发信人: emil(稻草人)
整理人: emil(2002-01-09 10:51:32), 站内信件
|
调整战略 从容防毒
企业在建立了一个完整的网络平台之后,急需一个切实可行的反病毒解决方案来确保整个企业的业务数据不受到病毒的破坏,日常工作不受病毒的侵扰。那么,什么是企业网络的管理者在设计网络反病毒方案时需要考虑的呢?企业网络反病毒工作与个人用户病毒防治有哪些区别?企业在选购反病毒软件过程中需要考虑哪些因素?
走出误区 防毒于未染
虽然人们通过各种渠道已经了解了病毒的危害,但是由于缺乏对病毒知识的深入学习,很多用户,尤其是企业用户在病毒防护方面仍然存在着一些误区。某研究院这些天正为“红色代码”闹得不可开交。研究院领导为了防止“红色代码”在全院的机器上感染,禁止研究人员使用软驱,领导认为: 来源各异的软盘最有可能让电脑感染病毒。并且,连接互联网也被严格禁止,因为互联网是病毒传播的重要手段。为了能让研究人员将自己机器中的文件拷贝出来,研究院领导还是允许2台电脑使用软驱,而这2台电脑的使用者要对电脑是否感染病毒负责。但是,领导不知道的是: 这2台被赦免的电脑连着局域网,只要它们感染了病毒,整个局域网同样都不能幸免,他们上面所做的规定就都变成徒劳的了。
最近SirCam、CodeRed.A/B/C、Happytime等多种病毒泛滥,许多反病毒厂商的技术支持信箱每天都充满了从已经感染了病毒自己却不知道的用户那里由病毒自动发来的各种染毒附件的电子邮件,多则几百上千,少则三五十、七八十,染毒单位更是什么类型的都有,个人用户和企业用户都不能幸免。究其原因,除去过去那些已经成为老生常谈的因素,如有的用户没有安装反病毒软件,或者安装的反病毒软件没有在这类快速传播的病毒扩散之前得到及时升级等等,更从深层次上突显了一直以来就强调但没有得到足够重视和解决的2个症结: 一个是防重于杀的观念,一个是服务器端的防杀优先的策略。
历史的经验和已有的事实都表明,现在的病毒无论从哪个方面讲,都比过去的病毒更加难于对付: 传播快、感染对象普遍、产生变种容易等等,而所有这一切都使得防杀毒变得更加困难。尤其是系统一旦因各种原因疏于防范而已经遭到入侵,几乎在系统内立即就可能得到大面积的泛滥,这时候再进行杀除病毒,清除环境到未感染之前的状态,或者是几乎不可能的,或者需要花费大量的人力物力,在时间上、精力上都会造成极大的浪费。而如果事先能够稍稍提高一点警惕性,多重视一下这一问题,比如在防杀毒策略上更科学正确,在升级更新上更积极稳妥,就完全可以很轻易地避免病毒入侵,这并不是需要额外付出多少金钱和汗水的问题,而是观念和策略的调整和转向问题。
除了要建立防重于杀的观念以外,从技术手段上或者说是从具体措施的落实上,就是要彻底解决消灭隐患于萌芽之时的这个关键,将病毒防杀于未成泛滥之势以前。
众所周知,目前病毒的可怕,除了难于彻底清除干净以外,更由于它的传播迅速和感染普遍,而当今病毒之所以具备这种前所未有的威力,皆因其利用了网络,特别是互联网络的特性,不论是以电子邮件还是其他的形式。
一般来说,计算机网络的基本构成包括网络服务器和网络节点站(包括有盘工作站、无盘工作站和远程工作站)。计算机病毒一般首先通过有盘工作站传播到软盘和硬盘,然后进入网络,进一步在网上的传播。具体来说,其传播方式有如下几种。
病毒直接从有盘站拷贝到服务器中。
病毒先传染工作站,在工作站内存驻留,等运行网络盘内程序时再传染给服务器。
病毒先传染工作站,在工作站内存驻留,在运行时直接通过映像路径传染到服务器。
如果远程工作站被病毒侵入,病毒也可以通过通讯中数据交换进入网络服务器中。
计算机病毒在网络上一般是通过“工作站→服务器→工作站”的途径进行传播的,但传播的形式复杂多样。单机上的计算机病毒有时可通过删除带毒文件、低级格式化硬盘等措施将病毒彻底清除。而在企业网络中,只要有一台工作站未能消毒干净,就可能使整个网络重新被病毒感染,甚至刚刚完成清除工作的一台工作站就有可能被网上另一台带毒工作站所感染。网络上病毒将直接影响网络的工作,轻则降低速度,影响工作效率,重则使网络崩溃,破坏服务器信息,使多年积累的企业数据和日常工作记录毁于一旦。
