試述內(nèi)網(wǎng)計算機病毒/惡意軟件的防范

高 軍,肖 衛(wèi)

(長江委水文局網(wǎng)絡(luò)信息中心,武漢 430010)

隨著計算機網(wǎng)絡(luò)的發(fā)展,許多企事業(yè)單位建立了自己的網(wǎng)絡(luò)環(huán)境,且大多建立在開放網(wǎng)絡(luò)環(huán)境中,開放的網(wǎng)絡(luò)環(huán)境不僅提供了與外界交互的窗口,同時也為外部進入內(nèi)部信息系統(tǒng)提供了便捷途徑,使內(nèi)部網(wǎng)絡(luò)面臨種種威脅和風(fēng)險。目前,內(nèi)網(wǎng)主要面臨的安全威脅之一是計算機病毒/惡意軟件。計算機病毒一旦傳入內(nèi)網(wǎng),病毒/惡意軟件通過網(wǎng)絡(luò)在極短時間可感染整個內(nèi)網(wǎng),輕則導(dǎo)致計算機速度減慢、死機、數(shù)據(jù)丟失;重則引起網(wǎng)絡(luò)阻塞導(dǎo)致網(wǎng)絡(luò)癱瘓,影響正常工作。

1 什么是計算機病毒/惡意軟件

從廣義上定義,凡能夠引起計算機故障,破壞計算機數(shù)據(jù)的程序統(tǒng)稱為計算機病毒。《中華人民共和國計算機信息系統(tǒng)安全保護條例》第二十八條明確指出:“計算機病毒,是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù),影響計算機使用,并能自我復(fù)制的一組計算機指令或者程序代碼”。

中國互聯(lián)網(wǎng)協(xié)會對惡意軟件的定義是:在未明確提示用戶或未經(jīng)用戶許可的情況下,在用戶計算機或其他終端上安裝運行,侵害用戶合法權(quán)益的軟件,但不包含我國法律法規(guī)規(guī)定的計算機病毒。

2 計算機病毒/惡意軟件的特征

早期的病毒意在破環(huán)計算機軟件或者硬件,開發(fā)者意在炫耀能力或證明實力。現(xiàn)今的網(wǎng)絡(luò)時代,病毒的發(fā)展呈現(xiàn)出以下趨勢:病毒與黑客程序相結(jié)合,蠕蟲病毒更加泛濫,病毒/惡意軟件破壞性更大,制作病毒的方法更簡單,病毒傳播速度更快,傳播渠道更多,病毒件感染對象越來越廣。

病毒/惡意軟件主要分為以下幾類:

(1)木馬:木馬是一種基于遠程控制的黑客工具,表面上是有用的軟件而實際上是危害計算機安全并嚴重破壞計算機的程序。木馬中包含能夠在觸發(fā)時導(dǎo)致數(shù)據(jù)丟失甚至被竊的惡意代碼,木馬一般以竊取用戶相關(guān)信息為主要目的。要使木馬傳播,必須在計算機上有效啟用這些程序,例如打開電子郵件或者將木馬捆綁在軟件中放在網(wǎng)絡(luò)上吸引用戶下載執(zhí)行。

(2)間諜軟件:間諜軟件是一種能夠在用戶不知情的情況下,在其電腦上安裝后門、收集用戶信息的軟件。它能夠削弱用戶對其使用經(jīng)驗、隱私和系統(tǒng)安全的物質(zhì)控制能力;使用用戶的系統(tǒng)資源,包括安裝在他們電腦上的程序;或者搜集、使用、并散播用戶的個人信息或敏感信息。間諜軟件主要通過網(wǎng)頁掛馬、文件捆綁、下載器下載傳播。

(3)蠕蟲病毒:蠕蟲是設(shè)計用來將自己從一臺計算機復(fù)制到另一臺計算機,并執(zhí)行預(yù)定操作功能的程序代碼,蠕蟲可以自動執(zhí)行,同時可以自我復(fù)制,系統(tǒng)一旦感染蠕蟲,蠕蟲即可自行傳播。局域網(wǎng)下的共享文件夾、電子郵件、網(wǎng)絡(luò)中的惡意網(wǎng)頁、存在漏洞的服務(wù)器等都是蠕蟲病毒傳播的途徑。

(4)網(wǎng)頁病毒:網(wǎng)頁病毒主要是利用軟件或操作系統(tǒng)的漏洞,通過執(zhí)行嵌入在網(wǎng)頁H TM L超文本標記語言的Java小應(yīng)用程序、JavaScrip腳本語言程序、ActiveX控件網(wǎng)絡(luò)交互技術(shù)支持可自動執(zhí)行的代碼程序,以強制修改用戶操作系統(tǒng)的注冊表設(shè)置及系統(tǒng)實用配置程序,或非法控制系統(tǒng)資源盜取用戶文件,或惡意刪除硬盤文件、格式化硬盤等。一旦瀏覽含有該病毒的網(wǎng)頁,在沒有防護措施的情況下,立即被感染。

3 計算機病毒的傳播途徑

計算機病毒主要通過以下方式進行傳播:

(1)不可移動的計算機硬件傳播。專用集成電路芯片(ASIC)和硬盤為病毒的重要傳播媒介。通過ASIC傳播的病毒極為少見,但是,其破壞力卻極強,一旦遭到病毒侵害將直接導(dǎo)致計算機硬件的損壞。硬盤是計算機數(shù)據(jù)的主要存儲介質(zhì),也是計算機病毒感染的重災(zāi)區(qū)。硬盤傳播計算機病毒的途徑是:硬盤向U盤復(fù)制帶毒文件、向光盤上刻錄帶毒文件、硬盤之間的數(shù)據(jù)復(fù)制、將帶毒文件發(fā)送到其他的地方。

