2004年网络安全应对策略

  与传统通过软盘、光盘方式传播的文件型和引导区病毒不同，目前病毒传播方式、使用技术和带来的危害已经有了较大的变化。鉴于病毒的流行，有必要采取一些技术和管理措施以降低病毒传播带来的对企业广域网和办公网的影响。
   

  对策1：要充分认识到所面临的内外部危险，并建立一套安全策略。正所谓知己知彼，百战不殆。只有充分了解所面临的内外部危险，并且对危险的严重性了如指掌，才能做到有效保护自己。而现实中所有企业所面临的危险不是共同的。每个企业都有自己独有的漏洞及安全隐患。随着企业网络逐步延伸到供应商、顾客及合作伙伴，外部威胁正变得日益严重。这使得网络安全在每个企业中必须得到更多的关注，在作某些决策时，须具有更高的优先权。外部威胁主要指未授权用户，如黑客、恶意破坏者及网络盗窃分子等，一些电脑缺乏安全保护的网络用户就给这些未授权用户以可乘之机。还有大多数企业未意识到的内部威胁主要是对离职员工的管理不当，使得他们在离开企业后仍能访问公司网络。另外，企业还必须考虑到因设备故障及自然灾害，如火灾，洪灾及意外事故所带来的危险。
   

  对策2：求助专业安全公司，安全服务做到家。系统管理者必须慎选评估安全厂商，识别潜在威胁的一种方法就是求助第三方，在您购买安全硬件或软件时，让他们对您企业的计算机系统进行扫描评估，查出是否有漏洞。但有时找寻企业漏洞就像大海捞针一样。并不是所有的威胁都很明显，特别是当您没有专职的信息技术专家时。现在市场上的许多安全产品都会对整个系统进行完全扫描，这有利于管理员识别并修补安全漏洞，同时采取措施解决存在的安全问题。是否有能力实时地修补安全漏洞和持续提供可信赖的服务。主要关键在于，是否能在病毒爆发的那一刻充分发挥平日累积的实力，以先知般直觉保障网络安全。
   

  对策3：加大中央控管力度。当企业成长到一定规模，中央集中控管将显得非常重要，不但可避免防毒软件在终端机被卸载，也可使得更新维护更为方便容易。在选择中央控管方案时，得仔细评估整体效率，包括产品结构使用是否有弹性？产品是否可与目前的网络管理工具结合？如果企业的计算机系统成长，是否依然能防止病毒的入侵？优选一种实用、好用的企业网络防毒策略，提供强大的集中控管能力。从而使企业能够更有效地管理整个企业的防毒策略。旨在能够快速部署、积极防制，主动遏止新病毒，这对于减少大量邮寄病毒的危害以及降低技术支持成本均大有帮助。
   

  对策4：网关防毒最关键：过滤Email附件方式依然可以发挥拦截多数企图夹毒闯关的病毒。应用网关(gateway)把关，设置防毒软件，拦截企图进入企业网络的病毒文件，是最有效率的方法。在目前的邮件服务器前段安装网关防毒产品(可选措施)，在目前邮件服务器上安装邮件防毒产品(需要进行合理配置，建议禁止危险附件邮件的接收和发送)，从网关过滤邮件病毒。
   

  对策5：过滤垃圾邮件兼具防毒功能。对付垃圾邮件根本的解决方法是阻止其传输。垃圾邮件制造者主要是依靠专门的邮址搜索软件和邮件群发软件，要对付它，需要借助相应的技术手段，在收发邮件的服务器将其堵在源头。过滤技术是目前反垃圾邮件用到的主要技术。邮件服务器通常会设立专门垃圾邮件用户投诉信箱，技术人员从中摘取关键词进行分析过滤，或是统计垃圾邮件的相关特征，输入反垃圾邮件引擎。另外就是加强对免费邮箱的管理，因为大部分垃圾邮件是通过免费邮箱发的。客户端是防垃圾邮件的最后一道防线，用户可以采用客户过滤软件。把接收下来的邮件进行检查和匹配，从发件地址、主题、正文内容中的关键词，对那些符合垃圾邮件特征的邮件，执行自动删除操作。这样客户端就不需要将电子邮件完全下载便能进行识别和处理了。使用防火墙对邮件附件进行过滤，保护Exchange服务器，如Foritgate防火墙支持在防火墙上进行病毒或者附件检测和过滤。在客户端（主要是Outlook）限制访问附件中的特定扩展名的文件。
   

