摘 要:互联网时代,电子邮件成为电子政务、电子商务传递文件、数据和信息的主要通讯工具。在电子邮件归档中,病毒通过SMTP及MIME、HTTP传播,带来了邮件服务器系统崩溃、大量占用网络带宽资源、传播行为更具攻击性、产生大量垃圾邮件阻塞信箱等危害。对此,提出使用网络邮件防毒网关对邮件附件进行过滤、安装邮件防毒产品加强阻拦、限制电子邮件附件的访问权限等技术手段加以防范。
关键词:电子邮件;归档;病毒
Summary:Internet era , e-mail became e-government, e-commerce major communication tool to transfer files , data and information.In the e-mail archive,Virus Spread via SMTP and MIME, HTTP,brought the mail server crash , a lot of network bandwidth resources , the spread of more aggressive behavior , resulting in a lot of blocking spam mail and other hazards.In this regard,the author proposed use web-mail gateway anti-virus e-mail attachment filtering , email antivirus products installed to strengthen the block, restrict access to technical means such as e-mail attachments to guard against.
Keywords:E-mail;Archiving;Virus
随着互联网技术和经济全球化进程的快速发展,电子邮件不仅给电子政务、电子商务带来一种新型的办公模式,而且还为电子政务、电子商务的创新提供了新的平台,缩短了人们之间的空间距离,提高了政务、商务效率。“几年前,专家们纷纷预测电子邮件将死,但现状并非如此,电子邮件的用量和数量仍在不断增长。Facebook、Twitter等信息流并没有取代电子邮件。”[1]但是,在办公成本降低的同时,病毒入侵也给电子邮件归档带来安全性问题。根据权威机构调查显示,“邮件用户的邮件安全现状和重视程度不容乐观,约60%的邮件存储于不受保护的台式机或笔记本上,受病毒、木马、系统漏洞以及其他认为不定因素的影响,时有重要邮件丢失问题。此外,48%的单位没有制定恰当的邮件安全策略”。[2]正是由于用户安全意识的薄弱和缺乏合理的邮件管理手段,才直接导致电子邮件的屡屡丢失和遭遇病毒的破坏。
1 电子邮件归档中病毒的传播
电子邮件作为一种相当便利的信息通信手段在现代社会中广泛使用。电子邮件之父——美国程序设计师雷·汤姆林森(Ray Tomlinson)在发明电子邮件时绝对没有想到,在40多年以后的今天,“对于普通用户,邮件病毒带来的是损坏文件和数据、造成系统崩溃,而对于企业网络来说,除上述威胁之外,由邮件病毒造成的网络堵塞将带来更大的损失”。[3]据中国互联网络信息中心(CNNIC)发布的《中国互联网络发展状况统计报告》统计表明,自2008年以来,中国网民对各类网络应用的使用率发生了变化,见表1。即时通信、博客、社交网站等类别的网络应用使用率在不断上升,而电子邮件的使用率在逐年下降。网民从2008年的22.6%上升到2013年的45.8%,电子邮件使用率却从2008年的56.8%下降到2013年的42.0%。但不可否认,在电子政务、电子商务中,电子邮件仍是比较安全和符合要求的通信手段。尤其是文件的传输和数据的传递通过电子邮件比即时通信等要安全得多。
表1 2008年~2013年中国网民对各类网络应用的使用率对比
