這里首先根據(jù)病毒的攻擊類型進行分析,指出了病毒的多樣性, 以及單機版防毒技術(shù)的局限性,并指出企業(yè)在構(gòu)建網(wǎng)絡(luò)防病毒系統(tǒng)時, 應利用全方位的企業(yè)防毒產(chǎn)品,實施"層層設(shè)防、集中控制、以防為 主、防殺結(jié)合"的策略。具體而言,就是針對網(wǎng)絡(luò)中所有可能的病毒 攻擊設(shè)置對應的防毒軟件,通過全方位、多層次的防毒系統(tǒng)配置,使 網(wǎng)絡(luò)沒有薄弱環(huán)節(jié)成為病毒入侵的缺口。所以,應該在企業(yè)中設(shè)計一 種多層次,深入的防病毒安全解決方案。這種方法是根據(jù)安全威脅的 作用位置分層建立防病毒的模型,了解模型的每層以及每層的特定威 脅,以便利用這些信息實施自己的防病毒措施。在這里,我根據(jù)一般 企業(yè)所面臨的安全風險。建立了"七層安全防護體系"的模型。并針 對企業(yè)的實際情況,整合為單機客戶端級,服務(wù)器級,綜合網(wǎng)絡(luò)級, 物理安全級,以及策略、過程和意識層。集中了 VPN 技術(shù),入侵檢測,郵件服務(wù)器,病毒掃描客戶端等技術(shù)。重點在客戶端級別,服務(wù)器級別,以及企業(yè)網(wǎng)絡(luò)搭建上給出詳細的配置方法以及拓撲圖??苫?本實現(xiàn)企業(yè)內(nèi)部全方位、多層次、無縫隙的安全防病毒配置。最后, 本文對 Symantec 的企業(yè)級安全產(chǎn)品加以詳細的介紹。
計算機安全的威脅中,來自計算機病毒的威脅最為嚴重,因為病毒的出現(xiàn)頻 率高、損失大,而且潛伏性強,覆蓋面廣。目前,全球已經(jīng)發(fā)現(xiàn)病毒 5 萬余種, 并且現(xiàn)在仍然以每天 10 余種的速度增長。那么對于企業(yè)來講,如何部署網(wǎng)絡(luò)的 軟硬件資源、制定相關(guān)規(guī)定,使企業(yè)內(nèi)網(wǎng)成為一個高效的防病毒體系是企業(yè)的日 常管理工作的重中之重。
從目前來看,雖然每個單位都部署了防病毒軟件以及防火墻軟件,但是新的 病毒、蠕蟲和其他形式的惡意軟件仍在繼續(xù)快速地感染大量的計算機系統(tǒng)。對此, 企業(yè)管理人員都可能有這樣的抱怨:
"用戶執(zhí)行其電子郵件的附件,盡管我們一再告訴他們不應該……"
"防病毒軟件本應可以捕獲此病毒,但是此病毒的簽名尚未安裝……"
"員工因為個人原因,甚至因為下載多媒體影音,關(guān)閉了殺毒軟件的定時更新系統(tǒng)……" "我們不知道我們的服務(wù)器需要安裝修補程序……"
…………
最近的攻擊研究表明,在組織的每臺計算機上部署殺毒軟件的這種標準方法??赡懿蛔阋苑婪抖喾N的病毒的攻擊手段。從最近病毒爆發(fā)的傳播速度來看,軟件 行業(yè)檢測、識別和傳送可保護系統(tǒng)免受攻擊的防病毒工具的速度無法跟上病毒的 傳播速度。最新形式的惡意軟件所表現(xiàn)的技術(shù)也更加先進,使得最近的病毒爆發(fā) 可以躲避檢測而進行傳播。這些技術(shù)包括:
◆社會工程
許多攻擊試圖看上去好像來自系統(tǒng)管理員或官方服務(wù),這樣就增加了最終用戶執(zhí)行它們從而感染系統(tǒng)的可能性。
◆后門創(chuàng)建
最近大部分的病毒爆發(fā)都試圖對已感染系統(tǒng)打開某種形式的未經(jīng)授權(quán)訪問,這樣黑客可以反復訪問這些系統(tǒng)。反復訪問用于在協(xié)調(diào)的拒絕服務(wù)攻擊中將系統(tǒng)用作"僵尸進程",然后使用新的惡意軟件感染這些系統(tǒng),或者用于運行黑客希望運行的任何代碼。
◆電子郵件竊取
惡意軟件程序使用從受感染系統(tǒng)中獲取的電子郵件地址,將其自身轉(zhuǎn)發(fā)到其他受害者,并且惡意軟件編寫者也可能會收集這些地址。然后,惡意軟件編寫者可以使用這些地址發(fā)送新的惡意軟件變形體,通過它們與其 他惡意軟件編寫者交換工具或病毒源代碼,或者將它們發(fā)送給希望使用這 些地址制造垃圾郵件的其他人。
◆嵌入的電子郵件引擎 電子郵件是惡意軟件傳播的主要方式?,F(xiàn)在,許多形式的惡意軟件都嵌
入電子郵件引擎,以使惡意代碼能更快地傳播,并減少創(chuàng)建容易被檢測出的 異?;顒拥目赡苄?。非法的大量郵件程序現(xiàn)在利用感染系統(tǒng)的后門,以便利 用這些機會來使用此類電子郵件引擎。
◆可移動媒體
◆網(wǎng)絡(luò)掃描
惡意軟件的編寫者使用此機制來掃描網(wǎng)絡(luò),以查找容易入侵的計算機,或隨意攻擊 IP 地址。
◆對等(P2P)網(wǎng)絡(luò)
要實現(xiàn) P2P 文件傳輸,用戶必須先安裝 P2P 應用程序的客戶端組件,該應用程序?qū)⑹褂靡粋€可以通過組織防火墻的網(wǎng)絡(luò)端口,例如,端口 80。
應用程序使用此端口通過防火墻,并直接將文件從一臺計算機傳輸?shù)搅硪慌_。這些應用程序很容易在 Internet 上獲取,并且惡意軟件編寫者可以直接使用它們提供的傳輸機制,將受感染的文件傳播到客戶端硬盤上。
◆遠程利用
惡意軟件可能會試圖利用服務(wù)或應用程序中的特定安全漏洞來進行復制。比如,Microsoft 發(fā)布的一些緩沖區(qū)溢出漏洞,用戶可能因為沒有及時的打補丁而被攻擊。(所以,及時的對 windows 系統(tǒng)進行更新很重要)
◆分布式拒絕服務(wù) (DDoS)
這種類型的攻擊一般使用已感染的客戶端,而這些客戶端通常完全不知道它們在此類攻擊中的角色。DDoS 攻擊是一種拒絕服務(wù)攻擊,其中攻擊者使用各種計算機上安裝的惡意代碼來攻擊單個目標。攻擊者使用此方法對目標造成的影響很可能會大于使用單個攻擊計算機造成的影響。
由于病毒的復雜性,相應地企業(yè)在構(gòu)建網(wǎng)絡(luò)防病毒系統(tǒng)時,應利用全方位的企業(yè)防毒產(chǎn)品,實施"層層設(shè)防、集中控制、以防為主、防殺結(jié)合"的策略。具體而言,就是針對網(wǎng)絡(luò)中所有可能的病毒攻擊設(shè)置對應的防毒軟件,通過全方位、多層次的防毒系統(tǒng)配置,使網(wǎng)絡(luò)沒有薄弱環(huán)節(jié)成為病毒入侵的缺口。所以,應該在企業(yè)中設(shè)計一種多層次,深入的防病毒安全解決方案。這種方法是根據(jù)安全威脅的作用位置分層建立防病毒的模型,了解模型的每層以及每層的特定威脅,這樣,就可以利用這些信息實施自己的防病毒措施。而這些優(yōu)化解決方案設(shè)計所需要的信息只能通過完成完整的安全風險評估獲得。在這里,我根據(jù)一般企業(yè)所面臨的安全風險。建立了"七層安全防護體系"的模型,旨在確保每組上的安全防護措施能夠阻擋多種不同級別的攻擊。下面,簡單的對模型的各層進行定義:
1) 數(shù)據(jù)層
數(shù)據(jù)層上的風險源自這樣的漏洞:攻擊者有可能利用它們獲得對配置數(shù)據(jù)、組織數(shù)據(jù)或組織所用設(shè)備獨有的任何數(shù)據(jù)的訪問。例如,敏感數(shù)據(jù)(如機密的業(yè)務(wù)數(shù)據(jù)、用戶數(shù)據(jù)和私有客戶信息存儲)都應該視為此層的一部分。在模型的此層上,組織主要關(guān)注的是可能源自數(shù)據(jù)丟失或被盜的業(yè)務(wù)和法律問題,以及漏洞在主機層或應用程序?qū)由媳┞兜牟僮鲉栴}。
