关于五层保护企业邮件五个步骤

  鉴于众多类型的恶意软件对因特网虎视眈眈，企业需要加强邮件安全保护机制。多层防御不是出于多疑，而是出于谨慎。 

    (如右图)在美国，一些公司正在采用多达五层的保护措施，以期将垃圾邮件和病毒阻挡在 企业邮件系统之外。

2001年“尼姆达”蠕虫病毒爆发时，阿灵顿的弗吉尼亚医院中心（VHC）成了众多受害者之一。这个蠕虫破坏服务器、删除数据，迫使VHC聘请顾问进行处理。IT主管Mark Rein在“尼姆达”爆发后一年加入了VHC，他说: “该蠕虫删除了文件，导致几台服务器陷入瘫痪。我们只好请来专家，才算消除了病毒。”

    幸好，病毒没有攻击病人的数据。不过确实起到了提醒作用，让VHC明白: 它需要更有效的电子邮件安全。没有什么所谓的高招可以阻止所有病毒以及同样有害的垃圾邮件，于是VHC采用了多种相互交错的防御机制。

    如今，这家医院受到了五层防病毒和防垃圾邮件防御机制的保护: 阿拉丁公司名为eSafe的电子邮件转发和防病毒产品; MailFrontier公司的防垃圾邮件和防病毒设备; 电子邮件服务器和桌面机上采用了赛门铁克公司的防病毒软件; 以及Websense公司用来监控HTTP流量、防止员工无意中从网络下载病毒的Web过滤器。最后，医院还使用了Juniper Networks公司的入侵检测和防御产品，提醒IT人员注意网络流量的异常情况，或者是系统上的未授权软件。

    听上去是不是觉得太多了？在恶意软件攻击肆虐的这个时代，这种多层防御机制其实并不是出于多疑，而是出于谨慎。

    旧金山的Ferris Research调研公司曾在今年3月发布了一份报告，防病毒软件厂商们说，当时存在的病毒将近10万种，而且这个数字在逐月增加。芬兰赫尔辛基的防病毒产品厂商F-Secure公司强调，在高峰时期，因2004年规模最大的病毒: MyDoom.A迅速增加的电子邮件占到了全球总量的近10％。

    另一个问题是间谍软件和广告软件，这种小程序能够把自己安装到PC上，然后发布广告; 如果是间谍软件，它还会跟踪用户活动。这类程序可能会来自极其无辜的地方。譬如在去年秋天，美国能源部在新墨西哥州卡尔斯巴德的办事处因员工的PC上突然出现大量弹出来的色情广告而动弹不得。信息系统网站安全经理Paul DeVito说: “我们不知道怎么会沾上来自成人网站的所有这些流量。”他的人员最后查到了是能源部使用的某个气象网站被黑客攻击了，结果把X级的广告软件下载到了访问者的PC上。

    除了降低生产力外，广告软件和间谍软件还会导致更严重的计算机安全问题。Ferris Research的高级分析师Chris Williams强调: “它们会导致PC不稳定、网络运作陷入崩溃、性能降低。还能够记录击键内容，然后把这些内容返回给某网站，结果你的网络登录信息就被窃取了。”

    那么，公司如何保护服务器和桌面机、免受这种势头越来越凶的恶意软件呢？专家们说，首先要对员工进行垃圾邮件和病毒方面的教育。但光靠教育还不够，还需要技术。以下是防范恶意软件的五个步骤:

一、限制用户特权

    波士顿扬基集团的分析师Andrew Jaquith说，用户桌面机上的系统特权越少，病毒和间谍软件获得控制权的机会也就越小。他说: “公司之所以会出现间谍软件问题，最主要的原因是用户特权设得过多。”

    IT人员还可以决定封阻某些类型的附件，譬如可执行文件或Zip文件; 禁止对某些网站进行访问。能源部在卡尔斯巴德的办事处现在使用Websense软件来封阻对含有大量广告软件和间谍软件的网站（如赌博网站）进行访问。它还依靠Tumbleweed通信公司的电子邮件防火墙，该防火墙内置了McAfee公司的防病毒和间谍软件过滤等工具。