1.1 利用SMTP及MIME传播。SMTP是简单邮件传输协议。MIME是一种为把非ASCII码文件或者多部分文档当成电子邮件一个部分来传送而开发的邮件传送协议。有了此协议的支持,邮件就可以带有各种格式的附件,包括可执行文件、Office文档、网页,从而使病毒随邮件传播成为可能。病毒传播范围不受限制,而且被感染的用户不易发觉,所以,很可能在很短的时间内对网络造成拒绝服务攻击,这是一类需要重点防范的病毒。
1.2 利用HTTP传播。这种病毒是以超文本链接文件为载体的病毒。为增强Web页面的表现力和与用户交互的功能,HTTP协议允许在传输的网页中携带可由服务器端移动到客户端并在本地执行的代码,被称为可移动代码,它们可以随用户浏览而从外部网络通过Internet进入用户系统。随着Sandbox模型对Java程序限制的减少和有关ActiveX控件更多的安全漏洞被利用,这两种技术很可能被大量用来起到病毒投放程序的作用。这样可以使现在所有的基于文件系统的反病毒技术失效。
2 电子邮件病毒传播的危害
随着网络资源的共享,电子邮件系统的广泛应用,利用电子邮件作为主要传播载体的病毒越来越多,并且造成了极大的危害。根据瑞星“云安全”数据中心2008年~2013年发布的中国信息安全报告统计表明,瑞星“云安全”系统2008年截获新增病毒样本931万个,2013年增至3310万个,尤其是截获新增木马病毒在2013年有2463万个,占总体病毒的74.41%,利用电子邮件传播为主要通道的蠕虫病毒紧随其后。木马病毒、蠕虫病毒、感染型病毒以及后门病毒等疫情详见表2。
表2 2008年~2013年我国电脑病毒疫情统计
“邮件病毒”利用电子邮件的快捷传播特性作为传播渠道,除了具备普通病毒的特征之外,还有感染速度快、扩散面广、清除病毒困难、破坏性大、隐蔽性强等特点。虽然在原理和传播方法上电子邮件病毒与普通的网络病毒并无差别,“不仅存在于执行文件中,还可存在于网页、图片和文本文件之中;能够生成、删除、覆盖文件,破坏硬盘”,[4]但使用电子邮件作为传播手段的病毒在传播时往往会有更大的威胁和危害。
2.1 导致邮件服务器系统崩溃。电子政务、电子商务管理系统中一般都会有独立的邮件服务器。如果缺少安全防护,电子邮件及其附件无论是点击还是下载至本机,一旦有病毒传播时,就会产生大量的带有威胁的邮件发送和接收行为,导致邮件服务器系统崩溃,从而拒绝服务。典型的例子是美国新泽西州的David Smith在1999年3月传播的“梅丽莎”(Melissa),伪装成一封来自朋友或同事的“重要信息”电子邮件,通过Word 97/2000、Excel 97/2000/2003等系统传播。“梅丽莎”一旦被用户打开就会向受感染电脑内Outlook 97/98地址簿上的前50个联系人发送,并通过这50个联系人继续“滚雪球”似的扩散。当然,这种病毒就其本身而言并不删除电脑内的系统文件,但大量发送几何级数增长的电子邮件会导致邮件系统瘫痪,进而摧毁整个互联网邮件系统,“梅丽莎”病毒不仅造成用户损失逾800万美元,后来还衍生出至少4个变种,其中有些变种的病毒危害更大,不仅会像“梅丽莎”病毒那样导致系统瘫痪,还直接删除重要的Windows系统文件。
2.2 大量占用网络带宽资源。邮件病毒的传播过程往往是由点到面呈放射性扩散的。“由于许多病毒运用了社会工程学,发信人的地址也许是熟悉的,邮件的内容带有欺骗性,防范意识不强的归档者会轻信而运行邮件病毒的附件并形成感染。”[5]电子邮件下载到本机上归档,一旦本机受到邮件病毒的感染,电脑里大量的邮件地址就成为邮件病毒传播的“通讯簿”,通过互联网将邮件副本群发到这些地址并快速扩散,其直接后果是原本畅通无阻的大量网络带宽资源被非法占用,使网络“高速公路”受堵,网络速度变慢。如2005年5月3日,瑞星全球反病毒监测网及趋势科技均截获SOBER蠕虫病毒的最新变种S(Worm.Sober.s)。据介绍,该病毒变种和原病毒一样,通过发送电子邮件进行传播。邮件的主题以“世界杯门票”、“注册确认”、“你的密码”为诱饵。病毒大量发送邮件会导致网络带宽被严重占用,甚至整个网络系统被堵塞。
