在日常的网络使用中,人们要面临一个很大的困惑:就是杀毒软件用最好的,病毒库也日日更新,为什么计算机仍然避免不了要被病毒破坏呢?
2003年初,我们的一个基于全网终端拨号管理的软件刚刚开始在一些大型企事业单位中的办公网中投入应用,其初始目的仅是为了加强对办公网的拨号和非法外联行为作管理。但是后面却普遍得到了一个有趣的结果:就是这些大型网络的病毒感染率普遍降低了。其实我们的软件到目前来说也仍然是一个网络管理软件,跟杀毒几乎完全不相关,但是这个结果却显示了网络管理对病毒防范是有客观的联系的。
当我们去仔细分析病毒是如何入侵的,或者病毒是如何在杀毒软件运行的情况下入侵时,这个因果就慢慢的浮现出来,同时也为更加有效的防范病毒提供了思路。
计算机病毒和生理病毒一样,都有传染源,传染途径,易感对象组成的传染链。
病毒防范也要从这3个方面来考虑。
从易感对象来说,未打补丁的计算机是易感对象,病毒总是在不厌其烦的寻找各种漏洞,其中操作系统的漏洞是最普遍的被盯的缝。所以补丁要是不打,计算机就很容易被感染,网络中有若干台计算机不及时打补丁,则网络中就出现了容易被突破的缺口。及时有效的确保网络中计算机打上补丁是第一重要的环节。
其次是传染途径:网络是个很丰富的环境,有各种各样的交互渠道。含病毒的文件通过各种渠道都可能流进来,象上网、邮件、USB拷入、安装各种游戏光盘,等等。现在大部分企业主要的措施是通过防火墙来过滤一部分网址和邮件,但是其他的途径并没有有效地得到管理。
最后是传染源:含病毒的文件或者已入侵的病毒是杀毒软件主要管理的对象,含病毒的文件刚被选中或打开的瞬间,杀毒软件往往是最有效的,它立即扫描该文件,然后在它力所能及的范围内,做病毒清理工作。当病毒已经入侵时,则杀毒软件往往已经失去效力。我们经常看到的是杀毒软件报了一个警,说“某病毒存在,无法隔离”云云,其实就是说管理失控了。
从上面可以看出:传染链的每一个环节都应该做相应的措施,所有环节的有效性将构成一个纵深的防御体系。反之,任一个环节的疏忽,都将使其他的环节面临很大的压力,因为很可能将不得不独自面对病毒的高强度和频繁的攻击。
一. 如何有效的分发补丁
打补丁这个问题在2004年时是个很大的问题,但是后来微软先是提供了SUS,后来又提供了WSUS,这是免费的自动打补丁的工具软件,可以在微软网站上自由下载。使用也很方便。因为来自于微软,所以实际也是相当于是标准解决方案。主要的问题可能是很多人还不了解这个工具,但是时间长了,也不是个问题。另一个问题是如何实施,在域环境下配个组策略就可以了。在工作组环境下可以用导入注册表的方式来解决,清扬内网管理软件中也提供了一个简单的自动化配置手段。这已经有一些相关的文章来详细的介绍过了,可参看
1. 补丁管理的安全解决方案详解http://www.qycx.com/luntanwz6.htm
2. WSUS服务器的详细配置和部署(含域环境下的使用介绍)http://www.qycx.com/luntanwz5.htm
3. 全网范围内自动补丁分发-清扬内网管理补丁管理方案(主要用在工作组环境下的使用)http://www.qycx.com/qywsus.htm
二. 如何有效的管理传播途径
上网、邮件是一种常见的传播途径,主要的方式是靠防火墙做网址过滤,这个措施已经相对常见了。但是对很多单位,对外设的管理往往是放在保密的角度来看,却没考虑到,外设既可能将机密泄露出去,也可能将有害的文件给带进来。象USB的使用、光驱的使用是非常频繁的,只不过因为看起来不起眼(所谓熟视无睹),所以人们往往忽视对它们的管理,或者以为即使有也不是很主要的原因。这就让病毒感染有了“稳定”而“持续”的入侵渠道。前面提到我们的软件对拨号的管理引起了病毒防范的改善,也是这个原因(在某些区域拨号上网仍然是个经常性的手段,因此也成为办公网和互联网的传输渠道)。
对外设的管理是一个一定要加强认识的问题,有的企业因为担心带入过多的不便而不愿下决心,但是和网络的经常性的不稳定,和业务工作会受到干扰的危害性结果比,这种不便的担心就显的没有价值了。另外,网络已经充分的发达,用网络中的设置备份服务器等来替代用U盘等备份,让使用U盘的价值可以变的很小。最后,也可以适当的根据需要来开放若干计算机的外设的使用,而尽可能的关闭一些不是很需要的外设的使用,这将大大的降低病毒入侵概率。