Windows XP是目前大家普遍使用的操作系统,其稳定性和易用性不容置疑。但是它也像人一样会闹个头疼脑热,出现点“感冒”症状,严重时得了重感冒一病不起也是不鲜见的事,这时很多人就会想到重装系统,但重装系统有一个最大的麻烦,就是需要之前备份,否则恢复到以前的使用习惯很难,一旦遇到一系统启动不起来,想备份也没了机会,这时你该 怎么办呢?在这里我给你一个比较好的答案:
一、Windows环境下
如果你的计算机还可以进入Windows环境中,那么恭喜你,这种情况下即使系统出现了问题,仍然不会是大问题。在这种情况通常会出现以下几种方法:
1.从安装光盘解压缺少的一些重要文件
如果WindowsXP已经进入,但却发现少了某些文件,其中最常见的是Rundll32.exe的丢失。下面就以恢复这个文件为例来说明:单击“开始”/“运行”,在该窗口中输入expand x:\i386\Rundll32..ex_ c:\windows\system32\Rundll32.exe(x代表光驱盘符,rundll.ex_代表需要解压的文件,c:\windows\system32指的是目标文件夹,这些都要根据具体情况来定),即可将丢失的文件恢复至系统。当然也可以直接从其他正常运行的机器复制该文件至本机的相应目录下。
另外,对于丢失的dll链接文件,还可以通过Regsvr32这个程序文件来恢复,恢复的时候需要在运行窗口中输入Regsvr32 a.dll(a.dll代表丢失的链接文件),回车后即会在注册表中注册该文件,然后在弹出的对话框中点“确定”即可。
2.DLL文件的恢复
DLL文件的名称为动态链接库文件,一般存在于Windows\system32文件夹下,该文件丢失或者被替换,一般也可进入Windows,但是执行应用程序时往往会出现系统报错。这种错误通常可以通过Sfc(系统文件检查器)。sfc是一个命令行程序,必须在WindowsXP的“命令提示符”窗口下才能运行,为了实现多种功能,sfc提供了多个参数,使用格式为:sfc/参数1 /参数2……,各个参数之间要用一个空格隔开。下面介绍一下其几个主要的参数,以方便大家使用:
/scannow:用来扫描所有受保护的系统文件,也是应用比较广的一个参数,它主要是通过正确的系统文件代替错误的系统文件。该参数还可以将最新版本的受保护系统文件放入DLLCache文件夹,而且在操作过程中可能需要WindowsXP的安装光盘,以及其补丁文件,如果你没有该光盘,而是在硬盘上备份了安装文件,可以通过修改注册表来完成该项功能。在运行窗口键入Regedit命令进入注册表编辑器窗口,找到HKey_Local_Machine\software\Microsoft\Windows\CurrentVersion\setup项,在右侧的窗口中修改Installation Sources、ServicePacksourcePath和SoutcePath三个键值为硬盘上的系统安装程序路径,这样在修复时就不用再插入WindowsXP安装光盘了。
/scanonce:下次启动时执行受保护系统文件的扫描,也需要读取安装光盘和补丁文件。这个命令常常在执行/scannow命令出现错误提示时才使用。
/scanboot:每次启动系统时都扫描所受保护的系统文件,这可能大大降低启动速度,一般不用,使用情况同/scanonce参数。
/purgecache:用来清除文件缓存(该文件默认情况下是在%systemroot%\system32\dllcache下)并立即扫描所有受保护的系统文件,常在其后还要加上“/cachesize=x”这个参数,这个参数是用来设置文件缓存大小的,以MB为单位,该参数如果设置较小可以节省硬盘空间,如果设置大一些可以保护系统文件,则可能尽可能地恢复更多的系统文件。
一般情况下执行sfc/scannow就可以对系统文件进行恢复了,时间一般在10分钟左右。
