【导读】51CTO.COM特推出病毒管理系列技术沙龙,本次系列沙龙将分三次进行,第一场活动的主题是:“从国际顶尖安全企业的防毒体系学习企业病毒管理”。趋势科技专家陆亚林先生以现身说法的方式,给大家讲述了趋势科技作为一个全球化的安全公司,自己是怎么样做内部的病毒防护和安全管理的。并以实例讲述了任何企业都有可能爆发安全事故,必须防患于未然。
陆亚灵:感谢各位今天来和我交流防病毒的使用和实现自身的防病毒管理的。我这边主要是分两个部分的内容。第一部分首先介绍一下目前我们常见的问题,网络安全的现状;第二个部分主要是和大家探讨一下,介绍一下我们公司自己的安全策略的管理,如何来实现防病毒的管理。很多人都想要去了解,本身厂家是做防病毒软件的,自身有没有中过病毒,或者自身内部是怎么管理的,这个也和大家进行简单的探讨,各位有什么问题可以随时提问,或者传小纸条上来也可以。
首先是介绍网络安全的现状。因为时间有点紧,我这里就是简单的过一下。主要这样看,一个是目前病毒的现状,然后是我们目前面临的挑战,最后这两个部分就是有一个实际的案例,可以和大家简单的交流,最后是我们配件的比较好的如何去做防护拉。
首先来看安全管理的趋势。首先就是我们安全漏洞的变化,以前的话漏洞都集中在主要的应用服务器,我们会知道一些核心的服务器会有漏洞,现在这个趋势发生了一些变化,所有的终端都会有补丁的存在,补丁管理不仅是针对大型应用和网络主机,现在终端客户机上每天也都面临补丁管理的问题。我不知道在座的各位对补丁管理有没有好的想法,这个是非常非常重要的,因为就目前的现状来看,你如果补丁管理做的比较好,相对而言你的防病毒管理的任务就轻一些。因为现在很多木马也好、蠕虫也好大部分都是通过漏洞来感染客户端的系统从而攻击网络的,这个是我们目前安全漏洞的趋势。
我们可以来看恶意代码、漏洞越来越多,我们的垃圾邮件和间谍软件也越来越多。我们最近,2006年上半年有一个统计数据,目前热门的安全事件已经集中到木马、蠕虫,蠕虫已经慢慢降低了,木马是最厉害的,还有就是恶意软件、浏览器的插件,这个已经非常厉害了,各位如果在公司内部做网管应该有所体会了,大部分的用户或多或少都被感染过网页的病毒和浏览及的恶意插件和一些网银的盗号和木马的QQ盗号器、传奇的盗号器,很多,非常普遍。这是我们目前发现的问题,和两三年前大量的蠕虫已经不太一样了。
还有一个问题,是不是防病毒软件总是滞后于病毒,和刚才网友问的类似。这是很多人关心的问题。你可以拿到很多的答案,从最根本的原理来说,防病毒软件始终是滞后于病毒的,病毒先出来才会有防病毒软件,我们有智能手段可以找到共通性的东西,从大的原则上来说也是病毒在先,防病毒软件在后。我们的已知问题是比较容易解决的,未知问题是难以解决的。
这边就是新的趋势,我们目前的防病毒所面临的困境,一个就是一旦有漏洞出来以后就会有新的病毒与它相关,对应起来传播,还有就是有针对性的攻击,比如说针对应用软件,专门盗号盗密码的,蠕虫病毒根据网络来分布节点感染你的客服机,特点就是有利益的驱动,为什么盗号器这么厉害?因为可以把这个帐号拿来之后在网上进行交易,这就是为什么这近一两年来木马层出不穷,非常非常多,甚至在木马丢出来前会把所有的防病毒软件最新的版本扫一边,被抓住就没有意义就不扔出去了。防病毒厂家怎么应对这个措施?管理员面对这种变化怎么处理?
这个是一组数据,在06年身份窃取,据FBI的调查,05年关于计算机的间谍软件和有相关犯罪导致企业的损失是相当巨大的,在座的各位的网络中可能也发生过这样的问题。在去年由于网络病毒的事件导致计算机停机或者是应有软件的停止,网络的中断等。目前木马这么厉害,有一些根本原因就是金钱利益的驱动,当用户知道被攻击的时候为时已晚,亡羊补牢已经晚了,损失已经造成了。有针对性的攻击使得我们目前的情况非常严峻。传统的防病毒方法可能已经显现出一些劣势,我们没有办法跟进和补足。这边就是我们面临的挑战。问一个问题。我们在座的各位大概平均会花多长时间会在防病毒的工作上?
现场观众:一半以上。
陆亚灵:那效果呢?困扰我们最大的问题是什么?
现场观众:杀了它还出来。
陆亚灵:这也是一个现象。这是IDC05年的调查,无论企业的大小,防病毒软件投入的部署比例是最高的,几乎所有的企业都有,这里有没有公司里不用防病毒软件的有吗?(全场笑),基本上没有了,所有的公司里都部署了防病毒软件,这里有没有部署了防病毒软件之后没有病毒的?也没有。实际上大家看这边,实际上最大的威胁是什么?病毒、蠕虫和木马也是高举榜首,这是很奇怪的现象。我花了最多的时间和精力来做这件事情,但是效果是最差的,有没有这样的感受?有没有考虑过为什么?好像是很矛盾的东西,我花了最多的精力效果应该是最好,我学数学时间最多,数学应该最好,语文也是这样。但是我花时间做防病毒的工作,但是问题还是最大。当然这里有很多因素,我提一些自己的看法,和很多网管交流的感觉。实际上防病毒不是说装一套防病毒软件就可以万事大吉了,防病毒涉及到太多的东西。一个你自身网络系统和架构是不是合理。比方说你发现一台机器中毒了,你能不能找到这台机器,有的是定IP的,目的就是我们发现它之后能不能找到,追踪到这台设备,这是最基本的,追踪到设备只是第一条。然后我们再来看其他问题,你有一个策略部署下去,我们要求公司里按照统一的域名装机器,但是效果怎么样,你发现下面的客户是不是按照你的要求去做?我要求装软件和打补丁,效果怎么样?很多的问题可能都导致出现这种情况。不是说这个防病毒软件不好,或者这个防病毒软件好就会有好的效果或者怎么样,因为你和别人聊天的时候就会问人家,你们公司用的什么防病毒软件?他说我们用的是瑞星的,有人说是趋势的。效果怎么样?趋势烂、瑞星烂,但是有没有更好的?我们自己内部是怎么做的?当然我们不是做的最好的,但是提一些经验给大家,看能不能相互借鉴一下?
