企业病毒防范 集中管理是关键(1)
作者: 更新日期:2005-10-06 类别:黑客相关->安全 总浏览/今日:4/4
现今的网络就像双刃剑,让人在享受极大便利的同时,也饱受病毒侵袭的折磨。防范病毒,既是企业的责任,也是个人的责任。
有效防范计算机病毒是人人关心的话题。现今的网络就像双刃剑,让人在享受极大便利的同时,也饱受病毒侵袭的折磨。
如“震荡波”,“冲击波”及“';冲击波';杀手”,还有2001年的“尼姆达”,在短短的几天内席卷了世界的各个角落,感染了数百万台机器,严重影响了企业业务的正常运行,给全球经济带来巨大的损失。
因此,做好病毒防护成为各个企业至关重要的一项工作。可是,病毒该怎么防?尤其是身处结构复杂的企业环境中。根据济钢集团近年来成功防毒的经验,笔者认为可以从两方面下手。一方面是企业级的,一方面是个人级的。
企业防毒,集中管理为先
“三分技术,七分管理”是网络安全领域的一句至理名言。具体到企业级网络防毒,笔者将其修改为:“三分靠防毒技术,七分靠网络集中管理”。
或许,有些人说这种讲法不够准确,但笔者根据多年的实际工作,用网络防毒的集中管理来强调网络防毒系统的重要性是最恰当不过的。
举例来说,2003年8月,“冲击波”病毒在全球大面积爆发,笔者所在的济钢集团也在劫难逃。由于济南钢铁集团总公司(以下简称济钢集团)计算机数量多,部署的防毒产品多种多样,且员工计算机应用水平参差不齐,缺乏统一、有效的管理,导致防毒工作的整体效果欠佳。
济钢集团在局部范围感染了“冲击波”病毒,引起数台机器频繁重启,严重影响业务的正常运行。
集中管理解围
后来,通过向技术专家咨询,结合实际情况,济钢集团决定实施全面的网络防毒体系架构。
鉴于2003年的病毒攻击,济钢集团首先部署防毒管理平台。济钢集团选用了知名度较高的某安全公司的EPO控制台(ePolicy Orchetrator)——网络级病毒防护管理平台,并进行了部署。
该平台由3个组件构成:一个是实现对服务器的单一控制;一个是采集和分析历史数据;还有一个是在客户机上实施防毒策略。
通过对EPO控制台的部署与实施,济钢集团达到了集中控制、统一管理的目的,并很好地解决了常使网管员头疼的(在以往实施网络级防毒过程中常遇到的)3个难点:针对网内所有节点的软件分发、病毒库升级以及对内网病毒现状的掌控。
细建安全体系
其次,济钢集团分步骤、多层次地部署防毒体系。
为了实现“在病毒库更新之前,让还没进来的病毒进不来,已进来的病毒不能扩散”这一目标,济钢集团采取了分步骤、多层次的策略,并不断完善防毒系统的建设。
济钢集团防毒系统由以下4个部分组成:
网关防护,采用业界领先的网关防护产品,提供对电子邮件病毒的过滤;
服务器防护,支持Novell、Windows NT、Windows 2000 Server等多种操作系统,通过一个直观的控制台,保护企业文件、应用程序和群件服务器,并从本地服务器或工作站方便地监测、配置和执行远程服务;
桌面产品防护,即已成功应用的客户端桌面防毒技术,实现客户端对操作系统进行病毒扫描的防毒目的;
中央控管,即控制以上三种防护方案之间的协调工作,它是整个套件的指挥中心,具有强大的管理和报告功能,可以实现企业内集中管理策略的制定和分发、软件的安装、产品配置、集中防病毒报告等功能,具有统一管理、统一升级、统一部署、整体策略实施的优点。
目前,正在使用的网络病毒防护管理平台和企业极病毒扫描方案已经收到显著成效。
通过上面的部署,济钢集团实现了自动安装桌面PC机的防毒软件,实时升级病毒库,定期定时对客户端操作系统进行病毒的防与杀,并根据实际业务需求来制定计划任务的运行。比如防毒任务定在夜间进行,以避开业务量的高峰期。
从数据库中的历史数据来看,到2005年上半年,济钢集团共有90%以上的计算机统一部署了某安全公司的桌面防毒方案,查杀病毒数80万余次,并经受住了多次恶性病毒的冲击,为济钢集团的网络提供了安全保障。
个人防毒,综合能力要强
从过去遭受的多次病毒侵袭事件中,笔者发现大部分是由于个人级用户操作不慎引发的。所以,在今后的防毒过程中,我们要有意提高个人用户防毒能力,加强个人安全管理。
防毒重在意识
当前,防毒工作的意义早已打破了各自为战的局面,技术也不仅仅局限在单机的防毒上。
