从SQL蠕虫谈信息安全的风险预防体系(一)

　　为什么蠕虫病毒再次横行？ 　　2003年1月25日，就在用户正为过去一年中没有大规模爆发计算机病毒而暗自庆幸的时候，一种名为SQL Slammer（又称为强风、SQL监狱、SQL杀手）的病毒横扫全球，造成多个国家和地区的骨干网络陷入瘫痪状态。该蠕虫病毒是一种新的Internet蠕虫，该病毒利用了微软MSSQL2000的缓冲区溢出漏洞，主要攻击各种版本的Windows操作系统中运行的SQL Server 2000 服务器和Microsoft Desktop Engine 2000。 　　　　SQL的UDP的1434端口主要用于客户端查询可用的连接方式，但由于程序上的漏洞，当客户端发送超长数据包时，将导致缓冲区溢出，恶意黑客便利用此漏洞在远程机器上执行自己准备好的恶意代码，将病毒放逐到Internet上。感染病毒的机器将不断向外发送这种UDP数据包造成网络堵塞。 　　　　看到这种蠕虫的原理后，我们发现SQL与分别在2001年7月和9月爆发的红色代码II、尼姆达病毒有着惊人的相似之处： 　　　　同样利用已知的操作系统或应用系统的安全漏洞进行感染； 　　同样利用感染后的计算机进行风暴式的再传播； 　　同样造成网络或主机的拒绝服务攻击； 　　同样可能留下以后攻击用的安全后门。 　　　　微软公司早在2002年7月24日就在微软的安全公告MS02-039中颁布了SQL Slammer利用的这个漏洞，并且在同年7月25日，明确了MSDE2000同样存在此漏洞。这又同红色代码和尼姆达病毒一样，病毒传播利用的安全漏洞是数月之前就已经被明确发布的。也就是说，如果事先注意到这种安全漏洞的存在，并且及时打上补丁、做出其它相应的预防措施的话，这些病毒就不会对需要保护的计算机和网络造成危害。 　　　　蠕虫病毒爆发后，我们应该如何应对？ 　　SQL Slammer蠕虫病毒爆发后，各防病毒软件厂商、安全厂商都进行了快速的反应，广大媒体也给予了高度的重视和报道。这说明了信息安全防护的概念正在深入人心，是一种好的现象。但是透过现象看本质，我们应该不仅仅针对这一种病毒谈论如何清除和防护，而应该进一步去考虑，如何应对这种攻击形式的威胁? 　　　　实际上就SQL Slammer蠕虫病毒而言，清除和防范是相对比较简单的，因为此病毒不会像其他病毒那样感染文件、安装后门程序以及向外发送电子邮件，它只是通过含有漏洞的系统，进入内存运行，所以仅仅重新启动计算机就可以将内存中的病毒清除；安装微软公司提供的SQL的补丁程序（http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40602）或者Microsoft SQL Server 2000 SP3 （http://www.microsoft.com/sql/downloads/2000/sp3.asp ）就可以避免被同样的病毒感染。 　　　　那么，如何应对其他类似攻击形式的威胁呢？我们需要首先分析一下，用户屡屡受蠕虫病毒困扰的原因。　　　　为什么用户再次成为蠕虫病毒的受害者？ 　　2001年的红色代码II与尼姆达病毒大规模的爆发的影响力不可谓不大，给用户造成的危害损失也绝不是小数目。可为什么在经历过如此惨痛的教训后，我们的用户还会再次成为蠕虫病毒的受害者？ 　　　　冷静回顾一下最近爆发的几种危害较大的蠕虫病毒的处理过程，我们就可以发现这样一个循环： 　　简单分析一下这个10步之多的循环过程，我们不难发现，病毒能够传播的重要环节在于第3步，即用户没有及时安装补丁程序，而目前我们对此种病毒的关键防范环节在于第9步，即用户安装补丁程序。这两个步骤的主体都是用户，而客体都是补丁程序。 　　　　但是，显然目前按照这种方式的结果不是令人满意的。因为已经有相当多的服务器遭受感染，无数的网络被攻击。其原因在于，作为企业级的用户，信息安全的负责人员往往是网络管理人员兼任，或者是非常少的几个专职人员，往往需要同时维护大量、复杂的系统和网络。由于精力和专业知识所限，极少有可能紧跟所有网络和系统厂商发布的各种各样的漏洞公告和补丁发布消息。 　　　　而且，进一步说，如果仅仅依赖于补丁程序来抵御这种攻击的话，也同样存在相当大的风险，就是从安全漏洞被发现到厂商发布补丁程序中间这段时间可能被恶意攻击者所利用。 　　　　所以，目前用户所采用的蠕虫病毒的防御方式是极其被动的，受到很多种外在因素的制约，很难起到有效的预防作用，往往是事故发生后再去弥补。