在已记录的恶意软件事件中,通过网络发动的攻击是最多的。通常,发动恶意软件攻击是为了利用网络外围防护中的漏洞允许恶意软件访问组织 IT 基础结构中的主机设备。这些设备可以是客户端、服务器、路由器,或者甚至是防火墙。在此层上进行病毒防护所面临的最困难问题之一是,平衡 IT 系统用户的功能要求与创建有效防护所需的限制。例如,与许多最近的攻击类似,MyDoom 蠕虫使用电子邮件附件复制自己。从 IT 基础结构的角度来看,阻止所有传入附件是最简单、最安全的选项。但是,组织中电子邮件用户的需求可能不允许这样做。必须进行折衷,在组织的需求和它可以接受的风险级别之间达到平衡。
许多组织已经采用多层方法来设计其网络同时使用内部网络结构和外部网络结构。Microsoft 建议使用此方法,因为它正好符合深层防护安全模型。
注意:存在一种日益增长的趋势:将内部网络分解为多个安全区域,以便为每个安全区域建立外围。Microsoft 也建议使用此方法,因为它可帮助降低试图访问内部网络的恶意软件攻击的总体风险。但是,本指南仅对单个网络防护进行说明。如果您计划使用一个外围网络和多个内部网络,则可以将此指导直接应用于每个网络。
组织的第一个网络防护指外围网络防护。这些防护旨在防止恶意软件通过外部攻击进入组织。如本章前面所述,典型的恶意软件攻击集中于将文件复制到目标计算机。因此,您的病毒防护应该使用组织的常规安全措施,以确保只有经过适当授权的人员才能以安全方式(如通过加密的虚拟专用网络 (VPN) 连接)访问组织的数据。
注意:您也应该将任何无线局域网 (LAN) 和 VPN 视为外围网络。如果您的组织已经采用这些技术,则对其进行保护是很重要的。如果无法提供此安全性,则可能允许攻击者直接访问您的内部网络(避开标准的外围防护)以发动攻击。
在本指南中,假定网络安全设计为组织提供了所需的标识、授权、加密和保护级别,以防止未经授权的攻击者直接侵入。但是,此时病毒防护是不完整的。下一步是将网络层防护配置为检测和筛选使用允许的网络通信(如电子邮件、Web 浏览和即时消息)的恶意软件攻击。
网络防病毒配置
有许多专门设计用于为组织提供网络安全的配置和技术。虽然这些是组织安全设计的重要部分,但是本节仅集中说明与病毒防护有直接关系的区域。您的网络安全和设计小组应该确定在组织中如何使用以下每种方法。
网络入侵检测系统
因为外围网络是网络中风险很大的部分,因此您的网络管理系统能够尽快检测和报告攻击是极其重要的。网络入侵检测 (NID) 系统的作用仅仅是提供:外部攻击的快速检测和报告。虽然 NID 系统是总体系统安全设计的一部分,而且不是特定的防病毒工具,但是系统攻击和恶意软件攻击的许多最初迹象是相同的。例如,一些恶意软件使用 IP 扫描来查找可进行感染的系统。由于此原因,应该将 NID 系统配置为与组织的网络管理系统一起工作,将任何不寻常的网络行为的警告直接传递给组织的安全人员。
要了解的一个关键问题是:对于任何 NID 实现,其保护仅相当于在检测到入侵之后遵循的过程。此过程应该触发可以用来阻止攻击的防护,而且防护应该得到连续不断的实时监视。只有在此时,才能认为该过程是防护策略的一部分。否则,NID 系统实际上更像一个在攻击发生之后提供审核记录的工具。
有许多可供网络设计人员使用的企业级网络入侵检测系统。它们可以是独立的设备,也可以是集成到其他网络服务(如组织的防火墙服务)中的其他系统。例如,Microsoft Internet Security and Acceleration (ISA) Server 2000 和 2004 产品包含 NID 系统功能以及防火墙和代理服务。