3.系统还原显身手
如果用sfc/scannow还是出错的话,则可能想到用系统还原功能来恢复系统。特别是在增删某些软件后出现了系统故障的时候,这种方法就显得尤为方便。
依次单击“开始→所有程序→附件→系统工具→系统还原”,运行“系统还原”命令,打开“系统还原向导”,选择“恢复我的计算机到一个较早的时间”,点击“下一步”,选择好日期后再跟着向导还原即可。
上文所讲系统还原功能是Windows XP中操作的,如果不能进入Windows XP系统,可以通过如下方法解决:
⑴安全模式运行系统还原
如果Windows XP能进入安全模式的话,则可在安全模式下进行系统恢复,步骤同“恢复还原点”。
⑵DOS模式进行系统还原
如果系统无法进入安全模式,则在启动时按F8,选“Safe Mode with Command Prompt”,用管理员身份登录,进入%systemroot%\windows\system32\restore目录,找到rstrui文件,直接运行rstrui文件,按照提示操作即可。
⑶在丢失还原点的情况下进行系统还原
在Windows XP预设了System Volume Information文件夹,通常是隐藏的,它保存了系统还原的备份信息。打开查看“显示所有文件和文件夹”属性,取消“隐藏受保护的系统文件”前有选择,会在每个盘中看到“System Volume Information”文件夹。利用这个文件夹可以进行数据恢复。鼠标右击“我的电脑”,选择“属性”/“系统还原”,取消“在所有驱动器上关闭系统还原”复选框,单击“应用”按钮。这样做是为了重建一个还原点。再打开“系统还原”命令,就可以找到丢失的还原点了。
上面的叙述是针对FAT32分区,如果系统分区为NTFS,那么在启动System Volume Information文件夹时会遇到一点麻烦。因为你可能并没有被加入到System Volume Information安全属性中,访问不到该文件。鼠标右击该文件夹,在弹出的菜单中选择“属性”,打开System Volume Information属性对话框,选中“安全”选项卡,单击“添加”按钮,打开“选择用户或组”窗口,点击该窗口右下角的“高级”按钮,然后单击“立即查找”按钮,这时会列出计算机上所有的用户和组,选中自己当前的账户或账户所在组的名称后“确定”。这样选中的账户被添加到System Volume Information安全属性中,就可以访问该文件夹了。
二、在DOS环境下
如果电脑已经进入不了WindowsXP,那么也不用太着急重装系统,因为这时还是有些方法的。
1.安全模式
在WindowsXP启动时按F8键,选择“安全模式”,如果能启动成功,则退出后再正常启动。
2.最后一次正确的配置
其基本操作同安全模式,但需要说明的是选择该项回车前要确保关闭了键盘上的NumLock指示灯。
3.故障恢复台
⑴控制台的安装
①控制台硬盘安装
插入WindowsXP安装光盘,单击“开始”/“运行”,输入\i386\winnt32.exe/cmdcons命令后回车,在出现的对话框中显示了“故障恢复控制台”安装选项,单击“是”后确认,重新启动计算机即会在启动菜单中看到“Microsoft Windows Recovery Console”菜单,选中后即可进入“故障恢复控制台”。
②控制台光盘安装
首先在BIOS中将启动顺序设置为CD-ROM,再在光驱中插入WindowsXP安装光盘启动系统,在屏幕显示“欢迎使用安装程序”时,按R启动故障恢复控制台。接着系统会要求输入管理员密码,输入后即可进入故障恢复台。若安装了多系统,则需要通过光标键来选择故障恢复台项,对于使用了SCSI或RAID的硬盘,则在其启动时要按F6键。若要担心忘记管理员密码,可在WindowsXP正常启动时,运行Gpedit.msc进入策略编辑器,再依次选择“本地计算机策略”/“计算机配置”/Windows设置/“安全设置”/“本地策略”/“安全选项”,在右侧的窗口的双击“故障恢复控制台:允许自动系统管理级登录”项,鼠标右击,选择“启动”,单击“确定”按钮后保存设置,进入故障恢复控制台就不用输入密码了。