2) 應用程序?qū)?/p>
應用程序?qū)由系娘L險源自這樣的漏洞:攻擊者有可能利用它們訪問運行 的應用程序。惡意軟件編寫者可以在操作系統(tǒng)之外打包的任何可執(zhí)行代碼都 可能用來攻擊系統(tǒng)。在此層上組織主要關(guān)注的是:對組成應用程序的二進制 文件的訪問;通過應用程序偵聽服務(wù)中的漏洞對主機的訪問;不適當?shù)厥占?系統(tǒng)中特定數(shù)據(jù),以傳遞給可以使用該數(shù)據(jù)達到自己目的的某個人。
3) 主機層
提供 Service Pack和修復程序以處理惡意軟件威脅的供應商通常將此層作為目標。此層上的風險源自利用主機或服務(wù)所提供服務(wù)中漏洞的攻擊者。攻擊者以各種方式利用這些漏洞向系統(tǒng)發(fā)動攻擊。緩沖區(qū)溢出攻擊就是其中一個典型的例子。在此層上組織主要關(guān)注的是阻止對組成操作系統(tǒng)的二進制文件的訪問,以及阻止通過操作系統(tǒng)偵聽服務(wù)中的漏洞對主機的訪問。
4) 內(nèi)部網(wǎng)絡(luò)層
組織內(nèi)部網(wǎng)絡(luò)所面臨的風險主要與通過此類型網(wǎng)絡(luò)傳輸?shù)拿舾袛?shù)據(jù)有關(guān)。這些內(nèi)部網(wǎng)絡(luò)上客戶端工作站的連接要求也具有許多與其關(guān)聯(lián)的風險。
5)外圍網(wǎng)絡(luò)層
與外圍網(wǎng)絡(luò)層(也稱為 DMZ、網(wǎng)絡(luò)隔離區(qū)域或屏幕子網(wǎng))關(guān)聯(lián)的風險源自可以訪問廣域網(wǎng) (WAN) 以及它們所連接的網(wǎng)絡(luò)層的攻擊者。模型此層上的主要風險集中于網(wǎng)絡(luò)可以使用的傳輸控制協(xié)議 (TCP) 和用戶數(shù)據(jù)報協(xié)議(UDP) 端口。
6)物理安全層
物理層上的風險源自可以物理訪問物理資產(chǎn)的攻擊者。此層包括前面的所有層,因為對資產(chǎn)的物理訪問又可以允許訪問深層防護模型中的所有其他層。使用防病毒系統(tǒng)的組織在模型的此層上主要關(guān)注的是阻止感染文件避開外圍網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的防護。攻擊者可能只是通過某個物理可移動媒體(如USB 磁盤設(shè)備)將感染文件直接復制到主機,試圖做到這一點。
7)策略、過程和意識層
圍繞安全模型所有層的是,您的組織為滿足和支持每個級別的要求需要制定的策略和過程。最后,提高組織中對所有相關(guān)方的意識是很重要的。在許多情況下,忽視風險可以導致安全違反。由于此原因,培訓也應該是任何安全模型的不可缺少的部分。
當然,這樣的劃分是對一個組織完整的安全層次劃分。你可以根據(jù)不同企業(yè)的情況的不同,重新集中視圖以便將這些安全層級進行整合。重點是通過確保沒有從防護中排除任何安全層,來避免不完整的和弱化的防病毒設(shè)計。例如:可以將數(shù)據(jù)層、應用程序?qū)雍椭鳈C層組合到兩個防護策略中,以保護組織的客戶端和服務(wù)器。而內(nèi)部網(wǎng)絡(luò)層和外圍層也可以組合到一個公共網(wǎng)絡(luò)防護策略中,因為這兩個層所涉及的技術(shù)是相同的。每個層中的實施細節(jié)將是不同的,具體取決于組織基礎(chǔ)結(jié)構(gòu)中的設(shè)備位置和技術(shù)。下面針對各個層級確定安全解決方案:
一、客戶端防護
當病毒和惡意軟件到達主機時,防護系統(tǒng)必須集中于保護主機系統(tǒng)及其數(shù) 據(jù),并停止感染的傳播。這些防護與環(huán)境中的物理防護和網(wǎng)絡(luò)防護一樣重要。您 應該根據(jù)以下假定來設(shè)計主機防護:惡意軟件已經(jīng)通過前面所有的防護層,必須 在客戶機終端上遏制其傳播。以下是配置客戶端防毒的一些技術(shù):
I.減小攻擊面
客戶端操作系統(tǒng)的第一道防護措施就是減小計算機的攻擊面。應該在計算機 上刪除或禁用所有不需要的應用程序和服務(wù),最大限度的減少攻擊者可以利用的 系統(tǒng)的方法。(可以根據(jù)Microsoft提供的產(chǎn)品文檔找到windows服務(wù)的默認設(shè)置, 記住,盡量關(guān)閉不會用的的服務(wù))
II.安裝防病毒掃描程序
許多公司推出防病毒應用程序,其中每個應用程序都試圖保護主機,同時對最終用戶產(chǎn)生最少的不便和交互。其中的大多數(shù)應用程序在提供此保護方面都 是很有效的,但是它們都要求經(jīng)常更新以應對新的惡意軟件。任何防病毒解決方 案都應該提供快速的無縫機制,來確保盡快提供對處理新惡意軟件或變種所需的 簽名文件的更新。簽名文件包含防病毒程序在掃描過程中用來檢測惡意軟件的信 息。根據(jù)設(shè)計,簽名文件由防病毒應用程序供應商定期更新,需要下載到客戶端 計算機。
(注意:這樣的更新會帶來自身的安全風險,因為簽名文件是從防病毒程序的支 持站點發(fā)送到主機應用程序(通常通過 Internet)。例如,如果傳輸機制使用 文件傳輸協(xié)議 (FTP) 獲得文件,則組織的外圍防火墻必須允許對 Internet 上 所需 FTP 服務(wù)器進行此類型的訪問。請確保在防病毒風險評估過程中審查組織 的更新機制,而且此過程的安全性足以滿足組織的安全要求。)
由于惡意軟件的模式和技術(shù)快速變化,一些組織采用了以下方法:在"高風 險"用戶在同一計算機上運行多個防病毒程序包,以幫助將未能檢測到惡意軟件 的風險減到最小。下面的用戶就屬于此類別:
◆ Web管理員和管理Internet是內(nèi)容的其他用戶。
◆發(fā)布實驗室工作人員或制作電子媒體(CD-ROM)的任何用戶。
◆創(chuàng)建或編譯文件活其他產(chǎn)品軟件的開發(fā)小組成員。
但是應該注意的是,在同一計算機上運行許多不同應用程序供應商推出的防病毒應用程序,可能會因防病毒應用程序之間的互操作性問題而產(chǎn)生問題。
但是特別指出的是,考慮的另一種方法是為組織中的客戶端、服務(wù)器和網(wǎng)絡(luò)防護使用來自不同供應商的防病毒軟件。此方法使用不同的掃描引擎提供對基礎(chǔ)結(jié)構(gòu)的這些不同區(qū)域的一致掃描,這應該有助于在單個供應商的產(chǎn)品未能檢測到攻擊時減少對總體病毒防護的風險。
III.應用安全更新
由于連接到組織網(wǎng)絡(luò)的客戶端計算機的數(shù)目很大種類很多。所以很難提供快速而且可靠的安全更新管理服務(wù)。對此,我利用Microsoft和其他軟件公司已經(jīng)開發(fā)出的解決工具。如下:
◆ Windows Update
對于小型組織和個人,Windows Update服務(wù)同時提供了手動過程和自動過程來檢測和下載windows平臺的最新安全和功能修改。但是在某些組織中使用此方法時出現(xiàn)的問題包括:在從此服務(wù)部署更新之前缺少對測試的支持、同時下載同一程序包時客戶端可能占用組織中一定量的網(wǎng)絡(luò)帶寬。
◆ Software Update service
此服務(wù)旨在為企業(yè)中的windows客戶端提供安全更新解決方案。通過既允許內(nèi)部測試也允許分布式安全更新管理,此服務(wù)為更大組織克服了windows Update的兩項不足。
◆ Systems Management Server 2003
