旧策略的漏洞
利用漏洞攻击企业网络的病毒由于要扫描目标对象,多半都有使网络瘫痪的特性。然而现今仍有一些企业仅采用单机版防毒,给予此类病毒滋生的良好机会。即使最短时间内能获得病毒码或解毒程序,企业信息管理者却无法利用中央控管系统以最快速度统一安装于客户端计算机。这些事实让企业信息主管认识到建立企业防病毒策略的重要性。
如果您是一家数百名企业的网管人员,您被分配的任务是盯紧每一个终端用户打补丁、升级防毒软件。当终端用户的危机意识不是那么敏锐时,您会采取每一台计算机亲临更新,还是坐在 Server room 前,下一个指令即可同步更新呢?虽然美国有 95%的企业安装防毒软件,但是终端用户仍然常受攻击。原因是他们从不升级防毒软件、从不打补丁程序、从不理会病毒警告信息。(有可能是因为他们以为装了防毒软件就高枕无忧了。)因此,网络安全必须让所有的安全条件一直保持最新状态,就像汽车要定期保养、维修是一样的道理。漫漫的暑假即将展开,病毒的高峰期也可能进入警戒期。因为有很多学生会借着写病毒,初尝“扬名立万”的滋味。学生写病毒不需艰深技巧,因为他们多半只是修改现有病毒的程序码,而取材则来自 30000 个提供制作病毒技巧的网站。更夸张的是,甚至在某个网络书店上,还可以购得类似计算机病毒“厚黑学”这种黑客被视为圣经的书籍。
从 Nimda 至 Klez ,现在的病毒几乎都瞄准企业网络,企业常常疏忽的一点是,“防毒”并不只是全面性的安装防毒软件而已,更明确的来说是需要一套完整的公司政策。“政策”所涵盖的范围包括了人、事、时、地、物规范。以企业防毒策略来说,“人”指的是那些类型的人是这个策略成功与否的主要关键。“事”指的为了执行该策略必须把眼光放在那些焦点事务上面。“时”指的是时间点,例如在病毒爆发( Virus Outbreak )时,时间点的掌握就非常重要,成功与否往往就在于是否可以在特定的时间点前控制病毒。“地”指的是防毒政策所该包含的范围及领域。“物”指的是防毒软件的选择与安装。
新管理政策
1.选择适当的防毒伙伴,安全管理事半功倍
选择对适当的防毒产品可以在最短时间内引导企业做好可能的防护措施,除此之外,防毒软件公司的技术服务人员及顾问也是关键。尤其是在病毒爆发的时候,如何在第一时间和防毒软件公司的技术服务人员连系, 取得有效的支持是致胜的关键,一般较好的防毒软件公司能够提供比如Premium Support Program 企业专属咨询服务,提供7天24小时的全天候服务给有此需求特别的客户。
通常网络系统越复杂,安全防御度越困难,尤其是Nimda这个十五分钟就可以瘫痪全球网络的黑客病毒出现后,网管人员面临的课题,已经从“如何不让病毒入侵企业网络”,到“有效控制并缩小灾害损失”。任职于某电子公司信息部门的 Alan 有感而发的说:“以前我们可以掌握病毒入侵的途径,好比知道小偷可能会从你家的那个门、那个窗进入一样,我们只要把门窗看紧就可以做好防范。但是现在的黑客型病毒,简直是从天而降,好象有秘密信道似的,以迅雷不及掩耳的速度,入侵你的系统。往往是清除了 A 区,B 区又出现感染症状,对于这类病毒,你只能乱枪打鸟,却无法一一根除。”Alan 十分无奈。
2.与专业公司共同制订病毒事件处理程序
在整个企业防毒政策中“什么时间该做什么事”是整个政策中最重要的一环,简而言之,“事”指的就是处理流程。诸如此类和防毒相关的处理流程,往往只会出现在防毒软件公司。若是企业内部也可以根据需求设计自己的紧急处理程序、网络政策(例如不支持公司外部POP3 电子邮件通讯协议存取服务及强制安装防毒软件并禁止卸载)及落实教育训练或实施不定期演习来加强企业内部对病毒爆发的警觉性,并提供内部员工面对病毒感染基本的处理程序(如:1. 立即拔除网络线 2.关闭电源 3.通知IT人员),都有助于企业对付未来可能的病毒入侵做好准备。
