11~12 April 2003 P2710~P2719
2710
电脑病毒与防毒软体之矛盾攻防
许永升,铭传大学资讯管理学系
王世仁,铭传大学资讯管理学系
程伟峰,铭传大学资讯管理学系
曾焕超,铭传大学资讯管理学系
陈书仪*,铭传大学资讯管理学系
摘要
对於现今台湾的企业来说,e化是无法避免的趋势,但是有鉴於国人对於电
脑化的观念都还是架构於由传统的纸上作业把它利用电脑存档,做报表.而往往
忽略了防毒的重要性.若当电脑不幸遭受到病毒入侵,最怕的事就是遇到损害时
就难以复原的『资讯』,因为资讯隐含的是企业 理意义与智慧,不但如此,随
著企业逐渐e化,一但邮件伺服器当机即会造成业务的中断,无法正常工作的工
时将造成企业的重大损失.更严重的是,网路犯罪日益猖獗,国内外都出现过骇
客入侵上市上柜公司网路,变更公司重要资讯,使企业经营大受影响.因此,如
何确保以上影响企业发展的问题不要发生,或者就算不幸发生了,也能够立即处
理,以保护企业资产完整,使发生的损害降到最低,确保企业能够永续经营下去.
关键字:电脑病毒与防毒软体之矛盾攻防
*指导教授:陈书仪老师,铭传大学资讯管理学系助理教授.
- 2711 -
壹, 前言
资讯社会的到来给企业带来新的发展机会的同时,也为新型犯罪行为提供了
新的舞台.这些犯罪行为呈现形式多样,跨越国界等特性.其中,电脑病毒的袭
击便给世界许多地方的经济带来了巨大危害.
当网际网路发达使资讯快速传递,替企业带来无限的商机.但网路普及带来
的不仅是便利,亦带来今人担忧的网路安全问题,包括电脑病毒与网路骇客.据
欧洲防毒大厂SophoS公司统计,该公司在2001年共发现11,160种电脑新病毒;
另在Computer Economics截至2001年12月初的统计,企业花在病毒善后的经
费已达123亿美元.
据统计指出,2001年十大病毒中就有九成利用电子邮件做为主要的扩散方
式,造成电脑系统遭受破坏.由於电子邮件的散播速率快,病毒邮件自动发送至
中毒者联络簿内的人员,瞬间就可将具有病毒的电子邮件大量散播出去,透过这
种方式,造成全球网际网路使用者的大浩劫.国际电脑安全协会 (ICSA;@
International Computer Security Association)亦指出,电子邮件已跃升为电脑病毒
主要的传播媒介,因此如何防护企业邮件安全,是企业迈向网路化应考量的问
题.这也是我们这次探讨的主题.
贰, 电脑病毒
一, 基本定义
电脑病毒(Computer virus)一般的定义为:编制或在电脑程式中插入,意图破
坏电脑功能或改变资料,影响电脑使用并且能够自我复制的一组电脑指含或者程
式码.其实电脑病毒就是一个电脑程式,当这个程式档案利用各种管道侵入你的
电脑之后,它会藉由被动的方式来启动并开始执行其内的程式码,而达成原设计
者所想要进行的破坏行为;这里所指的被动方式,意思是说这些病毒程式通常一
定要被「执行」或是「开启」之后才能够开始活动以进行破坏,而这个「执行」
的动作大多数是要透过使用者才能够达成,换句话说,如果不去执行或是开启这
个病毒程式的话,病毒程式就无法活动,因此也就不能进行破坏行为了.
但是值得注意的是有些病毒的启动并不一定需要藉由使用者去执行,当它潜
伏在系统内时,可以藉由某些特定的客观环境因素来作为启动的诱发条件,例如
最常见到的就是利用日期,像是「十三号星期五」病毒只要每逢日期是13号,
又刚好碰上星期五的话,就会在那一天发作,删除系统内的所有档案;这种类型
- 2712 -
的病毒仍然有与其他病毒共同的特性,就是要有一定的条件才能够被启动,只不
过它们不需要透过使用者亲自动手而已.
