目前有很多病毒在傳播過程中可產生變異,這使它們幾乎能夠逃避病毒監測。 10年來,病毒和蠕蟲已經從小麻煩變成了電腦安全的主要威脅。這對於商業世界的影響是不言而喻的:如果一家公司不能夠保護自己企業內部的網絡,它將面臨系統完全崩潰的危險。為了協助構建安全防線,以下將提供一些關於企業級安全解決方岸的建議,協助企業抵御現今所面臨的種種危險。 病毒與蠕蟲的差異 病毒(virus)的目的通常是以下兩種:一是將在其他文件中復制自己以進行傳播;二是進行破壞。在一些很少見的情況下,病毒只是在被感染的系統中顯示訊息。而在大部分的情況下,病毒所進行的確實是破壞行為。典型的病毒會試圖去刪除或者破壞信息,而在最近的一些案例中,它們甚至還嘗試通過破壞firmware來損壞硬件。在過去,病毒編寫者需要對基礎編程有非常深的了解,同時還需要對操作系統內在的運作機制有很深入的認識。可是現在,由於GUI病毒產生程序的出現,即使編程經驗不豐甚至完全不會編程的人都可以很容易寫出病毒。 蠕蟲(worms)是一種能夠獨立於其他程序執行的軟件,它可以在由一台電腦傳播到同一個網絡上的另一台電腦上,它會消耗網絡資源並造成破壞。蠕蟲可以獨立執行,這一點是和病毒很不一樣的:病毒需要通過感染其他的程序或文件才能執行。蠕蟲通常帶來的損害是占用資源,它們不僅僅占用本機的資源,讓被感染的電腦不能工作,它們還可以通過反覆請求存取某一資源的方式來消耗遠端機器的資源。蠕蟲可以利用多種方式傳播,它們通常是利用被攻擊目標操作系統中或它的服務中已知的安全漏洞。例如,CodeRed和Nimda蠕蟲就是利用 WindowsServer平台未經保護的網絡共享、網站和未經保護的浏覽器的IIS安全漏洞來進行傳播。Simile和Ramen利用Linux系統中某一特定服務的安全漏洞來攻擊這些系統。還有一類比較少的蠕蟲,比如W32.Winux蠕蟲,它們既可以攻擊Windows系統,也能攻擊Linux 系統。 對服務器進行保護 你的第一道安全防線應該建築在你的網絡周邊。采用防火牆來管理通信埠(port)與服務型態的攻擊是很重要的。但是,周邊防護不僅僅是簡單的關閉通信埠,只留下少數需要使用的埠這麼簡單。你還需要考慮安裝周邊掃描裝置來掃描並阻擋外界的病毒,防止他們流竄到內部網絡。 很多蠕蟲都會利用操作系統的安全漏洞,所以為這些安全漏洞安裝修補程序是很重要的。安裝服務包(servicepack)、進行升級是堵住安全漏洞的最佳途徑。Server2003通常可以不需要重新啟動就能夠使用修補程序軟件(這樣也就避免了重新啟動服務器所造成的損害)。在早期的Windows操作系統中,使用Qchain.exe來安裝多個修補程序就只需要對服務器進行一次重啟。雖然大部分蠕蟲和病毒都是針對Windows平台的,可是如果不能夠及時進行升級並安裝修補程序軟件,Linux平台也一樣的不安全。 禁用不需要的服務 仔細地檢查每一台服務器,確保只開放了需要的服務。禁用和關閉那些不需要的服務來減少服務器被攻擊的風險,同時也想辦法強化真需要的服務。把重要的服務和不重要的服務區分開,部署在不同的服務器上,為了確保高可用性,還可考慮采用負載均衡和群集技術。 保護文件系統 考慮一下如何保護你的網絡資源。所有的文件服務器都應該有防毒軟件,並對文件系統進行即時監控和掃描,當文件被修改或增加的時候,防毒軟件可以隔離並修復被感染的檔,防止它們傳播到用戶端系統或其他服務器上。文件服務器還應該采取一些文件系統級的其他防護措施。例如,所有的Windows服務器都應該使用NTFS,因為FAT簡直沒有安全性可言。你還需要清除不必要的共享,,對於所有的共享行為都要求有授權許可,並盡可能地使用隱藏共享以進一步保護服務器免受蠕蟲的侵襲。 保護電子郵件服務 郵件服務器顯然在任何網絡中都是一個容易遭受攻擊的環節。文件系統掃描程序雖然可在系統被寫入時抓到訊息文件,但是更好的方法是使用防毒解決安全來對郵件系統信息進行掃描。有一些防毒解決方岸能夠直接對於ExchangeServer進行防護,掃描接收到和發送出去的信息。如果還有其他的郵件服務器,或者你希望在郵件到達你的郵件服務器之前就進行掃描,那麼SMTP閘道掃描器就成為了一個不錯的選擇。 另外一個重要的建議是不要單靠單一解決方岸。使用多個廠商的多種掃描引擎能夠加強防護的效果。某一個帶有病毒的信息可能能夠在某一個掃描引擎蒙混過關,但是要想混過第二關甚至第三關,可能性就小得多了。使用多個掃描引擎還能夠防止出現針對某一個產品出現的阻斷服務攻擊(DoS)。你可以使用某一個廠商的SMTP閘道掃描器,而選擇另一個廠商的解決方岸安裝在你的電子郵件服務器上。 在你的電子郵件服務器上安裝的防毒解決方岸應該不僅僅掃描發現那些被病毒感染的文件。重要的是,它還必須能偵測漏洞濫用與腳本掃瞄、並能夠對付奇怪的MIME標頭,或者其他利用電子郵件軟件或服務器操作系統漏洞的攻擊方法。 發出的信息也應該接受檢查 除了掃描接收到的信息,你還應該考慮掃描發出的信息。