企业反病毒技术与策略：当电子邮件不再安全

您的位置：首页 > 资讯中心 > 防护技巧 > 正文

企业反病毒技术与策略：当电子邮件不再安全

2004年12月07日 14:18　金山毒霸信息安全网　

　　雷.汤姆林森(Ray Tomlinson)在1971年发明电子邮件时也许不曾想到，在3 0多年后的今天，它已经成为人们网上交互沟通的首选——低廉的成本、快捷的传递,人们可以通过文字、图象、声音等各种方式与世界上任何一个角落的网络用户联络。然而，或许更令他意想不到的是，利用邮件的病毒传播已经成为当今互联网时代最严重的安全威胁之一。据调查，2000年带有病毒的邮件占邮件总数约为10％，2004年猛增为30％左右，到了2005年后预计为40％以上。对于普通用户，邮件病毒带来的是损坏文件和数据、造成系统崩溃，而对于企业网络来说，除上述威胁之外，由邮件病毒造成的网络堵塞将带来更大的损失。

　　邮件病毒对企业网络的危害及其方式：

　　除对网内桌面系统造成的普遍性危害外（这包括攻击硬盘主引导区等，使磁盘上的信息丢失；占用磁盘空间，修改或破坏文件中的数据，大量消耗系统资源，使运行效率降低；破坏硬件启动信息，使计算机无法工作等）邮件病毒对企业网络系统的整体运行更具威胁：

　　1.对电子邮件服务本身形成威胁。

　　企业网络一般都会有自己独立邮件服务器，当邮件病毒爆发时，会产生大量的带有威胁的邮件发送和接受行为，随着这一行为规模迅速扩大直至达到邮件服务器的负载极限时，阻塞现象难以避免，严重时还会使邮件服务器系统崩溃，从而拒绝服务。典型的例子是求职信病毒，在其爆发高峰时期，大量企业的网络都产生了不同程度的堵塞情况，收发电子邮件的速度成倍下降，服务响应几乎停滞。

　　2.极大消耗网络资源。

　　邮件病毒的传播过程往往是由点到面呈放射性扩散，一旦某台计算机受到感染，其中大量的邮件地址便会成为邮件病毒传播的“通讯薄”——病毒会将自身的副本自行发向这些地址，从而形成群发快速扩散，其直接后果是大量占用网络带宽资源，使网络速度变慢。这种例子包括： VBS/Loveletter和W32/Nimda等。

　　3.传播行为更具攻击性。

　　邮件病毒的传输方式已经从以前的单纯附件携带方式扩展为内容携带方式。在早期，邮件病毒基本是被动触发，用户必须点击附件运行才能激活病毒，多为宏病毒，破坏性比较小，比较典型的例子是美丽沙、爱虫病毒，其传播速度较慢（一周左右）。而在现阶段，新一代邮件病毒利用最广泛使用的客户端Outlook及IE的漏洞主动发作，用户简单的预览邮件即可将其触发。这样的病毒，传播行为更具攻击性，比较典型的有Nimda、WantJob、BinLaden等。

　　4.对网内用户的直接危害：产生的大量垃圾邮件阻塞信箱。

　　对于企业网络内的客户端来说，邮件病毒爆发时所产生的垃圾邮件也可能会堵塞用户信箱。这种情况往往发生在经过某种非彻底的安全过滤之后，未被彻底清除的病毒邮件会成为名符其实的垃圾邮件，这将占满用户有限的邮箱空间，导致用户无法收取正常的邮件。

　　金山毒霸是国内信息安全业界的领先者之一,已经在邮件相关的技术和趋势领域着手研究了若干年。金山毒霸对邮件病毒的防护基于安全框架中企业网络的三个层面：网络边界，内网环境，网络通信。其中第一层与第二层属于物理区域的划分，第三层构建于一、二层之上，面向整个网络及其应用。

　　1. 边界防护，入口把关。

　　邮件服务器是外网邮件病毒向企业网络传播的第一个跳板，对其的防护方案应保证威胁的第一层有效过滤，金山毒霸认为通过下述解决方案将能够保证这一目标的实现：通过邮件多层过滤及检测并采取启发式反病毒邮件引擎实现防御邮件病毒已知威胁和未知威胁.创建信任机制，自定义信任规则和过滤规则，实现高效率检测。自动检查接受及发送邮件（包括群发邮件），策略化删除由邮件病毒生成的整个邮件或附件,实现智能性的过滤，从而可以防止不受欢迎数据信息流入网络。金山公司最新推出的金山毒霸安全邮件网关（Kingsoft Secure Message Gateway，简称KSMG），将病毒防御、反垃圾邮件、内容审查以及抗攻击能力无缝地整合到一个解决方案中；能够杜绝垃圾邮件、非法内容邮件等进出企业内部邮件系统能够从网络入口处为用户的邮件安全把关，建立可靠的第一道过滤屏障。同时，通过金山毒霸邮件防火墙（For Exchange以及For Lotus Domino），更能够实现群件过滤，在邮件病毒到达网内用户之前将其拦截。

　　2.内网环境不留死角。

　　企业网络反病毒具有整体效应，由于邮件病毒传播速度快，传播范围广，这一方更需重视。对此，金山毒霸提出企业网络桌面及文件服务器的全网解决方案——金山毒霸网络版。通过对全网实时防护和集中进行策略部署，实施全网病毒查杀，使邮件病毒病毒在网络内无处藏身；通过无限分层的多级管理，将行政架构、计算机网络系统及防毒体系三者完全融合,实现最大可伸缩性；全网漏洞扫描功能可以有效预防因系统漏洞引发的邮件病毒；Web接口控制台实现“控制无处不在”，保证在遇到大规模邮件病毒爆发的紧急情况时，管理员可在任何一台具备联网条件的内网甚至外网计算机上进行处理。高效的双向动态过滤邮件病毒过滤技术无缝整合于桌面系统和文件服务器中，实时监测邮件的收发行为，从而在内网环境搭建企业网络对邮件病毒的第二道防护屏障。

　　3. 实现动态数据过滤。

　　基于金山毒霸网络版核心的桌面和服务器防御体系采用先进的“蓝芯”引擎，独特的虚拟机和启发式查毒技术有效地保证了检测并清除各类已知和未知威胁，任何文件打开、关闭、保存、读、写、拷贝、移动、压缩和解压缩等操作都可进行实时监测。对于网络通讯数据流同样实现了动态过滤，能够有效的检测网络内文件复制、传输（包括及时通信软件的文件传输），从而有效地实现客户端的“边界防护”。

　　同时，金山毒霸认为遏制邮件病毒的大规模流行和爆发并非纯技术行为，合理构建企业内部应对需求的安全策略和措施将对防护效果产生及其重要的影响，金山毒霸同样愿意积极地参与到这一过程中去。

【责任编辑：grace】