   对策6:针对利用系统漏洞传播的病毒要加强日常工作。使用漏洞扫描器定期检查网络中存在漏洞的主机，对于存在严重安全问题的设备使用者进行通告，未能按期修补的，按照防范策略进行断网或记入公司考评处理。网络防毒产品根据病毒防范策略定期定时进行扫描。每月进行汇总，对感染病毒次数最多的用户进行通报。移动用户在可能的情况下，需要首先进行查杀病毒后方可接入网络。日常工作中，强制要求配置Windows Update自动升级（仅对Windows 2000/XP、且能够与互联网联通的系统有效）；当安全服务商紧急公告发布时（通常是严重漏洞），给全体员工（或者是经过检查，尚未安装补丁的员工）下发安全通知，将安全补丁作为附件，要求立即安装补丁并重新启动；对于已经感染病毒的主机，应该尽可能断网后进行处理，首先安装补丁，推荐使用专杀工具进行查杀重新启动系统；对于支持域的内部网来说，需要在域控制器的域安全策略上增加口令强度策略，定期对网络中的登录口令进行破解尝试。存在弱口令的主机必须及时通知使用者修改，未及时关闭者将限制网络访问。
   

  对策7：空档期有效隔离灾区：在网络攻击频传情况下，系统管理者需要更好的管理工具，让他们能够将网域做区段式的隔离。比如在病毒疫情爆发时，下载病毒爆发防范服务)可以在第一时间内快速隔离高度风险区和受感染区，预防灾情在病毒码公布之前的空档期破窗而入。
   

  对策8：杜绝犯一些安全小错误，不要为黑客留下把柄。
  许多黑客只攻击大公司是出于道德的原因，但是他们并不是不愿意在能力所能及的范围内制造点小混乱，其实他们比用户自己都更清楚其电脑里的东西。要确保免受病毒入侵，不丢失数据，您就必须不断地升级、不断地为漏洞打补丁。
   

  对策9:对紧急事件的快速处理。紧急事件状态是指当接收到安全服务商的较高级别安全通告或已经确认开始爆发蠕虫事件时，管理人员应该进行的应急处理工作。在这个状态下，安全管理员具有更多的权限，包括强制性补丁安装和对特定设备申请断网等。进入紧急状态时，可以使用域登录脚本给普通用户，尤其是非技术用户自动安装补丁。对于存在问题的尚未感染或已经感染病毒的服务器，通知到人，并且必须在当天完成杀毒和修补工作，否则将进行断网设置和通报备案。对于高层管理人员的设备，安全管理员将协同系统管理员一起，直接为此类用户进行杀毒和修补的工作。
   

  对策10：灾后系统迅速还原。灾后清除与复原仍将是一个重要的议题。让企业可以在有限的时间与人力资源下，让他们的系统尽速恢复原貌。比如选择有效的损害清除服务等即可有效避免木马程序残存在系统内。
   

   对策11：采用本地化技术支持与服务。设立本地防病毒研发暨技术支持中心，便于用户能够进行广泛的技术交流和支持，促进本地区网络安全事业的发展，协助打击网络安全犯罪和更好地服务于广大用户。因为本地技术支持中心能够为用户提供及时的不间断的专业防毒服务，必将对本地用户的网络安全起到积极的促进作用。


  对策12:采取预防措施来增强企业网络系统的安全。利用密码管理软件帮助您的员工选择安全性好的密码，对时间太长的密码要设置为过期。将密码与检验结合起来，建立一种高效的认证制度。虽然不能保证防止黑客攻击，但至少起到一定的预防作用，在下次黑客敲您的门时，您可将他拒之门外。


  从总体安全策略上来看，对于普通用户，尤其是非技术员工，尽量以自动和强制性执行的策略进行管理；对于服务器管理员，应该通过自主修补，安全管理员监督的方式管理；对于高层管理用户，则建议由安全管理员直接支持的方式进行。(e-works)