李穗

摘要：隨著醫(yī)院現(xiàn)代化建設的發(fā)展，網(wǎng)絡成為支撐醫(yī)院信息化的重要基石，因此網(wǎng)絡安全顯得尤為重要。然而病毒卻對網(wǎng)絡安全構成嚴重威脅，隨著計算機的普及，以及人們對醫(yī)療信息化的依賴，使得人們愈加重視網(wǎng)絡的安全，因為一旦造成病毒的傳播將嚴重影響了人們的正常就醫(yī)。該文分析了常見的幾類病毒的攻擊原理以及IPS（入侵防御系統(tǒng)）如何對其進行防御，并簡要介紹網(wǎng)絡防御病毒面臨的挑戰(zhàn)。

關鍵詞：病毒；網(wǎng)絡安全；IPS；網(wǎng)絡防御

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）22-5192-03

計算機病毒是指編制者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)、影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。計算機病毒可以像生物病毒一樣進行繁殖，但它不是自然產生的，而是人為編寫的。因此是否具有繁殖性、感染性、破壞性等特征是判斷某段程序為計算機病毒的主要條件。計算機病毒可以通過各種可能的渠道進行傳播，如可移動存儲介質、計算機網(wǎng)絡去傳染其他的計算機。當在一臺機器上發(fā)現(xiàn)病毒時，往往曾在這臺計算機上用過的U盤已感染上了病毒，而與這臺機器相聯(lián)網(wǎng)的其他計算機可能也被該病毒感染。要徹底解決病毒帶來的安全威脅，除了計算機本地的查殺以外，必須切斷病毒的傳播途徑，嚴防病毒的傳播。隨著計算機病毒的發(fā)展，只要是能夠進行數(shù)據(jù)交換的介質都有可能成為計算機病毒的傳播途徑。就目前比較流行的病毒傳播行為分析，傳播途徑主要有兩種：一種是通過網(wǎng)絡傳播，一種是通過移動硬件設備傳播。由于互聯(lián)網(wǎng)的普及性及全球互聯(lián)互通屬性，網(wǎng)絡傳播是現(xiàn)代病毒幾乎不可缺少的傳播途徑。網(wǎng)民們在收發(fā)電子郵件、瀏覽網(wǎng)頁、下載軟件、使用即時通訊軟件聊天、進行網(wǎng)絡游戲時，都有可能感染并傳播病毒。網(wǎng)絡連接的頻繁性與廣泛性，已被病毒充分利用，使其成為病毒防治的重要區(qū)域。

1 文件型病毒與宏病毒

文件病毒一般是通過操作系統(tǒng)中的文件系統(tǒng)進行感染的病毒。這類病毒大多寄生在可執(zhí)行文件上，使文件字節(jié)數(shù)變大，劫持啟動主程序的可執(zhí)行指令，跳轉到自身的運行指令。一旦運行感染了病毒的程序文件，病毒便被激發(fā)，進行自我復制。宏病毒是寄生在文檔或模板宏中的計算機病毒，這類病毒可以通過Word/Excel文檔或模板進行傳播，在Normal模板（Normal.dot）中可以被找到。宏是一段批處理程序指令，用于代替部分人工操作以提高效率。Word/Excel支持VBA（Visual Basic for Applications）做為宏的編寫語言。

如圖1所示，打開病毒文檔會運行auto_open，首次運行會感染StartUp.xls。當打開未被感染的Excel文檔時，StartUp.xls作為模板會自動運行auto_open，通過cop函數(shù)感染當前打開的Excel文檔。

當感染Manalo宏病毒的文件在網(wǎng)絡中被訪問或拷貝、發(fā)送時，通過在網(wǎng)絡中接入IPS等專業(yè)設備可以對數(shù)據(jù)報文進行深度分析檢測。IPS首先進行協(xié)議分析，識別出流量中郵件附件的接收與發(fā)送，以及文件通過HTTP或FTP等方式的存取，并判斷出傳輸文件的類型，然后IPS對Excel中的宏代碼進行掃描，根據(jù)auto_open函數(shù)中感染StartUp.xls的指令判斷此文件為病毒文件，并對當前數(shù)據(jù)報文進進攔截，使病毒文件的網(wǎng)絡傳輸不能成功，從而阻斷病毒在網(wǎng)絡中的傳播。通過相似的原理，可以根據(jù)病毒中的惡意指令序列對文件型病毒進行傳輸阻斷。

2 蠕蟲病毒

蠕蟲病毒是專門通過網(wǎng)絡傳播的病毒，它不需要像文件型病毒那樣將其自身附著到宿主程序。這類型病毒一般會利用網(wǎng)絡中計算機系統(tǒng)的漏洞進行傳播，無需計算機使用者干預，能夠自主的不斷復制與傳播。蠕蟲病毒通過網(wǎng)絡復制，傳播速度極快，有可能會造成網(wǎng)絡擁塞癱瘓。我院曾經(jīng)使用IPS設備，截獲了一個利用WindowsRPC（Remote Procedure Call）漏洞進行傳播的蠕蟲病毒。感染該病毒的主機會向網(wǎng)絡中的所有Windows主機發(fā)出RPC請求，該請求利用Windows的RPC漏洞可以使請求中攜帶的惡意指令得到執(zhí)行。這些指令加載病毒運行必需的動態(tài)鏈接庫urlmon.dll，調用該庫中的URLDownloadToFileA函數(shù)從病毒作者所指定的服務器路徑（其URL為http：//182.62.247.4：24553） 下載文件到本地文件00.scr，并執(zhí)行該文件。一旦00.scr被執(zhí)行，一個完整的感染過程就完成了。接收RPC請求的主機被感染后會向網(wǎng)絡中的所有Windows主機發(fā)送被感染時收到的RPC請求，開始下一個感染網(wǎng)絡中其它主機的循環(huán)。