⑵“故障恢复控制台”应用
①修复受损的多启动菜单
如果多操作系统菜单因为某种原因丢失,则可以进入“故障恢复控制台”,输入Bootcfg/scan命令,会自动扫描所安装的操作系统并显示出来,完成后再输入Bootcfg/rebuild命令,出现提示后按Y键,在“输入加载识别符”提示后输入丢失的启动菜单项,在“输入OS加载选项”后输入fastdetect后回车,即可找到多系统菜单。另外输入Bootcfg/add命令也可以向启动菜单中添加菜单项,使用方法基本同上。
②修复系统引导区
当系统引导区因为某种原因造成损坏而不能启动时,可以进入故障恢复控制台,在命令行下输入Fixboot可以修复引导区。
③恢复系统重要文件
系统中有一些重要的文件直接关系着是否能启动成功,如Ntldr这个文件丢失,系统就启动不起来,这时可以进入控制台,键入命令行copy x:\i386\ntldr*.* c:\后回车即可,重新启动后会发现能够正常进入WindowsXP了。如果丢失的是一些压缩文件,还可以在控制台输入expand x:\i386\a.ex_ c:\windows\(x代表光驱盘符,a.ex_代表需要解压的文件,c:\windows指的是目标文件夹,这些都要根据具体情况来定),即可将丢失的文件恢复至系统。
④启用或禁用某些服务或驱动程序
这一功能主要应用于由于安装某些新的程序造成系统无法启动的情况,我们可能通过在故障恢复控制台中去掉该项服务或程序以达到系统起死回生的目的。具体操作如下:
进入控制台,输入Listsvc命令后回车,在屏幕上会出现当前系统中已有的所有服务和驱动程序以及其状态说明。找到需要禁用的可疑服务或驱动程序,输入命令 disable 需要禁用的程序或服务,回车后屏幕上会显示出该服务以前的状态和完成后的状态;如果想雇用某个程序或服务,则需要键入Enable 需要禁用的程序或服务,回车后即可。
什么是垃圾邮件
某种程度上,对垃圾邮件的定义可以是:那些人们没有意愿去接收到的电子邮件都是垃圾邮件。比如:
商业广告——很多公司通过电子邮件的方式对新产品、新活动等进行宣传。
政治言论——目前会收到不少来自其他国家或者反动组织发送的这类电子邮件,这就跟垃圾的商业广告一样,销售和贩卖他们的所谓言论。
蠕虫病毒邮件——越来越多的病毒通过电子邮件来迅速传播,这也的确是一条迅速而且有效的传播途径。
恶意邮件——恐吓、欺骗性邮件。比如phishing,这是一种假冒网页的电子邮件,完全是一种诡计,藉以盗取用户的个人信息、账号甚至信用卡。
垃圾邮件的危害
垃圾邮件给互联网以及广大的使用者带来了很大的影响,这种影响不仅仅是人们需要花费时间来处理垃圾邮件、占用系统资源等,同时也带来了很多的安全问题。 垃圾邮件占用了大量网络资源,这是显而易见的。一些邮件服务器因为安全性差,被作为垃圾邮件转发站,因此导致服务器被警告、甚至IP被封等事件时有发生,大量消耗的网络资源使得正常的业务运作变得缓慢。随着国际上反垃圾邮件的发展,组织间黑名单共享,使得无辜服务器被更大范围屏蔽,这无疑会给正常用户的使用造成严重问题。
垃圾邮件和黑客攻击、病毒等结合也越来越密切。例如,SoBig蠕虫就可以安装于开放的,可以用来支持邮件转发的代理服务器。随着垃圾邮件的演变,用恶意代码或者监视软件等来支持垃圾邮件已经明显地增加了。2003年12月31日,巴西的一个黑客组织发送包含恶意javascript脚本的垃圾邮件给数百万用户,那些通过 Hotmail来浏览这些垃圾邮件的人们在不知不觉中已经泄露了他们的账号。另外一个例子就是,近来IE的URL显示问题,在主机名前添加“%01”可以隐藏真实的主机地址,在被发布之后几个星期内就出现在垃圾邮件中 了。
