趋势科技公司防病毒体系剖析(2)

作者: 陆亚林 出处:趋势科技　 (  ) 砖  (  ) 好  评论 ( ) 条 　进入论坛

更新时间：2006-09-01 16:20
关 键 词：趋势科技  防病毒体系剖析
阅读提示：51CTO.COM特推出病毒管理系列技术沙龙，本次系列沙龙将分三次进行，第一场活动的主题是：“从国际顶尖安全企业的防毒体系学习企业病毒管理”。趋势科技专家陆亚林先生以现身说法的方式，给大家讲述了趋势科技作为一个全球化的安全公司，自己是怎么样做内部的病毒防护和安全管理的。并以实例讲述了任何企业都有可能爆发安全事故，必须防患于未然。

我给大家讲一个案例。这是一家石油公司的，是一家非常非常大的石油公司。它在东南亚有大概3万个员工，是全球性的公司，在全球各个点都有办事机构，有30多个分布。这家公司应该是在去年出了一个问题，在公布财务报表的前一天公司内部网络病毒爆发，这个影响是非常严重的。我们来看当时的情况。整个爆发的过程。首先是有攻击者在内部的某些机器里种了一些木马，这些木马就从网站上下载东西，这些木马逐步的传播到内部的机器上去，内部的机器也去访问了恶意的URL，把蠕虫下载到本地，下载到的蠕虫和木马又扩散到其他机器上去，起因很简单，就是一台机器中了木马。中木马的原因很多，我们自己有很多经验，我们公司的木马是怎么进来的？很少有公司没有碰到木马的问题，大部分公司都碰到过，木马是怎么进来的？绝大多数都是员工自己下来的。防火墙的技术很成熟，不可能黑客越过防火墙种下来，大部分都是下载的。你可以问一个问题，这个机器总是中毒，你说这个防病毒软件不好用，但是有没有反问过为什么中毒，有很多原因组成，不仅是防病毒软件和计算机的问题，计算机的使用者本身有很大的责任在。
我们看它当时处理得流程。当它发现第一个病毒，识别出来，采集样本，提交到样本库，拿到反病毒的特征，部署的特征，整整花了好几天的时间。这就是刚才网友问的问题，你发现一个病毒到给出一个解决方法要多长时间，因为这边是传统型的架构，我们花了七天的时间才解决掉，这个影响是非常非常大的。我不知道各位的实际经验，网络内部有病毒爆发要花多长时间。我记得在03年CKO病毒爆发的时候，很多的IT都连日连夜的干，甚至有的连干48个小时，我非常佩服，非常的辛苦。这主要是一个混合型的攻击，用木马和蠕虫进行网络信息传播，首先是用一个木马丢到内部的及其，通过蠕虫的方式进行传播，然后又从外部网上下载病毒下来，本身就是一个完全混合型的攻击。
在处理得时候没有一个单一的方法直接把它拿掉，传统的防病毒方法对目前的感染和攻击起的作用不是非常大。我们就要看一下什么样的体系架构是比较好的，比较容易解决这些问题。首先就是你要有很好的防御体系，用户第一个病毒出来的时候你要能知道，要知道怎么去处理，当病毒爆发的时候你要有相关的策略去执行。我现在告诉你有10台机器中毒了，你怎么办？你有没有策略，要找哪个供应商，他花时间解决这个问题大概需要半天的时间，可能会恢复起来，会中断一天的工作，你是不是有把握和信息，有的人说中毒了不知道，就关掉所有的机器，这是最坏的方法。要最早的发现问题，提高终端用户的意识，这样才能缩短病毒爆发时对网络的影响。
这里有一个发现处理的流程，就是尽可能的在用户那边发现问题的时候就及时把样本收回来，一个是收集一个是提供解决方案。一旦病毒发生的时候我们就收回来，这样就起到全面综合管理，把所有的情况全部掌握在自己的手里，最后还有一个根本原因的分析，就是整个一套这样的东西，这个东西实际上我们现在是在做一些技术性的探讨，来看是不是有可能帮用户来实现这样的问题。在这样的架构体系下我们希望用最短的时间来给用户提供一些方案，比如说我们可以帮你实时的来看网络病毒的状况，哪台机器中毒了，你要有个性化的黑白名单，哪些软件在公司网络内部是允许使用的哪些是不允许使用的，这些东西我们都需要有严格的限定和策略。
