卓尔InfoGate政府上网工程安全解决方案

　　一 前 言

　　以Internet为代表的全球性信息化浪潮日益深刻，信息网络技术的应用正日益普及和广泛，应用层次正在深入，应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展，典型的如行政部门业务系统、金融业务系统、企业商务系统等。伴随网络的普及，安全日益成为影响网络效能的重要问题，而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求。如何使信息网络系统不受黑客和工业间谍的入侵，已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。

　　政府机构从事的行业性质是跟国家紧密联系的，所涉及信息可以说都带有机密性，所以其信息安全问题，如计算机病毒、敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及垃圾邮件的泛滥等。都将对政府机构信息安全构成威胁。为保证政府网络系统的安全，有必要对其网络进行专门安全设计。

　　二 网络安全新需求分析

　　2.1 政府机构网络安全现状

　　政府上网工程中往往用户数较多，网络情况复杂。过去，在网络运行的过程中发现病毒情况严重，分析下来主要来源于外部Internet,经由邮件系统(SMTP、POP3)传播而泛滥，此外，由于众多用户经常上网浏览很多站点，包括一些安全性不是很好的网站，而且还下载很多不同类型的软件，因此，通过HTTP和FTP感染病毒的情况也时有发生。垃圾邮件、病毒邮件和色情政治信息邮件的大量泛滥，严重影响了邮件系统的工作效率和普通用户工作效率，更为严重的是可能危害到计算机的正常使用。

　　2.2 病毒技术的新动向

　　流行病毒的新传播趋势有如下三种：

　　1、通过邮件附件传播病毒，如Sobig等邮件病毒；

　　2、通过无口令或者弱口令共享传播病毒，如Nimda、Mumu、Lovegate等；

　　3、利用操作系统或者应用系统漏洞传播口令，如冲击波蠕虫、Sqlslammer蠕虫等。

　　通过上面这些方式传播的病毒，由于其传播速度惊人，传统的防毒厂商通常无法及时地完成捕获病毒，分析病毒，发布升级包的过程，既使发布了升级包，也有很多用户无法在这么短的时间内将升级包发布到各个用户端上。

　　2.3 防病毒新需求导致杀毒硬件化

　　2.3.1 病毒传播渠道的变化

　　目前，病毒传播的主要途径同以前比发生了很大的变化，公安部公共信息网络安全监察局2003年中国计算机病毒疫情调查技术分析报告显示，在2002年，计算机通过光盘、磁盘等存储介质传播的比例明显下降，而通过网络下载和网络浏览感染病毒的数量增幅最大。通过电子邮件传播的比例也有所上升。计算机病毒网络化的趋势愈加明显，如何有效防御网络病毒是今后的工作重点。

　　随着全球经济运行对互联网的依赖，企业同时也面对着日趋升温的病毒和黑客的侵扰，越来越多的企业考虑通过构建网络安全系统从整体上对企业的网络实行更为有效的多重防护。由此，采用在Internet入口就封杀"毒源"的高效益的网关防毒产品已成为企业网络管理员的迫切需求。同时，这种需求也将成为防病毒市场新的增长点。

　　2.3.2 传统安全产品力不从心

　　随着互联网的发展，出现了许多新一代的基于互联网传播的计算机病毒种类，比如电子邮件计算机病毒、蠕虫、木马等黑客程序。电子邮件已经成为计算机病毒传播的主要媒介，其比例占所有计算机病毒传播媒介的56%。由于电子邮件可附带任何类型的文件，因此，几乎所有类型的计算机病毒都可通过它来进行快速传播，事实上，还有一些电子邮件病毒根本就没有附件，它本身是一个HTML。不久前出现的名为“BubbleBoy”的计算机病毒无需用户打开附件就能够感染文件，如果用户的邮件可自动打开HTML格式的邮件，则该计算机病毒就会立刻感染用户的系统。