越来越具有欺骗性的病毒邮件,让很多企业深受其害,即便采取了很好的网络保护策略,依然很难避免。越来越多的安全事件都是因为邮件产生的,可能是病毒、木马或者其他恶 意程序。Phishing的假冒诡计对于普通使用者来说,的确很难作出正确的判断,但是造成的损失却是很直接的。
其次,从个人用户来看,垃圾邮件浪费了人们的大量时间。一般人们需要至少10秒钟时间来判断是否为垃圾邮件,如果每天收到几十份垃圾邮件,就得花大约十分钟的时间来处理 它们,实在是比较痛苦的事情。
普通个人的电子邮箱怎么成为了垃圾邮件的目标呢,造成这样的结果有很多原因,比如在网站、论坛等地方注册了邮件地址;病毒等在你的联系人邮箱地址簿中找到了你的电子邮箱;以及对邮件提供商进行的用户枚举等等。通常情况下,越少暴露电子邮件地址越少接收到垃圾邮件,使用时间越短越少接收到垃圾邮件。故此,一些无奈的用户就选择了放弃 自己的邮箱而更换新的电子邮箱
反垃圾邮件市场渐大
据统计,从目前到2008年,国际网络安全行业发展最快的领域将是内容网络安全领域,其中电子邮件安全及网页过滤将分别以33.6%及22.6%的年均复合增长率高速增长。
反垃圾邮件市场将在未来以每年33.6%的复合增长率高速增长,到2008年全球反垃圾邮件市场规模将达到17亿美元;中国反垃圾邮件市场目前占全球市场总额为3%左右,有巨大的发展空间,而到2008年中国反垃圾邮件市场将达到全球市场的5%,规模将达到6亿元人民币,已经超过现在的5亿元人民币左右的反病毒产品市场,逼近目前 10亿元人民币的防火墙产 品市场。
随着垃圾邮件势头日渐猛烈,风险投资商发现,向反垃圾邮件的新兴企业投资是值得一试的。2006年,反垃圾邮件厂商们会给互联网行业创造怎样的价值呢?从各种业界数据,和 主要厂商的发展方向来看,我们可以相信,反垃圾邮件市场是一个方兴未艾的市场。
垃圾邮件随着互联网的不断发展而大量增长,现在的垃圾邮件可以说是铺天盖地。最初,垃圾邮件主要是一些不请自来的商业宣传电子邮件,而现在更多的有关色情、政治的垃圾 邮件不断增加,甚至达到了总垃圾邮件量的40%左右,并且仍然有持续增长的趋势。另一方面,垃圾邮件成了计算机病毒新的、快速的传播途径。
目前世界上60%的邮件都是垃圾邮件,只有少数组织承担责任。很多反垃圾邮件的措施都被提出来,但是只有非常少的被实施了。不幸的是,这些解决办法也都还不能完全阻止垃圾 邮件,而且还对正常的邮件来往产生影响。
当前产品的局限性和缺点
现行的很多采用过滤器技术的反垃圾邮件产品通常都采用了多种过滤器技术,以便使产品可以更为有效过滤垃圾邮件。过滤器通过他们的误报和漏报来分等级,漏报就是指垃圾邮 件绕过了过滤器的过滤,而误报则是将正常的邮件判断为了垃圾邮件。完美的过滤器系统应该是不存在漏报和误报的,但这只是理想情况。
一些基于过滤器原理的反垃圾邮件系统通常有下面的三种局限性:
可能被绕过垃圾邮件发送者和他们用的发送工具也不是静态的,他们会很快适应过滤器。例如,针对关键字列表,他们可以随机更改一些单词的拼写,比如“强枪”,可以改写为 “弓虽木仓”或“强-枪”。Hash-buster(在每个邮件中产生不同的HASH)就是来绕过hash过滤器的,当前普遍使用的贝叶斯过滤器可以通过插入随机单词或句子来绕过,而多数过滤器都最多只能在少数几周才最有效。为了保持反垃圾邮件系统的实用性,过滤器规则就必须不断更新,比如每天或者每周更新。
误报问题最头痛的问题就是将正常邮件判断为垃圾邮件。比如,一封包含单词sample的正常邮件可能因此被判断为垃圾邮件。某些正常服务器不幸包含在不负责任的组织发布的 block list对某个网段进行屏蔽中,而不是因为发送了垃圾邮件(xfocus的服务器就是这样的一个例子)。但是,如果要减少误报问题,就可能造成严重的漏报问题了。
