李穗

摘要：隨著醫(yī)院現(xiàn)代化建設(shè)的發(fā)展，網(wǎng)絡(luò)成為支撐醫(yī)院信息化的重要基石，因此網(wǎng)絡(luò)安全顯得尤為重要。然而病毒卻對網(wǎng)絡(luò)安全構(gòu)成嚴(yán)重威脅，隨著計(jì)算機(jī)的普及，以及人們對醫(yī)療信息化的依賴，使得人們愈加重視網(wǎng)絡(luò)的安全，因?yàn)橐坏┰斐刹《镜膫鞑?yán)重影響了人們的正常就醫(yī)。該文分析了常見的幾類病毒的攻擊原理以及IPS（入侵防御系統(tǒng)）如何對其進(jìn)行防御，并簡要介紹網(wǎng)絡(luò)防御病毒面臨的挑戰(zhàn)。

關(guān)鍵詞：病毒；網(wǎng)絡(luò)安全；IPS；網(wǎng)絡(luò)防御

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2014）22-5192-03

計(jì)算機(jī)病毒是指編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)、影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。計(jì)算機(jī)病毒可以像生物病毒一樣進(jìn)行繁殖，但它不是自然產(chǎn)生的，而是人為編寫的。因此是否具有繁殖性、感染性、破壞性等特征是判斷某段程序?yàn)橛?jì)算機(jī)病毒的主要條件。計(jì)算機(jī)病毒可以通過各種可能的渠道進(jìn)行傳播，如可移動存儲介質(zhì)、計(jì)算機(jī)網(wǎng)絡(luò)去傳染其他的計(jì)算機(jī)。當(dāng)在一臺機(jī)器上發(fā)現(xiàn)病毒時(shí)，往往曾在這臺計(jì)算機(jī)上用過的U盤已感染上了病毒，而與這臺機(jī)器相聯(lián)網(wǎng)的其他計(jì)算機(jī)可能也被該病毒感染。要徹底解決病毒帶來的安全威脅，除了計(jì)算機(jī)本地的查殺以外，必須切斷病毒的傳播途徑，嚴(yán)防病毒的傳播。隨著計(jì)算機(jī)病毒的發(fā)展，只要是能夠進(jìn)行數(shù)據(jù)交換的介質(zhì)都有可能成為計(jì)算機(jī)病毒的傳播途徑。就目前比較流行的病毒傳播行為分析，傳播途徑主要有兩種：一種是通過網(wǎng)絡(luò)傳播，一種是通過移動硬件設(shè)備傳播。由于互聯(lián)網(wǎng)的普及性及全球互聯(lián)互通屬性，網(wǎng)絡(luò)傳播是現(xiàn)代病毒幾乎不可缺少的傳播途徑。網(wǎng)民們在收發(fā)電子郵件、瀏覽網(wǎng)頁、下載軟件、使用即時(shí)通訊軟件聊天、進(jìn)行網(wǎng)絡(luò)游戲時(shí)，都有可能感染并傳播病毒。網(wǎng)絡(luò)連接的頻繁性與廣泛性，已被病毒充分利用，使其成為病毒防治的重要區(qū)域。

1 文件型病毒與宏病毒

文件病毒一般是通過操作系統(tǒng)中的文件系統(tǒng)進(jìn)行感染的病毒。這類病毒大多寄生在可執(zhí)行文件上，使文件字節(jié)數(shù)變大，劫持啟動主程序的可執(zhí)行指令，跳轉(zhuǎn)到自身的運(yùn)行指令。一旦運(yùn)行感染了病毒的程序文件，病毒便被激發(fā)，進(jìn)行自我復(fù)制。宏病毒是寄生在文檔或模板宏中的計(jì)算機(jī)病毒，這類病毒可以通過Word/Excel文檔或模板進(jìn)行傳播，在Normal模板（Normal.dot）中可以被找到。宏是一段批處理程序指令，用于代替部分人工操作以提高效率。Word/Excel支持VBA（Visual Basic for Applications）做為宏的編寫語言。

如圖1所示，打開病毒文檔會運(yùn)行auto_open，首次運(yùn)行會感染StartUp.xls。當(dāng)打開未被感染的Excel文檔時(shí)，StartUp.xls作為模板會自動運(yùn)行auto_open，通過cop函數(shù)感染當(dāng)前打開的Excel文檔。

