企業內網防毒策略設計與實現
企業內網安全現狀及存在問題
在現代企業信息化建設中,網絡架構和規模會根據企業自身的業務需求在不斷變化著。在基礎網絡架構建設完成的同時,各種應用系統業也開始進行搭建,網絡架構和應用系統是密不可分的。當有涉及到整個企業規模的項目啟動時,都必須對現有的網絡系統和應用系統進行分析。在保證公司業務正常運行的前提下,進行項目分析和評估,為企業內網防病毒策略架構的設計提供可靠的設計依據。在進行企業內網防病毒策略的整體設計時,還有最重要的一個環節就是要對企業現有的病毒防治現狀進行分析,統計企業中正在使用的防病毒軟件種類,分析這些軟件產品的使用效果;統計網絡中存在的病毒類型,評估企業面臨的風險程度;找到病毒的來源,找出策略設計的著重點。
1.1內網網絡系統現狀分析
公司有一座主辦公樓,以其為核心,圍繞它分布著一些較小的辦公樓和功能區域。公司的基本網絡應用需求是:。1、實現部門間辦公文件、報表等數據的共享,辦公室內部各種打印設備共享。2、提供內部電子郵件服務。3、采用專線接入方式,租用當地郵電部門的線路,滿足整個網絡內部用戶的Internet需求。
1.1.1網絡拓撲
主辦公樓內擁有一個中心機房,放置著核心路由器和一些應用服務器。在其余的辦公樓內有設備間,擺放著端口擴展設備。主交換設備、端口擴展設備、服務器和客戶計算機通過通訊介質連接構成了一個辦公局域網。辦公局域網內采用星型結構,整體結構為擴展型星型結構。如圖1.1。
1.1.2地址的分配
公司采用的是動態地址DHCP的分配方式,給每個網段分配了一個口地址池,對于每個地址范圍內有特殊需要的機器,將它的IP地址進行保留,不予自動分配。由于服務器需要經常被訪問,它們的IP地址是固定的。
1.1.3內網網絡管理系統
為了加強對部門的網絡管理,實施了網絡管理系統,實施的產品為linkManager-40-B-250N網絡安全管理軟件。網管軟件的功能如下:
(1)可以自動發現網絡上的重要節點(防火墻、交換機、路由器),支持多種網絡結構網絡;支持SNMP、ROMN、CDP等管理協議,并提供基于這些協議的管理視圖;
(2)以圖形方式顯示所有網絡節點的工作狀態,能夠根據實際網絡拓撲結構的變化自動更新網絡結構圖;
(3)支持多種方式的事件報警;
(4)具備多級過濾功能,對節點、拓撲、地圈進行過濾;
(5)具備分權管理,支持多級管理員的操作:
(6)支持對節點、端口進行配置;
(7)進行設各和鏈路負載、可用性、可靠性及網絡的可利用率統計;
(8)提供中文化報表。
該管理系統在使用過程中可以有效地監控網絡主干設備的各種性能參數(例如:網絡的通斷時間、設備端口數據流量大小、設備的使用率等),但是不能在應用層級別對數據流量進行分析,不能實現協議分析。
1.2內網應用系統現狀分析
1.2.1電子郵件系統
為了提高辦公效率。創建了公司內部的辦公郵件系統。該郵件系統包括企業電子郵件和日歷、業務關鍵型即時消息傳遞以及快速應用程序開發和實施環境。它的主要功能如下:
(1)特別標出收件有助于實現更高效的收件箱管理;
(2)郵件備忘錄中的郵件線索允許用戶方便地查看每個電子郵件的郵件線索;
(3)自動保存功能可以自動保存文檔,防止內容丟失;
(4)郎時消息傳遞會話能保存為郵件:
(5)在收件箱和"全部文檔"視圖中按主題排序。#p#
公司內部許多業務流程的運作都離不開辦公郵件系統,例如:消息發布、文檔傳送、日程提醒等。公司選用的是基于PC服務器架構的版本,軟件界面如圖1.2。