过滤器复查 由于误报问题的存在,通常被标记为垃圾邮件的消息一般不会被立刻删除,而是被放置到垃圾邮件箱里面,以便日后检查。不幸的是,这也意味着用户仍然必须花费时 间去察看垃圾邮件,即便仅仅只针对邮件标题。
目前更严重的问题是,人们依然认为过滤器能有效阻止垃圾邮件。实际上,垃圾邮件过滤器并不能有效阻止垃圾邮件,在多数案例中,垃圾邮件依然存在,依然穿过了网络,并且被传播。除非用户不介意存在被误报的邮件,不介意依然会浏览垃圾邮件。过滤器可以帮助我们来组织并分隔邮件为垃圾邮件和正常邮件,但是过滤器技术并不能阻止垃圾邮件, 实际上只是在“处理”垃圾邮件。尽管过滤器技术存在局限,但这也是目前最为广泛使用的反垃圾邮件技术。
反垃圾邮件需要综合技术
2004年,比尔.盖茨曾信誓旦旦地预言微软能够在未来消灭垃圾邮件,他所期望的就是Sender ID技术,但最近他收回了他的预言。这也就是标准之争,微软希望IETF能够采用 Sender ID技术作为标准,并且得到了大量支持,比如Cisco、Comcast、IBM、Cisco、Port25、Sendmail、Symantec、VeriSign等,也包括后来又倒戈的AOL的支持。但是在开源社 区,微软一直没有得到足够的支持,IETF最终否决了微软的提议。
Sender ID技术主要包括两个方面:发送邮件方的支持和接收邮件方的支持。其中发送邮件方的支持主要有三个部分:发信人需要修改邮件服务器的DNS,增加特定的 SPF记录以表明 其发信身份。接收邮件方的支持有:收信人的邮件服务器必须采用Sender ID检查技术,对收到的邮件检查PRA或MAIL FROM,查询发件者DNS的SPF纪录,并以此验证发件者身份。
现在很多反垃圾邮件方案都不会只采用一种技术,而是多种多类技术的综合体。要想从根本上解决反垃圾邮件的技术难题,必须从事先原理出发,从邮件内容进一步往前提一步,做到主动性垃圾邮件行为模式识别的技术,这样才能做到主动型的邮件攻击行为防御、主动型的垃圾邮件阻断,从而最大程度地提高垃圾邮件识别率、拦截率,降低资源消耗,真 正达到电信级的网关处理速度。
ISP提供的虚拟主机服务,一旦某个用户被认定发送垃圾邮件,就会导致整个IP区域被列入黑名单,其它的用户也会受到牵连。
与杀毒软件类似,通过建立“垃圾邮件特征库”的方法来阻止垃圾邮件,通过对邮件的信封、信头、信体等内容进行对比检测,从而对垃圾邮件进行阻止。但是,随着垃圾邮件制造者的技术水平不断提高,这种方法很容易失效。另外,可以通过相互认证的服务器和用户之间建立信任关系,以此来避免垃圾邮件的发送。当然,由于邮件服务器的数量非常巨大,这种做法实现起来比较困难。不过,现在已经有一些邮件服务器之间建立了关联,并且采用了一些全新的技术。如针对垃圾邮件传播者惯用的伪造成同域用户的伎俩,就可以利用同域认证技术,经过该技术的过滤,凡是那些伪装成同域用户的邮件,都会被打入垃圾邮件的黑名单,以保证邮件的安全。
除此之外,人们还采用了HASH 技术以及贝叶斯(Bayesian)算法。贝叶斯算法可以学习单词的频率和模式,这样可以同垃圾邮件和正常邮件关联起来进行判断。这是一种相对于关键字来说,更复杂和更智能化的内容过滤技术
黑白名单存在弊端
大部分情况下,邮件服务商和企业还是主要通过服务器过滤垃圾邮件,利用在反病毒软件中单独或者增加了防范垃圾邮件的功能或者购买专业的反垃圾邮件产品。目前安全厂商所提供的反垃圾邮件产品一般分为两种:一种是在防病毒软件或安全网关当中集成反垃圾邮件功能;另一种就是专门的反垃圾邮件产品。由于安全厂商都是从信息安全起家的,虽然安全技术堪称一流,但是,他们对邮件的认识还存在一些盲点。因此,大多数的反垃圾邮件功能,还是基于黑名单或关键词过滤等方法。虽然实时黑名单、内容过滤看上去的确不错,但关键字的规则有几万条,对网络资源消耗过大。
