【赛迪网讯】开篇语
网络上的病毒正在肆虐!病毒的传播速度越来越快,而且所造成的危害越来越严重!因此,我们需要网络防病毒产品来确保网络的安全。为了让广大网管员能够更好地认识网络防病毒产品,把网络防病毒产品选好、用好,《网管员世界》编辑部增设了《防毒先锋》专栏。在这个专栏中,我们将以连载的形式,邀请优秀的网管员现身说法,结合自己的实际工作情况,系统地介绍他们在杀毒防毒方面的先进经验和心得体会。本栏目欢迎有经验的网管员和我们联系或投稿。
在本期中,我们刊登中国社会科学院一位资深网管员的“防病毒产品的选型”经验。在接下来的两期中,我们还将介绍“防病毒产品的安装、配置和日常维护”和“病毒动态报告的制作”方面的内容。
浅谈防病毒产品的选型
中国社会科学院计算机网络除骨干网之外,又根据地理环境和学科划分的不同,下设八个局域网,我们称之为“片网”。我所在的“国际学科片网”即是这样一个拥有320个节点的局域网。为了提高网管员的管理水平,除了“走出去、请进来”的传统办法外,我们特别制定了《管理交流例会》制度,即定期请各片网管员来讲他们成功的经验和失败的教训。由于我所在的“国际片网”在防病毒方面相对来说颇有些特色,一度成为我们交流例会的热门话题。
防病毒产品选型中的“三要三不要”
1.要关注产品研发队伍的水平,不要片面追求产品查毒的绝对数量
据多家防毒产品厂家的统计,目前计算机病毒的总数已超过8万种。而根据最新《流行病毒统计表》(The WildList)统计,目前世界范围内流行的病毒是255个,地区性流行的病毒是638个,两数相加再除8万得出的结论是:由防毒产品厂家统计出来的计算机病毒总数中的近99%,是根本流行不起来也无法造成大面积危害的“实验室病毒”。
《流行病毒统计表》出自当今业界75个专家和机构的缜密统计报告,《统计表》的网址是http://www.wildlist.org/。该网站除按月发布《世界范围流行病毒表》和《地区性流行病毒表》外,还详细介绍了75个相关专家、机构的信息,遗憾的是,在这份专家、机构表中还没有中国人的身影。
权威的“VB100%奖”的主要检测依据就是这个《流行病毒统计表》。“VB100%奖”不分名次,更像是民间的行业准入证,产品包装打上“VB100%”的标记就会身价倍增。“VB100%奖”的网址是http://www.virusbtn.com/。从该网站上可以按卖方、系统平台等检索条件查阅最新的评测结果。
上面谈到的多为产品的外在因素,用户最应关注的还应该是产品的研发队伍。美国网络联盟(NAI)公司的“反病毒紧急响应实验室”(Anti-Virus Emergency Response Team , AVERT)就是这样一支队伍。他们为自己制定了一个极具挑战性的“逐日策略”(follow the sun),该策略对中国人不用解释,肯定出自我们的“夸父逐日”。实验室的工作方式用一个数字串—”24/7/365”来表达,即每天24小、每周7天、每年365天连轴转。他们追求的目标是在用户遭遇病毒的第一时间,甚至之前,将病毒定义文件交到用户手中。正是由于AVERT的成功运作,使NAI公司的McAfee系列产品长期占据企业用户市场的首位,其市场份额一度超过40%。
2.要关注产品对病毒的监控深度,不要片面追求产品升级的绝对时间间隔
从病毒的发展速度和流行状况来看,盲目追求病毒定义库升级的绝对时间间隔已经毫无实际意义,而只能是徒增用户,特别是网管员的工作负担,降低他们的工作效率,这一点我深有体会。我曾经一度终日忙于防病毒服务器的升级和客户端是否升级到位的检测,忽略了对流行病毒信息的采集,所以当恶性病毒到来时,工作效率恰恰是事倍功半。
以当年的SirCam病毒为例,SirCam自身携带SMTP引擎,感染者疯狂对外发送大量垃圾邮件,当时只是两三个感染者就造成了我们局域网自身邮件服务器的阻塞。更可怕的是SirCam垃圾邮件对外造成极坏影响,我们的邮件服务器甚至被列入黑名单。由于局域网内的地理环境限制、员工作息时间的限制、管理制度不完善,就是我终日忙于防毒产品升级检测也无法做到万无一失。之后还是通过对SirCam的深入了解,对症下药,为邮件服务器添加必要的过滤条件,才阻止了SirCam垃圾邮件的传播,以良好的自律形象使一度中断的邮路重新开通。
防毒产品真正见功底的是其病毒报告,下面我就来介绍一下美国赛门铁克公司反病毒中心(AVCENTER)关于”大无极”(Sobig.F)病毒的报告。该报告比较有代表性,读者可以举一反三。该报告网址在http://securityresponse. symantec.com/avcenter/venc/data/w32.sobig.f@mm.html。报告分概况、危险评估、技术细节、建议和清毒指导五部分。
概况部分像多数病毒报告一样表述了Sobig.F病毒的主要特征和感染对象,因为该病毒的传播途径是通过自身SMTP引擎群发带毒邮件,报告特别罗列了带毒邮件在主题词、信体和附件中的详尽特征,以便网管员在邮件服务器上做过滤。同时指出该病毒具有地址欺骗性,即甲方用乙方的地址给丙方发信。概况的末尾部分特别提请网管员注意,该病毒虽然已于2003年9月10日停止发作,但仍可通过黑名单上的恶性服务器升级变种。
1
2
3
下一页>>
