当然提起蠕虫病毒,大家通常和普遍病毒混为一谈,其实蠕虫病毒与普通病毒有很大不同,具体表现在存在形式上,普通病毒通常要寄生于文件,而蠕虫却是一个独立的程序;在传染机制上,普通病毒宿主程序运行,而蠕虫却是主动攻击;在传染目标上,普通病毒以本地文件为目标,而蠕虫却是以网络为目标进行感染。当然,到目前为止,人们对蠕虫病毒还没有形成一个统一的认识,但是,作为一种病毒,蠕虫却具有普通病毒的共性,例如它同样具有极强的破坏性,发作的传播性,潜伏的隐蔽性等特征。因此蠕虫病毒之所以成为网络的灾难,主要归功于它的超强传播性。蠕虫病毒以网络为传播媒介,网络上的电子邮件、共享文件夹、各种恶意网站以及存在各种漏洞的服务器,都将是蠕虫病毒发作的有效传播途径,它的威力是能在瞬间,迅速蔓延到整个局域网,导致网络传输缓慢,甚至瘫痪、崩溃,而且蠕虫病毒的突然发作性和超强攻击性,常常让人手足无措。
定义信息资产对蠕虫防护的好处
蠕虫病毒的感染大都是通过系统漏洞和个人操作缺陷,来对网络或计算机进行攻击的。在蠕虫防护中,定义信息资产,以信息资产为对象的形式是蠕虫防护的最佳方案。这是因为在企业信息安全管理中引入资产保护,可以使抽象、复杂的信息管理明朗化。我们知道,企业的一切信息系统都依赖IT基础设施,并且一切信息系统在网络上最能直观地反映整个网络的逻辑结构和数据流,因此,在蠕虫防护中引入信息资产,通常具有架构清晰,设备数量少而简单,结构相对稳定的特点,便于管理,同时很容易把管理和信息资产关联起来。
当然,通过这种以信息资产为对象的安全管理,集中对企业的所有终端资产信息自动获取进行全面资产管理,使管理员轻松掌握随时变化的终端资产状态。同时通过集中的资产管理数据库,使得企业终端管理数据始终保持一致性,特别是大型企业,几千台终端设备要及时快速的打上新的补丁程序,这在没有以信息资产为对象的管理中几乎是不可能的,因此,以信息资产为对象,可以大大降低了管理员的工作量,使得蠕虫防护变得更为简单有效。
安氏如何利用信息资产保护实现蠕虫防护
针对这种需求,安氏推出了Terminal Guard,该产品实现了以集中管理为基础的终端保护系统,其主要功能包含了一个以资产管理为核心的管理系统,目的是为用户打造了一个可信终端计算环境,使得蠕虫防护变得完善。
Terminal Guard以信息资产为对象,它收集整个网络系统所具有的资产信息,这些信息包含了用户的IP地址、MAC地址、CPU、内存等各种硬件信息、各种软件信息(安装的软件产品、补丁),同时,不断跟踪终端的变化,用户可以通过业务系统和组织结构两种视图对所管理的终端进行查询和管理,保证管理员随时得到最新的信息。
很多人都知道,在蠕虫防护中,系统之所以感染蠕虫,绝大多数都是由于网络系统缺乏及时的补丁管理。补丁管理是蠕虫防护中的重要内容之一,补丁管理只是面对安全威胁保障这一目的的手段而已,所以,Terminal Guard抓住企业网络上的业务流这个关键,从补丁管理的角度出发,分析漏洞及其威胁是通过那些关键因素起作用,这种安全管理,实际是以用户终端信息资产为目标来实现的。Terminal Gurad为用户提供了功能强大的补丁管理中心,软件及补丁管理子系统分别由补丁获取、软件及补丁库、软件及补丁的维护管理和软件及补丁发布四个模块组成。其中补丁获取模块负责从外部补丁站点获取最新的补丁更新;软件及补丁库模块负责保存所有软件及补丁的信息;软件及补丁的管理维护模块负责软件的添加和配置,补丁的验证和维护,软件及补丁发布的策略等;软件及补丁的发布模块负责根据客户端的请求,返回相应的补丁信息。因此,通过Terminal Gurad补丁管理中心,使得用户终端及时下载并及时为系统打上补丁,以便让系统每时每刻处于最安全状态。所以强大的补丁管理功能从根本上杜绝了终端系统由于没有及时打上补丁程序而感染蠕虫病毒。
为了使终端能够完成实时补丁更新,安氏为Terminal Guard建立了一个专门的更新网站,Terminal Guard管理服务器只要通过Internet连接到更新网站上就可以得到实时的更新服务。安氏ST-Force小组随时跟踪微软等公司的补丁情况,因为安氏是微软在亚洲第一家金牌安全合作伙伴,能够快速及时地得到微软最新的补丁和信息,从而可以保证用户在第一时间得到最新的补丁程序。对于存在封闭网络的客户,可以定期访问安氏的网站,下载补丁包,并手工部署和上传到服务器上。
