企业版综合病毒防御技术解决方案(1)

计算机安全的威胁中，来自计算机病毒的威胁最为严重，因为病毒的出现频 率高、损失大，而且潜伏性强，覆盖面广。目前，全球已经发现病毒 5 万余种， 并且现在仍然以每天 10 余种的速度增长。那么对于企业来讲，如何部署网络的 软硬件资源、制定相关规定，使企业内网成为一个高效的防病毒体系是企业的日 常管理工作的重中之重。

从目前来看，虽然每个单位都部署了防病毒软件以及防火墙软件，但是新的 病毒、蠕虫和其他形式的恶意软件仍在继续快速地感染大量的计算机系统。对此， 企业管理人员都可能有这样的抱怨：

"用户执行其电子邮件的附件，尽管我们一再告诉他们不应该……"

"防病毒软件本应可以捕获此病毒，但是此病毒的签名尚未安装……"

"员工因为个人原因，甚至因为下载多媒体影音，关闭了杀毒软件的定时更新系统……" "我们不知道我们的服务器需要安装修补程序……"

…………

最近的攻击研究表明，在组织的每台计算机上部署杀毒软件的这种标准方法。可能不足以防范多种的病毒的攻击手段。从最近病毒爆发的传播速度来看，软件 行业检测、识别和传送可保护系统免受攻击的防病毒工具的速度无法跟上病毒的 传播速度。最新形式的恶意软件所表现的技术也更加先进，使得最近的病毒爆发 可以躲避检测而进行传播。这些技术包括：

◆社会工程

许多攻击试图看上去好像来自系统管理员或官方服务，这样就增加了最终用户执行它们从而感染系统的可能性。

◆后门创建

最近大部分的病毒爆发都试图对已感染系统打开某种形式的未经授权访问，这样黑客可以反复访问这些系统。反复访问用于在协调的拒绝服务攻击中将系统用作"僵尸进程"，然后使用新的恶意软件感染这些系统，或者用于运行黑客希望运行的任何代码。

◆电子邮件窃取

恶意软件程序使用从受感染系统中获取的电子邮件地址，将其自身转发到其他受害者，并且恶意软件编写者也可能会收集这些地址。然后，恶意软件编写者可以使用这些地址发送新的恶意软件变形体，通过它们与其 他恶意软件编写者交换工具或病毒源代码，或者将它们发送给希望使用这 些地址制造垃圾邮件的其他人。

◆嵌入的电子邮件引擎 电子邮件是恶意软件传播的主要方式。现在，许多形式的恶意软件都嵌

入电子邮件引擎，以使恶意代码能更快地传播，并减少创建容易被检测出的 异常活动的可能性。非法的大量邮件程序现在利用感染系统的后门，以便利 用这些机会来使用此类电子邮件引擎。

◆可移动媒体

◆网络扫描

恶意软件的编写者使用此机制来扫描网络，以查找容易入侵的计算机，或随意攻击 IP 地址。

◆对等（P2P）网络

要实现 P2P 文件传输，用户必须先安装 P2P 应用程序的客户端组件，该应用程序将使用一个可以通过组织防火墙的网络端口，例如，端口 80。

应用程序使用此端口通过防火墙，并直接将文件从一台计算机传输到另一台。这些应用程序很容易在 Internet 上获取，并且恶意软件编写者可以直接使用它们提供的传输机制，将受感染的文件传播到客户端硬盘上。

◆远程利用

恶意软件可能会试图利用服务或应用程序中的特定安全漏洞来进行复制。比如，Microsoft 发布的一些缓冲区溢出漏洞，用户可能因为没有及时的打补丁而被攻击。（所以，及时的对 windows 系统进行更新很重要）

◆分布式拒绝服务 (DDoS)

这种类型的攻击一般使用已感染的客户端，而这些客户端通常完全不知道它们在此类攻击中的角色。DDoS 攻击是一种拒绝服务攻击，其中攻击者使用各种计算机上安装的恶意代码来攻击单个目标。攻击者使用此方法对目标造成的影响很可能会大于使用单个攻击计算机造成的影响。

由于病毒的复杂性，相应地企业在构建网络防病毒系统时，应利用全方位的企业防毒产品，实施"层层设防、集中控制、以防为主、防杀结合"的策略。具体而言，就是针对网络中所有可能的病毒攻击设置对应的防毒软件，通过全方位、多层次的防毒系统配置，使网络没有薄弱环节成为病毒入侵的缺口。所以，应该在企业中设计一种多层次，深入的防病毒安全解决方案。这种方法是根据安全威胁的作用位置分层建立防病毒的模型，了解模型的每层以及每层的特定威胁，这样，就可以利用这些信息实施自己的防病毒措施。而这些优化解决方案设计所需要的信息只能通过完成完整的安全风险评估获得。在这里，我根据一般企业所面临的安全风险。建立了"七层安全防护体系"的模型，旨在确保每组上的安全防护措施能够阻挡多种不同级别的攻击。下面，简单的对模型的各层进行定义：

1） 数据层

数据层上的风险源自这样的漏洞：攻击者有可能利用它们获得对配置数据、组织数据或组织所用设备独有的任何数据的访问。例如，敏感数据（如机密的业务数据、用户数据和私有客户信息存储）都应该视为此层的一部分。在模型的此层上，组织主要关注的是可能源自数据丢失或被盗的业务和法律问题，以及漏洞在主机层或应用程序层上暴露的操作问题。

2） 应用程序层

应用程序层上的风险源自这样的漏洞：攻击者有可能利用它们访问运行 的应用程序。恶意软件编写者可以在操作系统之外打包的任何可执行代码都 可能用来攻击系统。在此层上组织主要关注的是：对组成应用程序的二进制 文件的访问；通过应用程序侦听服务中的漏洞对主机的访问；不适当地收集 系统中特定数据，以传递给可以使用该数据达到自己目的的某个人。

3） 主机层

提供 Service Pack和修复程序以处理恶意软件威胁的供应商通常将此层作为目标。此层上的风险源自利用主机或服务所提供服务中漏洞的攻击者。攻击者以各种方式利用这些漏洞向系统发动攻击。缓冲区溢出攻击就是其中一个典型的例子。在此层上组织主要关注的是阻止对组成操作系统的二进制文件的访问，以及阻止通过操作系统侦听服务中的漏洞对主机的访问。

4） 内部网络层

组织内部网络所面临的风险主要与通过此类型网络传输的敏感数据有关。这些内部网络上客户端工作站的连接要求也具有许多与其关联的风险。

5)外围网络层

与外围网络层（也称为 DMZ、网络隔离区域或屏幕子网）关联的风险源自可以访问广域网 (WAN) 以及它们所连接的网络层的攻击者。模型此层上的主要风险集中于网络可以使用的传输控制协议 (TCP) 和用户数据报协议(UDP) 端口。

6)物理安全层

物理层上的风险源自可以物理访问物理资产的攻击者。此层包括前面的所有层，因为对资产的物理访问又可以允许访问深层防护模型中的所有其他层。使用防病毒系统的组织在模型的此层上主要关注的是阻止感染文件避开外围网络和内部网络的防护。攻击者可能只是通过某个物理可移动媒体（如USB 磁盘设备）将感染文件直接复制到主机，试图做到这一点。

7)策略、过程和意识层

围绕安全模型所有层的是，您的组织为满足和支持每个级别的要求需要制定的策略和过程。最后，提高组织中对所有相关方的意识是很重要的。在许多情况下，忽视风险可以导致安全违反。由于此原因，培训也应该是任何安全模型的不可缺少的部分。

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]