运行,OfficeScan病毒码及扫描引擎是否都已经更新到最新版本。
l 当OfficeScan实时扫描发现病毒且无法正常被OfficeScan清除时,请立即与公司网络安全管理人员联络,以取得解决方法。
l 每月请对所有的硬盘使用OfficeScan扫描,以确保计算机中没有病毒存在。
l 磁盘借给他人之前,最好先拷贝一份留着,同时将磁盘设定为写保护状态。随时准备一干净的开机磁盘并设定为写保护状态。尽量少从软盘开机,以免感染开机型病毒。
l 时常使用防毒程序检查软、硬盘。
l 买到新软件时,先使用防毒程序扫描一遍,确定没有病毒之后立刻设定为写保护状态并做
备份。
l 使用他人刚用过的计算机之前,先关掉电源重新开机或用防病毒软件检查一遍。
2、注意事项
l 计算机的开机顺序通常都是设成软盘先、硬盘后(A,C),建议将计算机的开机顺序设成硬盘先、软盘后(C,A)。
l 定期备份硬盘数据:定期备份是降低病毒所带来的灾害最好的方法,即使硬盘没有中毒,有些程序也可能因为使用者处理不当或突然断电而损坏,因此经常备份是您绝对不能忽视的大事。硬盘的系统开机扇区、CMOS的数据、系统文件、硬盘上的程序以及数据文件。
l 准备一张干净的开机紧急救援磁盘并设成写保护:由于多数的病毒会常驻于系统内存,所以一旦您发现中毒的现象,内存里面通常已经有病毒在活动。为了避免杀毒程序受到病毒感染,在您进行杀毒之前,您必须先关闭电源,然后使用干净无毒的开机磁盘重新启动计算机,确保内存里面没有病毒,才能进行后续的杀毒动作。
l 留意常用程序的大小、日期、属性:除了隐藏性比较大的病毒,一般的病毒在感染程序之后都留下一些痕迹,只要多留意常用程序的相关信息,就可以做到早期对病毒的查杀。
l 留意系统内存的使用情形:除了隐藏性比较大的病毒会谎报内存的使用情形之外,一般的常驻型病毒都会导致系统内存减少几KB,所以观察内存使用情形也是检查系统有无病毒的好方法。
l 留意系统是否经常当机、硬盘的效率降低:由于病毒可能会去破坏程序或硬盘,因而造成程序无法执行、执行到一半当机或执行效率变慢,所以一旦发现系统有类似的情况的产生,最好立利用防毒软件扫描一遍。
l 下载程序回来之后先扫描一遍:由于大家已经渐渐习惯上Internet下载自己需要的程序或数据,于是有越来越多的病毒作者将自己的写好病毒程序伪装成有用的软件,诱骗计算机操作人员下载到计算机里,然后在不知情的状况下感染计算机。
l 不要立即开启E-mail的附件:任何类型的程序都可以利用附件的形式发给计算机操作人员,当然这些程序也包括了可能藏匿病毒的执行文件、压缩文档、Word文档、
office/9.shtml' target='_blank' class='article'>Excel文档等。病毒通常以E-mail附件的形式传送出去,而不知情的人就因为一时疏忽,打开了E-mail的附件而中毒。
l 限制浏览器下载ActiveX及Java Applet的权限:由于第二代病毒会随着使用者浏览网页时所下载的ActiveX 及Java Applet传送至计算机,因此若要有效的防止第二代病毒,我们就必须限制浏览器下载ActiveX及Java Applet的权限,让浏览器在下载程序前先征求使用者的同意。,