【赛迪网讯】五一期间,利用微软系统漏洞进行传播的“震荡波”蠕虫, 在Internet上全面爆发,致使无数终端计算机系统陷入瘫痪。冠群金辰公司在节前就发布蠕虫攻击预警,并且通过公司技术支持中心专线通知所有的客户进行微软补丁程序下载与安装。并通知注意及时升级Kill杀毒软件和KSG过滤网关的特征库。公司研发中心于5月1日凌晨,及时升级了病毒代码库、蠕虫特征库。紧接着在今天(2004年5月8日),公司正式发布其全面安全解决方案旗舰产品之一:KSG过滤网关 4.0版。
KSG过滤网关是冠群金辰公司自主研发的新一代过滤网关,其独特的抗蠕虫攻击技术(Anti-Worm),能够全方位抵御所有已知蠕虫病毒的攻击和传播行为,填补了信息安全界的空白,具有查杀病毒、抗蠕虫攻击,防垃圾邮件以及内容过滤四大功能。
目前“震荡波”蠕虫主要在Internet上肆虐,利用Windows平台的Lsass漏洞攻击Windows 2000/XP/Server 2003的操作系统。业内专家预测:节后该蠕虫有可能通过邮件和共享目录的方式攻击企业内网,从而进一步扩大病毒的传播感染区域。届时,所有微软操作系统将无一幸免。KSG最新版本在节后第一天及时发布,旨在支持众多企业网管员, 帮助他们赢得宝贵的时间,从容应对企业网中庞大的杀毒及打补丁工作。
继去年的SQL Slammer、MS Blaster、Sobig,到今年的MyDoom、“震荡波”,公安部已经把抗蠕虫攻击功能作为衡量杀毒产品的最高等级。KSG过滤网关独有的Anti-Worm技术能够主动防杀蠕虫攻击,是目前国内唯一满足公安部最高级别标准的安全产品。!
病毒、蠕虫,两个祸害
孙子兵法曰:知己知彼,百战不殆。了解敌手是克敌制胜的重要先决条件。目前公众乃至业界对蠕虫和病毒的理解不统一,一般将两者统称为病毒。随着蠕虫和病毒的危害趋于加剧,我们有必要将二者区分开来,按照各自的特点进行各个击破。
计算机病毒和蠕虫有多种定义。为了更好地区分二者,根据RFC以及Eugene Spafford的定义,蠕虫的特点是:可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的计算机上。而计算机病毒则是一段代码,能把自身加到其它程序包括操作系统上,不能独立运行,需要由它的宿主程序运行来激活它。目前,随着电子邮件系统的广泛应用,利用电子邮件作为主要传播载体的病毒越来越多,并且造成了极大的危害。所以,我们可以将病毒进一步细分为邮件病毒和普通计算机病毒。示例如下:
蠕虫:Morris, Codered, Nimda, SQL Slammer, MSBlaster
邮件病毒:Mellisa, Loveletter, Sircam, Sobig, Mydoom
普通计算机病毒:CIH
蠕虫和邮件病毒具备的相同之处就是具有极强的传染性。设置后门程序、发动拒绝服务攻击等也往往成为二者的重要行为特征。
针对此次的“震荡波“,冠群金辰安全专家做了说明,是一个典型的蠕虫。以往,人们运用的传统的防杀蠕虫的方法,大多是通过升级静态的传统病毒库以及在用户终端打补丁和提供杀毒产品等方式,然而对于企业级用户来说,这种方法远远不能够切实有效的彻底阻断蠕虫的传播。
网关防护 势在必行
“震荡波“出现后三天内,迅速出现了三四个变种,而且攻击速度越来越快。面对这类攻击型蠕虫,静态病毒库升级只是亡羊补牢,手工打补丁更是令人疲于奔命。冠群金辰的安全专家们对此进行大力呼吁:倡导“立体防毒”。专家介绍说,全面防止蠕虫和病毒的危害至少需要以下的几种技术:
1)通过电子邮件方式传播的病毒在网关处的识别和阻断,主要是切断邮件病毒的传播途径。在传统的防病毒网关中体现;
2)对蠕虫传播时采用的攻击手段进行识别和阻断,切断蠕虫的主要传播途径。在抗蠕虫网关如KSG4.0中体现;
3)对蠕虫和病毒留下的后门程序的活动进行识别和阻断,在抗蠕虫网关如KSG4.0网关中体现;
4)对病毒和蠕虫造成的大量垃圾邮件进行识别和过滤,在具备强大抗垃圾邮件功能产品如KSG4.0中体现。
KSG,抗蠕虫、防病毒网关
全球著名的信息安全教育机构SANS Institute将抗蠕虫(Anti-Worm)解决方案和防火墙、IDS等并列为安全技术中的一大类。但是目前国内能够实现抗蠕虫以及邮件病毒防范的产品只有冠群金辰公司发布的KSG(KILL Shield Gateway),该产品被认为是第一个抗蠕虫和病毒的网关。
KSG独有的抗蠕虫攻击技术(Anti-Worm)能够全方位抵御所有已知蠕虫病毒的攻击和传播行为,具有防杀蠕虫,防杀病毒、防垃圾邮件、内容过滤四大功能,填补了信息安全界的空白。经过两三年的开发应用,KSG系列产品已经在多个领域被广泛使用,得到了用户的支持,其特点如下:
1)独有的Anti-Worm技术能够主动防御蠕虫病毒引发的病毒传播、后门漏洞、入侵行为以及DoS攻击等
2)具有极高的处理能力,支持百兆和千兆网络环境,确保不成为网络瓶颈
3)具有优秀的病毒和蠕虫检测和清除引擎,获得ICSA、美国西海岸实验室、病毒公告板等国际权威机构认证
4)采用专用安全操作系统,杜绝安全隐患
5)透明桥式接入网络,即插即用,使用和管理方便
该公司病毒研发中心安全专家介绍,针对此次爆发的“震荡波”的特点,冠群金辰提出了“静态传统病毒库”与“动态入侵库”相结合的方式,来实现对用户提供了双重保护。在震荡波样本分析基础上,冠群金辰在升级KILL防病毒产品的病毒代码库的同时,迅速升级赤霄过滤网关系统。对于使用冠群金辰赤霄过滤网关(KSG)的用户来说,只需直接升级KSG产品,即可在网络边界处阻断“震荡波”的传播。
(责编:梁媛)