　　目前，一般机构普遍使用专门的企业级杀毒软件即所谓的网络版杀毒软件，进行安全防护，防毒的区域覆盖邮件服务器、文件服务器和工作站。这类软件因为安装在原有的操作系统之上，因此操作系统本身的稳定性以及是否存在漏洞，都不可避免地对软件的使用产生一定的影响。而且防病毒软件进行实时监控或者下载分发升级信息时，都或多或少地要占用部分系统资源，这就必然引起系统性能的降低。有些单位常常抱怨上网速度太慢，部分原因就是防病毒软件对文件"过滤"带来的影响。此外，像新型蠕虫SQLSlammer利用系统漏洞绕过防病毒软件直接感染计算机，令传统的防病毒软件无力招架，从某种程度上动摇了这种软硬搭配的牢固性，让人不禁怀疑仅依靠软件杀毒是否能独撑大局。

　　2.3.3 软件防毒影响主机性能

　　所以，虽然软件防毒是目前为止抵御网络病毒的主要手段，但是，它给服务器带来的高负荷却又阻碍了整个网络的良好运行。尤其是大中型企业，迫切需要提高防毒效能，减少资源占用。"硬件杀毒"这一概念，正是软件企业长久以来"软件硬化"趋势产生出的一个结果，目前，硬件防毒墙的价格还只能为大中型企业、政府等机构接受，但是随着技术的发展，硬件防毒墙产品可能也会产生一支"平民化"的力量，像IBM大型计算机演化成PC一样，成为整个行业的标准。

　　2.3.4 主动防毒的需求

　　与此同时，用户的需求也在不断发生变化，他们对安全的意识已经由最初的被动杀毒转为主动防护。由于病毒具有不可预计性，当有病毒攻击时，用户需要尽可能缩短病毒响应时间、快速自动升级等一系列必要的防护措施。此外，当用户通过电子邮件与外界联系时，他们不希望受到未知病毒的袭击。而所有这些，传统的防病毒软件已经无法面面俱到，常常顾此失彼，捉襟见肘。

　　2.4 垃圾邮件泛滥

　　电子邮件给人们生活带来了很多方便，也将成为人们生活、工作中不可缺少部分。电子邮件有着很多方便和好处，使得电子邮件系统提供商(ISP)蓬勃发展，电子用户群越来越大，这也是推销广告商、反动者瞄准的对象，计算机病毒传播有效途径，于是邮箱出现了很多了不需要的邮件，甚至是有害信息，如：反动信息、色情信息、计算机病毒等。我们对这些有害信息给它定义为“垃圾邮件”。

　　不道德的电子邮件发送者可以不费多大成本或根本不费成本地分发大量消息，而正常用户却被迫花费一些时间和精力从他们的邮箱中清除这些欺诈性的或不需要的邮件。在本文中，我描述了几种方法，这些方法用计算机代码来帮助消除不请自来的商业性电子邮件、病毒、特洛伊木马和蠕虫病毒以及怀有恶意的欺诈性电子邮件与其它一些不希望收到的和令人烦恼的电子邮件。

　　垃圾邮件的出现给电子邮件系统带来了很多不便和危害，造成服务器负荷增大，为了保证邮件系统的正常运行和邮箱用户利益。必须使邮件系统具有反垃圾邮件的能力。目前很多邮件系统虽然具有一定的过滤能力，但功能并不完全，性能也不高。对于的邮件系统，必须采用专用的邮件过滤设备来对邮件进行过滤净化。

　　反垃圾邮件已经不仅仅是自己的事儿了，国家有关部门已经有文件表明，提供电子邮箱服务的邮件系统都必须具备有反垃圾邮件的能力。垃圾邮件已经成为大家都重视的事情。在某种意义上，消除垃圾邮件最好的终极解决方案可能是通过立法来制止这种行为。然而，在此期间，即在法律的进步(如果有过的话)还未解决公众不断所受到的困扰之前，可以用代码开发一些工具作为过渡性的解决方案来处理这类问题。