企業(yè)版綜合病毒防御技術(shù)解決方案(1)

計算機安全的威脅中，來自計算機病毒的威脅最為嚴重，因為病毒的出現(xiàn)頻 率高、損失大，而且潛伏性強，覆蓋面廣。目前，全球已經(jīng)發(fā)現(xiàn)病毒 5 萬余種， 并且現(xiàn)在仍然以每天 10 余種的速度增長。那么對于企業(yè)來講，如何部署網(wǎng)絡(luò)的 軟硬件資源、制定相關(guān)規(guī)定，使企業(yè)內(nèi)網(wǎng)成為一個高效的防病毒體系是企業(yè)的日 常管理工作的重中之重。

從目前來看，雖然每個單位都部署了防病毒軟件以及防火墻軟件，但是新的 病毒、蠕蟲和其他形式的惡意軟件仍在繼續(xù)快速地感染大量的計算機系統(tǒng)。對此， 企業(yè)管理人員都可能有這樣的抱怨：

"用戶執(zhí)行其電子郵件的附件，盡管我們一再告訴他們不應(yīng)該……"

"防病毒軟件本應(yīng)可以捕獲此病毒，但是此病毒的簽名尚未安裝……"

"員工因為個人原因，甚至因為下載多媒體影音，關(guān)閉了殺毒軟件的定時更新系統(tǒng)……" "我們不知道我們的服務(wù)器需要安裝修補程序……"

…………

最近的攻擊研究表明，在組織的每臺計算機上部署殺毒軟件的這種標準方法。可能不足以防范多種的病毒的攻擊手段。從最近病毒爆發(fā)的傳播速度來看，軟件 行業(yè)檢測、識別和傳送可保護系統(tǒng)免受攻擊的防病毒工具的速度無法跟上病毒的 傳播速度。最新形式的惡意軟件所表現(xiàn)的技術(shù)也更加先進，使得最近的病毒爆發(fā) 可以躲避檢測而進行傳播。這些技術(shù)包括：

◆社會工程

許多攻擊試圖看上去好像來自系統(tǒng)管理員或官方服務(wù)，這樣就增加了最終用戶執(zhí)行它們從而感染系統(tǒng)的可能性。

◆后門創(chuàng)建

最近大部分的病毒爆發(fā)都試圖對已感染系統(tǒng)打開某種形式的未經(jīng)授權(quán)訪問，這樣黑客可以反復(fù)訪問這些系統(tǒng)。反復(fù)訪問用于在協(xié)調(diào)的拒絕服務(wù)攻擊中將系統(tǒng)用作"僵尸進程"，然后使用新的惡意軟件感染這些系統(tǒng)，或者用于運行黑客希望運行的任何代碼。

◆電子郵件竊取

惡意軟件程序使用從受感染系統(tǒng)中獲取的電子郵件地址，將其自身轉(zhuǎn)發(fā)到其他受害者，并且惡意軟件編寫者也可能會收集這些地址。然后，惡意軟件編寫者可以使用這些地址發(fā)送新的惡意軟件變形體，通過它們與其 他惡意軟件編寫者交換工具或病毒源代碼，或者將它們發(fā)送給希望使用這 些地址制造垃圾郵件的其他人。

◆嵌入的電子郵件引擎 電子郵件是惡意軟件傳播的主要方式。現(xiàn)在，許多形式的惡意軟件都嵌

入電子郵件引擎，以使惡意代碼能更快地傳播，并減少創(chuàng)建容易被檢測出的 異常活動的可能性。非法的大量郵件程序現(xiàn)在利用感染系統(tǒng)的后門，以便利 用這些機會來使用此類電子郵件引擎。

◆可移動媒體

◆網(wǎng)絡(luò)掃描

惡意軟件的編寫者使用此機制來掃描網(wǎng)絡(luò)，以查找容易入侵的計算機，或隨意攻擊 IP 地址。

◆對等（P2P）網(wǎng)絡(luò)

要實現(xiàn) P2P 文件傳輸，用戶必須先安裝 P2P 應(yīng)用程序的客戶端組件，該應(yīng)用程序?qū)⑹褂靡粋�可以通過組織防火墻的網(wǎng)絡(luò)端口，例如，端口 80。

應(yīng)用程序使用此端口通過防火墻，并直接將文件從一臺計算機傳輸?shù)搅硪慌_。這些應(yīng)用程序很容易在 Internet 上獲取，并且惡意軟件編寫者可以直接使用它們提供的傳輸機制，將受感染的文件傳播到客戶端硬盤上。

◆遠程利用

惡意軟件可能會試圖利用服務(wù)或應(yīng)用程序中的特定安全漏洞來進行復(fù)制。比如，Microsoft 發(fā)布的一些緩沖區(qū)溢出漏洞，用戶可能因為沒有及時的打補丁而被攻擊。（所以，及時的對 windows 系統(tǒng)進行更新很重要）

◆分布式拒絕服務(wù) (DDoS)

這種類型的攻擊一般使用已感染的客戶端，而這些客戶端通常完全不知道它們在此類攻擊中的角色。DDoS 攻擊是一種拒絕服務(wù)攻擊，其中攻擊者使用各種計算機上安裝的惡意代碼來攻擊單個目標。攻擊者使用此方法對目標造成的影響很可能會大于使用單個攻擊計算機造成的影響。