只要网内有一台机器被感染了病毒,那么,其他机器也就处于危险环境中。换句话说,一台机器没有做好病毒防范措施,就可能导致整个网络重复感染。
例如,济钢集团某一下属单位的VLAN中,由于个别用户使用了感染“新欢乐时光”病毒的移动磁盘,与该设备直联的机器首当其冲受到感染,并在这一范围内迅速扩展开来,最终导致多台机器接二连三地被该病毒感染。
因此,防毒不再是一个人、一台机器等单一节点需要解决的问题,而是需要所有人共同努力的问题。所以,提高防毒意识是做好病毒防治工作的首要条件。
勤打“补丁”
补丁是微软公司不定期在网上发布的系统修补程序,其作用是为了修补Windows 98/XP/2000/2003等各操作系统存在的漏洞。
自2000年以来,病毒常以蠕虫、特洛伊木马为主体,以Internet为载体,通过攻击操作系统漏洞的方式进行传播。
从蠕虫传播原理上来说,其感染过程可分为3个阶段:扫描→攻击→自我复制。
扫描是指蠕虫通过自身扫描程序,对存在漏洞的主机进行扫描。当它发现某台机器存在漏洞,就会发动攻击,直至将机器感染成功。紧接着开始自我复制,占用大量系统资源,再去感染其他机器。因此,修补系统漏洞是最关键措施之一。
就拿震荡波补丁(KB835732)来说,微软发布该漏洞补丁公告后的第二天,济钢集团就及时地在各类服务器上打上相应的补丁程序,从而免于遭受震荡波病毒的攻击。
可见,及时升级补丁程序可以在根本上堵住病毒侵入点,使防毒工作更加主动。
留心微小变化
个人用户应时刻留心进程和服务的变化。一般来讲,病毒会在系统内存中引入新进程,个人用户需要学会区分恶意进程。
首先,应关闭所有有效的应用程序,如Instant Messenger、电子邮件监视器或驻留在内存中第三方实用程序基础上的最小化进程列表中的条目数,以此发现并标识出恶意进程。这要求用户对系统进程有所了解。
以震荡波病毒为例,如果计算机感染了“震荡波”及其变种病毒,最明显的后果是机器反复重启。
此时,用户应打开“任务管理器”来分析活动进程,并在进程中查找Avserve.exe (Sasser.A 蠕虫)、Avserve2.exe (Sasser.C蠕虫)、Skynetave.exe (Sasser.D蠕虫)、Lsasss.exe (Sasser.E蠕虫)以及Napatch.exe(Sasser.F蠕虫);同时,还要查看CPU、内存的使用情况和峰值。
保护好注册表
在济钢集团爆发的病毒事件中,都会出现注册表被修改的现象。作为个人用户,需要查看以下几个地方:
HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersion下的五个以Run和RunServices开头的键值。
HKEY_CURRENT_USERSOFTWAREMicrosoft WindowsCurrentVersionRunOnce
=================================================
企业病毒防范 集中管理是关键(2)
作者: 更新日期:2005-10-06 类别:黑客相关->安全 总浏览/今日:4/4
还有一类修改会在c:windows产生.vbs后缀的文件,或是.dll文件,此时需要查看c:windows win.ini文件,留心“Load=”和“Run=”,这两个选项后面应该是空的。
如果有其他程序修改“Load=”和“Run=”,将“=”后面的程序删除。删除前,记录路径和文件名;删除后,再到System下删除对应的文件。
切断病毒入侵点
目前,以共享文件夹、弱口令以及主机上开放的网络端口作为入侵点来进行传播感染的病毒比比皆是。其中,较为典型的例子是Lovgate病毒。
在笔者参加的一次计算机培训课程中,作为演示机的PC机多次重复感染了Lovgate,主要症状是机器速度很慢,没有任何反应。
经检查发现,该机尚未打上相应的补丁程序,并设有多个共享文件夹,且登陆密码为空。在采取一系列补救措施之后,包括设置“数字+字母+特殊字符”强口令、打补丁(KB824146)、关闭共享操作等,情况才得到了有效遏制。
因此,个人用户应注意使用PC管理MMC单元,或通过命令行使用 NetShare 、Netstat命令检查受感染系统上的共享文件夹的状态,并监听当前网络连接和网络端口的状态。