电脑的资讯需要存取,复制及传送,病毒作为资讯的一种形式可以把自己加
入到电脑记忆体或磁片上的程式0,随之繁殖,感染,破坏.并且,当病毒取得
控制权之后,他们会主动寻找感染目标,使自己广为流传.
最近十分流行的各种网路病毒,其最大的特点就是会藉由被感染的电脑,将
自身再复制之后,透过电子邮件或是网页浏览的方式来大量传送给其他同样正在
网路连线的电脑,以达到感染的目的.
而以网页浏览方式来感染的病毒,有些种类在感染到伺服器之后,它会不断
的对伺服器发出连线的讯息,而使得伺服器的负荷过重,以致於无法让其他的使
用者浏览或甚至当机.到此时,如果MIS人员无法立即警觉把它排除的话,小
则使企业的作业停摆,大则将损失公司的信誉.这将是老板最不想见到的事.
而如果是「木马型病毒」侵入了企业内的电脑中,那0远端的骇客就可以藉
此透过网路来偷偷的监视电脑的一举一动,也可以窃取电脑中的资料,甚至还能
够利用此电脑来帮他做其它事情,如此一来也就会影响到电脑执行与上网的速度
了.还有企业的内部资料也可能都完全曝光在骇客底下.
二, 知己知彼,百战百胜.病毒种类介绍
虽然病毒各自的感染方式以及破坏行为也都不尽相同,基本上还是找得出一
些彼此间的共通点,在此将病毒的分类方式给整理出来.
(一) 档案型病毒 (File Infector Virus)
这种类型的病毒会寄生在可执行档里面,随著这个执行档被使用者启动的同
时,病毒也会一并被启动,而开始进行再复制以及破坏其他资料等的动作.所谓
的可执行档,指的就是副档名为.EXE与.COM的档案,使用者只要直接双击
这种类型的档案,就可以开始执行其程式.假如病毒也刚好寄生在里面的话,那
0病毒就可能会直接开始执行,开始一连串的破坏行为;有些病毒则是会先进驻
到电脑的记忆体里面,使得往后所有使用者执行的程式档案都会受到其感染.
(二) 开机型病毒(Boot Strap Sector Virus)
- 2713 -
开机型病毒会将自己隐藏在开机磁区内,利用开机时的磁区读取动作而侵入
并常驻於电脑的系统记忆体当中,此时它会去修改系统开机磁区,将部分程式给
搬走,让系统找不到这些重要档案,甚至可能以自身去取代这些程式的位置,让
使用者无法立即发现异常;因为这种病毒会利用系统记忆体与开机磁区来进行破
坏与感染,所以它也被称做系统型病毒.
(三) 巨集型病毒(Macro Virus)
巨集型病毒是利用软体本身所提供的巨集功能而开发出来的病毒,像是
Word,Excel等都有提供各自的巨集功能,而比较厉害的程式设计者就可以藉由
这个原本是方便使用者的功能,开发出反而会让使用者头痛的巨集型病毒.
(四) 复合型病毒(Multi-Partite Virus)
所谓的复合型就是将档案型与开机型两种病毒的特性融合在一起,也就是
说,它会进驻系统记忆体,侵入启动磁区,也会去感染各种可执行档,可说是将
这两类型病毒的「优点」全部都集合於一身,更增加了它的破坏能力.
(五) 千面人病毒(Polymorphic/MutationVirus)
此类型的病毒基本上可以算是档案型病毒的一种,一但遭到感染之后,病毒
会常驻於系统记忆体内,以便感染其它的可执行档,但是厉害的就在於它每次要
感染其它的程式档案时,它都会先产生出不同的病毒码,然后再把新的病毒码复
制到程式档案中,这样一来就会让防毒软体难以侦测出来,而能够不断的散播出
去.