然后再花点时间给大家介绍一下我们公司内部的安全实践。首先第一个就是策略。策略是第一位的。我们说在做任何安全管理的时候必须要有策略，要明确清晰，策略要被大老板支持。我们这边自己内部没有明确策略的公司有吗？就是关于计算机防护这一部分的，终端管理。可能有一些事实策略，大家都遵循下来的，可能不成文，也不部署，员工都是通过语言传递的，“这个就是这样的”、“一直就是这样做的”，我们来看策略，我们自己的做法是这样的，你入职的时候会签劳动合同，其中有很多的附件，有一部分是计算机使用安全策略，你必须要读完的，这就像财务制度的一样，你出差一天补贴100、200，这样要看的，你是不是把计算机的使用策略放进去，你计算机的命名规则是什么，可以重装，我们在座的都是做技术的，公司都是技术型的公司，重装自己的操作系统一点问题都没有，但是之后是不是一定打补丁，装防毒软件等一系列的策略。首先你要把策略定义出来，然后明确的告知。这样的策略也是通过电子邮件告知所有的新员工。我们会在内部网上公布出来，这些策略的修订我们每年都会做，有重大的安全事件我们还会去更新去修订，这是非常重要的，第一条是你有没有明确的策略，这个策略有很多种，是基于BS7799来定的，从政策、员工、通讯和运营管理。
比如说计算机的使用策略，我们明确规定计算机你可以用它来干什么，不能来干什么。有一些企业把计算机作为娱乐的工具而不是办公的工具，都只是看看网、聊聊天，其实计算机是为了办公自动化，你能不能上网无所谓，能不能看电影没有关系，这些策略能不能严格的执行下去，很多人在笑觉得这个很难，这个有难度，大家想一想作为IT主管你的责任是什么，很多人计算机出了问题会来找你，但是你有没有想过你的策略执行不下去是为什么？我们作为IT主管有责任去做这个事情，为了不让你出问题你要执行这个规定，这个规定很复杂也可以很简单，这个是一些策略，包括一些物理安全、遵守规定和访问控制等，这个就不详细讲了。这个有没有想要了解一下的，我也可以简单的介绍一下。
然后我们来看组织架构。在我们公司内部有一个CSO，是主管整个安全架构。有专门的安全运营的部门，GSOC，他们会做培训、响应、补丁管理、事故响应、扫描、安全记分卡等，我们有这样一个组织来做这个事情，是被首先安全官领导的，上面汇报的领导是信息安全治理委员会，有首席财务长、首席执行官、CEO、CFO和各个部门的老大，他自己可能也是其中的一个部分，这个是最高的统帅，这样的图能不能在组织架构中画出来是很重要的。有没有安全治理委员会这个架构在，各位的公司里我不知道是什么状况？有没有可以现身说法聊一聊的？这个东西如果没有的话，下面很多东西都没有办法做，我刚才说你的计算机是办公用的，不是来打游戏的，这个策略能不能执行下去和这个部门有很大关系，没有这样的部门你的策略是执行不下去的。我们最大的问题是真正？大家注意，我们站在这边讲安全管理，不是说我们选一套适合的防病毒软件，那只是我们工作中很小的一部分。这个防病毒软件能不能扫木马，这不是我们工作的全部而是很小的一部分。大家目标放清楚，这是很重要的部分，你没有治理委员会的支持你的工作是做不下去的，有了这个才能做组织架构的整理，这里还有专门的安全顾问来帮你做策略的东西，有安全架构师，还有政策经理负责整个体系的，这是执行部门，这里还有安全审核员来做审计审核的。

共3页: 上一页 [1] 2 [3] 下一页

【内容导航】

滚动新闻　术语词典　问题悬赏

我也说两句