Systems Management Server 2003是一個完整的企業(yè)管理解決方案,它能夠提供綜合的安全更新服務(wù)以及更多功能。 在這里,特別要注重蠕蟲病毒的防治,蠕蟲病毒危害極大,極容易導致整個系統(tǒng)的崩潰,而大多數(shù)的蠕蟲病毒都是依靠系統(tǒng)漏洞進行傳播的。對企業(yè)而言, 系統(tǒng)漏洞修補不僅僅是安裝官方網(wǎng)站發(fā)布的補丁,在服務(wù)器或者網(wǎng)絡(luò)中大規(guī)模部 署補丁通常是一項十分重要的工作,必須先在環(huán)境中進行測試和分析。然后才可 以在網(wǎng)絡(luò)中大規(guī)模部署。而管理員可以利用組策略、sms、wsus等方法,將已獲 得的系統(tǒng)補丁發(fā)放到客戶端。這樣也解決了客戶終端因個人原因不更新系統(tǒng)和軟 件的問題。
而WSUS為微軟公司提供的專用補丁更新的服務(wù)組件??梢愿鶕?jù)客戶端的實際 情況,自動將補丁程序發(fā)布到用戶計算機中。
其中的每種 Microsoft 安全更新工具都有特定的優(yōu)點和用途。最佳方法很 可能是使用其中的一種或多種工具。為幫助評估組織的安全更新解決方案。
IV 啟動基于主機的防火墻
基于主機的防火墻或個人防火墻代表您應該啟用的重要客戶端防護層,尤其是在用戶可能帶到組織通常的物理和網(wǎng)絡(luò)防護之外的便攜式計算機上。這些防 火墻會篩選試圖進入或離開特定主機的所有數(shù)據(jù)。
V 測試漏洞掃描程序
在配置系統(tǒng)之后,應該定期檢查它以確保沒有留下安全漏洞。為了幫助你完成這個過程,許多應用程序可用作掃描程序來查找惡意軟件和黑客可能試圖利用 的漏洞。其中的大多數(shù)工具更新自己的掃描例程,以保護您的系統(tǒng)免受最新漏洞 的攻擊。(Microsoft 基準安全分析器 (MBSA) 是能夠檢查常見安全配置問題的 漏洞掃描程序的一個示例。此掃描程序還進行檢查,以確保您的主機配置了最新 的安全更新。)
VI 使用最小特權(quán)策略
在客戶端防護中不應忽視的另一區(qū)域是在正常操作下分配給用戶的特權(quán)。
Microsoft 建議采用這樣的策略:它提供可能的最少特權(quán)以幫助將在執(zhí)行時依賴 利用用戶特權(quán)的惡意軟件的影響減到最小。對于通常具有本地管理特權(quán)的用戶, 這樣的策略尤其重要。請考慮對日常操作刪除這樣的特權(quán),并在必要時改用 RunAs 命令啟動所需的管理工具。
VII 對客戶端上的應用程序進行配置
◆電子郵件客戶端
如果惡意軟件確實設(shè)法通過了網(wǎng)絡(luò)和電子郵件服務(wù)器級別上的病毒防護,則可能存在一些設(shè)置,您可以進行配置以便為電子郵件客戶端提供額外保護。通常,如果用戶能夠直接從電子郵件打開電子郵件附件,則為惡意軟件在客戶端上傳播提供了主要方式之一。如有可能,請考慮在組織的電子郵件系統(tǒng)中限制此能力。如果這是不可能的,一些電子郵件客戶端允許您配置另外的步驟,用戶將必須執(zhí)行這些步驟才能打開附件。例如,在 Microsoft Outlook 和Outlook Express 中進行設(shè)置。
◆桌面應用程序
隨著桌面辦公應用程序的日益強大,它們也成為惡意軟件的攻擊目標宏病毒使用字處理器、電子表格或其他支持宏的應用程序創(chuàng)建的文件復制自身。您應該盡可能采取措施,以確保在環(huán)境中處理這些文件的所有應用程序上啟用最合適的安全設(shè)置。例如:對 Microsoft Office 2003 應用程序的安全防護。
◆即時消息應用程序
一般來說,文本消息不會構(gòu)成直接的惡意軟件威脅,但是大多數(shù)即時Messenger 客戶端提供另外的文件傳輸功能以提高用戶的通信能力。允許文 件傳輸提供了進入組織網(wǎng)絡(luò)的直接路由,有可能受到惡意軟件的攻擊。對此,網(wǎng)絡(luò)防火墻只需篩選用于此通信的端口,即可阻止這些文件傳輸。 例如,Microsoft Windows 和 MSN Messenger 客戶端使用介于 6891 和6900 之間的 TCP 端口傳輸文件,因此,如果外圍防火墻阻止這些端口,則 通過 Instant Messenger 的文件傳輸就不會發(fā)生。但是,移動客戶端計算 機僅當在組織網(wǎng)絡(luò)上時才受到保護。因此,您可能希望配置客戶端上的基于 主機的防火墻阻止這些端口,并且在組織中的移動客戶端處于網(wǎng)絡(luò)防護之外 時為它們提供保護。
如果因為其他必需的應用程序使用這些端口或者需要文件傳輸,您的 組織無法阻止這些端口,則應該確保在傳輸所有文件之前對其掃描以確定是 否存在惡意軟件。如果客戶端工作站使用的不是實時防病毒掃描程序,則應 該將即時消息應用程序配置為:一收到文件,就自動將傳輸?shù)奈募鬟f到防 病毒應用程序進行掃描。例如,您可以將 MSN Messenger 配置為自動掃描 傳輸?shù)奈募?/p>
◆Web 瀏覽器
從 Internet 下載或執(zhí)行代碼之前,您希望確保知道它來自已知的、可靠的來源。您的用戶不應該僅依賴于站點外觀或站點地址,因為網(wǎng)頁和網(wǎng)址都可以是偽造的。已經(jīng)開發(fā)了許多不同的方法和技術(shù),來幫助用戶的 Web 瀏覽器應用程序確定用戶所瀏覽網(wǎng)站的可靠性。例如,Microsoft Internet Explorer 使用Microsoft Authenticode 技術(shù)驗證已下載代碼的身份。Authenticode 技術(shù)驗證代碼是否具有有效的證書、軟件發(fā)布者的身份是否與證書匹配以及證書是否仍然有效。如果通過了所有這些測試,將會降低攻擊者將惡意代碼傳輸?shù)较到y(tǒng)的可能性。
大多數(shù)主要的 Web 瀏覽器應用程序支持限制可用于從 Web 服務(wù)器執(zhí)行的代碼的自動訪問級別的功能。Internet Explorer 使用安全區(qū)域幫助阻止 Web內(nèi)容在客戶端上執(zhí)行有可能產(chǎn)生破壞的操作。安全區(qū)域基于 Web 內(nèi)容的位置(區(qū)域)。
◆對等應用程序
Internet 范圍的對等 (P2P) 應用程序的出現(xiàn),使得查找文件和與他人交換文件比以前任何時候都更為容易。但是它已經(jīng)引發(fā)了許多惡意軟件攻擊,它們試圖使用這些應用程序?qū)⑽募椭频狡渌脩舻挠嬎銠C。蠕蟲病毒已經(jīng)將P2P 應用程序作為攻擊目標以達到復制目的。
如果可能,Microsoft 建議限制組織中使用這些應用程序的客戶端數(shù)量。您可以使用本章前面所述的 Windows 軟件限制策略,幫助阻止用戶運行對等應用程序。如果在您的環(huán)境中這是不可能的,請確保在制定防病毒策略時,將環(huán)境中客戶端因這些應用程序而面臨的更大風險考慮在內(nèi)。
VIII 限制未授權(quán)的應用程序
如果應用程序為網(wǎng)絡(luò)提供一種服務(wù),如 Microsoft Instant Messenger 或Web 服務(wù),則在理論上它可能成為惡意軟件攻擊的目標。作為防病毒解決方案的一部分,您可能希望考慮為組織編寫已授權(quán)應用程序的列表。所以可以使用Windows 組策略限制用戶運行未授權(quán)軟件的能力。處理此功能的組策略的特定方 面稱為"軟件限制策略",可以通過標準組策略 MMC 管理單元訪問它。
二、服務(wù)器的病毒防護步驟