(六) 木马型病毒(Trojan)
原名Trojan就是我们所晓得的「特洛伊」,也就是「木马屠城记」中的那座
城的名称.这种程式进入电脑系统之后,它不会造成立即或直接的破坏,但是却
会让程式设计者藉由网路,透过这个程式来窃取你电脑中的资料,甚至操纵你的
电脑,所以这种程式并不能算是电脑病毒,而应该被归类为电脑害虫(也有称为
电脑孺虫computer worm).
- 2714 -
三, 防毒的目的,病毒的防治
电脑病毒的防治要从防毒,扫毒,解毒三方面来进行.防毒系统对於电脑病
毒实际防治能力与效果也要从防毒,扫毒和解毒的能力三方面来评断.
防毒能力: 防止病毒侵入电脑系统的能力.透过采取防毒措施,可以准确,
即时监测预警经由光碟,软碟,硬碟不同目录之间,区域网路,网际
网路或其它形式的档案下载等多种方式进行的传输,能够在病毒侵入
系统时发出警报,记录携带病毒的档案名称,必要时还要能够登出工
作站,隔离病毒源.
扫毒能力: 指发现和追踪病毒来源的能力.透过扫毒应该能准确地发现电脑
系统是否感染病毒,准确找出病毒的来源,扫解病毒的能力应由扫
毒率和误报率来评判.
解毒能力: 指从感染对象中清除病毒,恢复被病毒感染前的原始资料能
力.
许多病毒发作的时候,它不一定会对系统造成直接的破坏,而只是去感染某
些特定的档案,或是透过网路不断的传送出去等等这类的行为,以目前防毒软体
的功能来说,应该都会有即时监控的功能,也就是可以随时监视目前你正在电脑
中存取的档案,并加以过滤与扫描,一但发现有病毒或是疑似病毒出现,防毒软
体就会启动,对有问题的档案进行病毒的扫除,或是将其隔离在一个安全的地
方,以防止你再去存取这个档案.
不过假如侵入的病毒是最新品种的话,那0防毒软体会因为病毒定义码还来
不及更新,而造成即使是在即时监控的情况下,也不一定能够侦测得到这些新品
种病毒,当然也不可能再去加以侦测或者清除这些新病毒了.所以必须要有一个
观念,防毒软体只是一个预防的方式,它并不是说绝对能百分之百能预防的,重
点还是在於要确定员工了解重要性,在开启电子邮件附件前必须用防毒软体扫描
过一遍,并且避免从不认识或是不安全的网站下载档案.
参, 企业防毒架构的执行内容
许多企业花大成本买最好的防火墙,骇客和病毒还是有办法在进来,这是因
为没有一套完整的解决方案,可以在专人执行网路安全管理或是在网路管理安全
- 2715 -
策略的缺口下,发挥作用.防火墙,防毒软体都是提供服务的工具之一,但是
「人」,才是最大的关键.所以系统管理者与使用者,必须尽可能建立一套自动
化监督与讯息传递的管理程式,以弥补人为的不足.
企业内所有的电脑一旦连线,都可能被网路病毒感染,这样网路就会瘫痪.
像是在趋势科技的电脑病毒红皮书一书中所说,Internet就像是一套自来水系
统,Internet是个大水库,伺服器像是水塔.即使每一个水龙头都过滤确保没前
毒了,但如果有心人士在水塔甚至水库下毒,那不是全面遭殃了吗 因此在每一
个终端用户安装防毒软体,就像在每一个水龙头安装单机版防毒软体,却让水库
或水塔暴露在更大的危险之中,当然无法全面防毒.Nimda,求职信等事件带给
许多仅采用单机版防毒的单位很大的教训,因为即使在终端用户清除乾净了,下
一秒又从网路芳邻感染了,因此他们需要在企业网路的第一道入口Gateway,就
将病毒给过滤掉.如果企业可以在闸道和邮件伺服器就做好防毒杀毒的工作,那
0终端用户防毒需求负担也就可以相对减轻.藉由此种模式来平衡每一道防毒的
系统,并且设下一道接著一道的关卡使病毒无所入侵.