當(dāng)感染Manalo宏病毒的文件在網(wǎng)絡(luò)中被訪問或拷貝、發(fā)送時(shí)，通過在網(wǎng)絡(luò)中接入IPS等專業(yè)設(shè)備可以對數(shù)據(jù)報(bào)文進(jìn)行深度分析檢測。IPS首先進(jìn)行協(xié)議分析，識別出流量中郵件附件的接收與發(fā)送，以及文件通過HTTP或FTP等方式的存取，并判斷出傳輸文件的類型，然后IPS對Excel中的宏代碼進(jìn)行掃描，根據(jù)auto_open函數(shù)中感染StartUp.xls的指令判斷此文件為病毒文件，并對當(dāng)前數(shù)據(jù)報(bào)文進(jìn)進(jìn)攔截，使病毒文件的網(wǎng)絡(luò)傳輸不能成功，從而阻斷病毒在網(wǎng)絡(luò)中的傳播。通過相似的原理，可以根據(jù)病毒中的惡意指令序列對文件型病毒進(jìn)行傳輸阻斷。

2 蠕蟲病毒

蠕蟲病毒是專門通過網(wǎng)絡(luò)傳播的病毒，它不需要像文件型病毒那樣將其自身附著到宿主程序。這類型病毒一般會利用網(wǎng)絡(luò)中計(jì)算機(jī)系統(tǒng)的漏洞進(jìn)行傳播，無需計(jì)算機(jī)使用者干預(yù)，能夠自主的不斷復(fù)制與傳播。蠕蟲病毒通過網(wǎng)絡(luò)復(fù)制，傳播速度極快，有可能會造成網(wǎng)絡(luò)擁塞癱瘓。我院曾經(jīng)使用IPS設(shè)備，截獲了一個(gè)利用WindowsRPC（Remote Procedure Call）漏洞進(jìn)行傳播的蠕蟲病毒。感染該病毒的主機(jī)會向網(wǎng)絡(luò)中的所有Windows主機(jī)發(fā)出RPC請求，該請求利用Windows的RPC漏洞可以使請求中攜帶的惡意指令得到執(zhí)行。這些指令加載病毒運(yùn)行必需的動態(tài)鏈接庫urlmon.dll，調(diào)用該庫中的URLDownloadToFileA函數(shù)從病毒作者所指定的服務(wù)器路徑（其URL為http：//182.62.247.4：24553） 下載文件到本地文件00.scr，并執(zhí)行該文件。一旦00.scr被執(zhí)行，一個(gè)完整的感染過程就完成了。接收RPC請求的主機(jī)被感染后會向網(wǎng)絡(luò)中的所有Windows主機(jī)發(fā)送被感染時(shí)收到的RPC請求，開始下一個(gè)感染網(wǎng)絡(luò)中其它主機(jī)的循環(huán)。

利用計(jì)算機(jī)系統(tǒng)漏洞進(jìn)行傳播的蠕蟲是傳播速度最快的，如果僅在本地主機(jī)上進(jìn)行查殺，工作量很大而且相當(dāng)困難。只有在網(wǎng)絡(luò)層面進(jìn)行防治，才能夠有效的隔離蠕蟲病毒的傳播。以前文提到的蠕蟲病毒為例，部署在網(wǎng)絡(luò)中的IPS設(shè)備能夠?qū)PC請求報(bào)文進(jìn)行深度檢測，如果發(fā)現(xiàn)有異常的RPC請求在利用RPC漏洞，將會對其進(jìn)行阻斷，如圖2所示。由于是從蠕蟲病毒利用的漏洞入手進(jìn)行防御，只要是利用相同漏洞的任何蠕蟲病毒變種，都無法進(jìn)行傳播。更為重要的是IPS上報(bào)的病毒日志信息能夠引導(dǎo)管理員發(fā)現(xiàn)網(wǎng)絡(luò)中已經(jīng)感染蠕蟲病毒的主機(jī)，修復(fù)網(wǎng)絡(luò)中的安全短板，從而提升整個(gè)網(wǎng)絡(luò)的安全性。