環(huán)境中的服務(wù)器防護與客戶端防護有許多共同之處;二者都試圖保護同一 基本個人計算機環(huán)境。兩者的主要差異在于,服務(wù)器防護在可靠性和性能方面的 預期級別通常高得多。此外,許多服務(wù)器在組織基礎(chǔ)結(jié)構(gòu)中起到的專門作用通常 需要制定專門的防護解決方案。下面主要介紹服務(wù)器端的防毒和前面提到客戶端 的防毒的不同之處。
組織中防護服務(wù)器的四個基本防病毒步驟與防護客戶端的步驟相同:
1.減小攻擊面
從服務(wù)器中刪除不需要的服務(wù)和應用程序,將其攻擊面減到最小。
2.應用安全更新
如有可能,請確保所有服務(wù)器計算機運行的都是最新的安全更新。根據(jù)需要執(zhí)行其他測試,以確保新的更新不會對關(guān)鍵任務(wù)服務(wù)器產(chǎn)生負面影響。
3.啟用基于主機的防火墻
Windows Server 2003 包括一個基于主機的防火墻,您可以使用它減小服務(wù)器的攻擊面以及刪除不需要的服務(wù)和應用程序。
4.使用漏洞掃描程序進行測試
使用 Windows Server 2003 上的 MBSA 幫助識別服務(wù)器配置中可能存在的漏洞。Microsoft 建議使用此漏洞掃描程序和其他專用漏洞掃描程序,幫助確保配置盡可能強大。除了這些常用的防病毒步驟之外,將以下服務(wù)器特定的軟件也用作總體服務(wù)器病毒防護的一部分。
現(xiàn)在,有許多可用于企業(yè)中特定服務(wù)器角色的專用防病毒配置、工具和應用程序??梢詮拇祟愋蛯S梅啦《痉雷o中獲益的服務(wù)器角色的示例有:Web 服務(wù)器(如 Microsoft Internet 信息服務(wù) (IIS) 消息服務(wù)器如 Microsoft Exchange2003)、數(shù)據(jù)庫服務(wù)器(如運行 Microsoft SQL Server 2000 的服務(wù)器)、協(xié)作服務(wù)器(如運行 Microsoft Windows SharePoint Services 和 Microsoft Office SharePoint Portal Server 2003 的服務(wù)器)
應用程序特定的防病毒解決方案通常提供更佳的保護和性能,因為它們設(shè)計用于與特定服務(wù)集成在一起,而不是試圖在文件系統(tǒng)級服務(wù)的下面起作用。下面對這幾個角色特定的服務(wù)安全軟件做介紹:
1)Web 服務(wù)器
在一段時間內(nèi),所有類型的組織中的 Web 服務(wù)器都曾經(jīng)是安全攻擊的目標。不管攻擊來自惡意軟件還是來自試圖破壞組織網(wǎng)站的黑客,充分配置 Web 服務(wù)器上的安全設(shè)置以最大限度地防御這些攻擊都是很重要的。
2)UrlScan
UrlScan是限制 IIS 要處理的 HTTP 請求類型的另一種安全工具。通過阻止特定的 HTTP 請求,UrlScan 可以幫助阻止可能有害的請求到達服務(wù)器。
3)消息郵件服務(wù)器
為組織中的電子郵件服務(wù)器設(shè)計有效的防病毒解決方案時,要牢記兩個目標。第一個目標是防止服務(wù)器本身受到惡意軟件的攻擊。第二個目標是阻止任何惡意軟件通過電子郵件系統(tǒng)進入組織中用戶的郵箱。務(wù)必確保在電子郵件服務(wù)器上安裝的防病毒解決方案能夠?qū)崿F(xiàn)這兩個目標。 一般來說,標準文件掃描防病毒解決方案無法阻止電子郵件服務(wù)器將惡意軟件作為附件傳遞到客戶端。使防病毒解決方案與正使用的電子郵件解決方案匹配 是很重要的。許多防病毒供應商現(xiàn)在為特定電子郵件服務(wù)器提供其軟件的專用版 本,這些版本設(shè)計用于掃描經(jīng)過電子郵件系統(tǒng)的電子郵件以確定是否包含惡意軟 件。以下兩種基本類型的電子郵件防病毒解決方案通常是可用的:
◆ SMTP 網(wǎng)關(guān)掃描程序。
這些基于簡單郵件傳輸協(xié)議 (SMTP) 的電子郵件掃描解 決方案通常稱為防病毒"網(wǎng)關(guān)"解決方案。這些解決方案的優(yōu)點是:可以用于 所有的 SMTP 電子郵件服務(wù),而不是僅用于特定電子郵件服務(wù)器產(chǎn)品。但是, 由于這些解決方案依賴于 SMTP 電子郵件協(xié)議,因此它們在可以提供的某些 更高級功能方面受到限制。
◆ 集成的服務(wù)器掃描程序。
這些專用防病毒應用程序直接與特定的電子郵件服 務(wù)器產(chǎn)品一起工作。這些應用程序確實有許多優(yōu)點。例如,它們可以與高級 服務(wù)器功能直接集成在一起,它們設(shè)計為與電子郵件服務(wù)器使用相同的硬件。
4)數(shù)據(jù)庫服務(wù)器
在考慮數(shù)據(jù)庫服務(wù)器的病毒防護時,需要保護以下四個主要元素:
◆ 主機。運行數(shù)據(jù)庫的一個或多個服務(wù)器。
◆ 數(shù)據(jù)庫服務(wù)。在主機上運行的為網(wǎng)絡(luò)提供數(shù)據(jù)庫服務(wù)的各種應用程序。
◆ 數(shù)據(jù)存儲區(qū)。存儲在數(shù)據(jù)庫中的數(shù)據(jù)。
◆ 數(shù)據(jù)通信。網(wǎng)絡(luò)上數(shù)據(jù)庫主機和其他主機之間使用的連接和協(xié)議。
由于數(shù)據(jù)存儲區(qū)內(nèi)的數(shù)據(jù)不能直接執(zhí)行,因此通常認為數(shù)據(jù)存儲區(qū)本身不需要掃描。目前,沒有專為數(shù)據(jù)存儲區(qū)編寫的主要防病毒應用程序。但是,在進行防病毒配置時,應該仔細考慮數(shù)據(jù)庫服務(wù)器的主機、數(shù)據(jù)庫服務(wù)和數(shù)據(jù)通信這些元素。
應該專門為惡意軟件威脅檢查主機的位置和配置。一般說來,Microsoft 建議不要將數(shù)據(jù)庫服務(wù)器置于組織基礎(chǔ)結(jié)構(gòu)的外圍網(wǎng)絡(luò)中(尤其當服務(wù)器存儲敏感數(shù)據(jù)時)。但是,如果必須在外圍網(wǎng)絡(luò)中放置這樣的數(shù)據(jù)庫服務(wù)器,請確保對它進行配置將感染惡意軟件的風險減到最小。比如:"Slammer"蠕蟲直接將 SQLServer 作為攻擊目標。此攻擊表明無論 SQL Server 數(shù)據(jù)庫計算機是位于外圍網(wǎng)絡(luò)還是內(nèi)部網(wǎng)絡(luò)中,保護它們都是非常重要的。
5)協(xié)作服務(wù)器
協(xié)作服務(wù)器本身的特點使它們易受惡意軟件的攻擊。當用戶將文件復制到服務(wù)器和從服務(wù)器復制文件時,他們可能使網(wǎng)絡(luò)上的服務(wù)器和其他用戶受到惡意軟件的攻擊。Microsoft 建議使用可以掃描復制到協(xié)作存儲區(qū)和從協(xié)作存儲區(qū)復制的所有文件的防病毒應用程序,保護環(huán)境中的協(xié)作服務(wù)器
三、網(wǎng)絡(luò)防護層
在已記錄的惡意軟件事件中,通過網(wǎng)絡(luò)發(fā)動的攻擊是最多的。通常,發(fā)動 惡意軟件攻擊是為了利用網(wǎng)絡(luò)外圍防護中的漏洞允許惡意軟件訪問組織 IT 基 礎(chǔ)結(jié)構(gòu)中的主機設(shè)備。這些設(shè)備可以是客戶端、服務(wù)器、路由器,或者甚至是防 火墻。在此層上進行病毒防護所面臨的最困難問題之一是,平衡 IT 系統(tǒng)用戶的 功能要求與創(chuàng)建有效防護所需的限制。例如,與許多最近的攻擊類似,MyDoom 蠕 蟲使用電子郵件附件復制自己。從 IT 基礎(chǔ)結(jié)構(gòu)的角度來看,阻止所有傳入附件 是最簡單、最安全的選項。但是,組織中電子郵件用戶的需求可能不允許這樣做。
