如今,新冠状病毒(2019-nCoV)肺炎疫情在全国蔓延,为了遏制病毒传播,全国打响了病毒疫情阻击战。关于这个病毒的防范,大家已经看到了很多的文章介绍,今天,我们来谈一谈从这次疫情防范过程中我可以得到什么启发,用在我们对于计算机病毒的防范上。
病毒的概念最早就是来自于医学,病毒是一类由核酸和蛋白质等少数几种成分组成的超显微“非细胞生物”,其本质是一种只含DNA和RNA的遗传因子。病毒具有传染性、破坏性、潜伏性等特点。
计算机病毒只是一个程序或者代码,之所以叫他病毒,就是因为他具有同医学病毒相似的属性。《中华人民共和国计算机信息系统安全保护条例》第二十八条:“计算机病毒,是指编制或者在计算机程序中插入 的破坏计算机功能或者毁坏数据,影响计算机使用,并能 自我复制的一组计算机指令或者程序代码 (1994.2.18)。这个概念是一个狭义的病毒概念,现在我们所说的病毒是一个广义的病毒概念,准确说应该叫恶意代码,是指能够引起计算机故障,破坏计算机数据,影响计算机系统的正常使用的程序、代码、指令。
下面我们来看一看这二者在特点、防范方式等方面的相同点:
1. 相同的特点
我们先来看一下病毒的几个基本特征(红色是电脑病毒部分):
(1) 破坏性。医学病毒可以破坏人体免疫力,使人生病,严重的可以致命。
而计算机病毒只要侵入系统,都会对系统及应用程序产生不同程度的影响。轻者会降低计算机工作效率,占用系统资源,重者可导致系统崩溃或者直接损毁电脑中的数据。
(2) 潜伏性。传统的病毒进入体内都有一个潜伏期,比如这次的新型冠状病毒,潜伏期是7-14天,中毒之后我们往往不会第一时间发现。
而计算机病毒也是一样,也有一个潜伏期,大部分的病毒感染系统之后一般不会马上发作,它可长期隐藏在系统中,只有在满足其特定条件时才启动其表现(破坏)模块。只有这样它才可广泛地传播。比如著名的CIH病毒,就是每年的4月26号发作(后来的版本是每月26号发作)。
(3) 传染性。关于医学病毒的传染性我想大家都深有体会了,不管是流感病毒还是非典病毒,或者这次的新冠病毒,都具有极强的传染性,病毒传播方式包括血液传播、空气传播、性传播等方式。
而计算机病毒的传染性是指病毒具有把自我复制传播或通过其他途径进行传播的特性。计算机病毒是人为编制的计算机程序代码,这种程序代码一旦进入计算机并在适合的条件下得以激活或执行,它就会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码复制到其中,达到自我繁殖的目的。只要计算机中的某一个文件感染了病毒,如没有得到及时的处理,那么病毒就会在这台计算机上迅速扩散,其中的大量符合感染条件的文件(一般是可执行文件)都会被感染。同样,被感染的文件又成了新的传染源再进行传播。如果某台电脑再与其他的电脑进行数据交换或通过网络等渠道进行接触,病毒还会继续传播感染其他的电脑。传染方式包括磁盘介质、局域网、互联网、文件等方式。传染性是病毒(狭义) 的一个主要特征。
(4) 隐蔽性。医学病毒个头都很小,并不容易被发现,而且并不是在发作之后才会传染,在潜伏期内,被病毒传染的宿主并不会发现有什么异常,发作之后的症状有时候与普通病症区别不大,不经常严格的检测对比很容易当成普通病症看待。也正是如此,才会有“超级传播者”存在,导致中毒者以为自身没有问题而导致二次传播。
计算机病毒也一样,计算机病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘的较隐蔽的地方,也有个别的以隐含文件形式出现,目的是不让用户发现它的存在,大部分的病毒的代码之所以设计得非常短小,也是为了隐藏。病毒一般只有几百个字节,这相对于电脑的文件存取速度显得微不足道,所以病毒转瞬之间便可将这短短的几百字节附着到正常程序之中而不易被察觉。如果不经过代码分析,病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下,计算机病毒程序取得系统控制权后,可以在很短的时间里传染给大量程序。而且受到传染后,计算机系统通常仍能正常运行,使用户不会感到任何异常。
(5) 非授权性。病毒者被病毒感染并不是患者自身的意愿,往往是在我们不知道的情况下就中招了。
计算机病毒也是一样,一般正常的程序是由用户调用,再由系统分配资源,完成用户交给的任务。其目的对用户是可见的、透明的。而病毒不仅具有正常程序的一切特性,而且它是隐藏在正常程序中的,当用户调用正常程序时,病毒程序也在可能被激活运行,进而窃取到系统的控制权,并先于正常程序执行。病毒的目的对用户是未知的,是未经用户允许的。就像我们双击“WORD”图标,我们会知道双击之后会出现一个文字处理软件,这是一种授权的行为,而病毒的执行却是非授权的,比如有些病毒会通过修改文件关联的方式进行执行,当你授权执行某个TXT文件时,病毒会附带运行,而这种运行对用户而言则是一种非授权行为。
(6) 不可预知性。新的病毒层出不穷,未来会出现什么样的病毒?如何传播?如何治疗?我们并不知道,2003年的非典和今年的疫情都是一样,未来会有什么新病毒谁也不知道。