近幾年來,郵件系統在使用過程中發現逐漸開始出現太量的垃圾郵件以及攜帶病毒的郵件,它們給整個內網網絡環境帶來相當大的安全風險。
1.2.2桌面視頻會議系統
公司在日常工作中需要召開許多會議,而辦公樓內會議室數量有限,因此產生供需矛盾。為了解決這個問題,在企業內部實施了桌面視頻會議系統,選用的產品為WebEx。用戶可以通過網頁訪問的形式,召開桌面視頻會議。該系統可以提供密碼保護,僅限受邀人員加入會議,保證網絡會議始終保持私密性、可靠性、安全性,在一定程度上可以放心進行內容敏感的機密會議。視頻數據的穩定傳輸對網絡帶寬的穩定性要求較高,如果出現由于病毒引起的網絡流量激增,則會影響傳輸質量。另外如果密碼被黑客軟件所記錄,則會給公司帶來安全隱患。如圖1.3。
1.2.3企業財務管理系統
根據企業的要求,企業財務管理系統使用B/S結構,選擇Microsoft公司的SQLServer數據庫作為應用軟件系統運行的數據庫服務平臺;選擇高配置的PC服務器運行Windows.2000操作系統:采用千兆以太網作為系統運行的網絡平臺。企業財務管理系統的開發工具主要利用Microsoft公司的Visual.Studio.Net,利用C#語言,結合ASP.NET,JavaScript,VbScript等技術來完成企業財務管理系統開發。企業財務管理系統是企業應該重點保護的對象。如果保護不當,就會遭病毒入侵,造成數據丟失,財務管理系統癱瘓,直接影響企業的生產,會給企業帶來巨大損失。
1.2.4人力赍源管理系統
企業選用明基逐鹿人力資源管理系統,此系統是基于.net技術架構設計的多層B/S結構,他具各以下特點:集中化管理和維護,客戶端的免安裝和零維護,極大的降低了企業的維護成本。開放的、可擴展的應用明基逐鹿人力資源管理系統為企業提供的是一個企業信息化平臺,支持企業的可持續發展。在產品設計上充分考慮系統的開放性和可擴展性。支持各種導入導出功能。采用基于框架的組件化設計,當出現新的業務時,只需填加新的業務組件即可。EJB中間件具有動態負載均衡能力,完全支持硬件系統性能升級與數量擴充,通過增加服務器,利用服務器集群問的負載均衡,可以滿足并發訪問用戶數的增長。
1.2.5企業辦公管理軟件
北京格瑞萊軟件開發有限公司開發的OA企業辦公管理軟件.基于Internet平臺的OA辦公自動化系統。該軟件主要針對企業單位內部的管理流程,設計而成的一套方便、穩定、實用的辦公自動化軟件。其友好的界面、嚴謹的管理結構,充分擔當起了機構中各個管理層的各項工作.不僅是企業單位員工工作中的優秀助手,同時更是幫助有關領導做出英明決策的左右手。它使最復雜、繁瑣的辦公室事務變得自動化、流程化、數字化,大大提高了公司各部門的工作效率,逐步實現無紙化辦公,降低辦公成本。
1.3企業防毒狀況
1.3.1現有防病毒軟件類型
調查時發現使用的防病毒軟件產品品牌繁多,有國內的、也有國外的,主要品牌為江民、趨勢、瑞星、熊貓等;在公司所有辦公機構中防病毒軟件使用率也各不相同。在普查中還發現己經使用的防病毒軟件類型主要為單機版,并沒有形成真正意義的防病毒軟件體系。
1.3.2網絡中存在的病毒類型
網絡管理部門對于計算機的每一次維護都會填寫一張表格,上面有計算機保修的原因、故障現象、維護人等信息,錄入到專門的數據庫中,便于對管理人員日常管理和調配,可以根據事件類型、時間等字段查看記錄。每個月可以對數據庫中的數據進行統計,顯示維護中排除的計算機故障數量,并對其進行分類。從計算機病毒清除的歷史記錄中可以看到公司網絡中存在的病毒類型主要有以下幾種:(1)引導型;(2)宏病毒;(3)文件型病毒;.(4)蠕蟲病毒;.(5)即時通訊病毒。除此之外,木馬軟件、還有一些惡意代碼和程序也對公司的內網造成影響。#p#