必須進行折衷,在組織的需求和它可以接受的風險級別之間達到平衡。 在網(wǎng)絡(luò)骨干接入處,安裝防毒墻(即安裝有網(wǎng)關(guān)殺毒軟件的獨立網(wǎng)關(guān)設(shè)備),由防毒墻實現(xiàn)網(wǎng)絡(luò)接入處的病毒防護。由于是安裝在網(wǎng)絡(luò)接入處,因此,對主要 網(wǎng)絡(luò)協(xié)議進行殺毒處理(SMTP、FTP、HTTP)。
在服務(wù)器上安裝單獨的服務(wù)器殺毒產(chǎn)品,對服務(wù)器進行病毒保護。 由于內(nèi)部存在幾十個網(wǎng)絡(luò)客戶端,如采用普通殺毒軟件會造成升級麻煩、使用不便等問題??稍诜?wù)器上安裝客戶端防病毒產(chǎn)品(客戶端殺毒軟件的工作模 式是服務(wù)器端、客戶端的方式)的服務(wù)器端,由客戶端通過網(wǎng)絡(luò)與服務(wù)器端連接 后進行網(wǎng)絡(luò)化安裝。對產(chǎn)品升級,可通過在服務(wù)器端進行設(shè)置,自動通過 INETRNET 進行升級,再由客戶端到服務(wù)器端進行升級,大大簡化升級過程, 并且整個升級是自動完成,不需要人工操作。
對郵件系統(tǒng),可采取安裝專用郵件殺毒產(chǎn)品,通過在郵件服務(wù)器上安裝郵件 殺毒程序,實現(xiàn)對內(nèi)部郵件的殺毒,保證郵件在收、發(fā)時都是經(jīng)過檢查的,確保 郵件無毒。
通過這種方法,可以達到層層設(shè)防的作用,最終實現(xiàn)病毒防護。 具體的拓撲圖如下:
[page]
這里首先根據(jù)病毒的攻擊類型進行分析,指出了病毒的多樣性, 以及單機版防毒技術(shù)的局限性,并指出企業(yè)在構(gòu)建網(wǎng)絡(luò)防病毒系統(tǒng)時, 應利用全方位的企業(yè)防毒產(chǎn)品,實施"層層設(shè)防、集中控制、以防為 主、防殺結(jié)合"的策略。
另外也可以上圖進行簡化,如下圖
在這里特別提到的是存在一種日益增長的趨勢:將內(nèi)部網(wǎng)絡(luò)分解為多個安 全區(qū)域,以便為每個安全區(qū)域建立外圍。Microsoft 也建議使用此方法,因為它 可幫助降低試圖訪問內(nèi)部網(wǎng)絡(luò)的惡意軟件攻擊的總體風險。
組織的第一個網(wǎng)絡(luò)防護指外圍網(wǎng)絡(luò)防護。這些防護旨在防止惡意軟件通過 外部攻擊進入組織。如本章前面所述,典型的惡意軟件攻擊集中于將文件復制到 目標計算機。因此,您的病毒防護應該使用組織的常規(guī)安全措施,以確保只有經(jīng) 過適當授權(quán)的人員才能以安全方式(如通過加密的虛擬專用網(wǎng)絡(luò) (VPN) 連接。 下面給出一種三級VPN網(wǎng)絡(luò)的實現(xiàn)方法:
三級 VPN 設(shè)置拓撲圖 每一級的設(shè)置及管理方法相同。即在每一級的中心網(wǎng)絡(luò)安裝一臺 VPN 設(shè)備和一臺 VPN 認證服務(wù)器(VPN-CA),在所屬的直屬單位的網(wǎng)絡(luò)接入處安裝一臺 VPN 設(shè)備,由上級的 VPN 認證服務(wù)器通過網(wǎng)絡(luò)對下一級的 VPN 設(shè)備進行集中 統(tǒng)一的網(wǎng)絡(luò)化管理??蛇_到以下幾個目的:
◆ 網(wǎng)絡(luò)傳輸數(shù)據(jù)保護;
由安裝在網(wǎng)絡(luò)上的 VPN 設(shè)備實現(xiàn)各內(nèi)部網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸加密可同時采取加密或隧道的方式進行傳輸
◆ 網(wǎng)絡(luò)隔離保護;
與 INTERNET 進行隔離,控制內(nèi)網(wǎng)與 INTERNET 的相互訪問
◆ 集中統(tǒng)一管理,提高網(wǎng)絡(luò)安全性;
◆ 降低成本(設(shè)備成本和維護成本);
其中,在各級中心網(wǎng)絡(luò)的 VPN 設(shè)備設(shè)置如下圖:
圖 4-2 中心網(wǎng)絡(luò)
[page]
一臺 VPN 管理機對 CA、中心 VPN 設(shè)備、分支機構(gòu) VPN 設(shè)備進行統(tǒng)一網(wǎng)絡(luò)管理。將對外服務(wù)器放置于 VPN 設(shè)備的 DMZ 口與內(nèi)部網(wǎng)絡(luò)進行隔離,禁止外網(wǎng)直接訪問內(nèi)網(wǎng),控制內(nèi)網(wǎng)的對外訪問、記錄日志。這樣即使服務(wù)器被攻破,內(nèi)部網(wǎng)絡(luò)仍然安全。下級單位的 VPN 設(shè)備放置如下圖所示:
下面,根據(jù)上圖,對拓撲中每個部分做的安全說明:
1)網(wǎng)絡(luò)入侵檢測系統(tǒng)
因為外圍網(wǎng)絡(luò)是網(wǎng)絡(luò)中風險很大的部分,因此您的網(wǎng)絡(luò)管理系統(tǒng)能夠盡快檢測和報告攻擊是極其重要的。網(wǎng)絡(luò)入侵檢測 (NID) 系統(tǒng)的作用僅僅是提供:外部攻擊的快速檢測和報告。雖然 NID 系統(tǒng)是總體系統(tǒng)安全設(shè)計的一部分,而且不是特定的防病毒工具,但是系統(tǒng)攻擊和惡意軟件攻擊的許多最初跡象是相同的。例如,一些惡意軟件使用 IP 掃描來查找可進行感染的系統(tǒng)。由于此原因,應該將 NID 系統(tǒng)配置為與組織的網(wǎng)絡(luò)管理系統(tǒng)一起工作,將任何不尋常的網(wǎng)絡(luò)行為的警告直接傳遞給組織的安全人員。
對于任何 NID 實現(xiàn),其保護僅相當于在檢測到入侵之后遵循的過程。此過程應該觸發(fā)可以用來阻止攻擊的防護,而且防護應該得到連續(xù)不斷的實時監(jiān)視。只有在此時,才能認為該過程是防護策略的一部分。否則,NID 系統(tǒng)實際上更像一個在攻擊發(fā)生之后提供審核記錄的工具。有許多可供網(wǎng)絡(luò)設(shè)計人員使用的企業(yè)級網(wǎng)絡(luò)入侵檢測系統(tǒng)。它們可以是獨立的設(shè)備,也可以是集成到其他網(wǎng)絡(luò)服務(wù)(如組織的防火墻服務(wù))中的其他系統(tǒng)。例如,Microsoft Internet Security and Acceleration (ISA) Server 2000 和 2004 產(chǎn)品包含 NID 系統(tǒng)功能以及防火墻和代理服務(wù)。
下面給出了網(wǎng)絡(luò)入侵檢測系統(tǒng)的拓撲結(jié)構(gòu)圖:
2)應用程序?qū)雍Y選
在這里,再次提到了對應用程序的管理問題,這里主要是在網(wǎng)絡(luò)配置上通過
