安全域内的计算机病毒防范

    计算机病毒是烟草企业信息系统的主要威胁，防范病毒的泛滥也就成为IT部门的主要职责之一。从病毒发展趋势来看，现在的病毒已经由单一传播、单种行为变成依赖互联网传播; 集电子邮件、文件传染等多种传播方式，融黑客、木马等多种攻击手段为一身; 扩散极快，不再追求隐藏性，而更加注重欺骗性; 利用系统漏洞将成为病毒有力的传播方式。因此，仅仅依靠防病毒系统已经很难有效防范现在的病毒了，还需要借助防火墙、系统安全补丁、入侵检测系统等来共同防范，所以我们看到市场上的客户端防病毒软件在防病毒的基础上都集成了防火墙、入侵检测/防御等功能。

    做好防病毒工作首先必须重视及时打系统安全补丁。为了及时发现漏洞、及时打系统安全补丁等，现在的通用做法是在系统内部署终端安全管理类系统，该系统通过补丁管理、漏洞管理、网络接入管理等技术手段结合防病毒软件应对可能的风险。

    鉴于防病毒系统只能防范已知的病毒这一事实，我们还要考虑防范未知病毒，主要从几个方面来综合考虑。

    1. 在及时更新防病毒代码库和扫描引擎程序的同时，及时对保护对象打系统安全补丁，以提高系统自身的健壮性，防止新病毒利用已有的安全漏洞进行传播或攻击。

    2. 及时监控网络的异常行为，这可以借助sniffer——基于网络的入侵检测系统，及时了解网络发生的情况，查看是否有可疑的现象出现。一旦发现有可疑现象，应采取措施对可疑的设备进行隔离处理。

    3. 定期进行安全漏洞扫描和安全加固工作，增强重要系统的健壮性。

    4. 让企业内部用户养成好的操作习惯，不要打开不明来源的邮件、不运行未知的程序等良好习惯，提高识别可疑威胁的意识。

    5. 对重要的文件、数据等信息要及时做好备份，防止恶性新病毒泛滥造成巨大损失，毕竟新病毒不可能完全防范。

    6. 切实做好划分安全域后的边界防护工作，通过结合入侵检测/防御系统，及时的特征库升级和策略调整，将新病毒威胁隔离在较小的范围，避免波及全网。

    划分安全域的好处也在防范病毒的工作中体现出来，划分安全域可以很好地防止病毒的扩散、蔓延，将恶意攻击的危害隔离在较小的范围。

    在病毒防护工作中，终端的安全管理也非常关键。终端安全管理工作模式与网络防病毒类似，都是采用C/S模式，在终端部署客户端，然后在服务器的统一策略下发现客户端设备的系统漏洞，并自动分发补丁、防范移动电脑和存储设备随意接入内网，对原有客户端应用软件进行统一监控、管理、快速有效地定位网络中的病毒、蠕虫、黑客的入侵点，及时、准确地切断安全事件发生点和网络。

    至此初步建立了网络安全域内的基础防卫措施，主要解决了最重要最紧迫的问题。根据实际的业务需要还应逐步建立安全审计、漏洞扫描、身份认证、权限管理、集中安全管理、数据备份以及有效的应急预防等措施和相应的安全管理措施，在保障可用性的基础上，逐步实现完整性、保密性、可管理性、可审计、抗抵赖等安全目标。