1.3.3計算機病毒來源
從維護記錄中可以看出公司內部計算機第一大傳統來源為電子郵件,公司郵件系統出于業務需要,會和外部郵件服務器進行郵件傳送,很多用戶在接收外部郵件后沒有對附件進行病毒查殺即直接打開,造成病毒感染。隨著科技發展,U盤的成本在不斷下降,而容量在不斷上漲,U盤的使用率大大增加,成為第二大病毒來源。內部使用即時通訊軟件QQ、MSN的使用率非常高,成為第三大病毒來源。公司基本實現辦公計算機化,計算機訪問互聯網率達到了100%。目前一些網站出于不同的目的,在網頁代碼和下載軟件中放入了病毒,用戶計算機在訪問時由于瀏覽器的安全設置不完善,出現瀏覽器主頁被更改、設置選項被鎖定等現象,因而逐步成為了企業第四大病毒來源,并且隨著時間的推移,有發展成為第一病毒來源的趨勢。
1.4內網安全存在的問題
(1)防火墻的安全策略低,網絡病毒很容易繞過防火墻攻擊核心網絡交換設備,導致整個網絡癱瘓。
(2)核心交換機沒有劃分VLAN,企業內網廣播風暴的風險極高。
(3)地址采用動態分配,外部電腦很容易接入公司內部網絡進行病毒傳播和惡意破壞。IP地址采用動態分配,只是分配了地址池,會造成網絡廣播風暴,只要網絡內有一臺電腦感染ARP病毒就會造成整個內網的癱瘓。
(4)管理軟件不能很好的對內網感染病毒的機器進行很好隔離,監控。
(5)使用郵件管理系統,沒有統一規劃的防毒策略,很容易出現大量的垃圾郵件以及攜帶病毒的郵件。
(6)使用的桌面視頻會議系統,在公司內網感染病毒后很容造成網絡阻塞,影響會議效果。
(7)沒有使用統一的網絡殺毒軟件,很難對內網形成有效的防護,很容易造成網絡癱瘓。
(8)網絡病毒往往通過系統漏洞進行攻擊,對每臺終端的系統漏洞沒有一個統一管理。
網絡病毒知識
2.1什么是網絡病毒
網絡病毒是一種新型病毒,它的傳播媒介不再是移動式載體,而是網絡通道。這種病毒的傳染能力更強,破壞力更大。據國家信息安全辦公室與公安部共同進行的我國首次電腦病毒疫情網上調查報告顯示,只有27%的電腦用戶未感染過病毒;在感染病毒的用戶中,感染病毒3次以上的用戶竟高達59%。同時網絡調查也顯示出,利用電子郵件和通過網絡進行病毒傳播的比例逐年增加,網絡病毒已成為網絡的頭號危害。網絡病毒的源頭:一種是來自文件下載。用戶瀏覽的或是通過FTP服務器下載的文件中可能存在病毒。而共享軟件和各種可執行的文件,如格式化的介紹性文件(formatted presentation)已經成為病毒傳播的重要途徑。并且,Internet上還出現了Java和Active X形式的惡意小程序。另一種來自于電子郵件。大多數的Internet郵件系統提供了在網絡問傳送附帶格式化文檔郵件的功能。只要簡單地敲敲鍵盤,郵件就可以發給一個或一組收信人。因此,受病毒感染的文檔或文件就可能通過網關和郵件服務器涌入企業網絡。
2.2網絡病毒的分類
(1)目前流行的網絡病毒從類型上分主要有木馬病毒和蠕蟲病毒。木馬病毒實際上是一種后門程序,他常常潛伏在操作系統中監視用戶的各種操作,竊取用戶QQ,游戲和網上銀行的帳號和密碼。蠕蟲病毒是網絡病毒中技術比較先進的一種病毒,他可以通過多種方式進行傳播,更厲害的是利用操作系統和應用程序的漏洞主動進行攻擊。每種蠕蟲都包含一個掃描功能模塊負責探測存在漏洞的主機,在網絡中掃描到存在該漏洞的計算機后就馬上傳播出去。這點也使得蠕蟲病毒危害性非常大,可以說網絡中一臺計算機感染了蠕蟲病毒可以在一分鐘內將網絡中所有存在該漏洞的計算機進行感染。由于蠕蟲發送大量傳播數據包,所以被蠕蟲感染了的網絡速度非常緩慢,被蠕蟲感染了的計算機也會因為CPU和內存占用過高而接近死機狀態。
