计算机病毒的起源

计算机病毒这个名词，众所皆知令人闻之色变，然而计算机病毒是如何开始被发展的呢?其实早在 1949 年，由 John Von Neumann 所提出的论文「复杂自动装置的理论及组织的进行」文中，已经勾勒出病毒的蓝图，以当时的计算机技术，许多的计算机专家都无法接受这种程序能够自我繁殖的说法。

后来有一位南加大的学生Cohen 在自己的Unix系统上写出了一支能够令系统当机的程序，并且以论文的方式发表出来。不久之后，美国贝尔实验室的研究人员在闲暇之际，利用Cohen的理论设计了会吃掉彼此程序的程序，当作游戏来打发时间，这游戏的名称就叫做磁蕊大战 ( Core War )。这个游戏是由双方玩家各写一支程序，将它放入一台计算机之中，使它们在内存中厮杀，有时它们会设下一些关卡来破坏敌方之程序，或者是停下来修理 ( 重新写入程序代码 ) 自身被破坏的程序代码，直到一方完全被吃掉为止，此时具有繁殖能力的程序才算正式被开发出来。

然而真正具有侵略行为的病毒程序，是由一对巴基斯坦的兄弟所开发，名为C-Brain ( 大脑病毒 ) ，他们最初的目的并不是为了游戏或恶作剧，而是为了要给盗拷他们所撰写的程序者，一点小小的教训，一旦有人盗拷他们的软件，C-Brain就会吃掉盗拷者剩余的硬盘空间，如此的技术越来越多加入开发，才成为今时今日我们所知的病毒。

病毒类型

以病毒的传播途径，我们大致可分为下列几类：

开机型

一般来说，这种计算机病毒绝大部分都已经能够被防病毒软件侦测出来，它的主要传染途径是以磁盘及其他可开机的媒体作为媒介，利用用户疏忽或者是不知情的情况下感染，因此只要读取有毒媒体或利用有毒媒体开机，就有可能被感染，它会将自己加载内存当中，感染所有可能感染的储存媒体，其中较具代表性的病毒有 Stone3 ( 米开朗基罗 )、C-Brain ( 大脑病毒 )、Hammer V ( 大榔头 ) ...等等。

档案型病毒

档案感染型病毒是一种依附在可直接执行档案或者是依靠应用程序，具有可执行属性的档案中，只有在您执行带有该病毒的程序时才会发作，其中宏及脚本文件病毒也只有在您执行藏有它们的档案时才会发作。随着快速的进步，现今的病毒技术已经不只限于可执行文件，几乎大部分的文件类型都有可能被感染，甚至在某些情况下，连文本文件都成为被感染的档案了。

近来电子邮件一跃成为病毒最热门的散播管道，电子邮件中的附加档案，因为传播媒介的不同，而躲过防病毒软件的扫描，曾经一度造成许多企业相当大的损失，当然它亦是属于档案型的病毒，此类具有太多的病毒，值得一提的是，在最近所发现的CIH病毒，居然具备了写入韧体 ( BIOS ) 的能力，使得病毒具有不只是攻击软件的能力，更进一能够让您的硬件无法动作。

计算机病虫 ( Worm )

随着因特网的快速的发展，因特网带给人们及企业体相当大的便利性，利用浏览器上网找寻信息，已经是现代人不可缺少的工具。企业利用它来增加产能，当然亦是病毒的最佳传播管道，严格说起来它不能算是病毒，它并不会复制自己，传播给其他计算机，而是利用网页上的技术，以Java Applet 或 ActiveX 控制的方式呈现，利用您浏览某些怀有恶意网站时，在您的计算机内种下一支程序，供恶意的第三者能够得到您计算机内的机密讯息，或者控制您的计算机从事攻击 ( DOS，Deny of Service ) 大企业或国家重要机关的网站或入侵，以达成他们的目的，我们称它为病虫，最典型的例子就是「特洛伊」木马程序 ( Trojan Horse )。

当然科技日新月异，病毒的技术亦是突飞猛进，我们无法预测还有多少病毒的种类会被开发出来，只能靠着防病毒软件的侦测技术与勤快的备份才是上上之策。

企业的防毒策略

在早期的计算机环境中，其实病毒并不是一个非常令人头痛的事，只要我不用来路不明的磁盘片，基本上可以防止 80％ 的病毒入侵，但是进入因特网的新世纪，绝大部分的信息经由因特网取得，那么更容易从因特网上得到病毒，因此企业防毒策略的制定，更是绝对不能没有的计划。

网关防毒机制

首先针对病毒可能会入侵的管道加以防堵，第一步就是企业的大门，在企业的局域网络中，网关扮演了举足轻重的角色，通常企业的网关就是通往内部网络的门，或者是安全性更高防护措施更完善的企业网络架构中，会有一个非军事区网络 ( DMZ， De-Militarized Zone ) ，在这个地方就是一个非常重要的部署防毒墙或者是防毒过滤软件的地方。如(图一)。

