企业防范：病毒蠕虫肆虐 如何逃离困扰

目前有很多病毒在传播过程中可产生变异，这使它们几乎能够逃避病毒监测。 　　10年来，病毒和蠕虫已经从小麻烦变成了电脑安全的主要威胁。这对于商业世界的影响是不言而喻的：如果一家公司不能够保护自己企业内部的网络，它将面临系统完全崩溃的危险。为了协助构建安全防线，以下将提供一些关于企业级安全解决方岸的建议，协助企业抵御现今所面临的种种危险。 　　病毒与蠕虫的差异 　　病毒（virus）的目的通常是以下两种：一是将在其他文件中复制自己以进行传播；二是进行破坏。在一些很少见的情况下，病毒只是在被感染的系统中显示讯息。而在大部分的情况下，病毒所进行的确实是破坏行为。典型的病毒会试图去删除或者破坏信息，而在最近的一些案例中，它们甚至还尝试通过破坏firmware来损坏硬件。在过去，病毒编写者需要对基础编程有非常深的了解，同时还需要对操作系统内在的运作机制有很深入的认识。可是现在，由于GUI病毒产生程序的出现，即使编程经验不丰甚至完全不会编程的人都可以很容易写出病毒。 　　蠕虫（worms）是一种能够独立于其他程序执行的软件，它可以在由一台电脑传播到同一个网络上的另一台电脑上，它会消耗网络资源并造成破坏。蠕虫可以独立执行，这一点是和病毒很不一样的：病毒需要通过感染其他的程序或文件才能执行。蠕虫通常带来的损害是占用资源，它们不仅仅占用本机的资源，让被感染的电脑不能工作，它们还可以通过反覆请求存取某一资源的方式来消耗远端机器的资源。蠕虫可以利用多种方式传播，它们通常是利用被攻击目标操作系统中或它的服务中已知的安全漏洞。例如，CodeRed和Nimda蠕虫就是利用 WindowsServer平台未经保护的网络共享、网站和未经保护的浏览器的IIS安全漏洞来进行传播。Simile和Ramen利用Linux系统中某一特定服务的安全漏洞来攻击这些系统。还有一类比较少的蠕虫，比如W32.Winux蠕虫，它们既可以攻击Windows系统，也能攻击Linux 系统。 　　对服务器进行保护 　　你的第一道安全防线应该建筑在你的网络周边。采用防火墙来管理通信埠（port）与服务型态的攻击是很重要的。但是，周边防护不仅仅是简单的关闭通信埠，只留下少数需要使用的埠这么简单。你还需要考虑安装周边扫描装置来扫描并阻挡外界的病毒，防止他们流窜到内部网络。 　　很多蠕虫都会利用操作系统的安全漏洞，所以为这些安全漏洞安装修补程序是很重要的。安装服务包（servicepack）、进行升级是堵住安全漏洞的最佳途径。Server2003通常可以不需要重新启动就能够使用修补程序软件（这样也就避免了重新启动服务器所造成的损害）。在早期的Windows操作系统中，使用Qchain.exe来安装多个修补程序就只需要对服务器进行一次重启。虽然大部分蠕虫和病毒都是针对Windows平台的，可是如果不能够及时进行升级并安装修补程序软件，Linux平台也一样的不安全。 　　禁用不需要的服务 　　仔细地检查每一台服务器，确保只开放了需要的服务。禁用和关闭那些不需要的服务来减少服务器被攻击的风险，同时也想办法强化真需要的服务。把重要的服务和不重要的服务区分开，部署在不同的服务器上，为了确保高可用性，还可考虑采用负载均衡和群集技术。 　　保护文件系统 　　考虑一下如何保护你的网络资源。所有的文件服务器都应该有防毒软件，并对文件系统进行即时监控和扫描，当文件被修改或增加的时候，防毒软件可以隔离并修复被感染的档，防止它们传播到用户端系统或其他服务器上。文件服务器还应该采取一些文件系统级的其他防护措施。例如，所有的Windows服务器都应该使用NTFS，因为FAT简直没有安全性可言。你还需要清除不必要的共享，对于所有的共享行为都要求有授权许可，并尽可能地使用隐藏共享以进一步保护服务器免受蠕虫的侵袭。 　　保护电子邮件服务 　　邮件服务器显然在任何网络中都是一个容易遭受攻击的环节。文件系统扫描程序虽然可在系统被写入时抓到讯息文件，但是更好的方法是使用防毒解决安全来对邮件系统信息进行扫描。有一些防毒解决方岸能够直接对于ExchangeServer进行防护，扫描接收到和发送出去的信息。如果还有其他的邮件服务器，或者你希望在邮件到达你的邮件服务器之前就进行扫描，那么SMTP闸道扫描器就成为了一个不错的选择。 　　另外一个重要的建议是不要单靠单一解决方岸。使用多个厂商的多种扫描引擎能够加强防护的效果。某一个带有病毒的信息可能能够在某一个扫描引擎蒙混过关，但是要想混过第二关甚至第三关，可能性就小得多了。使用多个扫描引擎还能够防止出现针对某一个产品出现的阻断服务攻击（DoS）。你可以使用某一个厂商的SMTP闸道扫描器，而选择另一个厂商的解决方岸安装在你的电子邮件服务器上。 　　在你的电子邮件服务器上安装的防毒解决方岸应该不仅仅扫描发现那些被病毒感染的文件。重要的是，它还必须能侦测漏洞滥用与脚本扫瞄、并能够对付奇怪的MIME标头，或者其他利用电子邮件软件或服务器操作系统漏洞的攻击方法。 　　