在發出的信息中如果夾帶了被感染的附件,那就說明至少有一台用戶端中標。你還應該使用一些管理員控制的附件管理工具來阻止某些高風險的文件類型進入或離開網絡。微軟Outlook的擴展電子郵件安全性升級(Theextended e-mail security update for 微軟Outlook)為微軟Outlook提供了增強的安全保護,包括附件控管。針對Outlook 98也有相應的安全升級。ExchangeServer管理員可以使用Outlook E-mail SecurityAdministrativePackage來配置附件控制選項,並且規定哪些應用可以存取用戶通信錄,發送信息以及完成其他動作。 升級和修補程序 除了考慮閘道和服務器解決方岸,你還應該把電子郵件用戶端升級和安裝修補程序軟件作為防護工作的重要一部分。配置Outlook安全升級是一個選擇,還可以升級到最新的Outlook版本。如果你的公司使用的是Outlook Express,你應該使用Outlook Express Security Patch,它具有和Outlook 安全
升級相似的功能。OutlookExpress 修補程序還能夠解決其他一些問題,包括利用OutlookExpress 郵件標題造成的buffer overflow問題。 如果你使用Outlook Web Access(OWA )來遠端存取ExchangeServer,你也應該考慮升級到Exchange Server 2003. 最新的版本加入了OWA的附件阻擋功能。掃描接收到的SMTP通信是良好的第一步,但是SMTP不是網絡攻擊唯一使用的協定。要選擇那些能夠掃描FTP、HTML和POP3以及其他協定的防毒產品。 保護用戶端 即便你采用了服務器級或者閘道級的解決方案,在用戶端對於電子郵件進行掃描也是減少潛在病毒或蠕蟲威脅的好方法。在客戶端層級進行掃描也給了你部署另一個不同的掃描引擎的機會,來自不同廠商的產品會給你帶來多方面的防護。 對於用戶端防毒解決方案,有兩種形式的產品可供選擇:集中管理式和分散管理式。在分散管理模式下,每個客戶在自己的工作站上獨立地進行配置和管理。這些工作包括升級病毒信息,排除文件和其他一些設置。在集中管理的模式下,管理員通過一台中央服務器來對所有的工作站進行配置和管理,升級文件可從服務器發送到用戶端(或者按照事先的規定時間,由用戶端自動地從服務器端獲取)。 兩種模式都是行之有效的;選擇哪種模式取決於你希望由誰來完成管理和配置的工作。不過我總是認為把使用者從這些工作中解放出來是一種更好的方式,讓系統管理員來對每一台工作站上的防毒軟件進行管理和配置,這樣就能讓終端用戶不用再對此操心了。 不論你選擇哪種模式,對於使用者進行培訓都是必要的。你的用戶越是了解病毒是如何傳播、蠕蟲攻擊是如何產生的,他們就越不會做出一些危險的舉動,比如安裝某些軟件或者把具有潛在危險的光盤或其他媒介帶到辦公室中。當然,你也會設置一些用戶及群組政策來標准和限制用戶的移動。 升級和通告計劃 沒有哪一個防毒解決方案能夠完全不需要考慮升級和通告計劃。你需要了解你的防毒供應商多長時間進行一次升級,包括在病毒或蠕蟲爆發時的特別升級,並根據這一時間規律設定你的升級。你還需要設立一些機制,保證系統管理員能夠確認按時下載了升級檔並把升級包傳播給服務器和用戶端。僅僅把病毒代碼升級檔放在服務器上,而用戶端在幾周後才進行升級的做法是毫無用處的。 最後,你需要了解你所選擇的防毒廠商是如何依據病毒的爆發進行安全通告的,以及他們是如何對這些爆發進行回應的。你越快被通知到,廠商能夠提供越多種通告方式,你就越有可能在事態失控之前就阻止它進一步發展。當病毒爆發時,尤其是病毒爆發在深夜時,如果防毒解決方案能夠自動地采取移動,這就是一個非常寶貴的功能。所以當你在選擇防毒產品時,你就應該不只是考慮掃描與監測病毒的能力,還要考察是否能夠自行采取措施來處置危機。 商業後果 病毒和蠕蟲可能給各種規模的公司都帶來災難性的後果。雖然很多公司認為只有信息遺失和破壞才是最嚴重的後果,可事實上,其他一些後果也同樣嚴重,而且在某些場合,那些後果可能帶來更為災難性的破壞。例如,雖然采用了一個有效而完備的備份計劃,還是需要花費一些時間來重新恢復被破壞的系統,以及遺失和被破壞的信息。一個存有大量信息的服務器可能需要花24小時甚至更長的時間才能把信息備份到磁帶上。這種復原過程不僅浪費了IT人員寶貴的時間,還會降低公司員工的工作效率,有些人會因此無所事事。故障排除時間成本將會給公司帶來負面影響,尤其是對於那些獲利有限的公司。雖然你能夠通過光盤備份來緩解這種痛苦,你還是不能徹底消除當機所帶來的負面效應。 很多企業沒有意識到的另外一個問題是:公司和客戶的信息可能受到安全威脅。這不僅可能讓你的競爭對手拉開領先距離,且如果損害到了公司的形象,那就更難以挽回了。起碼,你會同時失去客戶和營收。
