荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: fast (快), 信区: Virus
标 题: 反毒全攻略(zz)
发信站: 荔园晨风BBS站 (Wed Nov 14 12:32:18 2001), 转信
反毒全攻略
( 2001/11/14)
美国网络联盟(NAI)公司 华景山
-------------------------------------------------------------
没有一个系统是绝对可靠的!因为无论防病毒措施多么理想,系统仍存在被新病毒
入侵并中断业务的可能。因此,切实可行的方法是对系统本身、单机以及邮件服务
器进行全方位保护,这样才能将病毒带来的危险降至最低。
系统如何反毒?
在“美丽莎”病毒出现之前,人们并未意识到为电子邮件系统提供专门的反毒保护
的必要性。当时存在着这样的观点:由电子邮件携带的病毒仅是以附件形式进入网
络,当它通过互联网 SMTP 网关或者通过桌面的AV搜索器时可被检测出来。但是最
近几年中,电子邮件系统已从简单的信息发布发展到能提供合作存储、基于Web的
用户界面以及无线设备接入等,因此,系统本身需要全面的保护计划。
图 多层病毒防护体系
1. 制定系统的反病毒策略
为了正确选择、配置和维护病毒防护解决方案,必须明确规定系统保护的级别和所
需采取的对策。具体内容包括:指明何种类型的数据是允许的?哪些内容应该过滤
或禁止?何人负责实施?以什么方式与终端用户进行通信?当病毒发作和出现恶作
剧时如何应对?等等。
2. 部署多层防御战略
既然伴随着通信技术的出现,带毒信息可能从多种渠道进入系统,那么在尽可能多
的“点”采取病毒防护措施当然是至关重要的。“点”包括电子信息网关、桌上型
计算机、个人数字助理(PDA)、无线设备以及电子邮件服务器。上图显示了多层
病毒防护体系结构。
3. 定期更新定义文件和引擎
目前,大多数人已了解到使病毒定义文件保持最新版本的重要性,却往往忽视确保
检测引擎为最新版本的重要性。尽管上述文件和引擎的更新通常是自动进行的,可
是别忘了定期检查日志文件,以确保更新的执行是正确而及时的。
4. 定期更新桌上型计算机中的反毒软件
迄今为止,基于服务器的电子邮件病毒防护是提供系统内部保护的最有效方式,不
过由于系统安全保护策略的细节不同,它不能对所有类型的信息(如加密信息)都
提供防护。因此,需要对桌上型计算机中的防病毒软件定期更新,当基于服务器的
防护措施无能为力时,能为整个系统的反毒行动补充弹药。
5. 定期备份文件
一旦系统中的数据被病毒破坏,还可以利用存储档案恢复相关文件。在某种程度上
,使用者的情绪好坏、是否勤快,常常决定电子邮件备份与文件恢复数量的多寡,
比较稳妥的办法是制订一个标准程序,定期检查从备份中恢复的数据。
6. 预订电子邮件病毒警报服务
时下能够提供这种服务的机构各种各样,而对服务对象而言,其中专门的防病毒服
务供应商才是最好的选择。每个防病毒供应商的能力不同,对新病毒的评估和认定
也不同,各自采取的反毒措施也有差异。例如,某家供应商可能已经对某种新病毒
实施了防范,因此,这一特殊病毒将会被他们评定为低风险病毒,而同一类型的病
毒就很可能被其他未能提供当前保护的供应商评定为高风险病毒。
7. 对全体职员进行防病毒培训
企业和政府机构通常是数字经济的直接受益者,也往往是电子病毒的最大受害者。
系统和网络使用者的素质如何,决定着这些企业和机构反毒行动的成败。通过培训
,使全体职员都了解遭受电子邮件病毒攻击的风险、抵御病毒的防护措施以及遇到
可疑病毒时应该采取的有效措施等,就可以最大程度地降低系统内大多数病毒的发
作。
8. 其他
一是始终保持操作系统、Web 浏览器、电子邮件和应用程序的最新版本;二是定期
审查主要软件供应商的安全方面的情况,预订实用的安全信息,以便了解新的安全
缺陷以及解决方法。
终端用户如何反毒?