2.3 病毒传播行为更具攻击性。从病毒的传输方式上来看,电子邮件既有单纯附件携带方式,又有内容携带方式,或者是内容与附件同时携带。在电子邮件病毒早期阶段,邮件病毒基本上是被动触发,用户打开邮件内容并不影响,只有当用户点击邮件附件运行时才会被激活。早期的邮件病毒多为宏病毒,破坏性比较小,如“爱虫病毒”、“梅丽莎”等,其传播速度为一周左右。而在现阶段,新一代邮件病毒只要用户浏览电子邮件的正文就会传染上新型病毒。如“泡沫小子”(Bubbleboy)病毒,不需要打开邮件的附件就可染毒,它本身就是一种包含VBScript的HTML文件。“BubbleBoy”正是侵犯了Outlook/Outlook Express解读、表示HTML邮件时所利用的Internet Express部件的安全区域。这样的病毒,传播行为更具攻击性。
2.4 产生的大量垃圾邮件阻塞信箱。对于电子政务、电子商务网络内的客户端来说,邮件病毒爆发时所产生的垃圾邮件也可能会堵塞用户信箱。如2004年2月1日发作的“诺维格”(Worm.Novarg.a)又称“Mydoom”,这种病毒自带SMTP系统,首次采用病毒和垃圾邮件相结合的战术。病毒会自动运行,并发送大量带毒的垃圾邮件,使个人邮箱在短时间内爆满,使企业用户服务器每秒钟收信10万封以上。这种情况往往发生在经过某种非彻底的安全过滤之后,未被彻底清除的病毒邮件会将用户有限的邮箱空间占满,导致用户无法收取正常的邮件。
3 电子邮件归档中对病毒的防范技术手段
电子邮件归档中对病毒的防范要贯彻“以防为主,防治结合”的原则。在加强对网络使用、邮件存储等管理的同时,要通过技术的手段,预防与阻拦病毒。
3.1 使用网络邮件防毒网关对邮件附件进行过滤。邮件防病毒网关是一种网络设备,是局域网内电子邮件进出数据安全保护的重要屏障。邮件防病毒网关主要功能体现在过滤关键字、杀除病毒、阻止垃圾邮件等方面,同时部分设备也具有一定的防火墙功能。对于电子政务、电子商务系统的网络而言,一个安全系统的首要任务就是部署邮件防病毒网关,阻止病毒通过电子邮件及其附件入侵。
网络邮件防毒网关是从整个网络的入口开始,不仅要阻止来自Internet的病毒入侵,而且要防止病毒在进出单位内部网络时的传播。基于邮件服务器的方式实现,邮件归档单位以邮件服务器为网关,在邮件服务器上安装相应的邮件服务器版防病毒产品,将防病毒程序内嵌在邮件系统内,在邮件归档前对邮件内容及其附件进行扫描并清除,从而防止病毒通过邮件网关进入单位内部网络系统。目前,网络邮件防毒网关主要支持exchange server、lotus notes和以smtp协议的邮件系统。
此外,网络邮件防毒网关使用过程中应注意对进出邮件网关、数据流网关的数据流进行高速过滤。由于防毒网关同网络中防火墙、入侵检测系统的并存,会加重归档单位的网络负荷。因此,在安装网络邮件防毒网关时要选用高性能防火墙,以便减轻网络数据过滤对网络产生的影响。同时,防毒网关针对专用协议进行过滤,合理阻止垃圾邮件、高频率大流量邮件、木马黑客程序等。在网络邮件防毒网关系统正常运行后,管理人员实时察看网络数据流量、用户邮件发送数量,发现异常现象及时处理。
3.2 安装邮件防毒产品加强阻拦。近年来的蠕虫病毒传播越来越快,传播范围越来越广,破坏性也越来越强,病毒充分利用了网络的开放性,在归档部门没有防备的时候迅速进入并很快在网络中传播开来,造成归档部门网络阻塞等情况;近年来电子邮件病毒正在通过更多的传播方式进入归档部门内部,除了利用传统的EMAIL传播方式以外,WEB浏览、FTP下载等都已成为电子邮件病毒传播的主要手段,再加之终端系统不时地报出新的系统漏洞,让本就不怎么安全的网络更加岌岌可危。
在现有的Exchange或是Domino服务器上安装邮件防毒产品。防病毒产品有单机防病毒产品、网络版防病毒产品、网关防病毒产品、移动终端防病毒产品、在线防病毒产品和邮件防病毒产品等,电子邮件的防病毒软件最好使用专用的产品,如趋势科技(中国)有限公司开发的趋势科技防毒墙-邮件安全版(IMSS)、趋势科技邮件安全网关IMSA、趋势科技防毒墙-群件版(ScanMail)Trend Micro ScanMail等产品都是在高扩展性的平台上,采用邮件信誉技术、智能分析引擎、IP连接控制、垃圾邮件比对数据库等多种技术阻止垃圾邮件的入侵,同时集成防病毒、防间谍软件和深度内容过滤技术,为邮件应用提供一体化的综合防护。现在的病毒技术发展得非常快,它们可通过Internet(外部)向企业的邮件服务器发送大量的病毒邮件(如Netsky可连续发送成千上万的病毒邮件),企业邮件服务器既要处理企业内部员工的内部邮件,又要处理来自Internet的病毒邮件,此时邮件服务器就有可能因为硬件性能急速下降而导致宕机。因此,如在网关处部署IMSA,则可完全阻止来自外部的病毒邮件和垃圾邮件,从而保证企业邮件服务器的正常运行。