《图一 网关模式》

以网关或是DMZ部分的部署，通常可以分为两种模式，一种为网关模式，也就是将防毒服务器或是防毒墙 ( 例如McAfee WebShield e50 硬件式防毒墙 ) 当成内部路由器的部署方式，此种配置方式乃是将防毒网关配置在防火墙装置的内部或是所有内部主机系统的最外部，也就是防毒墙或防毒服务器将成为名符其实的一个数据网关 ( 有点像是路由器 ) ，如此一来所有进出企业体的封包，将一一被扫描过滤，一个都不会错过。

我们以一般企业简单的网络架构来说明，一般来说位在网关的防毒机制，考虑到运作效能的问题，是不需要负责太复杂的防毒，通常是专门针对某些通讯协议加以侦测扫描，例如针对SMTP、FTP、HTTP 等通讯协议。在（ 图一 ）的架构中，共分为两个部分，由外部进来的封包，透过防火墙的控制，只能到达 DMZ 的部分，所有邮件都能够被扫描侦测，并且能够过滤垃圾邮件及防止邮件服务器被来自Internet的使用 ( Anti-Relay )，因此针对邮件我们就有了第一层的保护。

而另一部份则是内部网络，基于安全的理由，一般在防火墙的设定是不允许直接由 Internet 前往内部网络的，因此这部分是针对客户端计算机因浏览网站，或者是FTP站台所受到一些恶意站台的威胁，所做的防护措施因此针对来自Internet的威胁，我们就有了初步的病毒防护机制。

另一种模式则是代理模式，以如此模式建构的话，基本上防毒服务器是以代理服务器的型态存在。

如 （ 图二 ） 所示，有可能因为用户设定或其他因素，导致无法完全过滤进出的所有封包。

服务器防毒机制

在企业体制之中，有着许多不同的服务器提供着不同的服务，其中最容易遭数受病毒的攻击的服务器，首推群组服务器以及文件服务器，文件服务器有着档案集中的特性，提供企业体制中档案储存及交换的便利性，正是这种特性，更容易让病毒有机可乘，更容易散播开来。

而邮件服务器几乎可以称的上市现代企业的命脉，举凡任何重要讯息透过电子邮件是最普遍亦是最方便的一种共通方式，所以也是病毒传染最快的方式，但这不是全部，病毒不只是透过邮件传递达到散播的目的，更利用群组中的信息共享机制，如电子布告栏，共享文件夹等等的讯息共享机制来散播病毒，因此我们更应该针对所有可能的管道价以防护，这就是架构中的第二层防护。

客户端计算机防毒机制

在整个网络的最末端，客户端的计算机是企业网络中为数最多也是容易遭受到病毒感染的一个环节，而且并非所有用户都具有病毒防治的观念，因此在客户端的病毒防护策略，除了必须考虑环境及病毒入侵的防护外，还必须考虑到人为因素及管理因素，在如此复杂的环境中，我们先从病毒可能进行感染的管道防堵。

首先针对一般感染路径，档案的存取及网络的存取，已经是一种基本应有的功能，它必须在幕后随时监视及扫描您所存取的所有档案，包含压缩文件及较不为一般人所注意的office 宏档，以防止一般性的病毒威胁。在电子邮件的传染途径中，除了针对 SMTP 的通讯协议作保护外，还必须考虑到一些用户必须由外部的邮件服务器收取邮件，或者是下载因特网上的档案，因此在下载文件的部分以及 POP3、MAPI 等通讯协议上必须加强防护。同样的来自于浏览网站或者是利用FTP上传或下载文件也是必须防护的重点，如此构成了严密的三层病毒防护策略。

强大的管理机制

前面我们已经讨论了关于防毒的三层架构，其中我们可以发现一点，当企业体制越大，所需要维护及管理的工作也越趋重要，维护及管理病毒防护机制是一件绝对不可缺的事，不然纵使您拥有全球最强的防毒机制，一样形同虚设无法发挥它应有防治病毒的功能，因此在制定您的病毒防护计划的同时，您必须考虑到针对所有防病毒软件或硬件，必须要具备易于管理及维护的特性。

想想假如您的企业规模是具有50台计算机的公司，也许您认为只要大约三个人就可以担负所有的防病毒软件的病毒特征更新、病毒扫描引擎更新、以及照顾一些只会使用office的文书人员的防毒机制，但是这并不是一个永久的办法，当您企业不断的成长，终究会面临信息人员的负担越来越重，但是效率却越来越差窘境，因此把这些繁复琐碎的事情交给计算机来管理，而您的信息人员就能够更有效率的完成其他您所交付的工作。此外具有强大的病毒防治研究中心，能够为您的企业提供实时且最新的病毒信息，也是您必须考虑的重点，如此才能周全您的病毒防护计划，为您的企业带来最完善的防护。

结语

病毒防护计划在现今的企业体制中已经是不可或缺的事，如何运用最少的人力物力完成最大的防护效能，才是您考虑的重点，对于防病毒软件的选择，我综合了以下几个重点提供参考：

在因特网高度发展的现今社会，因特网带给人们更快速的信息取得管道，同样的也给计算机病毒具有快速传播的能力，如今其危害已经不是只有个人，而是扩及到企业损失甚至于国家安全，如果您依然不重视这个问题，那么所带来的危害将是无法估计的。