计算机病毒也是,不同种类的病毒,它们的代码千差万别,但有些操作是共有的(如驻内存,改中断号)。我们可以通过现在的技术进行防范,如病毒库技术、主动防御技术等,但相比病毒而言,反病毒永远是滞后的,先有病毒再有反病毒。未来的病毒什么样,谁也无法预料,也不存在可以防范所有病毒的超级杀毒软件(有也是骗人的),任何软件说可以防范100%的病毒都是骗人的。
2. 防范方法
我们先来看看针对目前的疫情,我们都采用了什么措施进行防范(红色是计算机病毒):
(1) 组织层面
一、封城。包括武汉在内的一些重灾区,采取了封城的手段,除了特定的人员和车辆,其他禁止出入。大到一个城市,小到一个社区。这种方式可以有效的防止病毒的传播和扩散,将病毒隔离到一个范围之内,再对其中的病毒进行处理。
对于计算机网络而言,我们也要对网络进行分层分域管理,比如根据不同的职能和部门划分安全域,对于各区域边界进行严格的出入控制。在等保2.0中叫安全边界管理。
二、断路。为防止疫情传播,将道路断开,避免病毒进入。但这并不是一个好的方法,太极端了,毕竟还要有一些正常的来往,一断路可能连救护车都进不来了,所以国家也专门下文禁止断路了。
(编者注:在计算机领域也有断路措施,即断网,阻断计算机病毒的蔓延。)就像有的单位为了防止感染病毒把所有的网络都断开,有点因噎废食的感觉。不过在特殊时期也是可以的。
三、准入。对通过高速、高铁、飞机等入城的人员进行严格的检查,对于危险区域来的人员劝返,只允许特定的人员进入,对于可疑人员要及时进行隔离,避免出现二次传播。
在防范计算机病毒时,我们也要这样,对于网络和主机,都要有严格的准入控制系统,不在白名单内的用户和主机不允许接入网络,不在白名单内的进程和程序不允许运行。发现可疑主机要及时隔离处理,发现可疑进程马上启动相应的应急处理机制,通过EDR和KATA进行分析。
四、追溯。一旦有人员确诊,马上对其行踪进行追溯,寻找可能的接触者,判断感染源头。这个过程是比较难的,因为很多人并不是直接和病毒接触的,就像这次都知道第一批感染者来自华南海鲜市场,但这里就是源头吗?还不一定,或者也只是一个寄生体,就像当年非典时,开始都以为是果子狸,后来发现来自蝙蝠。
计算机病毒也一样,一旦发现感染病毒,不要急于格式化重装系统,一定要先进行取证溯源,分析攻击流程,寻找攻击者以及可能的被感染者,防止病毒二次传播。这个过程是一个很重要但也很难的过程,很多黑客攻击也并不是直接入侵的,而是通过一些僵尸主机或者跳板进行。而且攻击后并不会只攻击一台,往往是同时攻下了好多台电脑,只不过只在其中一台或几台实施了破坏,其它没有被破坏不代表就是安全的。通过追溯就能发现其他被攻击的电脑有哪些。
五、疫苗研发。国家科研机构拿到病毒样本进行分析,提取病毒基因序列,加快进行病毒疫苗的研发工作。
同样道理,新病毒出现后各大安全公司会及时捕获到病毒样本,第一时间进行分析,并将病毒特征码加入病毒库。
六、多宣传。疫情出现之后,电视、广播、新媒体、短信、传单全方位轰炸,让大家对病毒的危害有了清醒的认识,认识到了严重性,之后的一些工作就会容易得到大家的理解和支持。
同样,对于计算机病毒,我们也要加强宣传,通过相应的网络安全讲座,让大家意识到网络安全的重要性,提高安全意识,增强基本的安全技能,养成良好的安全习惯。这样才能有效降低被病毒感染的风险。
七、公开透明。事实证明,制止谣言的最好方法就是公开透明。政府每天公布感染人数和传播方式,让其他人引以为戒,知道身边有没有危险。
计算机病毒也一样,很多单位被勒索病毒感染后都会捂盖子,怕让别人知道,这种捂只会让更多的人被感染。我之前也曾经写过一篇关于这个的文章《不能说的秘密!》,如果能有一个良好的通报机制,我觉得是可以让更多的人免于被病毒感染的。
(2) 个人层面
在个人层面,人民日报给出了个人防护的几条建议,我们也可以用在IT网络中(红色部分是针对计算机病毒的):
- 少出门,少集聚。没有必要不要访问外网,尤其是一些非正规网站,减少文件和目录共享。
- 勤洗手,勤通风。养成良好的习惯。使用U盘、打开邮件附件都要先扫描病毒再打开。
- 拒野味,管住嘴。不要下载和使用盗版软件以及来路不明的软件。
- 戴口罩,讲卫生。安装个人防火墙,对进出流量进行控制。
- 打喷嚏,捂口鼻。病从口入,对于电脑端口加强防范,使用主机防火墙关闭不必要的端口。
- 有症状,早就医。发现问题要及时反馈给信息中心,不要自行处理。
- 不恐慌,不传谣。了解必要的病毒知识,就不会被一些厂商或人误导。
- 须警惕,莫轻视。要有安全意识,人是网络安全中最重要也是最薄弱的环节。
3. 其他
除此之外还有一些共同之处:
(1) 一旦被感染,全社会都放假,只有医务工作者拼死奋斗在一线。
一旦单位网络被感染,所有人都停止工作,只有信息中心和运维人员在一线奋斗。
(2) 平时对医务工作者没有应有的尊重和敬畏,杀医辱医事件层出不穷,出事了就成了救世主。
平时对信息中心和安全运维人员不重视,总认为是一个花钱的部门,出了事才意识到安全的重要性。
4. 区别
最后还一点大不同。
严重的可能会要命,而且人死不能复生。
做好了数据和业务的备份,就可能恢复如初。也不怕勒索。
为了更方便大家浏览,重新制作了一张对比图,更清晰直观。
最后,让我们向辛苦奋斗在一线的医务工作者致敬。你们是人民的守护神。向武汉人民致敬。祝早日控制疫情回归正常生活。