扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
“熊猫”让网络不再安全
2007年1月7日,国家计算机病毒应急处理中心紧急预警,“通过对互联网络的监测发现,一个伪装成‘熊猫烧香’图案的蠕虫病毒正在传播,并已有很多企业局域网遭受了该蠕虫的感染。”据了解,到1月9日,感染的电脑用户约达数十万。其中北京、上海等电脑用户较集中的城市成为“重灾区”。在两个多月的时间里,“熊猫烧香”病毒变种已达416个,受感染电脑用户达数百万台。那只憨态可掬、颔首敬香的“熊猫”已经成为人们噩梦般的记忆。如果按感染电脑的数量来看,“熊猫烧香”病毒已当之无愧地成为新一代“毒王”。
“熊猫烧香”病毒是一个能在现今主流操作系统上运行的蠕虫病毒。它的变种会感染计算机上的EXE可执行文件,被病毒感染的文件图标均变为“熊猫烧香”。同时,受感染的计算机还会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染,上传网页到网站后,就会导致用户浏览这些网站时也被病毒感染。目前中毒用户使用了各类“熊猫”专杀软件后,即使将一台机器杀干净了,但不久发现又感染了。并且只要网络内有一台机器还有存活的“熊猫烧香”病毒,就依然存在再次感染全网的可能。随着“熊猫烧香”病毒的攻击重点转向企业局域网和网站,病毒在局域网极短时间之内就可以感染几千台计算机,企业网络安全面临巨大危机,严重时可以导致网络瘫痪。
“熊猫”缘何肆虐?
“熊猫烧香”从技术上来说它并没有什么创新之处,其中的任何一个技术单一拿出来,杀毒软件都能应付。但是综合到一起后,这只“熊猫”却反过来让众多杀毒软件成了它“烧香”时的拜忌品,在全国上下掀起了一股“烧香”潮。由此说明,我们有大部分电脑用户、企业局域网缺乏网络安全防范措施。业内专家认为,现在中国的大部分网民依然严重缺乏最基本的网络安全防范知识,更缺少良好的安全上网习惯。安全意识的薄弱,给病毒大面积传播带来可乘之机。同时,随着计算机在各个行业的普及应用,病毒造成的危害也将水涨船高,不可小视。
众所周知,病毒是从邮件或网页传递到用户的。众多用户机器日常缺乏安全防范,很容易感染病毒。即使有防范意识的,更普遍的是采用杀毒软件来保护自己。杀毒软件是专门用于检测、杀掉网络或者单机系统中隐藏的病毒及具有安全威胁的程序。但多数是在已经发生病毒侵害并且已经造成损失的情况下才会工作,这个时候杀毒软件只能是亡羊补牢了。
企业不能甘做供奉菩萨
要想让企业远离“熊猫”等众多病毒的侵扰,就必须给企业打造安全的网络环境,采用防火墙、VPN、邮件安全网关设备等等,从而在互联网访问、内部网络访问、邮件收发等多环节、多层次地保护用户。
防火墙,是在互联网信息到企业和各用户的整个传递过程中的第一道防护墙。通过对信息内容检测、拦截不安全网页的URL等功能,在外界信息进入企业局域网的边际时就发挥过滤和保护作用,防止病毒入侵。当然单纯的硬件防火墙,会出现不够灵活,延时较长,不能全天候线速处理数据等问题。目前市场上有在高性能的硬件核心(可编程ASIC芯片)之中捆绑IPSec VPN ,这种防火墙可以做到包过滤,能够在全负载情况下达到千兆线速,并能实现高性能安全防护功能,同时,也能很好地兼顾灵活性的产品,如凹凸科技的SifoWorks系列防火墙。
前文说的防火墙,是在网络边际上发挥防御,实现安全保护。而VPN(虚拟专用网),则可以从网络应用层面帮助企业解决安全访问问题。比如:从接入通道、访问权限等环节,确保用户可根据需要随时随地需要接入内部网络,并能够安全地访问到企业资源。根据VPN的架构不同,安装的难易程度不同,设备成本也相差很大,对于安全移动办公的支持度也会不同。目前,SSL VPN产品在国内的应用比例还很小,但它却能让用户充分感受到和IPSec VPN不同的防护体验。它不仅能够融合广泛的网络应用(如电脑、手机、PDA、网页浏览、收发邮件等)实现用户移动办公时的安全访问,更能解决企业有安全需求但却暂时无力构建IPSec VPN的问题。凹凸科技的Succendo SSL VPN是目前优秀的SSL VPN产品之一,它不需要企业专门开放任何接入通道,便可对每个连接执行相应的安全策略,并根据不同用户身份、地域和设备为其分配访问权限;它支持多种管理方式,可对远程管理进行安全设置、具有很高的安全性和很高的速度。当然,SSL VPN并不是来取代IPSec VPN的,企业需要根据自己的实际情况来选择。
目前市场上还流行一种整合型安全防护需求的网关产品------UTM(统一威胁管理),它既能提供多层面的安全防护,又克服了“安全产品是网络性能瓶颈”的难题。这类新产品的“网络准出”功能,帮助网络管理员预先设定一些访问规则,比如:员工计算机的操作系统是否安装了相应的杀毒软件、防火墙,是否已经启动等等。当内网用户请求连接外部不可信网络资源时,UTM网关会检查访问列表是否已有记录来通过该用户的对外访问。对于初次访问者,会强制要求用户安装安全控件(若不安装,则不允许访问外网资源)。安装完毕后,该安全控件会对用户机器软件环境和信息进行扫描。扫描通过后,结果会返回到UTM网关进行记录。这样能够从企业从内部来防护,确保病毒等不被带入到企业整个网络。
在邮件保护方面,一个好的邮件安全网关设备应该同时具有强大的吞吐量和性能。在该领域,凹凸科技的SifoML就是一个典型代表,它集防病毒、防垃圾邮件、防间谍软件、防网络钓鱼等多功能于一体,应用层的检测同时过滤传统安全设备无法拦截到的垃圾邮件和邮件中携带的各种威胁,除此之外,SifoML还可以进行邮件的安全管理审计。通过对所有进、出邮件(包括邮件本身及附件)进行备份,加上对邮件信息(接收人/IP/域名、发送人/IP/域名)的统计分析,使企业对员工邮件的使用情况了如指掌。
由此看来,企业构建网络安全环境,一定要重点考虑优秀软件和高性能硬件的科学结合和运用。现在网络安全厂商的产品众多,功能各有千秋。有的厂商重点关注防火墙(如天融信)或VPN(如:Array)领域,有的厂商致力于全面的完全产品线(如:凹凸科技),包括防火墙、SSL VPN、邮件安全管理网关以及综合型UTM产品。据悉,凹凸科技近期推出一个适用于低端市场需求的防火墙新产品SifoWorks D300,投入较低的费用就可构筑起企业的安全防护墙。而其他厂商也会根据市场需求及时提供新产品。如此之多的产品和选择方案,足以让企业用户针对自己的网络需求,选择价格、功能合适的产品和解决方案。
“熊猫烧香”,难道我们只能做个供在庙里的菩萨?以后还会有更多的“熊猫”,我们都只是来者受之吗?当然不!我们必须火速行动,主动出击,运用科学的网络安全产品,构建我们的网络安全防护“墙”,让一切病毒远离我们。当病毒再来时,不做“供奉”菩萨!
(责任编辑:陈毅东)
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。