混合病毒来势汹汹
2001年前,病毒的型态非常单纯,依其感染的方式,可分为感染开机区的开机型、感染执行文件的文件型、感染Word文件的宏病毒型等等。而今病毒与黑客联手,它们可能是会利用服务器漏洞植入后门程序的特洛伊木马;或是通过电子邮件大肆传播、衍生无数变种的计算机蠕虫;也有可能是通过浏览网页下载病毒;更糟的状况是三者兼具。
排行 病毒名称 类型 感染百分比
1 nimda.a 黑客型病毒 36.07%
2 code_red 黑客型病毒 14.18%
3 sircam.a 特洛依木马+蠕虫 10.09%
4 mtx.a 特洛依木马+蠕虫 6.92%
5 kakworm.a 脚本型+蠕虫 6.10%
6 badtrans.b 蠕虫 5.72%
7 funlove.4099 文件型 5.59%
8 magistr.b 文件型+蠕虫 5.52%
9 exception.gen 脚本型 5.38%
10 tam.a 脚本型 4.43%
黑客与病毒未来将会彼此交换情报,联合作战。这种反传统的攻击模式使得传统的防毒软件面临更严峻的挑战,也使得企业的防毒系统面临更严重的威胁。结合去年不断发生的病毒与黑客程序混合威胁的机理来看,病毒防范的范畴正在扩展,混合威胁大有蔓延之势,这就需要企业从防毒意识树立‘防毒先堵漏洞、防毒更要防黑的观念。
化被动为主动
病毒发展呈现出两个新的趋势:第一是病毒的攻击对象已经从原来个人主机上的文件、内存资源、CPU资源转向网络带宽、网络服务器,而且从工作模式上推断,今后很可能出现诸如对DNS、路由器等网络服务器攻击的病毒;第二是病毒结合了传统病毒自动传播技术和黑客缓冲溢出技术的特点,一旦爆发就会具有规模效应。由于当前防病毒软件多数采取”等待、发现、更新、杀除”这样一种模式,所以单纯依靠这类软件是难以有效控制住病毒的危害的。咎其原因,主要因为这是一种被动的工作模式。
怎样才能化被动为主动呢?通常来讲,针对系统漏洞的补丁程序是先于病毒出现的,及时下载并使用这些补丁,尤其是帮网络服务器“打补丁”,会使用户在病毒爆发时减少很多麻烦。而对于网管员,最好是把有限的精力放在对网络服务器的保护上,同时设置合适的安全选项以提高网络服务程序的安全等级。
全方位保护
自各个病毒入侵通道全面防堵将成为趋势,尤其是针对复制能力极强的计算机蠕虫,企业必须同时在网关、服务器、客户机等各个节点严密把守,才有可能避免病毒伺机渗透。道理很简单――将病毒阻挡在企业网络之外,总比它们进入网络再一一清除容易得多。
企业防病毒,网关是关键。据他分析,由于2001年通过电子邮件和网络进行病毒传播的比例迅速攀升,使得网关防病毒市场异军突起,并成为整个反病毒解决方案的核心组成部分。而有关统计报告显示,这也正是防毒软件市场中成长最快速的部份,2000年至2005年的年平均复合成长率为43%。
网络安全是需要整个安全体系架构来支撑的,用户对此应该有一个综合的考虑,单纯的防病毒或防黑客都不足以有效保障系统不受影响。使用防火墙在网络层对重要的网络服务器进行访问控制保护;在不影响业务正常运转的情况下,选择更安全的操作系统和网络服务程序;采取数据集中模式并做好备份工作……这一系列方法都可以在一定程度上减轻危害。
预防和查杀之间是相互依存的关系,是保障信息安全的两个重要方面,不能偏废其中的任何一点。在企业应用中,由于存在一些不可间断性信息工作,于是对企业级应用提出了更高的要求,即应该在不影响或者尽量减少影响企业正常业务的前提下,通过特有的技术和实现手法,对信息系统中的不安全程序和漏洞进行监测、清除和查杀。