(2)按照網絡病毒的傳播途徑劃分的話又分為郵件型病毒和漏洞性病毒。前者是通過電子郵件進行傳播的,病毒將自身隱藏在郵件的附件中并偽造虛假信息欺騙用戶打開該附件從而感染病毒,當然有的郵件性病毒利用的是瀏覽器的漏洞來實現。這時用戶即使沒有打開郵件中的病毒附件而僅僅瀏覽了郵件內容,由于瀏覽器存在漏洞也會讓病毒趁虛而入。漏洞型病毒則更加可怕,眾所周知目前應用最廣泛的是WINDOwS操作系統,而WINDOWS系統漏洞非常多,每隔一段時間微軟都會發布安全補丁彌補漏洞。因此即使你沒有運行非法軟件沒有打開郵件瀏覽只要你連接到網絡中,漏洞型病毒就會利用操作系統的漏洞進入你的計算機,例如2004年風靡的沖擊波和震蕩波病毒就是漏洞型病毒的一種,他們造成全世界網絡計算機的癱瘓,造成了巨大的經濟損失。
(3)間諜軟件是一種惡意程序,能夠附著在共享文件、可執行圖像以及各種可執行文件當中,當用戶點擊、運行感染惡意程序的文件的時候趁機潛入用戶的系統。它能記錄用戶的上網過程,盜取用戶的用戶名和密碼及其他隱私信息。這種軟件一旦被安裝,連殺毒軟件也不能查殺,往往很難徹底清除,有時還會嚴重影響計算機系統的性能。
(4)網絡釣魚陷阱
①發送電子郵件,以虛假信息引誘用戶中圈套詐騙分子以垃圾郵件的形式大量發送欺詐性郵件,以中獎、顧問、對賬等內容引誘用戶在郵件中填入金融賬號和密碼,或是以各種緊迫的理由要求收件人登錄某網頁提交用戶名、密碼、身份證號、信用卡號等信息,繼而盜竊用戶資金。
②冒網上銀行、網上證券網站,惡意程序通常是指帶有攻擊意圖所編寫的一段程序網絡在發展病毒也在發展,現在的病毒已經不是傳統意義上的單一病毒了,往往一個病毒載體身兼數職,自身就是文件型,木馬型,漏洞型和郵件型的混合體。這樣的病毒危、害性更大,查殺起來更困難。#p#
2.3計算機網絡病毒傳播方式及其特點
一般來說,計算機網絡的基本構成包括網絡服務器和網絡節點站(包括有盤工作站,無盤工作站和遠程工作站)。計算機病毒一般首先通過有盤工作站到軟盤和硬盤進入網絡,然后開始在網上的傳播。具體地說,其傳播方式有:病毒直接從有盤站拷貝到服務器中;病毒先傳染工作站,在工作站內存駐留,等運行網絡盤內程序時再傳染給服務器;病毒先傳染工作站,在工作站內存駐留,在病毒運行時直接通過映像路徑傳染到服務器中;如果遠程工作站被病毒侵入,病毒也可以通過通訊中數據交換進入網絡服務器中。局域網(LAN)中文就是"局部區域網絡"的簡稱,英文全稱是"Local Area Network",它主要是指在小范圍內由服務器和多臺電腦組成的工作組互聯網絡,屬于計算機網絡應用的一個分支。由于通過服務器把網內每一臺電腦連接,因此局域網內的信息的傳輸速率比較高,同樣也給病毒傳播提供了有效的通道,通常病毒在局域網內通過下面幾種途徑相互傳播:
(1)由于局域網很大的一部分用處是在共享資源方面,而正是由于共享資源的"數據開放性",造就了病毒感染的直接性。
(2)由于有些服務器屬于低端服務器或者干脆是由普通PC改制而成,在性能上不是很強,因此各電腦在通過服務器和外界數據傳輸時,一旦服務器感染外界病毒,所有要經過服務器的數據也會被順帶感染,進而造成整個網絡感染病毒的情況。
(3)局域網最大的特點就是網內計算機的數據快速、便易的傳遞,如果其中一臺計算機感染病毒,任何與該電腦數據傳遞都必會感染病毒。