利用計算機系統(tǒng)漏洞進行傳播的蠕蟲是傳播速度最快的，如果僅在本地主機上進行查殺，工作量很大而且相當困難。只有在網(wǎng)絡層面進行防治，才能夠有效的隔離蠕蟲病毒的傳播。以前文提到的蠕蟲病毒為例，部署在網(wǎng)絡中的IPS設備能夠對RPC請求報文進行深度檢測，如果發(fā)現(xiàn)有異常的RPC請求在利用RPC漏洞，將會對其進行阻斷，如圖2所示。由于是從蠕蟲病毒利用的漏洞入手進行防御，只要是利用相同漏洞的任何蠕蟲病毒變種，都無法進行傳播。更為重要的是IPS上報的病毒日志信息能夠引導管理員發(fā)現(xiàn)網(wǎng)絡中已經(jīng)感染蠕蟲病毒的主機，修復網(wǎng)絡中的安全短板，從而提升整個網(wǎng)絡的安全性。

3 木馬病毒

木馬病毒是指隱藏在正常程序中的一段具有特殊目的的惡意代碼，是具備破壞或竊取文件、記錄發(fā)送密碼、遠程控制等特殊功能的后門程序。木馬與PcAnywhere等遠程控制軟件部分相似，區(qū)別在于遠程控制軟件是善意的、公開的，而木馬病毒是惡意的，而且具有很高的隱蔽性。感染木馬病毒的主機會監(jiān)聽某一端口等待木馬控制者連接進行控制，或者主動連接惡意代碼中指定好的控制端，上傳竊取的文件、密碼，甚至請求木馬控制端進行控制。目前比較流行的盜取銀行帳號密碼的木馬，一般會通過郵件把帳號和密碼發(fā)送到木馬植入者的電子郵箱。目前木馬病毒的傳播，比較重要的途徑是網(wǎng)頁瀏覽與電子郵件，一些訪問量比較大而安全性比較差的網(wǎng)站，容易被入侵，網(wǎng)頁中可能會被植入木馬，即所謂的網(wǎng)頁掛馬。網(wǎng)頁掛馬可導致木馬在網(wǎng)站訪問人群中大面積傳播。

網(wǎng)絡防治木馬病毒可以從阻斷傳播與攔截遠程控制兩方面對病毒進行遏制。在傳播方面，IPS等網(wǎng)絡防御設備有深度檢測的功能，能阻斷攜帶木馬病毒的郵件、網(wǎng)頁，對木馬病毒的傳播可以進行有效的限制。在木馬的遠程控制方面，網(wǎng)絡防治有特殊的優(yōu)勢，木馬病毒的遠程控制部分相對來說功能與行為比較固定，一般不會隨著木馬病毒的變異而變化，例如木馬病毒會向指定的網(wǎng)址或郵箱地址發(fā)送竊取的帳號密碼，通過固定的協(xié)議接受或請求遠程控制等。木馬病毒會把受害主機的系統(tǒng)信息，例如系統(tǒng)版本號，以固定協(xié)議格式發(fā)送到控制服務器上。IPS通過這些網(wǎng)址、郵箱地址、協(xié)議信息可以對木馬的遠程控制環(huán)節(jié)進行攔截，使用木馬植入者的惡意圖謀不能夠得逞，同樣IPS的日志能精確指出網(wǎng)絡中被植入木馬的主機IP，為木馬病毒的查殺明確目標。

4 網(wǎng)絡防治病毒面對的挑戰(zhàn)

病毒經(jīng)常會被“加殼”（對程序指令進行壓縮或加密），以隱藏和保護自己。由于加殼的方法變化萬千，如果不對指令的執(zhí)行進行動態(tài)跟蹤，僅通過加殼后的文件本身很難判別文件是否攜帶病毒。而在網(wǎng)絡環(huán)境下，受網(wǎng)絡設備處理性能及緩存空間的限制，很難從數(shù)據(jù)流中重組完整的文件，更不要說動態(tài)跟蹤執(zhí)行程序指令。受制于網(wǎng)絡檢測環(huán)境的局限性，提高識別的成功率與降低誤識別概率一直是網(wǎng)絡安全檢測設備的重要改進目標。因此，目前僅僅依靠網(wǎng)絡安全設備來防御病毒是不完備的，終端防御與網(wǎng)絡防御并重才是比較完備的解決方案。

5 結論

隨著網(wǎng)絡的迅猛發(fā)展，各種新型病毒還將不斷的出現(xiàn)，只有做好醫(yī)院網(wǎng)絡的防御工作，同時使用有效IPS系統(tǒng)才能抵御各種入侵。然而醫(yī)院網(wǎng)絡安全不能依賴單一的安全技術手段，必須要構建一個從管理上和技術上都比較完整的方案才能真正維護好醫(yī)院的網(wǎng)絡環(huán)境，抵御病毒的入侵。

參考文獻：

[1] （美國）哈利.計算機病毒揭秘[M].朱代祥，賈建勛，史西斌，譯.北京：人民郵電出版社，2002.

[2] 林濤，張建輝.網(wǎng)絡安全與管理[M].北京：電子工業(yè)出版社，2005.