3.3 限制电子邮件附件的访问权限。在客户端(主要是Outlook)限制访问电子邮件附件中的特定扩展名的文件。可被设置阻止运行的邮件附件包括:.ade Microsoft Access项目扩展名;.adp Microsoft Access项目;.bas Microsoft Visual Basic类模块;.bat 批处理文件;.cmd Microsoft Windows NT命令脚本;.exe 可执行文件,等等。如果想要接收Outlook 所阻止的类型的文件,可以要求发件人避免使用Outlook来提供文件,或者尽可能避开Outlook的阻止。可以请求发件人重命名附件,以使用Outlook不会认作风险的文件扩展名。例如,可将文件扩展名为.exe 的可执行文件重命名为文件扩展名为.docx 的Word 2010 文件。请发件人重新发送重命名的附件。若要保存附件,并将其重命名为使用原来的文件扩展名,然后在电子邮件中找到附件,右键单击附件,然后单击复制;右键单击桌面,然后单击“粘贴”;右键单击粘贴的文件,然后单击“重命名”;将文件重命名为使用原来的文件扩展名,如.exe。
“随着IM(即时通信)、手机短信、博客、社交网站的出现,使用电子邮件的人越来越少。许多博客和媒体都称,电子邮件正在遭受遗弃。最新的调查数据显示,……网易、新浪、搜狐等老的电子邮件中的‘休眠’账号也日益增多。”[6]由于通讯方式的拓展而导致的电子邮件使用下降,是网民个体行为的选择,在电子政务、电子商务活动中,电子邮件的使用仍占网络通讯的主体。目前,反病毒系统对抗电子邮件病毒仅仅针对电子邮件本身和所带附件检测病毒,这样做在当前形势下是不够的,因为病毒发送电子邮件的行为常常在应用层发起,所用的系统调用和方法与正常程序所用的是没有区别的,所以,依靠特征扫描不可能在邮件服务器一级把电子邮件中的所有病毒都过滤掉,这也是网络攻防对抗的必然结果。典型的反病毒系统没有解决未知的邮件蠕虫病毒侵入网络后对整个网络运行效率造成危害的问题。此外,现在的反病毒技术,都是基于对文件操作的。对将来可能再次大规模爆发的Internet蠕虫病毒,可能会不依赖于被感染者机器上的邮件系统,而是作为内存中的活动的进程不断扩散。当前的反病毒研究还没有提出针对这种邮件归档中病毒的有效防护技术和措施,现在不断发展的网络可移动执行代码技术,说明了存在这种类似的蠕虫病毒再次出现的可能。因此,在电子邮件归档中,防止病毒的入侵,确保数据的完整与安全任重而道远。
*本文为江苏省档案局档案科技项目计划《档案危机预警管理模式研究》(项目编号为:2011—L13)、盐城师范学院2012年度校级教授、博士基金项目《基于文件管理的电子邮件归档研究》(项目编号为:12YSYJB0107)和盐城师范学院教育科学研究项目《档案管理学》课程教学理论与实践的结合的阶段性研究成果。
参考文献:
[1]CTO/CIO Peter Yared.电子邮件现在一样也是流[EB/OL].[2014-04-12].http://.http://.cn/security-content/htm2012/20120412_244873.shtml.
[3]企业反病毒技术与策略:当电子邮件不再安全.[2014-04-12]http://.cn/cnw07/NetInfrastructure/UC/wl/htm2007/20071205_28620.shtml.
(作者单位:江苏盐城师范学院 来稿日期:2014-04-12)
扩展阅读文章
推荐阅读文章
花田文秘网 https://www.huatianclub.com
Copyright © 2002-2018 . 花田文秘网 版权所有