(4)如果局域網中其中一臺電腦感染病毒,又通服務器來進行信息傳遞,就會感染服務器,現在局域網中任何一臺通過服務器信息傳遞的電腦,就會感染病毒。
(5)網絡使用者對病毒的安全意識不強,因此會造成經常性的病毒感染。由以上病毒在網絡上傳播方式可見,在網絡環境下,網絡病毒除了具有可傳播性、可執行性、破壞性、可觸發性等計算機病毒的共性外,還具有一些新的特點:
(1)感染速度快。在單機環境下,病毒只能通過存貯介質從一臺計算機帶到另一臺,而在網絡中則可以通過網絡通訊機制進行迅速擴散。根據測定,針對一臺典型的PC網絡在正常使用情況,只要有一臺工作站有病毒,就可在幾十分鐘內將網上的數百臺計算機全部感染。
(2)擴散面廣。由于病毒在網絡中擴散非常快,擴敖范圍很大,不但能迅速傳染局域網內所有計算機,還能通過遠程工作站將病毒在一瞬間傳播到千里之外。
(3)傳播的形式復雜多樣。計算機病毒在網絡上一般是通過"工作站服務器工作站"的途徑進行傳播的,但傳播的形式復雜多樣。
(4)難于徹底清除。單機上的計算機病毒有時可通過刪除帶毒文件。低級格式化硬盤等措施將病毒徹底清除,而網絡中只要有一臺工作站未能消毒干凈就可使整個網絡重新被病毒感染,甚至剛剛完成清除工作的一臺工作站就有可能被網上另一臺帶毒工作站所感染。因此,僅對工作站進行病毒殺除,并不能解決病毒對網絡的危害。
(5)破壞性大。網絡上病毒將直接影響網絡的工作,輕則降低速度,影響工作效率,重則使網絡崩潰,破壞服務器信息,使多年工作毀于一旦。
2.4網絡病毒的防治
2.4.1基于服務器的防治技術
網絡服務器是計算機網絡的中心,是網絡的支柱。網絡癱瘓的一個重要標志就是網絡服務器癱瘓。網絡服務器一旦被擊垮,造成的損失是災難性的、難以挽回和無法估量的。目前基于服務器的防治病毒的方法大都采用防病毒可裝載模塊(NLM),以提供實時掃描病毒的能力。有時也結合利用在服務器上的插防毒卡等技術,目的在于保護服務器不受病毒的攻擊,從而切斷病毒進一步傳播的途徑。
2.4.2網絡病毒防治必須考慮安裝病毒防治軟件
(1)安裝的病毒防治軟件應具備四個特性:
①集成性:所有的保護措施必須在邏輯上是統一的和相互配合的。
②單點管理:作為一個集成的解決方案,最基本的一條是必須有一個安全管理的聚焦點。
③自動化:系統需要有能自動更新病毒特征碼數據庫和其它相關信息的功能。
④多層分布:這個解決方案應該是多層次的,適當的防毒部件在適當的位置分發出去,最大限度地發揮作用,而又不會影響網絡負擔。防毒軟件應該安裝在服務器工作站和郵件系統上。
(2)病毒防治軟件安裝位置:
工作站是病毒進入網絡的主要途徑,所以應該在工作站上安裝防病毒軟件。這種做法是比較合理的。因為病毒掃描的任務是由網絡上所有工作站共同承擔的,這使得每臺工作站承擔的任務都很輕松,如果每臺工作站都安裝最新防毒軟件,這樣就可以在工作站的日常工作中加入病毒掃描的任務,性能可能會有少許下降,但無需增添新的設備。郵件服務器是防病毒軟件的第二個著眼點。郵件是重要的病毒來源。郵件在發往其目的地前,首先進入郵件服務器并被存放在郵箱內,所以在這里安裝防病毒軟件是十分有效的。假設工作站與郵件服務器的數量比是100:1,那么這種做法顯而易見節省費用。備份服務器是用來保存重要數據的。如果備份服務器也崩潰了,那么整個系統也就徹底癱瘓了。備份服務器中受破壞的文件將不能被重新恢復使用,甚至會反過來感染系統。避免備份服務器被病毒感染是保護網絡安全的重要組成部分,因此好的防病毒軟件必須能夠解決這個沖突,它能與備份系統相配合,提供無病毒的實時備分和恢復。#p#