3.争取急救第一时间
“时间点”和上述的程序有着密切的关系,现今病毒爆发的速度都连一秒千里都不足以形容,对于大型企业而言,若是遭遇到自动发送电子邮件型态的病毒 (如爱虫),不用几个小时就可以制造出成千上万带有病毒的垃圾邮件,所以每一分一秒在病毒爆发的时候都是珍贵无比,定义正确的处理程序以及每个时间点(Checkpoint)所必须完成的事(Milestone),如此才不致于自乱阵脚,而错失原可阻止灾害的第一时间。
4 防毒须涵盖所有企业据点
防毒软件所涵盖的范围直接影响了防毒能力的强弱,对于一个国际性企业组织,如果其中一个事业群没有做好防毒工作,则该事业群势必成为病毒散播的温床,加上同属一个企业体,即使不同国家但存取内部网络的权限依然存在,因而导致其它事业群端受感染的机率也大大的增加。
总而言之,新的防毒管理政策是企业与防毒厂商得在同一阵线上,为信息安全打一场长期攻防战。
5.完整解决方案与专业技术支持
一个完整的企业防毒方案必须包含个人计算机端、文件服务器、邮件服务器及Internet 网关(Gateway)并且由一个具有中央管理(Central Control)及远程控制(Remote Control)能力的系统来统筹管理。
6.网关安装防毒软件最有经济效益
Internet 网关为企业与外界沟通的唯一渠道,因此在网关安装防毒软件是最有经济效益的防毒方式。Internet 网关防毒是防护以下三个主要的通讯协议“http”、“ftp”、“smtp”。其中“http”防护功能可扫描任何通过网页浏览器所浏览的内容或是下载的文件;“ftp” 防护功能则是针对任何以FTP通讯协议传输的文件加以过滤,以防止含有病毒的文件被下载;而“smtp” 防护功能则针对所有进出企业内部的e-mail自动进行扫描检查。
7.防止企业内部因为e-mail及文件交换中毒
在Internet网关设置病毒检查哨固然可以防止病毒从外部进入企业,但是对于企业内部员工彼此间的e-mail传送或资料交换可能成为病毒散播的主要管道却是一点办法也没有,原因是这些e-mail或资料交换既不需要也不会经过Internet 网关,但每天数以百计千计的e-mail在邮件服务器中进进出出,理所当然的成为病毒散播最方便也最为快速的渠道,因此企业内部邮件服务器及文件服务器的防毒就显得格外重要。
8.个人计算机最后一道关卡
打从第一只计算机病毒问世以来,个人计算机一直是病毒的主要传播媒介,因为个人计算机可和外界的沟通的太频繁也太广泛了,从固定式的储存装置、Internet下载到点对点连接,都是计算机病毒得以入侵的渠道。因此,个人计算机端的防毒更也不可省。
9.“专人服务,团队支持"不可少
在网络宽带时代不论是企业甚至个人,许多计算机都已经处于“(固接)Always On”的状态,面对未来可能急剧演变的计算机病毒环境,我们必须更主动的做好各项准备,例如经常检查操作系统及应用程序是否有安全性漏洞并更新安全性补丁程序,但更重要的是企业本身必须建立起一套“防毒政策”,并且贯彻整个执行面才有办法做到有效防毒,否则若单纯只靠防毒软件而企业内部人员没有足够的警觉性,一旦公司内部病毒爆发,而又没有一个有效率的紧急应变措施,那可就真的后悔莫及了。
最安全的网络系统一定要有最先进的技术,和最良好的管理。因为许多安全问题不是产品的缺失,而是管理错误,例如买了防毒软件,没有上网注册、也没有实时升级,使得防毒软件无法发挥应有的防护功能。建议每个企业的系统管理者与使用者,必须建立一套监督与使用的管理程序,并且和有服务国际大厂经验的防毒软件厂商共同彻底实行,建构最安全密实的安全网络。