防火墻的"包過濾技術(shù)"對應用程序進行篩選。使用 Internet 篩選技術(shù)監(jiān)視和 屏蔽網(wǎng)絡(luò)通信中的非法內(nèi)容(如病毒)不僅是有用的,而且是必需的。在過去,曾經(jīng)使用防火墻服務(wù)提供的數(shù)據(jù)包層篩選執(zhí)行了此篩選,僅允許根據(jù)源或目標IP 地址或者特定的 TCP 或 UDP 網(wǎng)絡(luò)端口來篩選網(wǎng)絡(luò)流量。應用程序?qū)雍Y選 (ALF) 在 OSI 網(wǎng)絡(luò)模型的應用程序?qū)由瞎ぷ鳎虼怂试S根據(jù)數(shù)據(jù)的內(nèi)容檢查 和篩選數(shù)據(jù)。如果除了使用標準數(shù)據(jù)包層篩選外還使用 ALF,則可以實現(xiàn)的安全 性要高得多。例如,使用數(shù)據(jù)包篩選可能允許您篩選通過組織防火墻的端口 80 網(wǎng)絡(luò)流量,以便它只能傳遞到 Web 服務(wù)器。但是,此方法可能不提供足夠的安 全性。通過將 ALF 添加到解決方案中,您可以檢查端口 80 上傳遞到 Web 服務(wù) 器的所有數(shù)據(jù),以確保它是有效的且不包含任何可疑代碼。
ISA Server 可以在數(shù)據(jù)包通過組織防火墻時提供對它們的 ALF??梢話呙?Web 瀏覽和電子郵件,以確保特定于每個 Web 瀏覽和電子郵件的內(nèi)容不包含可 疑數(shù)據(jù),如垃圾郵件或惡意軟件。ISA Server 中的 ALF 功能啟用深層內(nèi)容分析, 包括使用任何端口和協(xié)議檢測、檢查和驗證流量的功能。
3)內(nèi)容掃描
內(nèi)容掃描在更高級防火墻解決方案中作為一項功能提供,或者作為單獨服務(wù)(如電子郵件)的組件提供。內(nèi)容掃描詢問允許通過有效數(shù)據(jù)通道進入或離開 組織網(wǎng)絡(luò)的數(shù)據(jù)。如果內(nèi)容掃描是在電子郵件上執(zhí)行的,則它通常與電子郵件服 務(wù)器協(xié)同工作以檢查電子郵件的特性(如附件)。此方法可以在數(shù)據(jù)通過服務(wù)時 實時掃描和識別惡意軟件內(nèi)容。
[page]
4)URL 篩選
對于網(wǎng)絡(luò)管理員可能可用的另一個選項是 URL 篩選,您可以使用它阻止有問題的網(wǎng)站。例如,您可能使用 URL 篩選阻止已知的黑客網(wǎng)站、下載服務(wù)器和個人 HTTP 電子郵件服務(wù)。
注意:主要的 HTTP 電子郵件服務(wù)站點(如 Hotmail 和 Yahoo)提供防病毒掃描服務(wù),但是有許多較小站點根本不提供防病毒掃描服務(wù)。對組織防護來說,這是嚴重的問題,因為這樣的服務(wù)會提供直接從 Internet 到客戶端的路由。
網(wǎng)絡(luò)管理員可以使用兩種基本的 URL 篩選方法:
◆阻止列表。防火墻先檢查有問題站點的預定義列表,然后才允許連接。允許用戶連接沒有專門在阻止列表中列出的站點。
◆允許列表。此方法僅允許與在組織已批準網(wǎng)站的預定義列表中輸入的網(wǎng)站進行通信。
總的來說,第一種方法依賴于識別可能存在問題的網(wǎng)站并將它們添加到列表中的主動過程。由于 Internet 的大小和可變特性,此方法需要自動化解決方案或很大的管理開銷,通常僅對阻止數(shù)目較小的已知有問題網(wǎng)站是有用的,無法提供綜合性保護解決方案。第二種方法提供了更好的保護,因為它的限制特性允許 控制可供系統(tǒng)用戶訪問的站點。但是,除非進行了正確調(diào)查以識別用戶所需的所 有站點,否則此方法可能對許多組織來說限制性太強。
Mcrosoft ISA Server 支持使用其"站點和內(nèi)容規(guī)則"手動創(chuàng)建這兩個列表。 但是,直接用于 ISA Server 的增強型自動化解決方案可從 Microsoft 合作伙 伴處獲得,以確??梢愿鶕?jù)需要阻止或允許 URL,同時將管理開銷減到最小。
5)隔離網(wǎng)絡(luò)
為保護網(wǎng)絡(luò)可以使用的另一種方法是:為不滿足組織最低安全要求的計算機建立隔離網(wǎng)絡(luò)。
(注意:不應該將此方法與某些防病毒應用程序中提供的隔離功能相混淆,后者將感染文件移動到計算機上的安全區(qū)域中,直到可以將其清除。)
隔離網(wǎng)絡(luò)應該限制(或者甚至阻止)對組織資源的內(nèi)部訪問,但是提供一種連接級別(包括 Internet)允許臨時訪問者的計算機高效工作,而不會給內(nèi)部網(wǎng)絡(luò)的安全帶來風險。如果訪問者的便攜式計算機感染了惡意軟件并連接到網(wǎng)絡(luò),則隔離網(wǎng)絡(luò)可以限制其感染內(nèi)部網(wǎng)絡(luò)上其他計算機的能力。
與此類似的方法成功應用于 VPN 類型的遠程連接,已經(jīng)有一段時間了。在執(zhí)行系統(tǒng)測試的同時,將 VPN 客戶端轉(zhuǎn)移到臨時隔離網(wǎng)絡(luò)。如果客戶端通過了測試(例如由于具有所需的安全更新和防病毒簽名文件),則將授予它們訪問組織內(nèi)部網(wǎng)絡(luò)的權(quán)限。如果客戶端不滿足這些要求,則將斷開它們的連接或允許它們訪問隔離網(wǎng)絡(luò),這可以用來獲得通過測試所必需的更新?,F(xiàn)在,網(wǎng)絡(luò)設(shè)計人員正研究此技術(shù)以幫助改進內(nèi)部網(wǎng)絡(luò)的安全性。
四、物理安全
物理安全性不僅僅是對于防病毒系統(tǒng),它是一般的安全問題,但是如果沒有 用于組織基礎(chǔ)結(jié)構(gòu)中所有客戶端、服務(wù)器和網(wǎng)絡(luò)設(shè)備的有效物理防護計劃,則無 法避免惡意軟件的攻擊。在有效的物理防護計劃中有許多關(guān)鍵元素,其中包括: 建筑安全性、人員安全性、網(wǎng)絡(luò)接入點、 服務(wù)器計算機、 工作站計算機、 移 動計算機和設(shè)備。在這里,加以討論的僅僅是移動設(shè)備對于病毒的巨大安全性隱 患。企業(yè)應采取以下措施:
◆新購置的計算機以及系統(tǒng)必須用檢測病毒的軟件檢測已知病毒,用人工檢測方 法檢查未知病毒。
◆新購置的硬盤都可能帶有病毒。需要對硬盤進行檢測和進行低級的格式化。
◆對于能用硬盤啟動的計算機,盡量不要用可移動設(shè)備去引導啟動。
◆永遠不要使用任何解密版的軟件。特別是反病毒軟件。
五、策略以及管理層安全方案
安全管理包括風險管理、信息安全策略、規(guī)程、標準、方針、基線、信息分 級、安全組織和安全教育。這些核心組成部分是企業(yè)安全計劃的基礎(chǔ)。在制定策 略時,首先應該確定的是管理者以及其他工作人員的安全職責,并且依賴于對公 司信息財產(chǎn)和附加財產(chǎn)的正確劃分。管理者保證安全策略能夠自頂向下的執(zhí)行, 并對相關(guān)安全人員的工作給予資金、權(quán)限上的支持。規(guī)程中應該詳細說明企業(yè)中 安全問題扮演什么樣的角色。然后確定組織策略、針對專門問題的策略或是針對 系統(tǒng)的策略。由管理層規(guī)定如何建立安全計劃,制定安全計劃的目標,分配責任,
說明安全問題的戰(zhàn)略和戰(zhàn)術(shù)價值,并規(guī)定應該如何執(zhí)行計劃,這種策略一定涉及 到法律、法規(guī)、責任以及如何遵守這些規(guī)定的問題。所有的雇員都知道他們應該 遵守這些規(guī)程,這就需要企業(yè)針對安全問題對員工進行專門的培訓。實施的過程 中也應該得到良好的員工反饋。具體來講,一個公司的安全策略應該包括以下方 面:
◆防病毒掃描例程。理想情況下,您的防病毒應用程序應該支持自動掃描和實時 掃描。但是,如果不是這樣,則您應該實施一個過程,以便提供有關(guān)組織中的用 戶應該在何時運行完整系統(tǒng)掃描的指導。
◆ 防病毒簽名更新例程。大多數(shù)的現(xiàn)代防病毒應用程序支持下載病毒簽名更新的 自動方法,您應該定期實施這樣的方法。
◆攻擊檢測過程。如果檢測到可疑的惡意軟件攻擊,則您的組織應該具有一組可 以遵循的明確定義并記錄的步驟,以確保攻擊得到確認、控制和清除,且對最終 用戶帶來最小的破壞。這里重點
◆家用計算機網(wǎng)絡(luò)訪問策略。應該建立一組最低要求,員工必須滿足這些要求才 能將家用計算機或網(wǎng)絡(luò)通過 VPN 連接連接到您組織的網(wǎng)絡(luò)。
◆訪問者網(wǎng)絡(luò)訪問策略。應該建立一組最低要求,僅允許滿足這些要求的訪問者 連接到您組織的網(wǎng)絡(luò)。這些要求應該同時適用于無線連接和有線連接。
◆無線網(wǎng)絡(luò)策略。連接到內(nèi)部網(wǎng)絡(luò)的所有無線設(shè)備都應該先滿足最低安全配置要 求,才能進行連接。此策略應該為組織指定所需的最低配置。
◆安全更新策略 客戶端、服務(wù)器和網(wǎng)絡(luò)防護都應該已經(jīng)具有某種形式的安全更新管理系統(tǒng)。
◆基于風險的策略 如果在深層病毒防護模型的外圍網(wǎng)絡(luò)層和內(nèi)部網(wǎng)絡(luò)層上連接了太多的客戶
端、服務(wù)器和網(wǎng)絡(luò)設(shè)備,那么您可以用來組織策略的一種方法是,將組織中的主 機根據(jù)其類型和風險級別歸入不同類別:標準客戶端配置、高風險客戶端配置、 來賓客戶端配置、員工的家用計算機、合作伙伴或供應商的計算機、來賓計算機。
◆自動監(jiān)視和報告策略。
◆支持小組的意識
小組意識和培訓應該針對組織中的管理和支持小組。重要 IT 專業(yè)人員的培訓是IT 所有領(lǐng)域的基本要求,但是對于病毒防護它尤其重要,因為惡意軟件攻擊和防護的特點可能會定期變化。一個新的惡意軟件攻擊可以在幾乎一夜之間損害有效的防護系統(tǒng),而您組織的防護可能處于危險之中。如果這些防護的支持人員在如何識別和響應新的惡意軟件威脅方面沒有進行過培訓,則遲早會在病毒防護系統(tǒng)中發(fā)生嚴重的安全違反。
◆用戶意識
用戶培訓通常是組織在設(shè)計其病毒防護時最后考慮的事情之一。幫助用戶了解與惡意軟件攻擊有關(guān)的一些風險是緩解此類風險的重要部分,因為組織中使用IT 資源的任何人都在網(wǎng)絡(luò)安全性方面起著一定作用。由于這一原因,有必要使用戶了解他們可以緩解的更常見風險,例如:打開電子郵件附件。
使用弱密碼。
從不受信任的網(wǎng)站下載應用程序和 ActiveX 控件。
從未經(jīng)授權(quán)的可移動媒體運行應用程序。
允許訪問組織的數(shù)據(jù)和網(wǎng)絡(luò)。
◆獲得用戶反饋 如果為意識到惡意軟件的用戶提供了報告所用系統(tǒng)上不尋常行為的簡單而有效 的機制,則他們可以提供極佳的預警系統(tǒng)。
總結(jié):
病毒防護不再僅僅是安裝應用程序。最近的惡意軟件攻擊已經(jīng)證明需要更 全面的防護方法。在這里集中說明如何應用防護安全模型形成防護方法的基礎(chǔ), 為組織創(chuàng)建有效的防病毒解決方案。但是必須知道的是,惡意軟件編寫者持續(xù)不 斷地更新攻擊組織可能在使用的新 IT 技術(shù)的方法,而且防病毒技術(shù)不斷發(fā)展以 緩解這些新威脅。
這里給出的多層次病毒防護方法可以有助于確保您的 IT 基礎(chǔ)結(jié)構(gòu)能夠應 對所有可能的惡意軟件攻擊方法。使用此分層方法,就可以更輕松地識別整個系 統(tǒng)中的任何薄弱點,從外圍網(wǎng)絡(luò)到整個環(huán)境中使用計算機的個人。如果未能處理 深層病毒防護方法中所述的任一層,都有可能使您的系統(tǒng)受到攻擊。
您應該經(jīng)常復查防病毒解決方案,以便每當需要時都可以更新它。病毒防 護的所有方面都是重要的,從簡單的病毒簽名自動下載到操作策略的完全更改。
[page]
附: 利用 Symantec 相關(guān)軟件搭建企業(yè)的防病毒解決方案
病毒防御是網(wǎng)絡(luò)安全管理中的重中之重。網(wǎng)絡(luò)中的個別客戶端感染了病毒 之后,在極短的時間內(nèi)就可能感染整個網(wǎng)絡(luò),從而造成網(wǎng)絡(luò)服務(wù)中斷或癱瘓,所 以局域網(wǎng)的防病毒工作十分重要。最常見的方法就是在網(wǎng)絡(luò)中部署專業(yè)殺毒軟件, 如 Symantec antivirus,趨勢科技和瑞星等產(chǎn)品的企業(yè)版。在網(wǎng)絡(luò)中配置專業(yè) 防病毒服務(wù)器后,即可實現(xiàn)對所有客戶端的實時安全管理,包括病毒掃描查殺,
E-mail 實時檢測,病毒庫升級等。本方案中在選擇殺毒軟件時應當注意幾個方 面的要求:具有卓越的病毒防治技術(shù)、程序內(nèi)核安全可靠、對付國產(chǎn)和國外病毒 能力超群、全中文產(chǎn)品,系統(tǒng)資源占用低,性能優(yōu)越、可管理性高,易于使用、 產(chǎn)品集成度高、高可靠性、可調(diào)配系統(tǒng)資源占用率、便捷的網(wǎng)絡(luò)化自動升級等優(yōu) 點。
在這里,利用 SymantecEndpoint Protection(端點保護)這個產(chǎn)品,它將 SymantecAntiVirus 與高級威脅防御功能相結(jié)合,可以為筆記本,臺式機,服務(wù) 器,提供全面的安全防護能力。 Symantec Endpoint Protection 在一個代理和管理 控制臺中無縫集成了基本安全技術(shù),既節(jié)約成本又提高了網(wǎng)絡(luò)安全防護能力。
SymantecEndpoint Protection 可保護端點計算設(shè)備不受病毒威脅和風險 侵襲,并為端點計算機提供三層防護,分別為網(wǎng)絡(luò)威脅保護,主動型威脅保護以 及防病毒和放間諜軟件保護。 對于網(wǎng)絡(luò)威脅保護可以通過使用規(guī)則和特征,可 禁止威脅訪問被保護計算機。主動型威脅防護可根據(jù)威脅的行為,標示并降低威 脅。防病毒和放間諜軟件保護使用 symantec 創(chuàng)建的特征。識別并削弱嘗試訪問 或已訪問被保護計算機的威脅。
由于在大多數(shù)企業(yè)中,員工的操作系統(tǒng)均為 windows 系列,這里以 windows 系統(tǒng)為例配置相應的服務(wù)。為保障型局域網(wǎng)的安全與病毒庫的升級,在局域網(wǎng)中 應該有一臺 WindowServer 2008 服務(wù)器部署為防病毒服務(wù)器。為企業(yè)中的客戶 機提供病毒庫的升級服務(wù)。
在這里,我主要利用 SymantecEndpointProtection 來配置整個 windows
主機組成局域網(wǎng)的防病毒服務(wù)。Symantec Endpoint Protection 包括 Symantec Endpoint Protection Manager 控制臺,SymantecEndpoint Protection Manager, Symantec Endpoint Protection,SymantecNetworkAccessControl ,liveUpdate 服務(wù)器及中央隔離區(qū)等組件,其中較為核心的是 SymantecNetworkAccess Control 和 SymantecNetwork Protection Manager。