網絡中任何存放文件和數據庫的地方都可能出問題,因此需要保護好這些地方。文件服務器中存放企業重要的數據。在Internet服務器上安裝防病毒軟件是頭等重要的,上載和下載的文件不帶有病毒對你和你客戶的網絡都是非常重要的。
(3)防病毒軟件的布署和管理
防毒軟件布署的實際操作一般包括以下步驟:
①制定計劃:了解在你所管理的網絡上存放的是什么類型的數據和信息。調查:選擇一種能滿足你的要求并且具備盡量多的前面所提到的各種功能的防病毒軟件。
②測試:在小范圍內安裝和測試所選擇的防病毒軟件,確保其工作正常并且與現有的網絡系統和應用軟件相兼容。
③下載病毒特征碼數據庫更新文件,在測試范圍內進行升級,徹底理解這種防病毒系統的重要方面。
④系統安裝:在測試得到滿意結果后,就可以將此種防病毒軟件安裝在整個網絡范圍內。
(4)常用防病毒軟件
目前流行的幾個國產反病毒軟件幾乎占有了80%以上的國內市場,其中江民KV300、信源VRV、金辰KILL、瑞星RAV等四個產品更是頗具影響。近幾年國外產品陸續進入中國,如NAI、ISS、CA等。
2.4.3基于系統漏洞防治
系統漏洞是指應用軟件或操作系統軟件在邏輯設計上的缺陷或在編寫時產生的錯誤,這個缺陷或錯誤可以被不法者或者電腦黑客利用,通過植入木馬、病毒等方式來攻擊或控制整個電腦,從而竊取您電腦中的重要資料和信息,甚至破壞您的系統。及時為系統漏洞進行補丁管理可有效防止網絡病毒的攻擊。
第三章 內網防毒策略需求
3.1企業內網防毒策略需求
(1)客戶需求
計算機維護人員在處理計算機病毒時,客戶提出很多需求,難以將所有需求都一起實現。例如:a、感覺殺毒軟件殺毒效果不明顯,想要盡快更換別的品牌殺毒軟件;b、殺毒軟件在查殺病毒時耗用時間過長,能否通過升級軟件版本和硬件性能來縮短查殺時間;c、能否更好的實現軟件界面的人性化,可以對界面進行更換;d、病毒代碼更新速度能否快一些;e、能否在一臺計算機上安裝多種殺毒軟件來提高防病毒能力。f、能否對指定目錄進行查殺,其它目錄不用掃描了。
(2)客戶端的管理需求
近些年來,隨著公司業務和規模的擴張,陸續引進新的人員。所有人員使用的計算機的配置、安裝的操作系統都并不完全相同,如何對這些客戶端進行有效的管理,形成一個防病毒管理體系,統一實施、統一防范成為一個非常值得關注的問題。
(3)共享目錄需求
公司在運營中,會產生數據,當然也會有數據分享的需求。前面提到的郵件系統和企業及時通信系統QQ、MSN,可以用來傳輸文件,進行數據分享。但是對于多個文件拷貝傳輸、大數據量的拷貝傳輸則不太適用了,因此在實際應用中,公司員工還是習慣使用操作系統中提供的目錄共享的功能,可以滿足數據分享的要求。但是在使用共享目錄的同時,也給計算機病毒防治帶來的新的問題,那就是用戶在設置共享目錄時,并沒有對通過網絡訪問目錄的用戶設置權限,很多系統默認設置中用戶可以完全控制目錄,對目錄中的文件擁有讀寫權限,因而為病毒感染提供了溫床。用專門的安全掃描工具對公司內部進行掃描,就會發現存在該安全隱患的計算機數量驚人。
(4)統一級需求