在蠕虫防护中,打上补丁程序只是蠕虫防护的关键内容之一。无论你多么小心,总会有出错的时候。无论保持多高的警惕,总会在不经意间出现错误操作,例如打开了陌生邮件或访问了恶意网站等。为了避免误操作带来不必要的损失,Terminal Gurad强制用户对终端系统进行正确设置,即使操作错了,也不会出现危险。同时,遇到不熟悉或感觉好奇的邮件而随意打开时,就可能将蠕虫病毒“带”回家。为了将通过电子邮件传播的蠕虫全部“拒之门外”,反病毒软件对系统是否存在病毒进行及时查杀是非常有必要的。Terminal Gurad系统中,为用户提供了杀毒软件定期“服务”,蠕虫病毒现在种类繁多,攻击方式多样,破坏力也是越来越强,对待它们最直接有效的方法就是定期使用病毒软件,进行查杀,同时,对付蠕虫病毒比较有效的杀毒工具,对蠕虫病毒的防范也做得比较好,同时,Terminal Gurad也同样为用户提供了功能强大的个人防火墙模块,可以对蠕虫病毒进行有效的预防和拦截。
如反病毒软件、补丁管理系统的确可以预防火势蔓延,即便这些办法无法阻止首次感染。而个人防火墙对终端系统的保护也是蠕虫病毒防护的方法之一,用个人防火墙保护网络终端电脑和家庭电脑。配置最佳的默认安全功能,以防内部与外部威胁。事实上,微软官方推荐的防范冲击波病毒的办法就是使用个人防火墙。所以千万不要以为系统中安装了杀毒软件,打上了漏洞补丁,安全威胁就远离你了。其实,防范病毒入侵最稳妥的方法,就是安装并正确设置个人防火墙。安装了防火墙软件后,还需要对它进行定期更新,让防火墙更好地防范最新的病毒入侵或黑客攻击。
Terminal Gurad安全隐患及时查找。也许你并不知道自己的系统存在安全隐患,但连接到网络上,其他人就可能会利用专门工具,将你的漏洞或隐患全部扫描出来,以后这些隐患可能会为别人攻击你提供便利。为此,Terminal Guard可以提前将系统隐患查找出来,再做好安全防护措施,漏洞和隐患就不会被别人利用。这就是蠕虫防护中IDS的重要作用。查找系统隐患时,必须借助专业系统扫描工具进行提前预防。
那么,怎样才能保证终端系统的补丁程序和防病毒软件、个人防火墙、入侵检测系统都能跟上病毒发展的脚步呢?这就要求我们的所有防范措施都是最新和最完整的。另外,万一用户无意或有意卸载或删除了某些关键程序该怎么办呢?这就提到Terminal Guard的完整性检查和自动修复功能和强制网关对终端用户进行安全强制认证。
在完整性检查和自动修复功能中,Terminal Guard通过对客户端本地文件的完整性检查来判断终端是否会出现安全隐患,以此来保证终端计算环境的安全。管理员可以通过Terminal Guard管理服务器,设定相关的策略,按照windows本地安全策略规则,定期检查某个特定文件的更改日期、大小和HASH。
在完整性检查中,Terminal Guard可以根据用户需求自定义完整性检查,它允许指定检查某个程序的时间、大小、是否运行、HASH等信息以保证企业的安全。例如防病毒、个人防火墙等系统有效保护用户并更新到最新版本,当某条规则规定的条件不满足时将自动执行完整性修复,手段包括执行本地某个文件或从指定URL下载并执行某个文件。
在专有补丁检测技术上,Terminal Guard建立一个专门的检查机制用于检测补丁安装情况,同时为每个补丁建立了一套特征,通过该特征,可以检查补丁是否安装,如检查windows平台上的操作系统、IE、office、sql server等主流软件补丁安装情况,保证仅仅安装需要安装的补丁。当然Terminal Guard同样也允许用户创建自己的补丁和补丁检查特征。
在智能补丁安装上,Terminal Guard的客户端可以根据知识库的记录智能计算需要安装的补丁顺序,尽量减少重启的次数,如果用户在需要重启的时候停止补丁更新,则在下次重启后自动继续补丁的更新。系统能够根据服务器和工作站选择不同的重启方式,当然,打过补丁没有重启的计算机可以在服务器端看到。
那么,怎样才能保证上面我们提到的任务都给予了很好的完成呢?这就是Terminal Gurad中的重要功能-强制认证网关。
在强制认证网关对终端用户进行安全强制认证功能中,Terminal Guard通过强制认证网关的策略强制访问控制模块,始终保持与策略管理中心和用户终端的秘密通信,要求符合条件的终端通过正确认证才给予放行,也就是说作为内网访问外部网络的安全强制手段,保证内部被保护信息资产的安全,它可以根据安全引擎代理提供的安全状态、被访问的地址及服务,及中心策略管理服务器提供的验证信息决定采取通过或阻止网络连接的动作。因此通过强制网关有效的访问控制功能,保证了终端信息的合法性,从而从根本上杜绝了终端的蠕虫感染。
小结
对蠕虫病毒的防护需要网络管理员对整个网络进行严格的管理,除及时快速的为终端系统打上最新的补丁程序外,杀病毒软件的版本更新、个人防火墙的正确设置、入侵检测系统的及时诊听,以及重要的认证管理都是终端安全的根本保证,也只有这样,我们才能免受蠕虫病毒对我们信息系统的危害。