网络的特性为病毒所用,可说是负面效果的成功案例。其实,从正的方面说,网络的某些特性也能为反病毒所利用。比如,互联网不但有网的特性,还具有星形和辐射扩散的特性,从接入的方式上看,更具有上下游的特性,也就是说,信息的接收具有前后端的顺序,具有上一级或者下一级入口的分别。在技术上,从拓扑结构上说,就是网关,就是服务器。利用这一点,完全可以在理论上做到从尽可能的最初始状态,采取措施,解决病毒。具体到反病毒软件,就是要施行网关级的和服务器级(特别如邮件服务器等)的防护策略,安装对应的软件系统和模块。这样,能够避免当第一个病毒感染者作为传播源通过局域网实现几何级数的爆炸式增长,更减少和消灭了通过邮件服务器上电子邮件的群发、转发、回复等使病毒从发源地的局域网通过E-mail向外部的广域网,乃至整个全球范围内的互联网实施席卷扫荡式的灾难性扩散蔓延,这才是惟一能够以最小投入获得最高防护效果,达成防毒于未染,防患于未然的解决之道。
立体防护 多方面需求
对于企业而言,原始的仅在每台客户机上安装单机版的反病毒软件已经远远不能满足需要了,在日趋复杂的网络环境中,其便利性和查杀病毒的及时性受到了一定的限制。显然,对于建立了局域网且接入局域网微机较多的企业,他们需要的是一种能够机动作战、应变迅速的网络信息安全系统。
企业信息系统管理者在选择反病毒软件时,首先要考虑到解决方案的整体性。企业级防病毒解决方案针对一个特定的网络环境,涉及不同的软硬件设备。与此同时,病毒的来源也远比单机环境复杂得多。因此,所选择的企业杀毒软件不仅要能保护文件服务,同时也要对邮件服务器、员工用PC、网关等所有计算机设备进保护。而且,它必须能从邮件、FTP文件、网页、软盘、光盘等所有可能带来病毒的信息源进行监控和病毒拦截。只有建立一个从网关、服务器、桌面多层次、整体的、全方位的、无缝的、功能强大的防病毒体系,才能够保护企业免受来自企业外部和内部病毒的威胁和破坏,从根本上杜绝病毒的发作和传播。
具体来说,企业管理者对网络防毒方面应该重点考虑以下几个方面,这也是网络反病毒软件应该具有的功能。
1.病毒查杀能力
病毒查杀能力是最容易引起用户注意的产品参数。可查杀病毒的种数固然是多多益善,但也要关注它对实际流行病毒的查杀能力。因为用户是要用它查杀可能染上的病毒,有些病毒虽然曾流行过,但却是我们今后不会再遇上的。
2.对新病毒的反应能力
对新病毒的反应能力是考察一个防病毒软件好坏的重要方面。这一点主要从3个方面衡量: 软件供应商的病毒信息搜集网络、病毒代码的更新周期和供应商对用户发现的新病毒的反应周期。
通常,防病毒软件供应商都会在全国甚至全世界各地建立一个病毒信息的收集、分析和预测网络,使其软件能更加及时、有效地查杀新出现的病毒。因此,这一搜集网络多少反映了软件商对新病毒的反应能力。
病毒代码的更新周期各个厂商也不尽相同,有的一个周更新一次,有的半个月。而供应商对用户发现的新病毒的反应周期不仅体现了厂商对新病毒的反应速度,实际上也反映了厂商对新病毒查杀的技术实力。
3.病毒实时监测能力
按照统计,目前的病毒中最常见的是通过邮件系统来传输,另外还有一些病毒通过网页传播。这些传播途径都有一定的实时性,用户无法人为地了解可能感染的时间。因此,防病毒软件的实时监测能力显得相当重要。应该说,目前绝大多数该类软件都拥有这一功能,但实时监测的信息范围仍值得注意。
4.快速、方便的升级
企业级反病毒软件对更新的及时性需求尤其突出。多数反病毒软件采用了Internet进行病毒代码和病毒扫描引擎的更新,并可以通过一定的设置自动进行,尽可能地减少人力的介入。值得一提的是,这种升级信息也需要和安装一样能方便地“分发”到各个终端。
5.智能安装、远程识别
由于局域网中,服务器和客户端承担的任务不同,在反病毒方面的要求也不大一样,因此在安装时如果能够自动区分服务器与客户端,并安装相应的软件,这对管理员来说是将一件十分方便的事。远程安装、远程设置是网络防毒区别于单机防毒的一点。这样做可以大大减轻管理员“奔波”于每台机器进行安装、设置的繁重工作,既可以对全网的机器进行统一安装,又可以有针对性的设置。
6.管理方便、易于操作
系统的可管理性是系统管理员尤其需要注意的。一个简单的例子是反病毒软件的参数设置。管理员从系统整体角度出发对各台计算机上的设置,如果各员工随意修改自己使用的计算机上反病毒软件参数,可能会造成一些意想不到的漏洞,使病毒趁虚而入。
