正确的硬件、策略，以及对用户正确的进行教育，会有助于你赢得这场战斗

1间谍软件

所谓间谍软件，是指在不知会电脑主人、未获得电脑主人(无论是您的公司还是系统的主要使用者)许可的情况下，就偷偷将自己安装在系统中的软件。根据反间谍软件生产商webroot Software公司有关间谍软件的统计报告，每10台连到互联网的电脑中，就有9台受到过间谍软件的侵染；而在公司电脑中，大约有87％感染过各种类型的间谍软件。

间谍软件侵入你的电脑有很多种方法，它可以通过电子邮件中的可执行附件，也可以通过网站上的“恶意代码”，还可以通过其它软件自身的安全漏洞，将自身埋藏到其他软件的安装盘上，或者是隐藏到其他软件的下载程序中。此外，这些间谍软件也很喜欢“搭”网络热门下载的“便车”，通过将自身伪装成重要的安全更新或者是浏览器附件来吸引用户主动下载。而某些时候，连白纸黑字的最终用户许可协议(EULA)文件或网页之中，都隐藏着某些“系统特权请求”。

一旦被安装到用户电脑上，间谍软件通常都会伪装成合法的文件或者程序。或者使用其他的欺骗手法，以避免自身被用户发觉。某些间谍程序可能只是简单的试图修改你的浏览器首页，或者不断弹出一些广告窗口。但是如果间谍程序太多——哪怕只是上述这种听起来相当无害的类型——都会极大的降低系统性能，导致启动和关机时间都大幅延长，将正常操作拖得像蜗牛爬，甚至会让电脑完全死机，不过，现在越来越多的间谍软件正开始进行蓄意破坏，通过监控记录用户的键盘输入或者对用户文件进行检查，以偷取文件密码、金融账号信息，及其他敏感数据，并将这些信息发送到间谍软件制造者的手里，而后者则可以利用这些信息冒充他人的合法身份。

间谍软件本身相当难以被发现，而且也很难被清除。所以最好的解决方案是事先防范它侵袭你的电脑——在网关就对URL(网址)及访问内容进行过滤；如果可能的话，在电脑上也进行类似的URL和内容过滤。此外，在用户的电脑上运行反间谍软件也同样重要，这些软件包括McAfee AntiSpyware，TrendMicro Anti-Spyware以及Webroot SpySweeper等。如果采用硬件解决方案的话，不妨考虑一下Barracuda Network公司的Barracuda网页过滤器(以前叫Barracuda间谍软件防火墙)。Barracuda网页过滤器通过检查所有试图访问互联网的连接，来找出现存的间谍软件，并通知管理员。

2混合攻击

顾名思义，混合攻击集合了多种不同类型的攻击方式。它们集病毒，蠕虫以及其他恶意代码于一身，针对服务器或者互联网的漏洞进行快速的攻击、传播、扩散，从而导致极大范围内的破坏。

“其目的就是从你的系统中诈取机密信息”，Symantec的Martin说。“它可能是从一封电子邮件中的欺骗攻击开始，也可能来自于你的即时通信软件，或者是进行一次欺骗性电话呼叫来作为攻击的起点，总之是想方设法引起你的注意”。然后，该攻击就会试图欺骗用户进入它的网站空间，下载恶意代码，即便用户很小心没有泄露自己的私人信息，他的系统也被攻陷了。

而阻挡这些“混合攻击”的工具，则包括深度数据包探测(DPI)防火墙，入侵防护以及“行为阻挡”——一种用于对非正常的软件活动进行告警的工具——以及，确保你的所有用户都知道哪些东西该点，哪些东西不该点，

3绕道攻击

虽然很多的攻击都是“大张旗鼓”的“砸你家大门”——对你连接本地局域网到互联网之间的网关进行攻击——但也有很多的攻击会绕道而行，有的甚至根本都不接触连接电脑的网络。

网关级别的安全防护无法保护电脑免遭来自CD、USB设备或者闪盘上的恶意软件攻击。同理，那些被拿到办公室之外使用的员工电脑也无法得到有效的保护——假如你将电脑拿到一个无线热点区域之中，那么窃听者以及AP盗用者都有可能拦截到电脑的相关通讯——如果你的电脑并未采取足够客户端安全防护措施的话。而这些攻击，我们就将其称为“绕道攻击”。