病毒軟件會按照默認設置或使用戶的自定義設置對計算機中的病毒文件進行掃描,掃描時需要參照軟件中的病毒定義代碼。當有新的病毒出現時,防病毒廠商會及時更新并提供新的病毒定義代碼供用戶下載來提供對新病毒的防范能力,如果不能及時升級病毒定義庫,那防病毒軟件也就失去應有的防護能力。原有的防病毒軟件種類繁多、相應廠商提供的病毒定義代碼升級的周期并不一樣,難以對所有病毒軟件統一升級,這就造成防病毒客戶端防護能力的參差不齊,造成短板效應。另外對于所使用單機版防病毒的升級,由于客戶端數量太多,也不可能讓維護人員逐臺定期進行檢查,只能依靠用戶升級,由于客戶端數量太多,也不可能讓維護人員逐臺定期進行檢查,只能依靠用戶自覺地從互聯網上定期升級病毒定義代碼。
(5)漏洞管理需求
一個系統從發布的那一天起,隨著用戶的深入使用,系統中存在的漏洞會被不斷暴露出來,這些早先被發現的漏洞也會不斷被系統供應商發布的補丁軟件修補,或在以后發布的新版系統中得以糾正。而在新版系統糾正了舊版本中具有漏洞的同時,也會引入一些新的漏洞和錯誤。因而隨著時間的推移,舊的漏洞會不斷消失,新的漏洞會不斷出現。漏洞問題也會長期存在利用操作系統或者應用程序漏洞進行攻擊是黑客最常用的手段之一。攻擊者首先通過掃描工具掃描目標系統,發現系統中可能存在的漏洞,然后利用針對該漏洞的攻擊工具實施攻擊。這種攻擊模式簡單易行,危害極大。與此同時基于漏洞進行感染的病毒傳播速度極快來不及防范,隨著安全技術的不斷發展,從一個漏洞發現到攻擊代碼實現,到蠕蟲病毒產生,幾年前可能是幾個月甚至半年多,而現在幾周甚至一天就可以完成。消除漏洞的根本辦法就是安裝補丁,因此補丁管理也就需要有很強的及時性,如果補丁管理工作晚于攻擊程序,那么企業就有可能被攻擊,造成機密信息泄漏。
在一個較大的局域網中,機器配置檔次高低各異;操作系統分門別類;系統軟件于差萬別等問題,網絡管理員要想同時對這幾百臺甚至上千臺終端設備及時快速地打上新的補丁程序,幾乎是不可能的。要保障每一個補丁在安裝后正常運行,不對整個網絡系統造成其它破壞和隱患,更是完全不可想象的。#p#
3.2內網防毒技術需求
(1)主機防火墻需求
通過主機防火墻,一方面,可以阻斷來自外部的入侵,防止外來入侵給終端計算機帶來危害;另一方面,也可以對終端計算機的網絡訪問行為進行控制,防止內網用戶對網絡資源的濫用行為,如BT下載導致網絡帶寬過渡占用。
(2)ARP欺騙阻斷需求
對于非授權計算機和不安全的計算機可以采用ARP欺騙的方式,用虛假的MAC地址刷新目標計算機的ARP緩存,導致該計算機無法與內網其它設備通訊,達到阻止其訪問網絡資源的目的。
(3)與交換機聯動阻斷需求
更進一步的技術則是通過與交換機的聯動,自動判斷接入計算機的交換機接口,如果發現接入計算機未經過授權或者安全性較差,則通過交換機禁用該計算機所在的端口徹底阻斷計算機的接入。
(4)通過對終端計算機運行的進程進行監控,可以發現用戶正在運行的程序。可以通過進程黑名單的方式限制用戶運行某些程序,例如游戲、攻擊工具、視頻播放器、MP3播放器等,從而限制用戶利用計算機進行與工作無關的操作。
(5)病毒檢測、主機保護、強制認證、完整性檢查、內容訪問控制等需求,解決這些問題,內網防毒水平將提升到一個新的高度。
(6)上網控制
通過對終端計算機的上網控制,可以限定終端計算機的網站訪問、網絡聊天和BT下載行為,使得終端計算機的用戶行為得到有效控制,既可避免用戶濫用網絡資源,又能降低隨意瀏覽互聯網帶來的內網安全隱患。
(7)病毒預警機制
病毒傳播方式主要是通過網絡來進行傳播的。所們應在網絡環境下,主動發現通過網絡傳播意病毒代碼。并對傳播惡意病毒代碼的源頭進行處對惡意病毒代碼的種類進行收集、分析和統計。借助網絡病毒事件預警,掌握病毒疫情分布情況。為信息主管機關提供準確的病毒疫情,從而保證病毒防治具有針對性、科學性,減少盲目性。
【編輯推薦】
