[虾米说安全-防病毒我出招]网络安全采购决策过程中，同业的网络安全架构是参考指针之一。但是企业常面临一个普遍的问题：同样的防毒软件，安装在 A 公司有效，安装在 B 公司未必达到同样的效果。趋势科技长期支持各产业 IT 部门的技术支持项目经理人(Technical Account Manager, TAM)，将在本文为您解析个中源由。

    在我们接触的案例中，外在条件一样的公司，有些一天平均发生6-7件病毒事件，有些却对照强烈的一天只有一件（前者的内部计算机使用台数甚至比后者多出一大半），这些中毒较频繁的公司往往有以下共通性：
    1、公司的Policy 不够强势，无法严格落实网络安全政策
    网络安全政策较严谨的公司，.对员工与外来厂商都采取强势的措施。有些甚至在门口设金属探测器，举凡USB、照相手机任何有可能带走数据的都无法入境，连洽谈公事厂商的笔记型计算机都要用易碎标签弥封。除此之外，外包厂商约聘人员每个月都要在确认防毒软件确实安装、病毒码更新完毕后贴上准许使用标签，因此发生信息安全事故的机率低。另一个相反的案例是，一家公司的Power user 在出国洽公前夕，把自己的笔记型计算机重装，这台没有防毒软件的笔记型计算机却因为中毒而爆发整个海外分公司网络不通的事件。

    2、研发人员比例影响网络安全政策的执行强度
    在趋势科技建议的网络安全政策还没派送执行之前，我们回报的数据是研发产业中毒比较多，而制造业在网络安全政策的执行度则相对较高。网络安全政策不见得被全盘接受的原因在于不能到网站下载档案，会引发内部反弹阻力。所以只能采取比较被动的作法，比如内部中了网页病毒后才把该 URL列入禁止浏览的黑名单等等。 

    3、习惯把 Google 当网络安全顾问
    根据趋势科技一项随机调查结果，多数 IT 管理者遇到网络安全疑惑或系统出现异状时，第一个反应是藉由 Google Search寻找相关答案。这个经常性的动作，往往中了网页挂马病毒而不自知，甚至感染其它使用者。下表是趋势科技免费的网页扫毒工具 WRS 统计分析结果显示，其中台湾网友被阻挡的恶意连结（包含转址）主要来源是大陆。仅10 月份就有7,773,173 次中国黑心网页被 WRS 阻挡，除了上网浏览到被植入恶意连结的网站外，也有可能安装 BHO 等浏览器 Plug in 时遭背景转向至恶意程序所在地的大本营-中国网站。 ( Click the image for enlarge)

    4、多数未曾实时察觉背景转址
WRS分析结果呼应了这篇报导微软：木马是最大威胁，浏览器攻击在中国最普遍。这些背景安装的恶意程序，不会敲门或按电铃就直接跑进你家躲起来，然后呼朋引伴（自动下载其它恶意程序）准备大展伸手了。节录前述微软报告说的：「中国高居首位是因为当地的软件开发者在写程序时，尚未建立考虑安全的习惯，而庞大的市场也成为恶意软件写手的显著目标。」因为目前大部分的网页恶意档案都是在中国，黑客集团采用分工运作模式，通常是先攻击一般的网站，比如插入iframe 指到中继站，中继站再指向下载恶意程序的网址，但是一般使用者浏览时不会去注意到的背景正在执行转向的作业。所以不管你有没有在网址列输入结尾是.CN 的网址，都有可能因为浏览到被置入恶意连结的网站，而被引导至带有木马等恶意程序的中国黑心网页。
    5、Power User 擅自卸载防毒软件或重装计算机
    我们曾截获一个案例是，一家公司的Power user 在出国洽公前夕，把自己的笔记型计算机重装，这台没有防毒软件的笔记型计算机却因为中毒而爆发，造成整个海外分公司网络不通的事件，雪上加霜的是该公司海外单位并没有 IT 组织。
    6、未曾遭受重大的网络安全事件，没有切肤之痛
    往往全面落实网络安全政策的都是遭受过重大安全事件的公司，网络安全事件导致他们生产力大量损失后，才不得已推动安全防护。执行率开始提升往往是在有人被杀鸡儆猴后才大力发挥作用，比如违反者当年考绩挂零，擅自偷渡使用 USB 者开除。「从此之后信息安全部门，发布的消息就是圣旨，像天条般不得违背。」一位 MIS说。

    建议：网络安全只有防毒软件是不够的
    趋势科技曾观察到一个值得探讨的现象：一台计算机侦测到上万只的病毒,但是中毒的却不是该台计算机，而是被其它计算机攻击。而攻击的计算机没被侦测出来的原因之一是该客户端卸载防毒软件。
若以侦测的数量来看,有公司平均一个月侦测到最多的病毒数量的计算机顶多20多只，但也有企业一台计算机会被侦测到上千或是上万只的病毒数目。有这样的数字差别主要还是信息安全管理的政策面以及执行面有不同。
    依据趋势科技的经验，有些企业当发生问题后,主管会持续追踪问题的原因以及是否已经获得解决。并会依照这次的问题经验提出相对的防护措施以及政策,并强烈要求所有单位遵照办理。
对比的案例是,该企业常常会问其它公司的做法,但不见得全部都照单全收, 原因是他们IT会遭受到使用者的反弹而会有所顾忌不敢实施。前述中毒报告较少的企业还会透过内部稽核的方式来做强烈的要求。
在趋势科技的经验里，有两间公司所使用的趋势科技产品以及设定完全相同,仅仅在政策面的执行强度不同，但呈现的网络安全成效却是两极化的结果。

总归一句：网络安全只有防毒软件是不够的，唯有落实网络安全政策才能事半功倍。
另外，趋势科技建议：
    一、网关端实时防护与管理
    如果未做好网关端的防护与管理，很容易发生内部大量病毒爆发的事件，甚或导致企业内部信息外泄。建议采用网关端网页防护机置。
    二、网页服务器确实进行严谨的权限控管及相关的漏洞修补
    正常网站遭受不明入侵(例如：SQL Injection)的情况与日俱增，网站应针对网页服务器实时进行漏洞修补并提升网页相关应用程序的严谨度。若服务器应用程序的权限控管不当，将导致病毒在企业内部迅速流窜，甚至造成相关应用程序无法运作。
    三、审慎评估移动式储存装置的管控
    企业主应审慎评估对于各种移动式储存装置的管控，USB病毒一旦透过网络联机，往往可造成更严重的病毒感染及数据窃取，进一步成为重大网络威胁的手段。建议采用数据外泄防护解决方案并透过客户端实时监控防范病毒疫情扩散。