根据《网络安全与入侵预防》——份由ESG(Enterprise Strategy Group)研究机构在2005年1月对250名北美专业安全人员所做的民意调查，显示被感染的员工笔记本大约有39％将蠕虫攻击带人了公司的局域网。而第二种最常见的风险来源，则是通过非雇员的笔记本，或者是连接到家庭的VPN虚拟专用网来穿越防火墙。“在四大顶级风险来源中，有3个都绕过了防火墙”，Jon Oltsik说(他是ESG研究机构的资深分析员)。“这就是为什么我们总说多层，深度防护的风险管理十分必要的缘故”。

某些威胁可能会穿越较老的网关级安全防护，是因为它们无法识别这些通过多个数据包进行交叉传输的行为，或者在它们的数据库中没有相符合的数据特征。而在对这种类型的威胁进行防护时，DPI及URL／内容过滤、阻挡，则担当着十分重要的角色。人则可以堂堂正正的访问数据库、使用相关程序以及相应系统等。而那些丢失，修改或者被泄露出去的用户名及密码，一旦落入他人之手，就会将公司置于极大的风险之下，除了可能被处以监管罚款之外，还可能造成企业亏损，或者导致企业产生大笔的相关处理费用。

要防止资料盗用，除了需要加固自己的网络，杜绝各种未经授权的用户访问之外，同时还要将各种未经授权的敏感信息获取企图挡在门外。解决方案包括有网关级别的防火墙，入侵防护系统，反病毒系统。反间谍软件系统，垃圾邮件阻挡以及URL／内容过滤，以及对移动用户或者远程用户使用VPN连接，网络访问控制(NAC)及终点防护措施等，从而确保客户端设备得到妥善的安全防护。(此外，不要忘记，对你的设备以及相关文件进行物理防护，保护好电脑的存储介质以及硬盘等)

4强盗AP

强盗AP——那些既不属于IT部门，也并非由IT部门根据公司安全策略进行配置的AP——一代表着一种主要的网络安全风险来源。它们可以允许未经授权的人对网络通讯进行监听，并尝试注入风险。一旦某个强盗AP连接到了网络上——只需简单的将一个Wi-Fi适配器插入一个USB端口，或者将一台AP连到一个被人忽略的以太网端口上，又或者使用一台配备了Wi-Fi的笔记本电脑以及掌上电脑——那么未经授权的用户就可以在公司建筑的外面(甚至可能是更远一些的地方)访问你的网络了。

在很多新型的无线交换机中，已经提供了关于检測强盗AP，并阻止其进行网络访问的功能，而类似Cisco，Jniper，SonicWALL，watchGurad这样的制造商，则有了网关级别的统一威胁管理(UTM)。UTM设备的应用，取代了以前那些单一功能的安全设备，降低了成本和管理难度。其功能包括防火墙，VPN，入侵检测，反病

毒／反间谍软件，以及内容／URL过滤等。而且，目前UTM设备中都内置了一系列安全引擎的措施。IT部门可以根据需要选择具体购买哪些引擎，以及启动哪些引擎。

5网页及浏览器攻击

网页漏洞攻击试图通过web服务器来破坏安全防护，比如微软的IISApache，Sunday的JavaWeb服务器，以及IBM的WebSphere。成功的攻击者可以完全控制系统，不经授权就可以访问目录列表，并可以建立新的账号，或者对数据进行读取、修改或者删除。根据MITRE公司(一家非盈利的技术研究与开发组织)对常见漏洞列表的统计，从1999年到2005年，大约有四分之一的安全漏洞都来自于网页漏洞。

浏览器漏洞攻击，与之类似，试图利用用户的网页浏览器自身的漏洞进行攻击，尤其是在用户的网页浏览器没有打上最新补丁，或者没有进行相关安全配置的时候。而恶意的Java脚本，AcfiveX以及Java小程序，则可以瘫痪用户的电脑，下载“后门程序”或者其他恶意代码，让入侵者获得对电脑的完全访问权限。成功的攻击可以偷取用户的登录信息，以及其他敏感数据，并危及用户的电脑。

解决方案包括在网关、路由器以及用户客户端上，执行URL／内容过滤，并运行漏洞扫描程序，对web服务器及客户端进行检查，从而发现那些潜在的漏洞，然后打上相应的安全补丁，或对web服务器以及浏览器进行更加安全化的配置。

6蠕虫及病毒

感染现有计算机程序的病毒，以及那些本身就是可执行文件的蠕虫，是最古老，也最广为人知的计算机安全威胁。病毒一般倾向于栖身在文档、表格或者其他文件之中，然后通过电子邮件进行传播，而蠕虫通常是直接通过网络对自身进行传播。一旦病毒或者蠕虫感染了一台电脑，它不仅会试图感染其他系统，同时还会对现有系统大搞破坏。