传统桌上型防毒软体无法提供企业全面的防毒保护.以E-mail而言,传统
单机版软体并无法侦测Exchange伺服器内的E-mail附件,除非桌上型用户开启
附件,防毒软体才会进检查.也就是说带有病毒附件档案,无法在企业网路的第
一道口:Gateway被过滤,因此病毒有很大的机率直接感染用户端硬碟.
因此企业必须使用专为E-mail Server设计的防毒系统,保护区域网路及讯息
环境.它的功能必须涵盖防治SMTP邮件夹毒闯关或敏感邮件进入网路,可在
Gateway拦截过滤SMTP病毒与内容安全控管.并可依据企业网管策略制订的防
毒和内容安全解决方案,防止E-mail传输病毒邮件,进入企业通讯系统.
在此同时MIS人员若没有一套集中式的监控和管理工具,要落实全方位的
防毒架构,并不是一件简单的事.首先每一个连接到网路上的电脑用户端的扫毒
引擎和病毒码须要随时保持更新,要让一般使用者定时下载最新的病毒码,或者
是由资讯管理人员一套套的为全公司的电脑安装扫毒引擎,这都会消耗企业庞大
的人力资源.目前最新的企业防毒监控和管理架构,就须具备允许用户端代理程
式(agent)有随时更新病毒码的能力,同时控管中心能避开网路交通流量颠峰状态
下为用户端安装新的防毒软体.这都须要一套集中式的管理(Centralized
Management)架构,才能完成.
- 2716 -
美国电脑安全专责机构Computer Emergency Response Team(CERT)於2002
年初发布警告说,恶意攻击网站事件,逐渐攀升的速度已经到了值得忧心的地
步.西元2001年包含病毒在内的攻击事件,总共计有52,658件,与西元2000
年相较,呈现倍数增加.根据CERT报告指出,西元2000年共计21,756件,1999
年共计9,859件,而1998年仅3,734件.CERT更进一步分析报告指出,2001年
有2,437件因安全漏洞而导致网安事件,而西元2000年仅有1,090件.其中微软
是这类安全事件的最大制造者,因为去年两只轰动全球且造成数十亿美金损失的
骇客型病毒Code Red和Nimda即是针对微软Internet Information Server(IIS)漏洞
而大举入侵全球网路的年度网路安全大事件.近年来网路攻击事件所付出的代
价,可不是一般企业可以承受的,但也著实让许多企业开始注重资讯安全.
从Nimda病毒攻击事件爆发以来,许多网路安全专家或是厂商都对企业用户
提出建言,现在的病毒已不再是单纯的病毒攻击,而是融合了许多形式的攻击模
式,以Nimda为例,就有四种攻击行为:
(一) 攻击未修补IIS漏洞的WEB Server
(二) 利用中毒的机器发动DoS攻击
(三) 利用微软作业系统漏洞自动攻击网路芳邻,并修改Guest权限
(四) 利用中毒的网站再进行扩散攻击
这些攻击行为颠覆了长久以来人们对病毒的认识,因此,对企业永续经营而
言,除了需置一套完整且功能强大的防毒系统外,选择一个能提供完整网路安全
整合方案的厂商也是一项非常重要的考量依据.