由于病毒的復(fù)雜性，相應(yīng)地企業(yè)在構(gòu)建網(wǎng)絡(luò)防病毒系統(tǒng)時，應(yīng)利用全方位的企業(yè)防毒產(chǎn)品，實施"層層設(shè)防、集中控制、以防為主、防殺結(jié)合"的策略。具體而言，就是針對網(wǎng)絡(luò)中所有可能的病毒攻擊設(shè)置對應(yīng)的防毒軟件，通過全方位、多層次的防毒系統(tǒng)配置，使網(wǎng)絡(luò)沒有薄弱環(huán)節(jié)成為病毒入侵的缺口。所以，應(yīng)該在企業(yè)中設(shè)計一種多層次，深入的防病毒安全解決方案。這種方法是根據(jù)安全威脅的作用位置分層建立防病毒的模型，了解模型的每層以及每層的特定威脅，這樣，就可以利用這些信息實施自己的防病毒措施。而這些優(yōu)化解決方案設(shè)計所需要的信息只能通過完成完整的安全風險評估獲得。在這里，我根據(jù)一般企業(yè)所面臨的安全風險。建立了"七層安全防護體系"的模型，旨在確保每組上的安全防護措施能夠阻擋多種不同級別的攻擊。下面，簡單的對模型的各層進行定義：

1） 數(shù)據(jù)層

數(shù)據(jù)層上的風險源自這樣的漏洞：攻擊者有可能利用它們獲得對配置數(shù)據(jù)、組織數(shù)據(jù)或組織所用設(shè)備獨有的任何數(shù)據(jù)的訪問。例如，敏感數(shù)據(jù)（如機密的業(yè)務(wù)數(shù)據(jù)、用戶數(shù)據(jù)和私有客戶信息存儲）都應(yīng)該視為此層的一部分。在模型的此層上，組織主要關(guān)注的是可能源自數(shù)據(jù)丟失或被盜的業(yè)務(wù)和法律問題，以及漏洞在主機層或應(yīng)用程序?qū)由媳┞兜牟僮鲉栴}。

2） 應(yīng)用程序?qū)?/p>

應(yīng)用程序?qū)由系娘L險源自這樣的漏洞：攻擊者有可能利用它們訪問運行 的應(yīng)用程序。惡意軟件編寫者可以在操作系統(tǒng)之外打包的任何可執(zhí)行代碼都 可能用來攻擊系統(tǒng)。在此層上組織主要關(guān)注的是：對組成應(yīng)用程序的二進制 文件的訪問；通過應(yīng)用程序偵聽服務(wù)中的漏洞對主機的訪問；不適當?shù)厥占?系統(tǒng)中特定數(shù)據(jù)，以傳遞給可以使用該數(shù)據(jù)達到自己目的的某個人。

3） 主機層

提供 Service Pack和修復(fù)程序以處理惡意軟件威脅的供應(yīng)商通常將此層作為目標。此層上的風險源自利用主機或服務(wù)所提供服務(wù)中漏洞的攻擊者。攻擊者以各種方式利用這些漏洞向系統(tǒng)發(fā)動攻擊。緩沖區(qū)溢出攻擊就是其中一個典型的例子。在此層上組織主要關(guān)注的是阻止對組成操作系統(tǒng)的二進制文件的訪問，以及阻止通過操作系統(tǒng)偵聽服務(wù)中的漏洞對主機的訪問。

4） 內(nèi)部網(wǎng)絡(luò)層

組織內(nèi)部網(wǎng)絡(luò)所面臨的風險主要與通過此類型網(wǎng)絡(luò)傳輸?shù)拿舾袛?shù)據(jù)有關(guān)。這些內(nèi)部網(wǎng)絡(luò)上客戶端工作站的連接要求也具有許多與其關(guān)聯(lián)的風險。

5)外圍網(wǎng)絡(luò)層

與外圍網(wǎng)絡(luò)層（也稱為 DMZ、網(wǎng)絡(luò)隔離區(qū)域或屏幕子網(wǎng)）關(guān)聯(lián)的風險源自可以訪問廣域網(wǎng) (WAN) 以及它們所連接的網(wǎng)絡(luò)層的攻擊者。模型此層上的主要風險集中于網(wǎng)絡(luò)可以使用的傳輸控制協(xié)議 (TCP) 和用戶數(shù)據(jù)報協(xié)議(UDP) 端口。

6)物理安全層

物理層上的風險源自可以物理訪問物理資產(chǎn)的攻擊者。此層包括前面的所有層，因為對資產(chǎn)的物理訪問又可以允許訪問深層防護模型中的所有其他層。使用防病毒系統(tǒng)的組織在模型的此層上主要關(guān)注的是阻止感染文件避開外圍網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的防護。攻擊者可能只是通過某個物理可移動媒體（如USB 磁盤設(shè)備）將感染文件直接復(fù)制到主機，試圖做到這一點。

7)策略、過程和意識層

圍繞安全模型所有層的是，您的組織為滿足和支持每個級別的要求需要制定的策略和過程。最后，提高組織中對所有相關(guān)方的意識是很重要的。在許多情況下，忽視風險可以導(dǎo)致安全違反。由于此原因，培訓(xùn)也應(yīng)該是任何安全模型的不可缺少的部分。

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]