发出的信息也应该接受检查 　　除了扫描接收到的信息，你还应该考虑扫描发出的信息。在发出的信息中如果夹带了被感染的附件，那就说明至少有一台用户端中标。你还应该使用一些管理员控制的附件管理工具来阻止某些高风险的文件类型进入或离开网络。微软Outlook的扩展电子邮件安全性升级（Theextended e-mail security update for 微软Outlook）为微软Outlook提供了增强的安全保护，包括附件控管。针对Outlook 98也有相应的安全升级。ExchangeServer管理员可以使用Outlook E-mail SecurityAdministrativePackage来配置附件控制选项，并且规定哪些应用可以存取用户通信录，发送信息以及完成其他动作。 　　升级和修补程序 　　除了考虑闸道和服务器解决方岸，你还应该把电子邮件用户端升级和安装修补程序软件作为防护工作的重要一部分。配置Outlook安全升级是一个选择，还可以升级到最新的Outlook版本。如果你的公司使用的是Outlook Express，你应该使用Outlook Express Security Patch，它具有和Outlook 安全 升级相似的功能。OutlookExpress 修补程序还能够解决其他一些问题，包括利用OutlookExpress 邮件标题造成的buffer overflow问题。 　　如果你使用Outlook Web Access（OWA ）来远端存取ExchangeServer，你也应该考虑升级到Exchange Server 2003. 最新的版本加入了OWA的附件阻挡功能。扫描接收到的SMTP通信是良好的第一步，但是SMTP不是网络攻击唯一使用的协定。要选择那些能够扫描FTP、HTML和POP3以及其他协定的防毒产品。 　　保护用户端 　　即便你采用了服务器级或者闸道级的解决方案，在用户端对于电子邮件进行扫描也是减少潜在病毒或蠕虫威胁的好方法。在客户端层级进行扫描也给了你部署另一个不同的扫描引擎的机会，来自不同厂商的产品会给你带来多方面的防护。 　　对于用户端防毒解决方案，有两种形式的产品可供选择：集中管理式和分散管理式。在分散管理模式下，每个客户在自己的工作站上独立地进行配置和管理。这些工作包括升级病毒信息，排除文件和其他一些设置。在集中管理的模式下，管理员通过一台中央服务器来对所有的工作站进行配置和管理，升级文件可从服务器发送到用户端（或者按照事先的规定时间，由用户端自动地从服务器端获取）。 　　两种模式都是行之有效的；选择哪种模式取决于你希望由谁来完成管理和配置的工作。不过我总是认为把使用者从这些工作中解放出来是一种更好的方式，让系统管理员来对每一台工作站上的防毒软件进行管理和配置，这样就能让终端用户不用再对此操心了。 　　不论你选择哪种模式，对于使用者进行培训都是必要的。你的用户越是了解病毒是如何传播、蠕虫攻击是如何产生的，他们就越不会做出一些危险的举动，比如安装某些软件或者把具有潜在危险的光盘或其他媒介带到办公室中。当然，你也会设置一些用户及群组政策来标准和限制用户的移动。 　　升级和通告计划 　　没有哪一个防毒解决方案能够完全不需要考虑升级和通告计划。你需要了解你的防毒供应商多长时间进行一次升级，包括在病毒或蠕虫爆发时的特别升级，并根据这一时间规律设定你的升级。你还需要设立一些机制，保证系统管理员能够确认按时下载了升级档并把升级包传播给服务器和用户端。仅仅把病毒代码升级档放在服务器上，而用户端在几周后才进行升级的做法是毫无用处的。 　　最后，你需要了解你所选择的防毒厂商是如何依据病毒的爆发进行安全通告的，以及他们是如何对这些爆发进行回应的。你越快被通知到，厂商能够提供越多种通告方式，你就越有可能在事态失控之前就阻止它进一步发展。当病毒爆发时，尤其是病毒爆发在深夜时，如果防毒解决方案能够自动地采取移动，这就是一个非常宝贵的功能。所以当你在选择防毒产品时，你就应该不只是考虑扫描与监测病毒的能力，还要考察是否能够自行采取措施来处置危机。 　　商业后果 　　病毒和蠕虫可能给各种规模的公司都带来灾难性的后果。虽然很多公司认为只有信息遗失和破坏才是最严重的后果，可事实上，其他一些后果也同样严重，而且在某些场合，那些后果可能带来更为灾难性的破坏。例如，虽然采用了一个有效而完备的备份计划，还是需要花费一些时间来重新恢复被破坏的系统，以及遗失和被破坏的信息。一个存有大量信息的服务器可能需要花24小时甚至更长的时间才能把信息备份到磁带上。这种复原过程不仅浪费了IT人员宝贵的时间，还会降低公司员工的工作效率，有些人会因此无所事事。故障排除时间成本将会给公司带来负面影响，尤其是对于那些获利有限的公司。虽然你能够通过光盘备份来缓解这种痛苦，你还是不能彻底消除当机所带来的负面效应。 　　很多企业没有意识到的另外一个问题是：公司和客户的信息可能受到安全威胁。这不仅可能让你的竞争对手拉开领先距离，且如果损害到了公司的形象，那就更难以挽回了。起码，你会同时失去客户和营收。