病毒蠕虫肆虐 企业如何逃离困扰(2) 保护电子邮件服务 邮件服务器显然在任何网络中都是一个容易遭受攻击的环节。文件系统扫描程序虽然可在系统被写入时抓到讯息文件,但是更好的方法是使用防毒解决方案来对邮件系统信息进行扫描。有一些防毒解决方案能够直接对于ExchangeServer进行防护,扫描接收到和发送出去的信息。如果还有其他的邮件服务器,或者你希望在邮件到达你的邮件服务器之前就进行扫描,那么SMTP闸道扫描器就成为了一个不错的选择。 另外一个重要的建议是不要单靠单一解决方案。使用多个厂商的多种扫描引擎能够加强防护的效果。某一个带有病毒的信息可能能够在某一个扫描引擎蒙混过关,但是要想混过第二关甚至第三关,可能性就小得多了。使用多个扫描引擎还能够防止出现针对某一个产品出现的阻断服务攻击(DoS)。你可以使用某一个厂商的SMTP闸道扫描器,而选择另一个厂商的解决方案安装在你的电子邮件服务器上。 在你的电子邮件服务器上安装的防毒解决方案应该不仅仅扫描发现那些被病毒感染的文件。重要的是,它还必须能侦测漏洞滥用与脚本扫瞄、并能够对付奇怪的MIME标头,或者其他利用电子邮件软件或服务器操作系统漏洞的攻击方法。 发出的信息也应该接受检查 除了扫描接收到的信息,你还应该考虑扫描发出的信息。在发出的信息中如果夹带了被感染的附件,那就说明至少有一台用户端中标。你还应该使用一些管理员控制的附件管理工具来阻止某些高风险的文件类型进入或离开网络。微软Outlook的扩展电子邮件安全性升级(Theextended e-mail security update for 微软Outlook)为微软Outlook提供了增强的安全保护,包括附件控管。针对Outlook 98也有相应的安全升级。ExchangeServer管理员可以使用Outlook E-mail SecurityAdministrativePackage来配置附件控制选项,并且规定哪些应用可以存取用户通信录,发送信息以及完成其他动作。 升级和修补程序 除了考虑闸道和服务器解决方案,你还应该把电子邮件用户端升级和安装修补程序软件作为防护工作的重要一部分。配置Outlook安全升级是一个选择,还可以升级到最新的Outlook版本。如果你的公司使用的是Outlook EXPress,你应该使用Outlook Express Security Patch,它具有和Outlook 安全升级相似的功能。OutlookExpress 修补程序还能够解决其他一些问题,包括利用OutlookExpress 邮件标题造成的buffer overflow问题。 如果你使用Outlook Web Access(OWA )来远端存取ExchangeServer,你也应该考虑升级到Exchange Server 2003. 最新的版本加入了OWA的附件阻挡功能。扫描接收到的SMTP通信是良好的第一步,但是SMTP不是网络攻击唯一使用的协定。要选择那些能够扫描FTP、HTML和POP3以及其他协定的防毒产品。 保护用户端 即便你采用了服务器级或者闸道级的解决方案,在用户端对于电子邮件进行扫描也是减少潜在病毒或蠕虫威胁的好方法。在客户端层级进行扫描也给了你部署另一个不同的扫描引擎的机会,来自不同厂商的产品会给你带来多方面的防护。 对于用户端防毒解决方案,有两种形式的产品可供选择:集中管理式和分散管理式。在分散管理模式下,每个客户在自己的工作站上独立地进行配置和管理。这些工作包括升级病毒信息,排除文件和其他一些设置。在集中管理的模式下,管理员通过一台中央服务器来对所有的工作站进行配置和管理,升级文件可从服务器发送到用户端(或者按照事先的规定时间,由用户端自动地从服务器端获取)。 两种模式都是行之有效的;选择哪种模式取决于你希望由谁来完成管理和配置的工作。不过我总是认为把使用者从这些工作中解放出来是一种更好的方式,让系统管理员来对每一台工作站上的防毒软件进行管理和配置,这样就能让终端用户不用再对此操心了。
