病毒防御策略
当系统可能或者已经染有病毒时,需要检测病毒。系统和文件染毒以后,需要消毒。但是,破坏性病毒一旦沾染了没有副本的程序,便无法医治,隐蔽性病毒和多态性病毒使人难以检测,在与病毒的对抗中,如果能采取有效的预防措施,就能使系统不染毒,或者染毒后能减少损失,是上策。像对待生物病毒一样,应以预防为主,防患于未然,避免染毒以后被动地打针吃药。
通过采取技术上和管理上的措施,计算机病毒是完全可以防范的。虽然难免仍有新出现的病毒,采用更隐秘的手段,利用现有计算机操作系统安全防护机制的漏洞,以及反病毒防御技术上尚存在的缺陷,使病毒能够一时得以在某一台计算机机上存活并进行某种破坏,但是只要在思想上有反病毒的警惕性,依靠使用反病毒技术和管理措施,这新病毒就无法逾越计算机安全保护屏障,从而不能广泛传播。这类病毒一旦被捕捉到,反病毒防御系统就可以立即改进性能,提供对计算机的进一步保护功能。
可供采用的管理措施执行起来并不困难,困难的是坚持下去,始终一贯地执行和根据实际情况不断地进行调整和监督。
计算机病毒的预防措施是安全使用计算机的要求,计算机病毒的预防措施有:
1.建立良好的安全习惯。例如:对一些来历不明的邮件及附件不要打开,不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件,访问受到安全威胁的网站也会造成感染等,这些必要的习惯会使您的计算机更安全。
2.关闭或删除系统中不需要的服务。默认情况下,许多操作系统会安装一些辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便,而又对用户没有太大用处,如果删除它们,就能大大减少被攻击的可能性。
3.经常升级安全补丁。据统计,有80%的网络病毒是通过系统安全漏洞进行传播的,象红色代码、尼姆达等病毒,所以我们应该定期到微软网站去下载最新的安全补丁,以防范未然。
4.使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的,因此使用复杂的密码,即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏,大大提高计算机的安全系数。
5.迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其它计算机。
6.了解一些病毒知识。这样就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏:如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果了解一些内存知识,就可以经常看看内存中是否有可疑程序。
7.最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天,使用毒软件进行防毒,是越来越经济的选择,不过用户在安装了反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控)、遇到问题要上报, 这样才能真正保障计算机的安全。
建立复合型病毒防御体系
随着信息化成为全球经济发展的一个重要基础,我们的工作模式也有了根本性的变化。但是,技术的发展同时也带来了新的问题,被称为蠕虫(Worm)的新病毒,不依赖于计算机操作人员操作、具有主动攻击特性的程序,它和传统意义上的病毒(Virus)有明确的区分。这种新的攻击方式采用了结合病毒、蠕虫、后门等多种方式对网络和系统进行入侵。我们将这种新的蠕虫称为新复合型病毒。事实证明,这种新复合型病毒已经成为了计算机用户,特别是企业级用户面临的最主要的病毒类型,构成了严重的安全威胁。
新复合型病毒生命周期
新复合型病毒的生命周期一般可以归纳为:
1.通过网关进入内部网络;
统计数据表明,一个网络中80%以上的病毒感染是通过网关进入内部网络造成的感染。特别是最近爆发的一系列新复合型病毒,几乎全都是依赖于网络到网络之间的传播。这种病毒的传播速度越来越快。以SQL Slammer病毒为例,在短短半个小时内就感染了全球七万余台计算机。
2.在内部网络中的传播;
进入内部网络以后,这种病毒将会感染一台或数台目标计算机。而后,这些已感染的目标计算机将按照病毒编写者预定义的程序进行后续的传播行为,比如对随机生成IP地址列表进行扫描等等。这个过程非常类似于在内部网中置入了数个自动入侵工具,并且随着受感染的计算机数量的增加,自动入侵工具的数量也在不断地增加。这个过程不仅仅会造成后续计算机的病毒感染,而且通常会造成严重的网络流量加大,最终导致网络拥塞。
3.在计算机和服务器上的感染
新复合型病毒对计算机或服务器的感染方式有多种。比如,红色代码可以篡改Web服务器的网页,尼姆达病毒能够发送大量的电子邮件,很多新复合型病毒都会在被感染服务器或计算机上设置木马程序或后门。更进一步,当某些病毒经过一段时间的传播后,会自动对某一个特定目标展开分布式拒绝服务攻击行为。
病毒风险管理方法
新复合型病毒已经越来越成为对全球信息基础设施的一种巨大威胁。根据信息系统风险管理理论,对风险的控制方法一般分为三种:技术控制、管理控制和运作控制。其中管理控制和运作控制的内容主要是按照上层管理者确定的安全策略而定义的一系列规范、步骤和指南,其实现主要依靠人为的控制和操作。比如,口令新复合型病毒就利用了系统口令的薄弱点进行口令猜测,然后进行木马植入和扩散。这种病毒的防范方法就需要依靠管理型的控制方法应对。在一个大型、复杂的信息系统中,一般需要依靠一批专职的安全管理员或者专业的安全服务提供商来协助完成这部分的工作。本文主要讨论对新复合型病毒风险的技术控制方法。
对新复合型病毒风险的技术控制方法分为四种类型:预防、检测、恢复、支持。预防性的技术控制方法起到的作用是避免病毒对网络中的计算机和服务器造成感染,达到主动防范的作用,以最大限度减少病毒造成的损失。对新复合型病毒的预防性控制方法主要达到两个目的:第一,避免病毒进入内部网络;第二,如果病毒进入内部网络,也要避免病毒感染重要的服务器和计算机。
检测性的技术控制方法是对计算机病毒的传播和感染过程进行实时发现,并且进行相关的响应。这种控制方法又可以细分为网络的病毒检测和主机的病毒检测,分别针对网络传播过程和主机感染过程进行实施。其目的也有两个:第一,快速定位计算机病毒在网络中的传播过程,并且确定传播的起点,即病毒传染源,为后续的安全加固工作起到重要参考作用。第二,对于系统本身,能够检测到正在进行的病毒入侵,并且根据策略进行响应;对于管理员来说,能够定位正在遭受病毒攻击的主机,确认攻击结果,以便快速应对。
恢复性的技术控制方法是防范新复合型病毒的必要控制手段之一。对这种类型的病毒的恢复,除了传统的文件恢复之外,还包括对系统的恢复。具体来讲,就是对病毒感染后留下的木马和后门进行清除,避免后续的其他病毒或者恶意的人为利用。
最后一个技术控制方法是支持性的方法。在新复合型病毒控制体系中,支持性的工具主要是一个全面的中央控制平台,能够对病毒的传播、感染等行为进行统一监控,并且能够统一制定防病毒策略,分发到每一个防护单元。