总而言之,为了真正确保网络系统的安全,企业必须要以主动预防为主,尽量不要等到感染了病毒再去被动地杀毒,劳民伤财,百害而无一益。只有对企业系统内的漏洞、易攻击点进行逐一消除、加固,才能切断病毒来源;同时只有采取合理、有效的防御手段抵御黑客程序的攻击,才能使病毒无可乘之机。
技术管理双保险
众所周知,没有一套软件可以在缺乏专人管理的情况下充分发挥作用,防毒软件也是如此。尽管随着技术的进步,很多操作已经可以自动执行,但“人”始终是一个至关重要的因素。
最安全的网络系统一定是最先进的技术和最优秀的管理的有机结合,因为许多安全问题其实并不是出于产品的缺陷,而是源于管理方面的错误,例如购买了防毒软件却没有上网注册,也没有实时升级,从而使其根本无法发挥应有的防护功能。因此,每个企业的系统管理者与使用者必须建立起一套监督与使用的管理程序,并且彻底执行。
在防病毒战役中,大型企业用户不能简单地认为将防病毒产品放在客户端、服务器及网关就是防病毒的全部,这还远远不够。因为每个大型企业都拥有成百上千的PC机及移动接入设备,如何管理好每一个接入终端,保证同步升级,成了企业当前面临的最大问题。‘千里之堤,溃于蚁穴’,只有拥有经过统一部属的强有力的防病毒策略管理工具,才能保证整个系统远离病毒困扰。
按部就班循序渐进
企业用户应该如何着手部署自己的防病毒体系呢?
对于企业来讲,安全策略的建立是一个复杂的系统工程。就目前国内的情况看,从反病毒入手,首先建立企业信息系统的初级屏障,不失为一个成本效益比较高的手段。这样不仅可以将日常工作中危害企业信息系统最频繁的不安全因素予以屏蔽,更可以借此熟悉掌握安全信息系统建立和维护的管理模式和规程。在此基础上,再进一步升级为全面的信息安全体系,这样比较现实,代价也更趋于合理。
这包括六个方面的内容:第一,制定系统的反病毒策略;第二,部署多层防御战略,在尽可能多的“点”采取病毒防护措施;第三,定期更新定义文件和引擎;第四,定期更新桌面型计算机中的反毒软件;第五,定期备份文件,定期检查从备份中恢复的数据;第六,预订电子邮件病毒警报服务。要分析网络环境,确认易受攻击的程度、每个系统当前的状态以及系统内的关键资产或数据。其次,制定一个安全计划,特别是要对受保护的资产风险所导致的损失进行深入分析。接下来,组建一支由企业内部人员和厂商支持人员共同组成的队伍,同时确保正规的培训进度,培训对象应包括企业的安全专业人员及最终用户。最后,需要在产品、服务与响应能力方面加以适当的投入。很多安全计划失败正是因为投入不充足,赛门铁克认为,好的启动投入应该达到IT产品总预算的5%到10%。
计算机病毒就是一种可执行的计算机程序,除了自我复制外,某些病毒被设计成为具有破坏程序、删除文件甚至重新格式化硬盘的能力。
在网络中,病毒对计算机的安全构成极大威胁。与网络黑客内外配合,窃取用户口令及帐号等变化多端的方式,使企业网络无时无刻不面对病毒的困扰,这也是必须使计算机具备预防、检查和清除病毒能力的根本所在。
病毒传播能力越强,其生存的机率就越大。当计算机病毒附着或感染某个文件或系统中的某个部分后,就会传播给临近的项目。如果计算机病毒刚好将自己附着到一般用户经常使用的项目,或所附着的项目处于一个文件共享非常频繁的环境中,都将助长病毒以极快的速度向四周蔓延。因此在企业应用环境中,网络是病毒传播和生存的最快、最好的温床。
计算机病毒的种类包括:程序型病毒、引导型病毒、宏病毒、蠕虫病毒、特洛伊木马型病毒。目前全世界已有超过47000多种病毒,而且每天还增加数种新病毒。计算机网络的发展和Internet的普及,使病毒传播的速度非常快,并成为病毒的主要传播途径。为了企业计算环境的安全,应付越来越猖獗、制作技术越来越高明的病毒,建立全方位的企业网络防病毒体系刻不容缓。
原作者:朱鹏举
