反垃圾邮件策略

　　互联网给人们带来快捷方便，电子邮件成为其中一个最基本的应用。但垃圾邮件同时困扰人们，成为一个互联网公害。据统计，在所有邮件当中，80%以上的是垃圾邮件，全球每年因垃圾邮件损失数百亿美元。

　　目前已有多种反垃圾邮件技术。政府也成立专门组织，并制定相应法律限制垃圾邮件。但因垃圾邮件已形成自己的产业链，随经多方努力，较难治理好垃圾邮件。

　　目前的反垃圾邮件技术，大都基于黑名单或者分析垃圾邮件发送行为来限制。这种办法，因为是事后处理，也即发现你是坏人，已经干了坏事，才对你进行限制，不可避免有一个缺点，即垃圾邮件阻挡率无法达到100%，误挡率也不能为0%。且随着黑名单的增多，维护黑名单以及基于黑名单来过虑邮件会带来更高的成本。

　　另外一种治理垃圾邮件的简单而有效的方法，是不再整体维护黑名单，而是针对每个邮件接收者维护白名单以及白规则。这是一种事前主动防御的办法，也即，只有确认你是好人，才接收处理你的邮件。使得每个邮件接收者都能做到我的地盘我作主，想要发送邮件给我，可以，但必须符合我的游戏规则。

　　所谓白规则，是指邮件接收者针对自己的邮件地址所定义的过虑规则，并对外公开。一种较为简单的办法，就是邮件系统，给每个邮件地址分配一个公开信息空间，由邮件接收者在该空间上自定义白规则。白规则可简单定义为邮件标题开头必须为某些关键字等等。为防止垃圾邮件发送者采用软件自动发送符合白规则的邮件，邮件系统可设置获取白规则需经过简单的人工识别过程。

　　对于每个邮件接收者，经常和其联系的人数量有限，白名单是比较好维护的。另外，开始不在白名单范围内的邮件发送者，在发送过符合白规则的邮件后，可以将其加入白名单。只有在白名单范围内或者符合白规则的邮件，邮件接收者正常处理；其他邮件作为非善意邮件，一般不处理。

　　对于一般邮件发送者来讲，只需要在对方白名单内，或者不在对方的白名单内，但知道对方的白规则，即可正常发送邮件。对于垃圾邮件发送者，因为其是批量发送，有时达百万封，不可能做到完全符合对方的白名单或者白规则，其发送的邮件自然无效。

　　这样，有可能做到垃圾邮件阻挡率达到100%，误挡率降为0%。如果绝大部分邮件系统都按照这种思路设计，垃圾邮件发送者自然没有市场，垃圾邮件也有可能逐渐消亡。

恶意软件的未来 特洛伊木马

　　研究者表示，由商业间谍发起的针对性网络攻击将会成为大型企业的安全恶梦。

　　专家们表示，其关键问题在于现有的电脑安全技术虽然能够阻挡普通的网络攻击，但是像这种针对性极强的攻击却能够暗自潜伏在雷达之下。

　　古语言“明枪易躲，暗箭难防。”

　　在加拿大蒙特利尔召开的电脑病毒网络会议上，安全专家们表示，现有的那些广泛分布的每天向数百万电子邮箱发送垃圾邮件的蠕虫、电脑病毒和特洛伊木马程序，它们已不再是最为棘手的安全问题了。与之相替代的是，尤其是对那些大型的组织或机构来说，专一的针对性的特洛伊木马程序将会成为它们新的安全恶梦。

　　“在现有的全部互联网攻击的当中，专一针对性的特洛伊木马程序仅仅还只占有极少的份额，但它们是那些大型商业公司们最担心的威胁。”赛门铁克安全公司（Symantec Security Response）的高级主管Vincent Weafer表示。“正是这一部分数量极少的特洛伊木马程序让这些大公司们寝食难安。”

　　专家们表示，这些秘密的网络攻击将会在企业的IT系统中安装键盘记录程序或屏幕监视程序。它们一般被用于商业间谍活动或其他类型的以经济为目的的犯罪活动。

　　网络诈骗者们会向目标企业所拥有的一个或几个邮件地址发送电子邮件，并力图诱使它们的受害者点击打开已经受到感染的邮件附件—通常的情况下，这个受感染的附件会是一个微软 Office文档，它可以开启一个尚未被修补的安全漏洞，并利用这个漏洞向本地系统中下载恶意代码。