3 木馬病毒

木馬病毒是指隱藏在正常程序中的一段具有特殊目的的惡意代碼，是具備破壞或竊取文件、記錄發(fā)送密碼、遠(yuǎn)程控制等特殊功能的后門程序。木馬與PcAnywhere等遠(yuǎn)程控制軟件部分相似，區(qū)別在于遠(yuǎn)程控制軟件是善意的、公開的，而木馬病毒是惡意的，而且具有很高的隱蔽性。感染木馬病毒的主機(jī)會監(jiān)聽某一端口等待木馬控制者連接進(jìn)行控制，或者主動連接惡意代碼中指定好的控制端，上傳竊取的文件、密碼，甚至請求木馬控制端進(jìn)行控制。目前比較流行的盜取銀行帳號密碼的木馬，一般會通過郵件把帳號和密碼發(fā)送到木馬植入者的電子郵箱。目前木馬病毒的傳播，比較重要的途徑是網(wǎng)頁瀏覽與電子郵件，一些訪問量比較大而安全性比較差的網(wǎng)站，容易被入侵，網(wǎng)頁中可能會被植入木馬，即所謂的網(wǎng)頁掛馬。網(wǎng)頁掛馬可導(dǎo)致木馬在網(wǎng)站訪問人群中大面積傳播。

網(wǎng)絡(luò)防治木馬病毒可以從阻斷傳播與攔截遠(yuǎn)程控制兩方面對病毒進(jìn)行遏制。在傳播方面，IPS等網(wǎng)絡(luò)防御設(shè)備有深度檢測的功能，能阻斷攜帶木馬病毒的郵件、網(wǎng)頁，對木馬病毒的傳播可以進(jìn)行有效的限制。在木馬的遠(yuǎn)程控制方面，網(wǎng)絡(luò)防治有特殊的優(yōu)勢，木馬病毒的遠(yuǎn)程控制部分相對來說功能與行為比較固定，一般不會隨著木馬病毒的變異而變化，例如木馬病毒會向指定的網(wǎng)址或郵箱地址發(fā)送竊取的帳號密碼，通過固定的協(xié)議接受或請求遠(yuǎn)程控制等。木馬病毒會把受害主機(jī)的系統(tǒng)信息，例如系統(tǒng)版本號，以固定協(xié)議格式發(fā)送到控制服務(wù)器上。IPS通過這些網(wǎng)址、郵箱地址、協(xié)議信息可以對木馬的遠(yuǎn)程控制環(huán)節(jié)進(jìn)行攔截，使用木馬植入者的惡意圖謀不能夠得逞，同樣IPS的日志能精確指出網(wǎng)絡(luò)中被植入木馬的主機(jī)IP，為木馬病毒的查殺明確目標(biāo)。

4 網(wǎng)絡(luò)防治病毒面對的挑戰(zhàn)

病毒經(jīng)常會被“加殼”（對程序指令進(jìn)行壓縮或加密），以隱藏和保護(hù)自己。由于加殼的方法變化萬千，如果不對指令的執(zhí)行進(jìn)行動態(tài)跟蹤，僅通過加殼后的文件本身很難判別文件是否攜帶病毒。而在網(wǎng)絡(luò)環(huán)境下，受網(wǎng)絡(luò)設(shè)備處理性能及緩存空間的限制，很難從數(shù)據(jù)流中重組完整的文件，更不要說動態(tài)跟蹤執(zhí)行程序指令。受制于網(wǎng)絡(luò)檢測環(huán)境的局限性，提高識別的成功率與降低誤識別概率一直是網(wǎng)絡(luò)安全檢測設(shè)備的重要改進(jìn)目標(biāo)。因此，目前僅僅依靠網(wǎng)絡(luò)安全設(shè)備來防御病毒是不完備的，終端防御與網(wǎng)絡(luò)防御并重才是比較完備的解決方案。

5 結(jié)論

隨著網(wǎng)絡(luò)的迅猛發(fā)展，各種新型病毒還將不斷的出現(xiàn)，只有做好醫(yī)院網(wǎng)絡(luò)的防御工作，同時(shí)使用有效IPS系統(tǒng)才能抵御各種入侵。然而醫(yī)院網(wǎng)絡(luò)安全不能依賴單一的安全技術(shù)手段，必須要構(gòu)建一個(gè)從管理上和技術(shù)上都比較完整的方案才能真正維護(hù)好醫(yī)院的網(wǎng)絡(luò)環(huán)境，抵御病毒的入侵。

參考文獻(xiàn)：

[1] （美國）哈利.計(jì)算機(jī)病毒揭秘[M].朱代祥，賈建勛，史西斌，譯.北京：人民郵電出版社，2002.

[2] 林濤，張建輝.網(wǎng)絡(luò)安全與管理[M].北京：電子工業(yè)出版社，2005.