另外,管理者需要随时随地了解各台计算机病毒感染的情况,并借此制定或调整反病毒策略。因此,生成病毒监控报告等辅助管理措施将会有助于反病毒软件应用更加得心应手。
一些反病毒软件采用了远程管理的措施,把企业用户的反病毒管理由专业反病毒厂商的控制中心专门管理,从而降低用户企业的管理难度。
7.对现有资源的占用情况
反病毒程序进行实时监控都或多或少地要占用部分系统资源,这就不可避免地要带来系统性能的降低。尤其是对邮件、网页和FTP文件的监控扫描,由于工作量相当大,因此对系统资源的占用较大。另一个是升级信息的交换,下载和分发升级信息都将或多或少地占用网络带宽。但这一影响比起其他方面来说要小得多,多数产品每次升级信息包的数据不过几百KB而已。
8.系统兼容性
系统兼容性并不是仅仅选购反病毒软件时需要考虑的事,而是买绝大多数软件时都必须考虑的因素。不同的是,反病毒软件的一部分常驻程序如果跟其他软件不兼容将会带来更大的问题。
9.软件的价格
就价格来说,企业级反病毒软件大多是按照网络规模来确定初次购买和后继的升级费用的。初次购买后,软件商一般会提供一定时期的免费升级,而此后的升级及服务如何收费也需做到心中有数。
10.软件商的企业实力
软件商的实力一方面指它对现有产品的技术支持和服务能力,另一方面是指它的后续发展能力。因为企业级防毒软件实际是用户企业与防病毒厂商的长期合作,软件商的实力将会影响这种合作的持续性,从而影响到企业用户在此方面的投入成本。
统观全局 全面解决方案
目前,计算机病毒形式及传播途径日趋多样化,大型企业网络系统的防病毒工作已不再是简单的、单台计算机病毒的检测及清除,而需要建立多层次的、立体的病毒防护体系,而且要具备完善的管理系统来设置和维护病毒防护策略,因此,远程安装、集中管理、统一防病毒策略成为了企业级反病毒产品的重要功能。这里的多层次病毒防护体系是指在企业的每个台式机上安装台式机的反病毒软件,在服务器上安装基于服务器的反病毒软件,在Internet网关上安装基于Internet网关的反病毒软件。因为对企业网络系统来说,防止病毒的攻击并不是保护某一台服务器或台式机,而是从工作站到服务器到网关的全面保护,这样才能保证整个企业网不受计算机病毒的侵害。
在大型跨地区的企业广域网内,要保证整个广域网安全无毒,首先要保证每一个局域网的安全无毒。也就是说,一个企业网的防病毒体系是建立在每个局域网的防病毒系统上的。应该根据每个局域网的防病毒要求,建立局域网防病毒控制系统,分别设置有针对性的防病毒策略。从总部到分支机构,由上到下,各个局域网的防病毒系统相结合,最终形成一个立体的、完整的广域网病毒防护体系。
值得我们欣慰的是,宽带网络在为病毒的传播打开方便之门的同时,也为防病毒提供了多种有效的途径。例如,病毒可以通过邮件传播,病毒警报也可以伴随邮件提示用户注意。在宽带网络时代,要想防止病毒的侵蚀,需要注意以下几个方面。
1. 单机防毒依然重要
病毒感染的最终环节还是影响个人的使用,因此,单机防毒是防止病毒侵蚀的最后一道防线。目前家庭上网的速度比较慢,下载一个完整的病毒升级文件需要耗费很长的时间,用户常常因为这个原因放弃升级自己的杀毒程序。而宽带网络的普及则让用户可以简单快捷地在线升级杀毒软件,从而避免计算机受到感染。
2. 网关防毒已成趋势
如果等病毒已经进入局域网后再做剿杀,显然为时已晚。因此,通过网关把病毒拒绝在网络之外是最好的解决办法。这种办法还可以防止将网络内部受到感染的病毒文件传到其他的网络当中,使得各个网络能够互相独立。
3. 防火墙越来越重要
未来的病毒将和黑客程序并存,在防病毒软件没能发现该病毒的时候,网络只能依靠防火墙来保证相关资料不被窃取。
目前,各个反病毒软件厂商都相继推出了企业反病毒的全面解决方案,同时推出了比较全面的产品,以帮助企业更加有效的防护病毒的侵害。
俗话说:道高一尺,魔高一丈,但今天我们要讲,魔高一尺,道更高一丈。各种计算机病毒与反病毒之间的较量永远也不会停止,用户只有提高自己的防毒意识,才能将病毒对自己的危害降到最低。
----
欢迎光临聊毒斋!!!
http://cnav.myrice.com or http://cnav.533.net
Email: [email protected]
Oicq:201604 |
|