　　电脑安全技术可以阻挡常见的网络攻击，但是这种专一针对性的网络攻击却可以躲过其雷达的侦测。这是因为那些会在网关处或桌面上扫描电子邮件的传统安全产品无法识别出这种类型的攻击。假如一种新的网络攻击出现后，影响了成千上万的电脑用户，传统的安全产品将会在第一时间里得知这个消息，并将其加入自己的通缉令当中，于是当这种网络攻击出现在你的面前时，安全警报就会及时的响起。但是，假如某种新的特洛伊木马程序仅仅只隐藏在几封电子邮件当中，你将永远无法察觉。

　　“它完全可以在不知不觉之间，就轻松地潜入你的系统。”英国的一家反病毒公司Sophos 的高级技术顾问Graham Cluley先生表示。他说，假如这是一次大规模的网络攻击，电脑安全公司们马上就会察觉有事情发生了，因为它影响到了自己客户的IT系统，或是撞进了自己设定的“蜜罐系统”（这是一种专门设计用来捕捉新的和现成的网络攻击的系统）。

　　研究者表示，相对于大规模的普通安全问题来说，这种针对性的网络攻击犹如沧海一粟。来自一家电子邮件安全公司的高级反病毒技术人员Alex Shipp表示，MessageLabs公司每天都会从往来的电子邮件当中检测出大约三百万份恶意代码，但是其中仅仅只有七份可以被划定为针对性的特洛伊木马攻击。

　　“一次典型的针对性网络攻击将会由1到10封相似的电子邮件所组成，它们将会被直接寄往1到3家机构。”Shipp表示。“但是至今为止，这种攻击的最常见形式是仅仅向一家机构发送一封电子邮件。”

　　在过去的两年当中，MessageLabs公司目睹了此类针对性的网络攻击攻陷了大型的跨国公司、政府以及军事机构。Shipp说，其他从此类灾难中恢复过来的目标包括了法律公司、人权组织、新闻机构和教育机构。

　　绝大多数网络攻击都利用了微软Office文档。这些文档能够开启微软程序中那些尚未被修补的漏洞，以向受害者的系统当中安装恶意代码。在微软公司最近一次发布的补丁升级当中，就修补了许多这样的安全漏洞。

　　微软的Office文档是如此受到攻击者们的欢迎，这也是因为机构们一般都会允许自己的员工通过电子邮件接收这种类型的文件。而与此同时，可执行文件或其他类型的更有可能包含恶意代码的文件却通常会被禁止，Shipp表示。他说，“大体上来讲，侵入一个组织的最好方式，是使用他们所允许的那种方式进入。”

　　恶意软件的未来

　　利用“零日漏洞（zero-day flaws）”的网络攻击已经逐渐让传统的基于指纹技术的安全产品捉襟见肘。这些传统的安全产品依赖于攻击的特征信号（攻击的“指纹”）来屏蔽掉网络攻击，但这需要网络攻击至少已经在先前被识别出来了一次。

　　“这便是恶意软件攻击的未来。”来自德国马格德堡大学的反病毒软件专家Andreas Marx 表示，“被这种类型的攻击所伤害的用户将无法得到反病毒软件的保护，因为这些反病毒软件中还不具有这些罪犯的相关指纹信息。”

　　只有当反病毒公司收到被感染公司的报告时，当它们在自己的“蜜罐系统”中发现恶意代码的样本时，或当它们从其它反病毒公司中获得样本时，它们才能够创建出相应病毒的指纹信息。Marx表示：“而当专一针对性的网络攻击发生时，这一切都不会发生，因为仅仅只有极少数的对象才会被感染。”

　　作为自己此番论调的例证，Shipp表示今天仅仅只有四种反病毒软件能够侦测出一种特殊的针对性网络攻击，而这种网络攻击代码早在几个月之前就被发现了。而其他的反病毒产品依然会让它通过相关的安全检测。他表示，MessageLabs公司之所以能够识别出部分此种类型的攻击，是因为他们对于电子邮件中的Office文档附件的检测非常的精细，发现了其中所包含的极其微小的异常代码。

　　这些专一性攻击者的身份还尚无人知晓。但是有安全专家相信，这些攻击是由来自全球不同地域的多个组织所发起的，只是现在还无法精确地划定他们。

　　这些攻击者的动机同样也是一个备受争议的话题。按照自己的分析，Shipp相信这些网络攻击的目的是为了窃取信息。他说：“换句话讲，他们是商业间谍。”

　　但是来自赛门铁克公司的Weafer却不是如此肯定。他表示：“他们到底是被他人所雇佣的，还是单单是出于好奇或实验的目的这样做，这一切还尚无定论。”