表1、表2演示了 Windows 客户端和服务器上的默认共享文件夹。
只配一种防毒工具
有不少个人用户认为,PC机中安装防毒软件的数量越多,防毒效果就会越好。其实,这是一种错误的认识。
在同一台PC机中,如果安装多种防毒软件,会导致它们认为对方是病毒程序,相互查杀对方,从而占用大量CPU资源,容易致使PC机陷于崩溃。
例如,济钢集团一个人用户既安装了Norton桌面防毒产品,又安装了McAfee桌面防毒产品。结果,他运行一个Word文档需要花费几分钟的时间。
起初,他以为是病毒在捣鬼呢,后来,在笔者的帮助下,从“控制面板→添加/删除程序”中删除了Norton,又从注册表中找到键值“HKEY_LOCAL _MACHINESOFTWARESYMANTEC”,将其删除,才解决了打开文档耗时长的问题。
小心不明邮件
笔者还有一个亲身体验,就是不要随便登陆陌生网站,不要随意查看陌生邮件,尤其是带附件的不明邮件。
当个人用户在网上冲浪时,会因为误操作而进入某些陌生网站,进而被强制将该网页设置成首页。
这样做的后果是修改了相关的注册表信息,并在个人不知的情况下被自动安装上一些莫名的小程序。
虽然这些小程序不会占用多少硬盘空间,但多个小程序累加在一起后,产生的影响就具有很强的破坏性了。
比如,这些小程序会造成企业内部邮箱(像OA邮箱)无法正常弹出浏览信件的界面。笔者就遇到过这样的问题,当时以为系统出了故障,检查之后,才发现系统根本没问题。于是,笔者将目光聚焦到这些小程序上,把这些小程序一删除,浏览信件的界面便正常弹出了。
这个例子虽然没显示造成多么严重的后果,但很多其他案例表明,因浏览带有病毒的附件,极易使PC机感染恶性病毒。
总之,只要企业中的每个人都视网络安全为已任,人人做到及时打补丁,升级病毒库,定期进行全面的系统扫描,就可以有效防止病毒入侵。
相关链接
企业购买防毒方案指南
多数的防毒产品可以发现大部分的计算机病毒。然而,管理网络防毒软件及实施病毒警戒策略,会让企业多出一笔相当庞大的预算。依照分析家最新的报告,企业维护防毒软件的成本支出,大约是购买防毒产品成本的四五倍。
因此,企业在购买防毒解决方案时,必须考虑以下几个要点。
首先,用户要考虑使用某防毒解决方案时所衍生的所有成本。
◆ 升级及维护软件成本
大致上,每个月会有几百种新病毒及其变种出现,防毒解决方案应能够提供实时更新病毒码功能,应用这一功能所要支付的维护费用是多少?
◆ 安装的成本
何种工具能让安装工作更快、更有效率?
◆ 追踪中毒事件所花费的成本
病毒事件是否能记录在中央控管的服务器中,而不是所有的服务器?
◆ 培训成本
有多少培训成本?
其次,方案提供商提供的方案是否有前瞻性?
◆ 保护计算机安全具有高度挑战性,新病毒随时产生,方案提供商能否预见这些挑战?是否有技术响应的能力?
◆ 解决方案的结构有使用弹性吗?解决方案是否可与目前的网络管理工具结合?
◆ 方案提供商能否提供完整的产品线?如果企业的计算机系统成长,是否依然能防止病毒的入侵?
◆ 是否能藉由互联网的特点,提供客户实时服务及新方案?
◆ 研发出的产品功能是否符合市场需求?
此外,解决方案提供商建议用户购买单一方案提供商的防毒解决方案,好处在于:
1.具有划算的总体成本
全方位防毒套餐最优惠。成套使用单一厂商提供的桌上、服务器、网关等全方位防毒软件,将降低采购成本。
因为套餐方式成组选购,将会比单项逐一购买取得更优惠的价格,也比更新各种企业授权方案所需的成本划算。另外,企业更新防毒软件时,也节省IT部门管理维护这些新增产品的费用与时间成本。
同时,企业再也不需要针对各种防毒产品一再进行内部教育训练和内部技术支持。采用单一厂商提供的企业全方位防毒解决方案,内部员工仅需要接受一次产品的训练即可。
2. 具有更简化的管理流程
具有领导地位的方案提供商应该提供具有中央控管能力的作业平台,比如趋势科技的企业保护战略,即可让企业MIS人员透过Internet及Intranet控管企业网络中所有防毒软件,使用浏览器作为操作界面,还可以HTTP为传输协议,网管人员可监视并管理执行在不同操作系统中的防毒软件。
如果企业采用两种以上不同厂牌的防毒软件,不但无法统一取得的相关数据报告,还需要通过好几个控管端管理和更新防毒软件。 |