要想免遭蠕虫以及病毒的毒手，你应该在网关以及电脑上都运行反病毒软件。同时，考虑在你的局域网中使用安全交换机。最重要的是。时刻注意保持你的反病毒软件的病毒库是最新的。

7资料盗用

在你们公司的敏感信息中，有着各种用户名和密码，而得到该信息的

8网络欺诈(钓鱼)

网络钓龟只是企图欺骗用户相信那些虚假的电子邮件、电话或网站——这些网站往往和网上银行或支付服务相关——让你认为它们是合法的，而其意图则是让用户提交自己的私人信息，或是下载恶意程序来感染用户的计算机。根据Sonic-WALL公司统计，全世界每个月有超过六百万封的“电子邮件诱饵”被发往全球。

“网络欺诈是一种较难防护的行为，因为它更多的是利用了人类自身的行为习惯”，SaniayBeri说(JuniperNetworks公司安全产品组的产品管理总监)。“网页过滤，可以阻止访问任何已经被确认为网络欺诈的站点。从而提供极大的帮助。如果一个职员试图访问这里，他们会看到一条信息，告知该网址是一个网络欺诈站点，或者直接就会被禁止访问该站点。”

要想阻挡网络欺诈，可以找找看网关级的防护措施，对进来的电子邮件以及网页代码进行相应检查。你还可以考虑添加一下外出方向的阻挡一一阻止向任何已知或者有嫌疑的网络欺诈地址发送邮件或者进行访问。

9击键记录

击键记录，或者输入记录，指的都是那些对用户键盘输入(可能还有鼠标移动)进行记录的程序，那些程序以此来获取用户的用户名、密码、电子邮件地址，即时通信相关信息，以及其他员工的活动等。击键记录程序一般会将这些信息保存到某个文件中，然后悄悄的将这些文件转发出去，供记录者进行不法活动。

最常见的按键记录方法，是利用间谍软件，或者是在用户电脑上使用其他未经授权的相关软件。其他方式则包括在键盘中，或者在电脑的USB端口中安装电子窃听的硬件设备。要对此保持警惕的话，DPI及URL／内容过滤是很关键的防御措施。

10即时通信软件漏洞

和电子邮件一样，即时通信也是病毒和间谍软件肆虐传播横行的一个常见因素，主要是通过用户之间传递文件时进行传播。“当职员们使用IM软件或者其他点对点工具时，他们很容易会下载到间谍软件，而他们根本不会意识到这一点”，Tones Kuhn说(sonicWaU公司的产品管理总监)。“通常，一旦他们打开了这些文件，那么即时软件病毒立刻就会将自身转发给用户好友列表上的每个人，同时在系统中安装间谍软件。”

为了防范即时通信软件所带来的各种威胁，你需要好好利用网络、交换机，以及客户端的防毒／反间谍软件工具，并保证计算机操作系统和应用程序都打上了最新的补丁——此外，还要教导你的员工，不要点击来历不明的文件。

微软IE7 Oday漏洞首遭黑客疯狂攻击

12月9日，金山毒霸全球反病毒监测中心接到网友反馈，该网友在访问某网站时IE出现“假死”问题。经过金山毒霸反病毒专家分析，发现该网站被挂马，而除了flash漏洞、realpoav漏洞之外发现一段未知的恶意脚本。

经过金山毒霸反病毒专家进一步分析，确认这是微软IE7的Oday漏洞。而且目前已经已经发现‘IE7Oday漏洞生成工具，而且已经截获两个利用该漏洞的恶意挂马网站。目前挂马的网站都是通过这一类型的工具自动生成的，可以预料这个漏洞攻击将会马上流行起来。

金山毒霸反病毒专家表示，该Oday漏洞将影响windows xp/sp2/sp3 IE7以及windows2003 IE7等，而Vista系统尚未验证。该漏洞目前未有公开资料及补丁，已经确认为ODav漏洞。也就是说，即使用户打上所有补丁，都有可能在上网时不知不觉中毒。

为了让广大读者免遭该漏洞的威胁，金山毒霸反病毒专家第一时间公布了预防以及查杀方案：

1、防御方案：升级金山毒霸或金山系统清理专家(www.duba.net)到最新版本。确保防挂马功能开启。金山防挂马基于“云安全”技术，可以防范大部分针对未知漏洞的攻击。

2、查杀方案：此次挂马的几个网站下载的病毒中包含有目前最毒的下载器“超级AV终结者”，中毒后很难清除干净，金山毒霸反病毒专家建议用户使用金山系统急救箱(http://bbs.duba.net/thread-21988813-1-1.html)扫描并重启，然后再使用金山毒霸全面查杀清除残留病毒文件。

