(这条文章已经被阅读了 51 次) 时间:2001-07-27 19:22:56 来源:曹阳 (rongzi) 转载
防病毒(Anti-Virus)第一要领:没有一项系统是绝对可靠的!因为无论防病毒措施多么理想,也不论安全保护过程多么严格,系统仍存在被全新病毒入侵并中断业务的可能。有一个办法也许是最保险的,那就是使系统完全脱离互联网,根本不与外部电子邮件接触。然而,在被称作“数字经济时代”的21世纪,这种选择显然是不可行的。
要想防范病毒,首先应当清楚病毒的特点——几乎无孔不入。也就是说,很难预料病毒会在什么时候,从什么地方,以什么面目,借助电子邮件这个方便而迅速的工具,在系统的某个部位或是互联网的某个环节悄无声息地乘虚而入。因此,针对病毒的这一特征,切实可行的方法是对系统本身、电子邮件用户以及电子邮件服务器进行全方位的保护,不忽略任何一个环节,这样才能将病毒给计算机带来的危险降至最低限度。
系统防毒
在“Melissa”病毒出现之前,人们并未意识到为电子邮件系统提供专门的防病毒保护的重要性。当时存在着这样的观点,即由电子邮件携带的病毒仅是以附件的形式进入网络,当它通过互联网 SMTP 网关或者通过终端用户桌面的AV搜索器时可被检测出来。但是在最近的几年中,电子邮件系统已从简单的信息发布发展到可提供合作存储器、基于Web的用户界面以及无线设备接入等方面。因此,所有系统本身也需要一项全面的安全保护计划。
制定系统的防病毒策略。为了正确选择、配置和维护病毒防护解决方案,必须明确规定系统保护的级别和所需采取的对策。具体内容包括:指明何种类型的数据是允许的,哪些内容应该过滤或禁止,何人负责实施过程的各个方面,以什么方式与终端用户进行通信,以及当病毒发作和出现恶作剧时如何应对等等。
部署多层防御战略。既然伴随着合成通信技术的出现,带病毒信息可能从多种渠道进入系统,那么在尽可能多的点采取病毒防护措施当然是至关重要的。这此点至少应包括电子信息网关、桌上型计算机、个人数字助理、无线设备以及电子邮件服务器本身。
定期更新定义文件和引擎。目前,大多数人已经了解到使病毒定义文件保持最新版本的重要性,却往往忽视了确保检测引擎为最新版本的重要性。还有一点需要注意,尽管上述文件和引擎的更新通常是自动进行的,可是别忘了定期检查日志文件,以确保更新的执行是正确而及时的。
定期更新桌上型计算机中的防毒软件。迄今为止,基于服务器的电子邮件病毒防护是提供系统内部保护的最有效方式,不过由于系统安全保护策略的细节不同,它不能对所有类型的信息(如加密信息)都提供防护。因此,需要对桌上型计算机中的防病毒软件进行定期更新,以便当出现基于服务器的防护措施无能为力的情况时,为整个系统的防毒行动补充弹药。
定期备份文件。一旦系统中的数据被病毒破坏,还可以利用存储档案恢复相关文件。在某种程度上,使用者(操作者)的情绪好坏、是否勤快,常常决定电子邮件备份与文件恢复数量的多寡,比较稳妥的办法是制订一个标准程序,定期检查从备份中恢复的数据。
预订电子邮件病毒警报服务。时下能够提供这种服务的机构各种各样,五花八门,然而对于服务对象而言,其中专门的防病毒服务供应商才是最好的选择。每个 AV(Anti-Virus) 供应商的能力不同,对新病毒的评估和认定也不同,各自采取的防毒措施也有差异。例如,某家供应商可能已经在过去的更新版本中提供了类属病毒检测,而对某种新病毒实施了防范,因此对他们的客户来说,这一特殊病毒将会被评定为低风险病毒。而同一类型的病毒就很可能被其他未能提供当前保护的供应商评定为高风险病毒。
对全体职员进行防病毒培训。企业和政府机构通常是数字经济的直接受益者,也往往是电子病毒的最大受害者。员工也就是系统和网络使用者(操作者)的素质如何,决定着这些企业和机构防毒行动的成败。通过培训,使全体职员都了解容易遭受电子邮件病毒攻击的风险、抵御病毒的防护措施以及遇到可疑病毒时应该采取的有效措施等,就可以最大程度地降低系统内大多数病毒的发作。
还有两点应当注意,一是始终保持操作系统、Web 浏览器、电子邮件和应用程序的最新版本;二是定期审查主要软件供应商的安全方面的情况,并且预订任何实用的电子通讯,以便了解新的安全缺陷以及解决方法。
终端用户(PC)防毒
随着电子邮件与办公程序套件应用的日益密切集成,单从电子邮件客户应用的角度来检验防病毒措施的缺陷是不够的。相反,还必须充分保护用户所使用的整个 PC,不论用户所使用的是电子邮件应用程序的本机版本,还是远程主机控制的电子邮件前端。
禁用预览窗口功能。某些电子邮件程序,如 Microsoft Outlook 和 Microsoft Outlook Express,都有一个允许用户不打开信息,而是在一个单独窗口查看此信息的功能;但是因为预览窗口具有处理嵌套脚本的能力,某些病毒只需预览就能够执行。
如果将 Microsoft Word 当作电子邮件编辑器使用,就需要将 NORMAL.DOT 在操作系统级设置成只读文件。同时将 Microsoft Word 的设置更改为“Prompt to Save Normal Template(使保存常规模板)”。许多病毒通过更改 NORMAL.DOT 文件进行自我传播,采取上述措施至少可产生一定的阻止作用。一旦有意要求做出更改时,始终能够重新关闭许可。
