電腦病毒的起源
電腦病毒這個名詞,眾所皆知令人聞之色變,然而電腦病毒是如何開始被發展的呢?其實早在 1949 年,由 John Von Neumann 所提出的論文「複雜自動裝置的理論及組織的進行」文中,已經勾勒出病毒的藍圖,以當時的電腦技術,許多的電腦專家都無法接受這種程式能夠自我繁殖的說法。
後來有一位南加大的學生Cohen 在自己的Unix系統上寫出了一支能夠令系統當機的程式,並且以論文的方式發表出來。不久之後,美國貝爾實驗室的研究人員在閒暇之際,利用Cohen的理論設計了會吃掉彼此程式的程式,當作遊戲來打發時間,這遊戲的名稱就叫做磁蕊大戰 ( Core War )。這個遊戲是由雙方玩家各寫一支程式,將它放入一台電腦之中,使它們在記憶體中廝殺,有時它們會設下一些關卡來破壞敵方之程式,或者是停下來修理 ( 重新寫入程式碼 ) 自身被破壞的程式碼,直到一方完全被吃掉為止,此時具有繁殖能力的程式才算正式被開發出來。
然而真正具有侵略行為的病毒程式,是由一對巴基斯坦的兄弟所開發,名為C-Brain ( 大腦病毒 ) ,他們最初的目的並不是為了遊戲或惡作劇,而是為了要給盜拷他們所撰寫的程式者,一點小小的教訓,一旦有人盜拷他們的軟體,C-Brain就會吃掉盜拷者剩餘的硬碟空間,如此的技術越來越多加入開發,才成為今時今日我們所知的病毒。
病毒類型
以病毒的傳播途徑,我們大致可分為下列幾類:
開機型
一般來說,這種電腦病毒絕大部分都已經能夠被防毒軟體偵測出來,它的主要傳染途徑是以磁片及其他可開機的媒體作為媒介,利用使用者疏忽或者是不知情的情況下感染,因此只要讀取有毒媒體或利用有毒媒體開機,就有可能被感染,它會將自己載入記憶體當中,感染所有可能感染的儲存媒體,其中較具代表性的病毒有 Stone3 ( 米開朗基羅 )、C-Brain ( 大腦病毒 )、Hammer V ( 大榔頭 ) ...等等。
檔案型病毒
檔案感染型病毒是一種依附在可直接執行檔案或者是依靠應用程式,具有可執行屬性的檔案中,只有在您執行帶有該病毒的程式時才會發作,其中巨集及指令檔病毒也只有在您執行藏有它們的檔案時才會發作。隨著快速的進步,現今的病毒技術已經不只限於可執行檔,幾乎大部分的檔案類型都有可能被感染,甚至在某些情況下,連文字檔都成為被感染的檔案了。
近來電子郵件一躍成為病毒最熱門的散播管道,電子郵件中的附加檔案,因為傳播媒介的不同,而躲過防毒軟體的掃描,曾經一度造成許多企業相當大的損失,當然它亦是屬於檔案型的病毒,此類具有太多的病毒,值得一提的是,在最近所發現的CIH病毒,居然具備了寫入韌體 ( BIOS ) 的能力,使得病毒具有不只是攻擊軟體的能力,更進一能夠讓您的硬體無法動作。
電腦病蟲 ( Worm )
隨著網際網路的快速的發展,網際網路帶給人們及企業體相當大的便利性,利用瀏覽器上網找尋資訊,已經是現代人不可缺少的工具。企業利用它來增加產能,當然亦是病毒的最佳傳播管道,嚴格說起來它不能算是病毒,它並不會複製自己,傳播給其他電腦,而是利用網頁上的技術,以Java Applet 或 ActiveX 控制的方式呈現,利用您瀏覽某些懷有惡意網站時,在您的電腦內種下一支程式,供惡意的第三者能夠得到您電腦內的機密訊息,或者控制您的電腦從事攻擊 ( DOS,Deny of Service ) 大企業或國家重要機關的網站或入侵,以達成他們的目的,我們稱它為病蟲,最典型的例子就是「特洛伊」木馬程式 ( Trojan Horse )。
當然科技日新月異,病毒的技術亦是突飛猛進,我們無法預測還有多少病毒的種類會被開發出來,只能靠著防毒軟體的偵測技術與勤快的備份才是上上之策。
企業的防毒策略
在早期的電腦環境中,其實病毒並不是一個非常令人頭痛的事,只要我不用來路不明的磁碟片,基本上可以防止 80% 的病毒入侵,但是進入網際網路的新世紀,絕大部分的資訊經由網際網路取得,那麼更容易從網際網路上得到病毒,因此企業防毒策略的制定,更是絕對不能沒有的計劃。
閘道防毒機制
首先針對病毒可能會入侵的管道加以防堵,第一步就是企業的大門,在企業的區域網路中,閘道扮演了舉足輕重的角色,通常企業的閘道就是通往內部網路的門,或者是安全性更高防護措施更完善的企業網路架構中,會有一個非軍事區網路 ( DMZ, De-Militarized Zone ) ,在這個地方就是一個非常重要的部署防毒牆或者是防毒過濾軟體的地方。如(圖一)。
以閘道或是DMZ部分的部署,通常可以分為兩種模式,一種為閘道模式,也就是將防毒伺服器或是防毒牆 ( 例如McAfee WebShield e50 硬體式防毒牆 ) 當成內部路由器的部署方式,此種配置方式乃是將防毒閘道配置在防火牆裝置的內部或是所有內部主機系統的最外部,也就是防毒牆或防毒伺服器將成為名符其實的一個資料閘道 ( 有點像是路由器 ) ,如此一來所有進出企業體的封包,將一一被掃描過濾,一個都不會錯過。