赛门铁克提示：地下交易系统大行其道

2008年12月2日，赛门铁克公司发布最新的地下交易报告。该报告显示，目前在线地下交易系统发展十分成熟，能够高效地窃取商品、提供诈欺服务，并在全球市场进行倒卖，其中，由个体交易者提供的商品价值已然高达上百万美元。该报告是赛门铁克安全技术与响

应团队针对地下交易系统进行的研究，本期报告的监测时间为2007年7月1日至今2008年6月30日。

根据赛门铁克的监测，在本期报告阶段，地下交易系统中所售商品的潜在总价值已经超过2.76亿美元。这一结果是根据商品与服务的宣传定价以及参与兜售的人员分成计算得来。

信用卡信息是地下交易中最常出售的商品，占总量的31％。根据赛门铁克的监测，被窃取的信用卡帐号每个售价从0.1美元到25美元不等，而被窃取的信用卡透支限额平均达到4千美元以上。另外，赛门铁克还推算得出，本期报告阶段地下交易出售的信用卡信息总价值高达53亿美元。

除信用卡外，金融帐户也是地下交易中最为常见的商品之一，占总量的20％。被窃取的银行帐户信息售价从10美元到1000美元不等，而被窃取的银行帐户平均余额约为4万美元。在本期报告阶段，地下交易系统中出售的银行帐户总价值高达17亿美元，这一结果是根据此类银行帐户的平均余额以及被窃取的银行帐户平均售价计算得来。金融帐户信息广受欢迎，主要由于其经常进行高额的现金支出，并且支出过程十分便捷而导致。个别情况下，金融帐户可通过网络将现金在线支出到无法跟踪的位置，而用时还不到15分钟。

在本期报告阶段，赛门铁克共监测到69,130个不同的宣传销售人员，正在积极地进行倒卖，并发现在地下交易论坛上登载的44,321,095条信息。排名前十的宣传销售人员可获得的潜在价值包括1630万美元的信用卡以及200万美元的银行帐户。另外，根据赛门铁克的监测，在本期报告阶段，活动最为积极的独立宣传销售人员所售商品的潜在价值高达640万美元。

地下交易系统遍布全球，无论是无组织的个人还是有组织的犯罪团伙均可通过其实现收益。在本期报告阶段，北美地区的地下交易服务器最多，占总量的45％；欧洲、中东以及非洲地区占38％，随后便是亚太地区占12％，以及拉美地区占5％。地下交易服务器通过不断变换地理位置来逃避安全检测。

CFCA发布2008中国网上银行调查报告

11月28日，我国金融行业统一的第三方安全认证机构——中国金融认证中心(简称CFCA)正式对外发布了最新的《2008中国网上银行调查报告》，以第三方的视角对2008年中国网银发展现状进行了深度解析和全面回顾，并给出了一系列具有指导性的建议。

据《2008中国网上银行调查报告》显示：中国网上银行总体发展继续保持快速增长的势头，用户量及交易量同期高速增长。此外，网上银行对于传统柜台业务的替代性也进一步提升。全国范围内，个人网银用户比例为19.9％。在10个经济发达城市中，2008年使用个人网上银行的用户比例达到44.9％，比2007年高出7.1％。而在企业用户市场，这一趋势则更为明显：2008年全国企业网银用户的比例达到42.8％：在2008年10个经济发达城市调查结果中，使用企业网上银行的用户比例继续增长，比2007年增长了10.3个百分点。从不同规模企业网银用户总体发展情况看，企业规模越大，使用网银的比例越高。

Web2.0监测最新评比

2008年12月5日，在美国TollyGroup实验室公布的“Web2.0挑战：Web安全网关选购指南”(2008年11月208326号文件)中，Websense WebSecuri1ty Gateway以98.9分的Web2.0内容监测的准确度与效率成绩，远远甩开同类产品。排在第二、第三位的McAfeeSecure Computing和B0ueCoat则分别取得了40.2分和11.1分。而在恶意内容拦截方面，相对于竞争对手而言，WebsenseWeb Securitv 6atewaV可拦截更多的基于网络的威胁，提供更为简单易用的管理界面、更强大的可扩展性。实际上，分数最接近的竞争对手所漏检的Web应用比Websense高达8倍，同时，在对未知网络分类方面，Websense比仅次于它的竞争对手多了30％以上。此外，在数据泄露防护，Websense也是第一家完成TollyGroup实验室工程师关于数据泄露防护审查的厂商，他们许可Websense提供竞争对手所无法与之相提并论的数据泄露防护解决方案。