二、及时打上补丁

    不管你已有了多强的防病毒保护机制，安装补丁和更新版本都是至关重要的。譬如说，纽约州福里斯特希尔斯的捷蓝航空公司拥有多层防病毒和防垃圾邮件防御机制，不过其IT人员也及时打上新的安全补丁。捷蓝航空公司的IT电子邮件系统管理员Lesen Wang说: “就算有防病毒程序，病毒照样能长驱直入。”譬如两年前，捷蓝航空公司的桌面机遭到了“冲击波”病毒的感染，原因是这些机器没有打补丁。而这家航空公司的服务器因定期接受更新版本，所以没受到感染。

三、改用替代电子邮件软件包

    虽然非标准软件（即不是微软的软件）无法保证免受病毒的侵袭，但可以减小遭到病毒编写者攻击的可能性。譬如说，犹他谷州立大学的网络系统管理员Brett McKeachnie声称，学校原先使用微软的Outlook，直到安装了犹他州林登Avinti公司的电子邮件安全产品iSolation Server后，才认识到原来在遭受病毒的袭击。不过改用Novell公司的GroupWise后，就从来没遇到过病毒问题。

    McKeachnie说: “Avinti用iSolation Server对进出邮件进行检测后，我们才发现居然有四五十个病毒在袭击该过滤器。”不过，不是犹他谷州立大学的每个人都在使用GroupWise——有些人使用Outlook，所以学校仍然易受病毒还有垃圾邮件的攻击。

四、建立多层防御

    防病毒和防垃圾邮件保护方法有好多种，但没有一种是百分之百有效的。专家们说，所以使用两种或多种方法才是有效的办法。

    阻止垃圾邮件的技术包括: 使用包括垃圾邮件发送者的网络地址的黑名单。使用口令发问/应答策略: 试图通过要求可疑发送者重新发送邮件来识别垃圾邮件发送者。这种技术基于这样的假定: 垃圾邮件自动发送程序不会答复。另一个办法就是贝叶斯过滤器，它有“学习”能力，通过IT管理员或者最终用户输入其中的样本，来识别垃圾邮件。然后，过滤器就使用概率分数，来确定电子邮件是否可能是垃圾邮件。

    基于病毒特征的扫描是识别病毒的最常用方法，但如果出现了一种全新的病毒，这方法就不管用了。基于病毒特征的扫描产品存在的最大问题就是“零小时”问题: 新病毒首次发布与防病毒软件厂商发布补丁更新版本之间的时间间隔，尤其是因为这个间隔会长达8小时。如果公司完全依靠基于模式的防病毒保护，这个期间就容易受到新病毒的攻击。

    试图缩小这种时间间隔的一种方法就是封阻技术: 一旦检测到任何新病毒的活动，它就会关闭对某些系统的访问。譬如说，虽然捷蓝航空公司已使用趋势科技公司的基于病毒特征的ServerProtect，但它还是决定增加IronPort Systems公司的C-Series防病毒和防垃圾邮件设备，该设备包括了名为未知病毒过滤器（Virus Outbreak Filter）的一种封阻技术。如果过滤器根据IronPort的电子邮件监控网络提供的数据，检测到新爆发的病毒，它就会把可疑电子邮件隔离起来。

    封阻病毒的另一个办法就是启发式扫描，这种方法检测病毒的方式是通过分析文件的结构、行为及其他属性，而不是寻找代码里面的匹配模式。

    专家说，归根到底，两种或多种防御技术——无论是不同产品还是结合在一个产品里面——的效果要好于单单一种。

    正如使用两种防病毒或防垃圾邮件能够提高逮住恶意软件的机率那样，把防御产品安装在网络上的不同地方同样可以提高这种机率。防火墙、SMTP网关、HTTP网关、电子邮件和文件服务器以及桌面机都是应该注意防御的地方。

    加州阿苏萨的全美树苗和鲜花批发商Monrovia Nursery 最近增加了第四层安全: 加州帕洛阿尔托的MailFrontier公司的防垃圾邮件和防病毒网关。这个新网关为封阻VB脚本等附件的现有防火墙和电子邮件服务器与桌面机上的赛门铁克防病毒软件起到了补充作用。Monrovia的信息系统技术经理Ray Martin说: “这是另一层保护。说到电子邮件安全，冗余性和多样性是好事。”

