企业网络的安全保障 - 新的防病毒木马体系的建议
在日常的网络使用中,人们要面临一个很大的困惑:就是杀毒软件用最好的,病毒库也日日更新,为什么计算机仍然避免不了要被病毒破坏呢?
2003年初,我们的一个基于全网终端拨号管理的软件刚刚开始在一些大型企事业单位中的办公网中投入应用,其初始目的仅是为了加强对办公网的拨号和非法外联行为作管理。但是后面却普遍得到了一个有趣的结果:就是这些大型网络的病毒感染率普遍降低了。其实我们的软件到目前来说也仍然是一个网络管理软件,跟杀毒几乎完全不相关,但是这个结果却显示了网络管理对病毒防范是有客观的联系的。
当我们去仔细分析病毒是如何入侵的,或者病毒是如何在杀毒软件运行的情况下入侵时,这个因果就慢慢的浮现出来,同时也为更加有效的防范病毒提供了思路。
计算机病毒和生理病毒一样,都有传染源,传染途径,易感对象组成的传染链。
病毒防范也要从这3个方面来考虑。
从易感对象来说,未打补丁的计算机是易感对象,病毒总是在不厌其烦的寻找各种漏洞,其中操作系统的漏洞是最普遍的被盯的缝。所以补丁要是不打,计算机就很容易被感染,网络中有若干台计算机不及时打补丁,则网络中就出现了容易被突破的缺口。及时有效的确保网络中计算机打上补丁是第一重要的环节。
其次是传染途径:网络是个很丰富的环境,有各种各样的交互渠道。含病毒的文件通过各种渠道都可能流进来,象上网、邮件、USB拷入、安装各种游戏光盘,等等。现在大部分企业主要的措施是通过防火墙来过滤一部分网址和邮件,但是其他的途径并没有有效地得到管理。
最后是传染源:含病毒的文件或者已入侵的病毒是杀毒软件主要管理的对象,含病毒的文件刚被选中或打开的瞬间,杀毒软件往往是最有效的,它立即扫描该文件,然后在它力所能及的范围内,做病毒清理工作。当病毒已经入侵时,则杀毒软件往往已经失去效力。我们经常看到的是杀毒软件报了一个警,说“某病毒存在,无法隔离”云云,其实就是说管理失控了。
从上面可以看出:传染链的每一个环节都应该做相应的措施,所有环节的有效性将构成一个纵深的防御体系。反之,任一个环节的疏忽,都将使其他的环节面临很大的压力,因为很可能将不得不独自面对病毒的高强度和频繁的攻击。
一. 如何有效的分发补丁
打补丁这个问题在2004年时是个很大的问题,但是后来微软先是提供了SUS,后来又提供了WSUS,这是免费的自动打补丁的工具软件,可以在微软网站上自由下载。使用也很方便。因为来自于微软,所以实际也是相当于是标准解决方案。主要的问题可能是很多人还不了解这个工具,但是时间长了,也不是个问题。另一个问题是如何实施,在域环境下配个组策略就可以了。在工作组环境下可以用导入注册表的方式来解决,清扬内网管理软件中也提供了一个简单的自动化配置手段。这已经有一些相关的文章来详细的介绍过了,可参看
1. 补丁管理的安全解决方案详解http://www.qycx.com/luntanwz6.htm
2. WSUS服务器的详细配置和部署(含域环境下的使用介绍)http://www.qycx.com/luntanwz5.htm
3. 全网范围内自动补丁分发-清扬内网管理补丁管理方案(主要用在工作组环境下的使用)http://www.qycx.com/qywsus.htm
二. 如何有效的管理传播途径
上网、邮件是一种常见的传播途径,主要的方式是靠防火墙做网址过滤,这个措施已经相对常见了。但是对很多单位,对外设的管理往往是放在保密的角度来看,却没考虑到,外设既可能将机密泄露出去,也可能将有害的文件给带进来。象USB的使用、光驱的使用是非常频繁的,只不过因为看起来不起眼(所谓熟视无睹),所以人们往往忽视对它们的管理,或者以为即使有也不是很主要的原因。这就让病毒感染有了“稳定”而“持续”的入侵渠道。前面提到我们的软件对拨号的管理引起了病毒防范的改善,也是这个原因(在某些区域拨号上网仍然是个经常性的手段,因此也成为办公网和互联网的传输渠道)。
对外设的管理是一个一定要加强认识的问题,有的企业因为担心带入过多的不便而不愿下决心,但是和网络的经常性的不稳定,和业务工作会受到干扰的危害性结果比,这种不便的担心就显的没有价值了。另外,网络已经充分的发达,用网络中的设置备份服务器等来替代用U盘等备份,让使用U盘的价值可以变的很小。最后,也可以适当的根据需要来开放若干计算机的外设的使用,而尽可能的关闭一些不是很需要的外设的使用,这将大大的降低病毒入侵概率。
三. 对病毒的直接查杀和防范
首先要研究一个问题,就是为什么病毒还能绕过杀毒软件来侵入电脑。其实,很多杀毒软件的开发水平应该都是很高的。但是,似乎经常性的让很多用户感觉是没防住的。为什么会造成这样的现象呢?