使用 .RTF 和 .CSV 来代替 .DOC 和 .XLS。要想应付宏所产生的问题,可以使用 .RTF 格式的字处理文档来代替 .DOC 格式文档,并用 .CSV 格式的电子表格来代替 .XLS 格式电子表格,因为这些格式不支持宏的应用。在与其他人交换文件时,使用 .RTF 和 .CSV 格式的文件最安全,不过即便如此,也应该小心使用,原因在于此类文件如最先是按 .DOC 格式建立的,其中仍可能带有宏。
删除 Windows Scripting Host。如果系统不使用 Windows Script Hosting (WSH),应该考虑删除或禁用它。在 Windows 9x 中的操作方法是,先进入“Control Panel(控制面板)”,选中“Add/Remove Programs(添加/删除程序)”,点击“Windows Setup(Windows 安装程序)”选项卡,然后双击“Accessories(附件)”。向下滚动到“Windows Script Host”之处,删除此项,最后选择“OK(确定)”。操作完毕可能需要重新启动系统。通常可以在 Microsoft的支持网站中找到更多的相关信息。
使用收件箱规则来处理可疑的电子邮件。如果系统不采用基于服务器的电子邮件内容过滤方式,可以使用电子邮件收件箱规则来自动删除可疑信息或将其移到专门的文件夹中。不要打开来源不明、可疑或不安全的电子邮件上的任何附件。一定要确保所有电子邮件附件的来源是合法规范的。万一不能确定,不要下载该文件,或者先将其下载到软盘中,然后再用防毒软件扫描该文件。
不轻易下传病毒警告。由于病毒本身和恶作剧式的非法警告数量庞大,下传这类病毒警告将会无谓地浪费时间和空间。在将警告传给其他人之前,应先查看病毒防护供应商的网站,以确定系统是否已得到保护或者这只是个恶作剧。
写上保护。此项措施适用于在其它计算机上使用可移动介质。假如要使用可移动介质在计算机之间(如从工作单位到家中)传递电子邮件,那么在可疑系统中使用此类介质之前应将其写上保护,以防止它受到病毒感染。
服务器防毒
如前所述,有些人以为只要他们保护了自己的电子邮件网关和内部的桌上型计算机,就无需基于电子邮件服务器的防病毒解决方案了。这在几年前或许是对的,但是目前随着基于 Web 的电子邮件访问、公共文件夹以及访问存储器的映射网络驱动器等方式的出现,这种态度是不够谨慎的。除了病毒可从互联网 SMTP 网关进入电子邮件系统外,受病毒感染的文件还可以远程地借助 Web接口、个人数字助理之类的联网用户设备、未更新病毒防护的计算机上的磁盘驱动器以及未经扫描的档案库等在系统中进行传递。一旦受病毒感染项进入电子邮件存储器,那就只有基于电子邮件服务器的解决方案才能够检测和删除受感染项。
拦截受感染的附件。许多利用电子邮件传输方式的病毒传播者(又称“海量寄件者”)经常利用可在大多数计算机中找到的可执行文件,如 EXE、VBS 和 SHS散布病毒。实际上,大多数电子邮件用户并不需要接收带这类文件扩展的附件,因此当它们进入电子邮件服务器或网关时可以将其拦截下来。
安排全面随机扫描。即使能够保证使用所有最新的手段防范病毒,新型病毒也总是防不胜防。它们有可能乘人们还没来得及正确识别,AV 供应商也尚未相应地制定出新的定义文件之前,进入系统。通过使用最新定义文件,对所有数据进行全面、随机地扫描,确保档案中没有任何受感染文件蒙混过关,就显得尤为重要。
试探性扫描。虽然人们已经清楚地知道,大多数新病毒只是先前已知病毒的变异;但是要想为每个可能的变异都提供单独的检测码,是不切实际的。有一种办法可供选择,即利用试探性扫描,寻找已知病毒的特征。这样做可以提供较高级别的保护,缺点是它需要更多的处理时间来扫描各项病毒,而且偶尔还会产生错误的识别结果。不管怎样,只要服务器配置正确,根据性能的需要,利用试探性扫描提供额外保护,还是值得一试的。
使用AV 产品中的病毒发作应对功能。海量邮寄带来的病毒可以迅速传遍一个系统。对于管理员而言,没有 AV 供应商所提供的适当的检测驱动程序,要根除这些病毒是极其费力的。幸运的是,某些病毒防护产品提供了系统设置功能,一旦出现特定病毒发作的特征,这些产品就会自动发出通知或采取修正措施。例如,可以在系统中作如下设置:如果在短期内收到类似的信息超过50 个,系统就会向手机发出警告,并且自动查看供应商的最新病毒定义文件的下载网站;假如此类活动还在继续的话,在管理员能够继续应对之前,暂时禁用电子邮件网关。这种发作应对策略应该包括在系统的防病毒策略之中,从而在病毒发作之前有一个采取相应措施的计划。
重要数据定期存档。并非所有病毒都立即显示出自己的特征;根据感染位置以及系统的设置情况,有些病毒可能要潜伏一段时间才能被发现。最好是至少每月进行一次数据存档,这样,如前所述,在AV 解决方案的自动删除功能不起作用时,就可以利用存档文件,成功地恢复受感染项。