　　电脑安全公司们正在努力地研发“行为屏蔽（behavioral blocking）”和其他相关安全技术，以图超越现有的基于指纹的侦测技术，最终更好地保护用户的电脑系统。采用使用模式识别的启发式反病毒技术来代替现有的基于算法的技术，就是这样的一个例子。

　　“反病毒公司们正在致力于投身启发式攻击防御的技术当中。”Cluley表示。“即便是某个攻击潜伏在雷达之下，情况也不会变得一塌糊涂。良好的前瞻性的防御技术仍然可以抵挡大部分此类型的攻击。”

　　好的消息是，在去年当中，公司们遭遇到这种专一针对性的网络攻击的几率是非常之低的，Shipp表示，但坏消息是，假如你遭受到了这种攻击，并且它又成功了的话，你的损失将会非常惨重。

安全成为网络严峻问题

　　法国网络犯罪研究专家伊弗拉女士在摩纳哥“反跨国犯罪论坛”上提出警告，全球网络犯罪活动呈现快速上升趋势，而且花样正不断翻新。

　　她指出，目前危害最大的网络犯罪可大致概括为三大类：直接攻击银行等金融机构的网络；针对各种金融卡的诈骗活动；通过网络制假贩假。她呼吁世界各国加强合作，加大对网络犯罪的打击力度。

　　在中国，网络安全的形式也日益严峻。仅在2004年，国家计算机网络应急技术处理协调中心就收到网络安全事件报告64686件，接近2003年的500%。而根据中国互联网络信息中心（CNNIC）发布的第18次网络发展状况统计报告显示，有70.1%的网民表示自己的电脑在最近半年内曾受过病毒或黑客的攻击。国内信息安全部门有关负责人表示，目前在中国的网络犯罪呈现三大特征：

　　一是犯罪行为功利化。以前在网络传播病毒、黑客程序更多是炫耀个人技术，现在则明显出现了图谋钱财的倾向。二是犯罪重点是破坏内容安全。据IDC发布的报告《2006年中国用户 IT安全现状与发展趋势》显示：包括病毒、蠕虫、木马、垃圾邮件等与“安全内容”相关的问题已经成为首要的威胁。三是犯罪技术普及化。网络犯罪人员正逐渐从计算机专业技术人员转向社会上的普通青少年。

　　为了遏制这种犯罪趋势，首先需要加大政府的监管力度，建立健全网络安全组织管理制度，明确负责安全管理的主要领导、主管部门、技术支持部门等等。发达国家一般都建立有网络安全管理机构，如美国的“信息系统安全保密委员会”和英法等国家建立的“国家网络安全委员会”，对国家网络安全政策统一步调、统筹规划。

　　其次，加强网络安全技术的研究和应用，切断威胁网络安全最直接的通道。这就需要“以技治技、以技管技”，确保计算机硬件软件的安全，大力推广预防和控制网络安全的最新保障技术。为了获得完整的安全防护，可考虑使用类似《诺顿网络安全特警》这样整合了防毒、个人防火墙、入侵检测等的信息安全解决方案，能有效防御已知和未知威胁的攻击。以最新的《诺顿网络安全特警2007》为例，它是一款简单易用的安全工具综合套件，可以主动保护用户免遭多种在线威胁，其中包括间谍软件、病毒、蠕虫、黑客和恶意网站等，甚至可以防止试图使用新发现的系统和应用程序漏洞攻击计算机的黑客。新增的“网络钓鱼欺骗保护”组件可以实时防止用户免受诈骗网站的侵害，它组合了各种技术来识别已知和新出现的企图偷窃机密信息的恶意网站。很显然，这是对付那些假冒银行等金融机构的网站的最有效途径。

　　最后，广大网民应注意提高防范意识，避免受到网络犯罪的侵害。可采取如下做法：安装安全软件并经常做病毒库更新；经常备份重要文件；不要轻易登录来自不明人员发来的电子邮件或手机短信息中提供的“精彩网址”；访问网络时不要随意安装插件；不要随意打开知名邮件的附件；不轻易填写Web脚本、表格或注册页面；计算机的有关密码要经常改换；总之，用户应多了解计算机网络安全知识，注意在使用计算机的时候保护个人隐私。

　　信息安全专家指出，只有政府有关部门、安全技术研究机构和企业、广大网民的共同努力，打防结合，才有可能让网络犯罪无孔可入，真正创造一个安全、健康的网络环境。