您的位置: 网界网 > 周报全文 > 正文

[周报全文]网络环境下的防病毒技术

2001年07月02日 00:00:00 | 作者:佚名 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:网络环境下的防病毒技术

标签
网络环境下的防病毒技术
□ 华景山

在所有计算机安全威胁中,计算机病毒是最为严重的,它不仅发生的频率高、损失大,而且潜伏性强、覆盖面广。目前全球已发现5万余种病毒,并且还在以每天10余种的速度增长。那么,如何部署安全高效的防病毒系统呢?

系统防毒
在“Melissa”病毒出现之前,人们并未意识到为电子邮件系统提供专门的防病毒保护的重要性。如今,电子邮件系统已从简单的信息发布发展到可提供协作存储器、基于Web的用户界面以及无线设备接入等方面。因此,要从系统角度设计一套全面的防毒计划。
● 制定系统的防病毒策略。为了正确选择、配置和维护病毒防护解决方案,您的系统必须明确地规定保护的级别和所需采取的对策。
● 部署多层防御战略。伴随着网络的发展,病毒可从多种渠道进入系统,因此在尽可能多的点采取病毒防护措施是至关重要的。其中包括网关防病毒、服务器及群件防病毒、个人桌面计算机防病毒以及所有防病毒产品的统一管理等。
● 定期更新防病毒定义文件和引擎。在大多数系统了解到使其病毒定义文件保持最新版本的重要性的同时,并不是人人都了解确保检测引擎为最新版本同等重要。一般情况下,更新是自动进行的,但更重要的是应定期检查日志文件以确保正确地执行了更新。
基于服务器的电子邮件病毒防护是提供系统内部保护的最有效方式,但是根据系统安全保护策略的细节不同,它不能对所有类型的信息(如加密信息)都提供防护。因此还应定期更新桌面计算机中的防病毒软件。
● 定期备份文件。一旦病毒破坏了您的数据,您可以利用您的存储档案恢复相关文件。建议您制订一个标准程序来定期检查从备份中恢复的数据。
● 预订可发布新病毒威胁警告的电子邮件警报服务。有许多不同的机构提供这种服务,但是最关键的应该是您的防病毒服务供应商。其原因在于每个防病毒软件供应商的能力不同,对新病毒的估定也不同,而且采取的措施也有差异。例如,一位供应商已经在过去的更新版本中提供了类属病毒检测,从而对某种新病毒提供了防护,因此对于他们的客户而言,这一特殊病毒将被估定成低风险的。但是其他未能提供当前保护的供应商却会将同类病毒估定为“高”风险的。
● 为全体职员提供全面的防病毒培训。如果全体职员都了解容易遭受电子邮件病毒攻击的风险、防护措施以及遇到可疑病毒时应该采取的建议性措施等,就可以最大程度地降低系统内大多数病毒的发作。

终端用户防毒
随着电子邮件与办公套件应用的日益密切集成,单从电子邮件客户应用的角度来检验防病毒措施的缺陷是不够的。相反,还必须充分保护用户所使用的整个PC。
禁用预览窗口功能。某些电子邮件程序,如 Microsoft Outlook 和 Microsoft Outlook Express,都有一个允许用户不打开信息,而是在一个单独窗口查看此信息的功能,但是因为预览窗口具有处理嵌套脚本的能力,某些病毒只需预览就能够执行。
如果将 Microsoft Word 当作电子邮件编辑器使用,就需要将 NORMAL.DOT 在操作系统级设置成只读文件。同时将 Microsoft Word 的设置更改为“Prompt to Save Normal Template(保存常规模板)”。许多病毒通过更改 NORMAL.DOT 文件进行自我传播,采取上述措施至少可产生一定的阻止作用。
使用.rtf和.csv来代替.doc和.xls。要想应付宏所产生的问题,可以使用.rtf 格式的字处理文档来代替.doc格式文档,并用.csv格式的电子表格来代替.xls格式电子表格,因为这些格式不支持宏的应用。
删除Windows Scripting Host。如果系统不使用 Windows Script Hosting (WSH),应该考虑删除或禁用它。在 Windows 9x 中的操作方法是,先进入“控制面板”,选中“添加/删除程序”,点击“Windows安装程序”选项卡,然后双击“附件”。向下滚动到“Windows Script Host”之处,删除此项,最后选择“确定”。操作完毕可能需要重新启动系统。
使用收件箱规则来处理可疑的电子邮件。如果系统不采用基于服务器的电子邮件内容过滤方式,可以使用电子邮件收件箱规则来自动删除可疑信息或将其移到专门的文件夹中。不要打开来源不明、可疑或不安全的电子邮件上的任何附件。一定要确保所有电子邮件附件的来源是合法规范的。
不轻易下传病毒警告。由于病毒本身和恶作剧式的非法警告数量庞大,下传这类病毒警告将会无谓地浪费时间和空间。在将警告传给其他人之前,应先查看防病毒产品供应商的网站,以确定系统是否已得到保护或者这只是个恶作剧。
加上写保护。此项措施适用于在其他计算机上使用可移动介质。假如要使用可移动介质在计算机之间(如从工作单位到家中)传递电子邮件,那么在可疑系统中使用此类介质之前应将其加上写保护,以防止它受到病毒感染。

服务器防毒
有些人以为只要他们保护了自己的电子邮件网关和内部的桌面计算机,就无需基于电子邮件服务器的防病毒解决方案了。这在几年前或许是对的,但是目前随着基于 Web 的电子邮件访问、公共文件夹以及访问存储器的映射网络驱动器等方式的出现,病毒可以通过多种方式进入电子邮件服务器。这时(+本站微信networkworldweixin),就只有基于电子邮件服务器的解决方案才能够检测和删除受感染项。
拦截受感染的附件。许多利用电子邮件传输方式的病毒传播者(又称“海量寄件者”)经常利用可在大多数计算机中找到的可执行文件,如EXE、VBS和SHS散布病毒。实际上,大多数电子邮件用户并不需要接收带这类文件扩展的附件,因此当它们进入电子邮件服务器或网关时可以将其拦截下来。
安排全面随机扫描。即使能够保证使用所有最新的手段防范病毒,新型病毒也总是防不胜防。它们有可能乘人们还没来得及正确识别,防病毒产品厂商也尚未相应地制定出新的定义文件之前,进入系统。通过使用最新定义文件,对所有数据进行全面、随机地扫描,确保档案中没有任何受感染文件蒙混过关,就显得尤为重要。
试探性扫描。利用试探性扫描,可以寻找已知病毒的特征,以识别是已知病毒变异的新病毒,提供较高级别的保护,但缺点是它需要更多的处理时间来扫描各项病毒,而且偶尔还会产生错误的识别结果。不管怎样,只要服务器配置正确,根据性能的需要,利用试探性扫描提供额外保护,还是值得一试的。
用防病毒产品中的病毒发作应对功能。海量邮寄带来的病毒可以迅速传遍一个系统。对于管理员而言,没有防病毒厂商所提供的适当的检测驱动程序,要根除这些病毒是极其费力的。幸运的是,某些病毒防护产品提供了系统设置功能,一旦出现特定病毒发作的特征,这些产品就会自动发出通知或采取修正措施。
重要数据定期存档。并非所有病毒都立即显示出自己的特征;根据感染位置以及系统的设置情况,有些病毒可能要潜伏一段时间才能被发现。最好是至少每月进行一次数据存档,这样,如前所述,在防病毒解决方案的自动删除功能不起作用时,就可以利用存档文件,成功地恢复受感染项。■
[责任编辑:程永来 cheng_yonglai@cnw.com.cn]