(2)可移動的存儲設(shè)備。可移動的存儲設(shè)備常見的有:光盤、移動硬盤、U 盤(含數(shù)碼相機、M P3等)、ZIP和JAP磁盤,這些存儲介質(zhì)是計算機病毒寄生的場所。

(3)文件共享夾。在局域網(wǎng)中病毒會搜索本地網(wǎng)絡(luò)存在的共享,通過空口令或弱口令猜測,獲得安全訪問權(quán)限,將自身復(fù)制到網(wǎng)絡(luò)共享文件夾中,利用社會工程學(xué)進行偽裝,誘使用戶執(zhí)行并感染。網(wǎng)絡(luò)共享已經(jīng)成為病毒傳播的一個重要途徑,越來越多的病毒運用這種手段。

(4)網(wǎng)絡(luò)下載或瀏覽。用戶訪問網(wǎng)絡(luò)中惡意網(wǎng)站,瀏覽網(wǎng)頁、下載捆綁病毒/惡意軟件的程序?qū)е聜魅静《?惡意軟件,網(wǎng)絡(luò)下載或瀏覽已成為病毒/惡意軟件主要傳播途徑。

(5)電子郵件。病毒制作者將病毒放在電子郵件的附件中寄給受害者,引誘受害者打開電子郵件附件而傳染病毒,或?qū)⒉《局苯臃旁陔娮余]件內(nèi)寄給受害者,誘使受害者閱讀電子郵件而傳染病毒。

4 計算機病毒/惡意軟件的防范

隨著網(wǎng)絡(luò)化應(yīng)用程度的提高,有效阻止計算機病毒/惡意軟件入侵已成為網(wǎng)絡(luò)安全一個重要課題。企業(yè)安全防護體系主要構(gòu)成因素為:人、制度、技術(shù)。構(gòu)建一個有效的防病毒體系可從三個方面著手:

(1)應(yīng)用先進的防病毒技術(shù)構(gòu)建一個多層次病毒防線。

①構(gòu)建客戶端防病毒系統(tǒng),防護內(nèi)網(wǎng)內(nèi)用戶計算機系統(tǒng)的病毒;

②構(gòu)建服務(wù)器防病毒系統(tǒng)。如果服務(wù)器被感染,其感染文件成為病毒感染的源頭,它們會迅速從桌面感染發(fā)展到整個網(wǎng)絡(luò)的病毒爆發(fā),防護內(nèi)網(wǎng)內(nèi)服務(wù)器的病毒已成為當務(wù)之急;

③構(gòu)建網(wǎng)關(guān)防病毒系統(tǒng)。據(jù)統(tǒng)計,現(xiàn)在92%安全威脅來自互聯(lián)網(wǎng),一般電腦感染病毒的來源中,訪問惡意網(wǎng)站占42%,經(jīng)由其他惡意程序下載占34%,電子郵件附件和鏈接占9%,可移動硬盤傳輸文件占8%,其它(大多數(shù)經(jīng)由互聯(lián)網(wǎng))占7%。Internet的防病毒系統(tǒng)要部署在內(nèi)網(wǎng)網(wǎng)關(guān)處,它對全部收發(fā)的電子郵件進行病毒掃描;對HTTP,SMTP,FTP等應(yīng)用所傳輸?shù)男畔⒒蛭募M行病毒掃描。

(2)建立一個健全、務(wù)實、有效的安全組織架構(gòu),明確架構(gòu)成員的安全職責(zé);其次建立完善、可操作性強的安全管理制度,并嚴格執(zhí)行;

(3)人是計算機網(wǎng)絡(luò)的使用者和管理者,也是系統(tǒng)中最脆弱的因素,提高網(wǎng)絡(luò)安全管理人員的技術(shù)水平和素質(zhì),提高用戶的防范意識,建立良好的上網(wǎng)習(xí)慣是計算機病毒/惡意軟件防范的重要部分。網(wǎng)絡(luò)安全管理人員主要防止各種病毒、黑客程序及各種惡意程序的入侵,處理各種突發(fā)的網(wǎng)絡(luò)安全事件。目前,在防病毒技術(shù)方面,基本處于被動防御的地位,而且計算機病毒及防范技術(shù)是在不斷更新的。因此,要加大對網(wǎng)絡(luò)安全管理人員的培訓(xùn)力度,提高其技術(shù)水平和素質(zhì);網(wǎng)絡(luò)用戶安全意識是防病毒和惡意軟件方面最為關(guān)鍵的因素之一,用戶訪問信譽不好的網(wǎng)站和惡意網(wǎng)站,并且隨意下載運行程序是內(nèi)部病毒爆發(fā)的最主要根源。‵因此,需要普及用戶網(wǎng)絡(luò)安全知識,提高用戶的網(wǎng)絡(luò)安全意識。

計算機病毒/惡意軟件的防范是一個長期的過程,需要不斷的探索與完善。一方面要掌握對當前計算機病毒/惡意軟件的防范措施,合理應(yīng)用防范技術(shù)組建安全的防范系統(tǒng)。同時,還要關(guān)注新型病毒/惡意軟件,及時采取應(yīng)對措施。