随着电子邮件与办公程序套件应用的日益密切集成,单从电子邮件客户应用的角度
来检验反病毒措施的缺陷是不够的,还必须充分保护整个 PC。
1. 禁用预览窗口功能
某些电子邮件程序,如 Microsoft Outlook和 Microsoft Outlook Express,都有
一个允许用户不打开信息,而是在一个单独窗口查看此信息的功能。由于预览窗口
具有处理嵌套脚本的能力,某些病毒只需预览就能够执行。
如果将 Microsoft Word当作电子邮件编辑器使用,就需要将 Normal.dot在操作系
统级设置成只读文件,同时将Word的设置更改为“Prompt to Save Normal
Template(使保存常规模板)”。许多病毒通过更改Normal.dot文件进行自我传播
,采取上述措施至少可具有一定的阻止作用。
2. 使用.rtf 和.csv格式代替.doc 和.xls
要想应付宏所产生的问题,可以使用.rtf 格式的字处理文档来代替.doc格式文档
,并用.csv格式的电子表格来代替.xls格式电子表格,因为这些格式不支持宏的应
用。在与其他人交换文件时,使用.rtf和.csv格式的文件最安全。不过即便如此,
也应该小心使用,原因在于此类文件如果最先是按.doc格式建立的,其中仍可能带
有宏。
3. 删除 Windows Scripting Host
如果系统不使用 Windows Scripting Host (WSH),应该考虑删除或禁用它。在
Windows 9x 中的操作方法是,先进入“控制面板”,选中“添加/删除程序”,点
击“Windows 安装程序”选项卡,然后双击“附件”,向下滚动到“Windows
Scripting Host”之处,删除此项,最后选择“确定”,操作完毕可能需要重新启
动系统。通常可以在 Microsoft的支持网站中找到更多的相关信息。
4. 使用收件箱规则来处理可疑的电子邮件
如果系统不采用基于服务器的电子邮件内容过滤方式,可以使用电子邮件收件箱规
则自动删除可疑信息或将其移到专门的文件夹中。不要打开来源不明、可疑或不安
全的电子邮件上的任何附件,一定要确保所有电子邮件附件的来源是合法规范的。
万一不能确定,不要下载该文件,或者先将其下载到软盘中,然后再用反毒软件扫
描该文件。
5. 不轻易下传病毒警告
由于病毒本身和恶作剧式的非法警告数量庞大,下传这类病毒警告将会无谓地浪费
时间和空间。在将警告传给其他人之前,应先查看病毒防护供应商的网站,以确定
系统是否已得到保护或者这只是个恶作剧。
6.写上保护
此项措施适用于在其他计算机上使用可移动介质。假如要使用可移动介质在计算机
之间传递电子邮件,那么在可疑系统中使用此类介质之前应将其“写保护”,以防
止它受到病毒感染。
服务器如何反毒?
有些人以为只要保护了自己的电子邮件网关和内部的桌上型计算机,就无需基于电
子邮件服务器的防病毒解决方案了。这在几年前或许是对的,但是随着基于 Web
的电子邮件访问、公共文件夹以及访问存储器的映射网络驱动器等方式的出现,这
是不谨慎的。病毒除了可从互联网 SMTP 网关进入电子邮件系统外,受感染的文件
还可以远程地借助 Web接口、PDA之类的联网设备、磁盘驱动器以及未经扫描的档
案库等在系统中进行传递。一旦受感染文件进入电子邮件存储器,只有基于电子邮
件服务器的解决方案才能够检测和删除受感染文件。
1. 拦截受感染的附件
许多利用电子邮件的病毒传播者(又称“海量寄件者”)经常利用可在大多数计算
机中找到的可执行文件,如 .exe、.vbs和 .shs散布病毒。实际上,大多数电子邮
件用户并不需要接收带这类文件扩展的附件,因此当它们进入电子邮件服务器或网
关时可以将其拦截下来。
2. 安排全面随机扫描
即使能够保证使用所有最新的手段防范病毒,新型病毒也总是防不胜防。它们可能
乘人们还没来得及正确识别,反病毒供应商也尚未相应地制定出新的定义文件之前
,进入系统。因此,使用最新定义文件,对所有数据进行全面、随机地扫描,确保
档案中没有任何受感染文件蒙混过关,就显得尤为重要。
3. 试探性扫描
虽然人们已经清楚地知道,大多数新病毒只是先前已知病毒的变异,但是要想为每
个可能的变异都提供单独的检测码,是不切实际的。有一种办法可供选择,即利用
试探性扫描,寻找已知病毒的特征。这样做可以提供较高级别的保护,缺点是它需
要更多的处理时间来扫描各项病毒,而且偶尔还会产生错误的识别结果。不管怎样
,只要服务器配置正确,根据性能的需要,利用试探性扫描提供额外保护,还是值
得一试的。
4. 使用反病毒产品中的病毒发作应对功能
海量邮寄带来的病毒可以迅速传遍整个系统。对于管理员而言,没有反病毒供应商
所提供的适当的检测驱动程序,要根除这些病毒是极其费力的。幸运的是,某些病
毒防护产品提供了系统设置功能,一旦出现特定病毒发作的特征,这些产品就会自
动发出通知或采取修正措施。例如,可以在系统中作如下设置:如果在短期内收到
类似的信息超过50 个,系统就会向手机发出警告,并且自动查看供应商的最新病
毒定义文件的下载网站;假如此类活动还在继续,在管理员继续应对之前,应暂时
禁用电子邮件网关。这种发作应对策略应该包括在系统的反病毒策略之中。
5. 重要数据定期存档
并非所有病毒都立即显示出自己的特征,根据感染位置以及系统的设置情况,有些
病毒可能要潜伏一段时间才能被发现。最好是每月至少进行一次数据存档,这样,
在反病毒解决方案的自动删除功能不起作用时,就可以利用存档文件,成功地恢复
受感染项。
备 注:
关 闭
------------------------------------------------------------------------
--------
北京华泰网安信息技术有限公司 版权所有
--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.0.101]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店