肆, 案例介绍
(一),TS公司安装平台规划及确认:
依照公司资讯中心讨论得知,目前公司内部之网路架构,依其作业系统平台
及功能大致可分成下列五个层级:
工作站〈Win9x/NT Workstation/2000 Professional〉
伺服器〈Win NT/2000 Server〉
- 2717 -
群组邮件伺服器〈Exchange Server〉
邮件闸道器〈SMTP〉
网站闸道器〈HTTP/FTP〉
建议公司应於每一个层级针对其不同功能安装相对应之防毒系统,以达到滴
水不漏的防毒环境:
Window 98
Window 2000
Proxy Server
Exchange ServerInternet
Server
集线器
图一 网路架构
(二),建议公司应安装的防毒产品明细如下表一:
表一 产品明细
安装层
级
产品名称 建议贵公司安装地区
工作站 OfficeScan Client TS所有Windows工作站
伺服器 ServerProtect TS所有Windows主机
群组邮
件伺服
器
ScanMail for Exchange ServerTS所有Exchange主机
网站闸
道器
InterScan WebProtect TS Internet 出口
- 2718 -
(三),Trend 各层级防毒软体产品功能介绍
网站闸道器〈HTTP/FTP〉层级:
InterScan VirusWall 提供网路入口闸道高效能的三合一防护功能;防止电脑
病毒以及恶性程式的入侵.可选择搭配eManager电子邮件管理系统,提供垃圾
邮件以及邮件内容过滤的功能,同时还可控制邮件收发的时间.
群组邮件伺服器〈MS Exchange Server〉层级:
ScanMail 可侦测并清除隐藏於电子邮件,附加档及公用目录中的电脑病
毒,恶性程式,垃圾邮件或内含特定内容邮件进出您的 Exchange 环境中,以保
护企业网路环境免於病毒入侵与机密资料外泄.
ScanMail 是特别针对 Microsoft Exchange 邮件伺服器所设计,以扫瞄经由
Exchange 伺服器扩散的病毒,包括邮件本体,共用目录及附件档案等.经由与
美国微软技术合作, ScanMail 率先采用多工绪的设计,并搭配虚拟磁碟 (Ram
Disk) 先进技术,使得 ScanMail 安全性与作业效率大幅提升,协助系统管理者
在 Exchange 伺服器上执行防毒与安全的相关设定,提供企业即时和定时的保护
措施.
伺服器〈Win NT/2000 Server〉层级:
ServerProtect 有效地捍卫档案伺服器和网域内的资讯安全,免於电脑病毒的
攻击,并且能利用新一代的防毒软体(TVCS)特色,让管理者从单一的主控台来
安装并且管理ServerProtect.
工作站〈Win9x/NT Workstation/2000 Professional〉层级:
OfficeScan 企业版是一套专为网路环境的桌上型电脑和行动用户端所提供
的即时,全面的防毒解决方案.OfficeScan的设计,是架构在伺服器端的集中式
管理和部署功能,让系统人员可以很方便地管理和部署全公司的防毒策略.透过
OfficeScan 的 Web 介面管理主控台,遇有紧急状况时,管理者能够从网路上的
任一地点透过 Web 浏览器立即处理.
- 2719 -
伍. 选择防毒软体的评估标准
企业将「服务」(Service)当成选购防毒软体的主要考量因素,「在获知中
毒事件发生后,能够以最短的时间提供包括详尽操作说明及解毒程式的完整解决
方案,且在安装所有产品后,安排专业工程师亲自到公司为我们的MIS人员进
行训练,协助MIS人员得以在最短时间内熟悉软体操作流程,同时更可随时提
供我们最专业与迅速的在地支援(Local Support),无疑成为我们评估防毒软体
时的第一选择.」
参考文献
1. 王志平,杨正宏,防毒妨害防泄密一次搞定,金禾,2002年7月初版.
2. 云岭,电脑中毒7招大救急,基峰资讯股份有限公司,2002年11月初
版.
3. 陈清芳,趋势科技「红色警戒小组」,电脑病毒红皮书,2202年6月初
版,页186-187.
4. Eric Maiwald,网路安全入门手册Network Security:A Beginner’s Guide,
美商麦格罗 希尔(McGraw-Hill)国际出版公司.2002 年 02 月 22 日
初版.
5. iSecuTech资安人科技网http://www.isecutech.com.tw/