企業版綜合病毒防御技術解決方案(1)

計算機安全的威脅中，來自計算機病毒的威脅最為嚴重，因為病毒的出現頻 率高、損失大，而且潛伏性強，覆蓋面廣。目前，全球已經發現病毒 5 萬余種， 并且現在仍然以每天 10 余種的速度增長。那么對于企業來講，如何部署網絡的 軟硬件資源、制定相關規定，使企業內網成為一個高效的防病毒體系是企業的日 常管理工作的重中之重。

從目前來看，雖然每個單位都部署了防病毒軟件以及防火墻軟件，但是新的 病毒、蠕蟲和其他形式的惡意軟件仍在繼續快速地感染大量的計算機系統。對此， 企業管理人員都可能有這樣的抱怨：

"用戶執行其電子郵件的附件，盡管我們一再告訴他們不應該……"

"防病毒軟件本應可以捕獲此病毒，但是此病毒的簽名尚未安裝……"

"員工因為個人原因，甚至因為下載多媒體影音，關閉了殺毒軟件的定時更新系統……" "我們不知道我們的服務器需要安裝修補程序……"

…………

最近的攻擊研究表明，在組織的每臺計算機上部署殺毒軟件的這種標準方法。可能不足以防范多種的病毒的攻擊手段。從最近病毒爆發的傳播速度來看，軟件 行業檢測、識別和傳送可保護系統免受攻擊的防病毒工具的速度無法跟上病毒的 傳播速度。最新形式的惡意軟件所表現的技術也更加先進，使得最近的病毒爆發 可以躲避檢測而進行傳播。這些技術包括：

◆社會工程

許多攻擊試圖看上去好像來自系統管理員或官方服務，這樣就增加了最終用戶執行它們從而感染系統的可能性。

◆后門創建

最近大部分的病毒爆發都試圖對已感染系統打開某種形式的未經授權訪問，這樣黑客可以反復訪問這些系統。反復訪問用于在協調的拒絕服務攻擊中將系統用作"僵尸進程"，然后使用新的惡意軟件感染這些系統，或者用于運行黑客希望運行的任何代碼。

◆電子郵件竊取

惡意軟件程序使用從受感染系統中獲取的電子郵件地址，將其自身轉發到其他受害者，并且惡意軟件編寫者也可能會收集這些地址。然后，惡意軟件編寫者可以使用這些地址發送新的惡意軟件變形體，通過它們與其 他惡意軟件編寫者交換工具或病毒源代碼，或者將它們發送給希望使用這 些地址制造垃圾郵件的其他人。

◆嵌入的電子郵件引擎 電子郵件是惡意軟件傳播的主要方式。現在，許多形式的惡意軟件都嵌

入電子郵件引擎，以使惡意代碼能更快地傳播，并減少創建容易被檢測出的 異常活動的可能性。非法的大量郵件程序現在利用感染系統的后門，以便利 用這些機會來使用此類電子郵件引擎。

◆可移動媒體

◆網絡掃描

惡意軟件的編寫者使用此機制來掃描網絡，以查找容易入侵的計算機，或隨意攻擊 IP 地址。

◆對等（P2P）網絡

要實現 P2P 文件傳輸，用戶必須先安裝 P2P 應用程序的客戶端組件，該應用程序將使用一個可以通過組織防火墻的網絡端口，例如，端口 80。

應用程序使用此端口通過防火墻，并直接將文件從一臺計算機傳輸到另一臺。這些應用程序很容易在 Internet 上獲取，并且惡意軟件編寫者可以直接使用它們提供的傳輸機制，將受感染的文件傳播到客戶端硬盤上。

◆遠程利用

惡意軟件可能會試圖利用服務或應用程序中的特定安全漏洞來進行復制。比如，Microsoft 發布的一些緩沖區溢出漏洞，用戶可能因為沒有及時的打補丁而被攻擊。（所以，及時的對 windows 系統進行更新很重要）

◆分布式拒絕服務 (DDoS)