1. Symantec Network Access control 概述
Symantec Network Access Control 通過阻止未經(jīng)授權(quán)、配置不當和受感染的端點計算機訪問網(wǎng)絡(luò),從而保護網(wǎng)絡(luò)安全。其中包括:可以拒絕未運行特定版本的軟件和特征的計算機進行網(wǎng)絡(luò)訪問。如果客戶端計算機不符合要求,Symantec Network Access Control 可以隔離相應計算機并對其實施補救措施,如果客戶端的病毒庫不是最新版本,則將自動為其升級病毒庫,然后在允許計算機訪問網(wǎng)絡(luò)。
Symantec Network Access Control 允許用戶使用主機完整性策略來控制這項保護。在 Symantec Endpoint Protection Manager 控制臺中可以創(chuàng)建主機完整性策略,然后將這項策略應用于客戶端計算機組。如果只安裝了 Symantec Network AccessControl 客戶端軟件,則可以要求客戶端計算機運行防病毒,防間諜軟件和防火墻軟件。此外,還可以請求這些計算機運行最新的操作系統(tǒng) Service Pack 和補丁程序,并創(chuàng)建自定義應用程序要求。如果客戶端計算機不符合策略,你可以在這些客戶端計算機上運行命令,以嘗試更新這些計算
機。
如 果 將 SymantecNetworkAccess Control 與 SymantecEndpoint Protection 集成,則可以將防火墻應用于不符合主機完整性策略的客戶端。此策略會限制客戶端可用于網(wǎng)絡(luò)訪問的端口,也可限制客戶端可訪問的 IP 地址。
例如,可以限制非遵從計算機只與包含所需軟件和更新的計算機通信。如果將 Symantec Network Access Control 與 Symantec Enforcer 可選硬件設(shè)備集成,則可以進一步限制不遵從的計算機訪問被保護網(wǎng)絡(luò)。用戶可以將非遵從計算機限制在特定的網(wǎng)絡(luò)區(qū)段以進行補救,也可以完全禁止非遵從計算機進行訪問。例如,使用 Symantec Gateway Enforce 時,可以控制外部計算機通過 VPN 訪問網(wǎng)絡(luò)。使用 Symantec DHCP 和 LAN Enforce,可以通過將不可路由的 IP 地址分配給非遵從計算機,控制內(nèi)部計算機訪問網(wǎng)絡(luò)。
2. Symantec e Endpoint Protection Manager
Symantec e Endpoint Protection Manager 包括 一 個嵌 入 式數(shù) 據(jù)庫, 以 及Symantec Endpoint Protection Manager 控制臺。用戶既可以自動安裝嵌入式數(shù)據(jù)庫,也可以將數(shù)據(jù)庫指定到 Microsoft SQL Server2005 實例中。如果支持業(yè)務(wù)的網(wǎng)絡(luò)屬于小型網(wǎng)絡(luò),且位于一個地理位置,那么只需要安裝一個 Symantec Endpoint Manager。如果網(wǎng)絡(luò)分散在不同的地點,則可能需要安裝額外的 symantec Endpoint Manager,以用于負載平衡和帶寬分配。
3. Symantec Endpoint Protection Manager 的工作方式
用戶可以根據(jù)需要講客戶端安裝為受管客戶端和非受管客戶端,受管客戶端可充分利用網(wǎng)絡(luò)的功能。網(wǎng)絡(luò)上的每個客戶端和服務(wù)器都可通過運行SymantecEndpoint Protection Manager 的一臺計算機進行監(jiān)控、配置和更新。
用 戶 也 可 以 從 Symantec Endpoint Manager 控 制 臺 安 裝 和 升 級 SymantecEndpoint Protection 和 Symantec Network Access Control 客戶端。在非受管網(wǎng)絡(luò)中,必須單獨管理每臺計算機,或?qū)⒐芾砺氊熮D(zhuǎn)交給計算機的主要用戶,對于信息技術(shù)資源有限或匱乏的小型網(wǎng)絡(luò),應采用這種方法, 相關(guān)職責如下。
更新病毒及安全風險定義。 配置防病毒及防火墻設(shè)置。 定期升級或遷移客戶端軟件。
4. Symantec Endpoint Protection Manager 的功能
使用 Symantec Endpoint Protection Manager 可執(zhí)行以下操作。
1)建立和強制實施安全策略。
2)防止受到病毒、混合性威脅以及安全風險(如廣告軟件和間諜軟件)的侵害。
3)利用集成的管理控制臺來管理病毒防護的部署、配置、更新和報告。
4)防止用戶訪問計算機的硬件設(shè)備。如 usb 驅(qū)動器
5)利用集成的管理控制臺管理病毒防護、防火墻保護盒入侵防護的部署、配置、更新和報告。
6)管理客戶端及其位置。
7)標示過期的客戶端,迅速應對病毒爆發(fā),并部署更新的病毒定義。
8)創(chuàng)建和維護詳細描述網(wǎng)絡(luò)中發(fā)生的重要事件的報告。
9)為連接到網(wǎng)絡(luò)的所有用戶提供針對安全威脅的高級別的防護和集成響應。此防護覆蓋始終保持網(wǎng)絡(luò)連接的遠程辦公人員和間歇連接到網(wǎng)絡(luò)
的移動用戶。
10)獲得分布在網(wǎng)絡(luò)上的所有工作站的多個安全組建的合并視圖。
11)對所有安全組件執(zhí)行可定制的,集成的安裝,并同時設(shè)置策略。
12)查看歷史記錄和日志數(shù)據(jù)。
5. 部署 SymantecEndpoint Protection 客戶端
SEP 客戶端可分為受管客戶端和非受管客戶端,其中受管理客戶端可以通過 Symantec Endpoint Protection Manager 遠程部署等方式安裝,也可以在客戶端上使用管理服務(wù)器創(chuàng)建的安裝包安裝,安裝完成后將自動添加到指定的組中,并接受服務(wù)器的統(tǒng)一管理。而受非受管客戶端則可以通過安裝光盤完成,雖然同樣可以被添加到服務(wù)器控制臺中,但不接受服務(wù)器的管理,
1)安裝受管理客戶端
主要有以下幾種方法:
◆遷移和部署向?qū)У?quot;推"式安裝
◆客戶端映射網(wǎng)絡(luò)驅(qū)動器安裝
◆使用"查找非受管計算機"的部署
◆客戶端手動安裝
◆使用 Altiris 安裝和部署軟件安裝
2)部署非受管客戶端
6. 病毒庫的升級
殺毒軟件是根據(jù)提取的病毒特征來判斷文件是否是病毒程序的,升級病毒庫就是不斷地更新能夠識別的病毒特征,增強殺毒軟件和系統(tǒng)應用程序之間的兼容性。通常情況下,非受管客戶端每天自動從 Symantec LiveUpdate 站點下載病毒庫。在新一代 Symantec 安全防御系統(tǒng)中,新增了 LiveUpdate 管理服務(wù)器,主要為大型網(wǎng)絡(luò)(5000 以上端點)提供客戶端病毒庫升級管理。