我們以一般企業簡單的網路架構來說明,一般來說位在閘道的防毒機制,考慮到運作效能的問題,是不需要負責太複雜的防毒,通常是專門針對某些通訊協定加以偵測掃描,例如針對SMTP、FTP、HTTP 等通訊協定。在( 圖一 )的架構中,共分為兩個部分,由外部進來的封包,透過防火牆的控制,只能到達 DMZ 的部分,所有郵件都能夠被掃描偵測,並且能夠過濾垃圾郵件及防止郵件伺服器被來自Internet的使用 ( Anti-Relay ),因此針對郵件我們就有了第一層的保護。
而另一部份則是內部網路,基於安全的理由,一般在防火牆的設定是不允許直接由 Internet 前往內部網路的,因此這部分是針對客戶端電腦因瀏覽網站,或者是FTP站台所受到一些惡意站台的威脅,所做的防護措施因此針對來自Internet的威脅,我們就有了初步的病毒防護機制。
另一種模式則是代理模式,以如此模式建構的話,基本上防毒伺服器是以代理伺服器的型態存在。
如 ( 圖二 ) 所示,有可能因為使用者設定或其他因素,導致無法完全過濾進出的所有封包。
伺服器防毒機制
在企業體制之中,有著許多不同的伺服器提供著不同的服務,其中最容易遭數受病毒的攻擊的伺服器,首推群組伺服器以及檔案伺服器,檔案伺服器有著檔案集中的特性,提供企業體制中檔案儲存及交換的便利性,正是這種特性,更容易讓病毒有機可乘,更容易散播開來。
而郵件伺服器幾乎可以稱的上市現代企業的命脈,舉凡任何重要訊息透過電子郵件是最普遍亦是最方便的一種共通方式,所以也是病毒傳染最快的方式,但這不是全部,病毒不只是透過郵件傳遞達到散播的目的,更利用群組中的資訊共享機制,如電子佈告欄,共用資料夾等等的訊息共享機制來散播病毒,因此我們更應該針對所有可能的管道價以防護,這就是架構中的第二層防護。
客戶端電腦防毒機制
在整個網路的最末端,客戶端的電腦是企業網路中為數最多也是容易遭受到病毒感染的一個環節,而且並非所有使用者都具有病毒防治的觀念,因此在客戶端的病毒防護策略,除了必須考慮環境及病毒入侵的防護外,還必須考慮到人為因素及管理因素,在如此複雜的環境中,我們先從病毒可能進行感染的管道防堵。
首先針對一般感染路徑,檔案的存取及網路的存取,已經是一種基本應有的功能,它必須在幕後隨時監視及掃描您所存取的所有檔案,包含壓縮檔及較不為一般人所注意的office 巨集檔,以防止一般性的病毒威脅。在電子郵件的傳染途徑中,除了針對 SMTP 的通訊協定作保護外,還必須考慮到一些使用者必須由外部的郵件伺服器收取郵件,或者是下載網際網路上的檔案,因此在下載檔案的部分以及 POP3、MAPI 等通訊協定上必須加強防護。同樣的來自於瀏覽網站或者是利用FTP上傳或下載檔案也是必須防護的重點,如此構成了嚴密的三層病毒防護策略。
強大的管理機制
前面我們已經討論了關於防毒的三層架構,其中我們可以發現一點,當企業體制越大,所需要維護及管理的工作也越趨重要,維護及管理病毒防護機制是一件絕對不可缺的事,不然縱使您擁有全球最強的防毒機制,一樣形同虛設無法發揮它應有防治病毒的功能,因此在制定您的病毒防護計劃的同時,您必須考慮到針對所有防毒軟體或硬體,必須要具備易於管理及維護的特性。
想想假如您的企業規模是具有50台電腦的公司,也許您認為只要大約三個人就可以擔負所有的防毒軟體的病毒碼更新、病毒掃描引擎更新、以及照顧一些只會使用office的文書人員的防毒機制,但是這並不是一個永久的辦法,當您企業不斷的成長,終究會面臨資訊人員的負擔越來越重,但是效率卻越來越差窘境,因此把這些繁複瑣碎的事情交給電腦來管理,而您的資訊人員就能夠更有效率的完成其他您所交付的工作。此外具有強大的病毒防治研究中心,能夠為您的企業提供即時且最新的病毒資訊,也是您必須考慮的重點,如此才能周全您的病毒防護計劃,為您的企業帶來最完善的防護。
結語
病毒防護計劃在現今的企業體制中已經是不可或缺的事,如何運用最少的人力物力完成最大的防護效能,才是您考慮的重點,對於防毒軟體的選擇,我綜合了以下幾個重點提供參考:
- ●全方位的防毒功能,能夠考慮到所有可能的入侵管道;
- ●具有多層架構的防毒機制;
- ●易於集中管理及維護,具有自動更新升級的能力;
- ●中央控管的防毒規則,完全不需使用者設定,提高資訊人員效率;
- ●具有病毒防護統計報告能力,使您易於掌握整個防護計劃;
- ●強大的病毒防治研究中心;
在網際網路高度發展的現今社會,網際網路帶給人們更快速的資訊取得管道,同樣的也給電腦病毒具有快速傳播的能力,如今其危害已經不是只有個人,而是擴及到企業損失甚至於國家安全,如果您依然不重視這個問題,那麼所帶來的危害將是無法估計的。