這種類型的攻擊一般使用已感染的客戶端，而這些客戶端通常完全不知道它們在此類攻擊中的角色。DDoS 攻擊是一種拒絕服務攻擊，其中攻擊者使用各種計算機上安裝的惡意代碼來攻擊單個目標。攻擊者使用此方法對目標造成的影響很可能會大于使用單個攻擊計算機造成的影響。

由于病毒的復雜性，相應地企業在構建網絡防病毒系統時，應利用全方位的企業防毒產品，實施"層層設防、集中控制、以防為主、防殺結合"的策略。具體而言，就是針對網絡中所有可能的病毒攻擊設置對應的防毒軟件，通過全方位、多層次的防毒系統配置，使網絡沒有薄弱環節成為病毒入侵的缺口。所以，應該在企業中設計一種多層次，深入的防病毒安全解決方案。這種方法是根據安全威脅的作用位置分層建立防病毒的模型，了解模型的每層以及每層的特定威脅，這樣，就可以利用這些信息實施自己的防病毒措施。而這些優化解決方案設計所需要的信息只能通過完成完整的安全風險評估獲得。在這里，我根據一般企業所面臨的安全風險。建立了"七層安全防護體系"的模型，旨在確保每組上的安全防護措施能夠阻擋多種不同級別的攻擊。下面，簡單的對模型的各層進行定義：

1） 數據層

數據層上的風險源自這樣的漏洞：攻擊者有可能利用它們獲得對配置數據、組織數據或組織所用設備獨有的任何數據的訪問。例如，敏感數據（如機密的業務數據、用戶數據和私有客戶信息存儲）都應該視為此層的一部分。在模型的此層上，組織主要關注的是可能源自數據丟失或被盜的業務和法律問題，以及漏洞在主機層或應用程序層上暴露的操作問題。

2） 應用程序層

應用程序層上的風險源自這樣的漏洞：攻擊者有可能利用它們訪問運行 的應用程序。惡意軟件編寫者可以在操作系統之外打包的任何可執行代碼都 可能用來攻擊系統。在此層上組織主要關注的是：對組成應用程序的二進制 文件的訪問；通過應用程序偵聽服務中的漏洞對主機的訪問；不適當地收集 系統中特定數據，以傳遞給可以使用該數據達到自己目的的某個人。

3） 主機層

提供 Service Pack和修復程序以處理惡意軟件威脅的供應商通常將此層作為目標。此層上的風險源自利用主機或服務所提供服務中漏洞的攻擊者。攻擊者以各種方式利用這些漏洞向系統發動攻擊。緩沖區溢出攻擊就是其中一個典型的例子。在此層上組織主要關注的是阻止對組成操作系統的二進制文件的訪問，以及阻止通過操作系統偵聽服務中的漏洞對主機的訪問。

4） 內部網絡層

組織內部網絡所面臨的風險主要與通過此類型網絡傳輸的敏感數據有關。這些內部網絡上客戶端工作站的連接要求也具有許多與其關聯的風險。

5)外圍網絡層

與外圍網絡層（也稱為 DMZ、網絡隔離區域或屏幕子網）關聯的風險源自可以訪問廣域網 (WAN) 以及它們所連接的網絡層的攻擊者。模型此層上的主要風險集中于網絡可以使用的傳輸控制協議 (TCP) 和用戶數據報協議(UDP) 端口。

6)物理安全層

物理層上的風險源自可以物理訪問物理資產的攻擊者。此層包括前面的所有層，因為對資產的物理訪問又可以允許訪問深層防護模型中的所有其他層。使用防病毒系統的組織在模型的此層上主要關注的是阻止感染文件避開外圍網絡和內部網絡的防護。攻擊者可能只是通過某個物理可移動媒體（如USB 磁盤設備）將感染文件直接復制到主機，試圖做到這一點。

7)策略、過程和意識層

圍繞安全模型所有層的是，您的組織為滿足和支持每個級別的要求需要制定的策略和過程。最后，提高組織中對所有相關方的意識是很重要的。在許多情況下，忽視風險可以導致安全違反。由于此原因，培訓也應該是任何安全模型的不可缺少的部分。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]