我们猜想有这样几方面的情况:
1. 新病毒无法防御。
因为杀毒软件主要采用的是特征码的检查方式,所以,无法对刚出来的病毒进行特征码检查。
2. 有些软件虽然自己不是病毒,但是却到处破坏安全规则,比如,比如,经常性的弹出一个框来,让用户到不良网站上去。因为杀毒软件不能当病毒来杀,所以病毒通过这个渠道又进来了。
3. 所有的新安装软件在刚使用时,会引起杀毒软件的报警,报警会弹出一个窗口来问:是否允许呢?这是因为杀毒软件无法判断是否病毒,所以就只好来问一下。从理论上说,只要对正常的软件来确定一下,对非正常的软件来否认一下就可以了。但是对一个企业的网络来说,这实际又是不现实的。因为企业里有很多人,每个人的计算机水平是不同的,而面对提问的次数又很多,总有的人就会选择允许,总有的就会选择拒绝。即使你是计算机很熟悉又很小心的人,当你日复一日的面临不停的提问时,总有一次你会疏忽,哪怕是手误,而这一次就决定了你的计算机将从此陷入无尽的折磨中了。
4. 杀毒软件对已经入侵的病毒只能杀掉一部分,但是对很多是无能为力的。杀毒软件不能对付已入侵的病毒,这跟软件的设计构架有关。操作系统给于软件分配了不同的权限,当病毒没有运行起来时,杀毒软件具有查杀的权限。当病毒运行起来时,往往就可以有和杀毒软件一样的权限了,或者说双方已经平等了,所以杀毒软件不能完全查杀病毒也就不奇怪了。
5. 其他计算机对同一网络内的计算机发送的病毒的抵抗能力很弱。这是跟网络的使用方式有关。因为在内部计算机需要使用大量的应用,包括文件共享等工作,所以需要采用信任域的方式来协同工作。在病毒没有入侵网络时,病毒能找到的入侵途径就是前面所说的上网或外设。一旦入侵了网络,就可以借助内部信任的网络服务来更容易的扩散。所以,时间一久,网络内的计算机就逐渐的被病毒渗透,逐渐的陷入了瘫痪。
杀毒的主体是杀毒软件,这已经被现在的应用所证明了的。但是,从上面的分析来看,现在的杀毒软件构成的体系似乎是肯定在某个情况下要被突破,事实上也是如此。当一个计算机熟悉的人员,并且小心的使用计算机时,如果使用了顶尖的杀毒软件时,实际上用上很多年也不会有问题。但是在一个网络中,则由于网络中的计算机的关联性和可信任性,总有计算机被突破,网络也总会面临危机。
那么,怎么在病毒木马入侵后及时有效的发现感染迹象呢?这将提供及时的线索,以便在确定后对感染源采取隔离措施。
所以,还需要引入更多的机制,来及早的发现和管理网络的病毒感染情况。
新的监控分析方法:
清扬内网管理软件(www.qycx.com)引入了运行特征分析的功能,简单的说:就是对进程、注册表、netstat等运行情况进行分析,用统计和比对的方式来提供对计算机运行情况的了解和掌握。
1. 病毒也是程序,所以病毒活跃时总以进程的形式存在。深一步,任何进程需要调用特定的模块DLL,这就构成了一个运行特征。通过对进程及其调用模块的分析,将进一步的显示出对病毒的珠丝马迹来。
2. 其次就是注册表的监控,病毒需要潜伏,通常需要寻找一个注册表引导区来潜伏,否则等计算机一重起,病毒就失效了。注册表的是操作系统的核心,留出的引导区域是有限的。通过对这些引导区域的全网统一监控,通过对这些引导区增删改的监控,将极大的提高对病毒入侵的行为的发现。除了对一些常用的引导区域,注册表监控也将提高了象通过修改文件关联项这样的病毒的管理能力,修改了TXT或EXE文件的关联项的病毒是很难发现和处理的。
3. 其他的监控。通过netstat可以来看到活跃的网络活动连接,开异常的端口应该引起网管人员的重视。
4. 管理木马的说明:通常,为破坏计算机运行为目的的病毒的行为可能更加的诡异一些,木马的目的在于提供控制和窃取数据的手段,所以更加象一个正常的程序。尤其是一些特定的木马,用寻常的杀毒办法可能更加不容易。但是以上的监控手段却可能更加的有效用。
通过建立一个独立的全网式的运行监控手段,实际是达到了对网络运行状态的有益的监测手段。一个网络内的计算机因为工作相关的缘故,通常使用非常雷同的软件,所以为大规模的进程、注册表等运行特征的比对提供了可行性。往往容易在比对中逐渐剥离出异常来。
对个人用户来说,上面的介绍的方法可能不是最有用的,因为个人电脑也较为随意,很难用严格的管理来加强防护。但是对一个企业来说,适当的管理不仅是可能的,而且是必要的。因为企业的日常经营的保障是所有工作的前提,应尽力让企业的运营工作排除干扰和威胁。
以上介绍了一个全面的病毒防护体系的建立。防病毒是一个长期的管理工作。单纯的依赖杀毒软件是很难持久的,用全方位的思路去管理网络,这将提高网络的安全运行的保障能力。防护需要纵深,孤立的手段是脆弱的。
此外,对全网的运行状态进行有针对性的监控,也是在这里介绍的新思路,将给防病毒的管理工作带来全新的视角和手段。
新建了个企业网络的管理技术群,用来讨论企业网络的管理技术,欢迎一起加入。
群号1459617。
.
清扬创新