    Ferris Research的分析师Richi Jennings说，多层防御的主要目的是，顾及到病毒可能进入的所有点。他说，许多公司往往以为自己不受病毒的攻击，而实际上疏忽了某个重要的入口点。 他还说: “你可能觉得自己的架构很干净，网络边界处在进行病毒扫描。但如果你忘了某个途径，譬如感染有病毒的便携式电脑接入公司网络，那么就因为你没有在桌面机上安装防病毒软件，突然会有许多机器被感染。”

五、借助外部服务商

    如果你想要多层防御机制，又不想购买一个个产品并加以实施，外部防病毒和防间谍软件服务商也许是个办法。像Message－Labs和Postini这些公司在把电子邮件发送到你的电子邮件服务器之前，能够截获并清除掉邮件里面的病毒和垃圾邮件，因而你就不必承担扫描及处理自己的电子邮件所需的软硬件费用。

    因特网服务提供商可以为企业客户提供防病毒和防垃圾邮件过滤服务。譬如，鞋子生产商和零售商Bata国际公司旗下的Bata加拿大公司的病毒和垃圾邮件过滤就是由其在安大略省马卡姆的服务提供商Pathway通信公司来处理的。

    据Bata的IT技术支持经理Eli Gabbay声称，这种方法的一大优点就是能够把部分管理事务交给Pathway去处理。他解释道: “我发现，防垃圾邮件和防病毒软件非常复杂，单单维护就够我忙的了。现在，我只要把进来的任何垃圾邮件扔入文件夹，Pathway会把它添加到其数据库里面。”

    防病毒服务商通常使用基于病毒特征的扫描，结合其他方法来尽量提高成功率。它们能够在电子邮件发送到客户的服务器之前先加以清理。有些用户还求助于防病毒和防垃圾邮件服务提供商，以便在到达防火墙之前先清理电子邮件。

    灵智广告公司是总部设在纽约的一家国际广告和营销公司，旗下有233家广告公司，它曾求助于总部设在纽约的MessageLabs，帮助应对数量越来越多的垃圾邮件，因为它的电子邮件服务器有可能因而不堪重负。CIO John Tanner说: “我们收到的垃圾邮件比合法邮件还多。势态发展到了严重地步，到去年8月，我们准备把硬件再增加33。”

    灵智广告公司尝试利用黑名单在防火墙封阻垃圾邮件，但如果潜在客户的地址或者电子邮件服务器已被垃圾邮件发送者劫持，这办法有时候会导致潜在客户的邮件被封阻。于是这家广告公司试用了MessageLabs的服务，得以清除垃圾邮件和病毒之后，再发送干净的邮件。

    当然，该公司仍使用服务器和桌面机上的防病毒软件以确保安全。不过迄今为止，垃圾邮件已经不再是问题。Tanner说: “我没有必要管理任何硬件或软件，也没必要为因为垃圾邮件增多而升级硬件而烦心。对我们来说，垃圾邮件已从地球上彻底消失。”（沈建苗编译）

链接

你知道自己的计算机在干什么吗？

    你的PC被人暗中利用了吗？如果你不对它们加以保护，以防御病毒，它们可能会成为自动程序网络即机器人网络的一部分。病毒编写者构建自动程序网络的手段是，先接管上百台或上千台PC，然后垃圾邮件发送者利用这些PC发送大量的垃圾邮件。

    据Ferris Research声称，这是以下这种让人担心的趋势的结果: 垃圾邮件发送者和病毒编写者相互勾结。病毒编写者编写恶意软件是为了感染用户、服务器和桌面机。然后，这些僵尸网络租给垃圾邮件发送者。因为垃圾邮件来自多个地址，而没有一个真正属于垃圾邮件发送组织，所以不可能查到垃圾邮件的真正来源，惩罚垃圾邮件发送者也就无从谈起。相反，不明真相的受害者突然发现本组织的电子邮件域已被列入黑名单。

    除了在PC上实行防病毒保护、过滤进入的电子邮件附件外，过滤外出电子邮件也是明智之举，这样你就可以知道公司内部是不是可能被自动程序网络感染了。

,