传统的反垃圾邮件方法没有节省流量和存储资源,反而增加了计算的难度。垃圾邮件不是在空中拦截,而是通过把邮件缩小,截获样本来寻找关键字,经过分析之后再判断是否是垃圾邮件。然而,这样的模式却对流量和网络资源产生了较大的影响。其次,关键字的规则是一种被动的思路,需要根据不断变化的垃圾邮件特征进行变化,就像防病毒技术一样,需要针对新病毒的特征,才能更新病毒库,对其进行防护。Mirapoint公司亚太区总监任兆雄说:“每天不同内容的垃圾邮件有几千万,甚至上亿封,没有哪家安全厂商有足够的实力和时间来分析和把握这些关键字的特征。而且,垃圾邮件内容特征变化很快,比病毒变化快得多。”
另外,以内容过滤为主导的技术,容易受到内容的干扰,容易造成误判断。任兆雄举了一个例子,社会科学院的一些教授和台湾的一些学者有学术往来,因此在邮件来往过程中会针对一些敏感问题进行探讨和辩论。因为这些内容涉及需要过滤的关键字,所以邮件经常被删除。相反,各种垃圾邮件则往往采取更加隐秘的手段,反而有可能顺利通过网关。任兆雄认为,“传统反垃圾邮件技术,基本上还是沿用了黑白名单的方式,基本遵循‘截获样本—解析特征—生成规则—分发规则—内容过滤 ’的原理。这种十几年来一直沿用的方法,无法跟上不断变化和发展的垃圾邮件技术,也为网络资源造成了较大的影响。”
判断垃圾邮件靠行为
据统计,我国目前已经成为全球第二大垃圾邮件受害国,我国用户平均每周收到的垃圾邮件数超过邮件总数的60%,部分企业每年为此投入上百万元的设备和人力。巨大的市场需求驱动了各安全厂家在防垃圾邮件产品方面的研发投入逐渐加大。目前国内市场上已经有了数十个防垃圾邮件产品,分别采用三代不同的反垃圾邮件技术。这三代技术目前同时存在于市场上,但是,到底哪种技术更适合解决垃圾邮件问题呢?
由于第一代和第二代的过滤技术始终没有跳出内容匹配过滤的技术局限,仅仅是对孤立的词语进行匹配,抛弃了连贯性,从而无法正确对邮件进行判别,于是造成邮件的大量误判。同时,这两种技术需要进行大量的匹配运算,对CPU和内存的占用极高,这样就很容易成为处理瓶颈。
而最新的防范垃圾邮件的方法是通过行为判断垃圾邮件。行为识别技术能够高效、准确地区分垃圾邮件与正常邮件,使得采用任何垃圾邮件发送技术发出的垃圾邮件都无法躲过它的检测。很多安全厂商相继推出了基于行为识别技术的第三代防垃圾邮件网关。该技术对大量的垃圾邮件样本进行了统计、分析和计算,并且根据 RFC.822标准,建立了垃圾邮件发送的行为识别模型。这一模型能够在MTA通信阶段就判断出所接收邮件是否为垃圾邮件,不需要接受全部的邮件内容进行相应的内容匹配,从而提高了邮件过滤速度,减少了网络延迟,同时还避免了内容过滤技术不可避免的高误报率问题,也提高了对垃圾邮件的识别精度。
MailHurdle+RAPID技术出现
正当人们对传统技术一筹莫展的时候,Mirapoint公司推出了邮件网关的连接层拦截技术,使得垃圾邮件和病毒邮件在消耗系统资源和管理资源之前就已经被拦截。在Mirapoint的技术当中,Mirapoint MailHurdle邮件栏杆技术是核心,提供了一种业界领先的连接控制手段。它能够在垃圾邮件产生网络带宽、存储、处理器、管理资源浪费前,将80%以上的垃圾邮件和病毒邮件直接拦截在网络外层。MailHurdle策略基于对邮件发送者心理行为的缝隙,因此对大量新爆发的垃圾或者正在变异的垃圾威胁具有非常出色的拦截效果。
Mirapoint 的RAPID防垃圾引擎,是一种全新概念的防垃圾邮件引擎,它改变了传统基于内容关键字技术的局限,真正实现了和内容无关、语言类型无关的垃圾邮件实时检测。RAPID技术是基于全球的、实时的、相同邮件的数字DNA进行重复模式检测并进行实时判断的技术,RAPID不是对每封单独的邮件进行内容关键字分析,而是根据邮件的数字DNA进行大批量实时处理,能够在最短的时间内检测到最新爆发的垃圾邮件甚至是病毒邮件。利用Mirapoint的RAPID引擎和邮件栏杆技术,在不影响网络资源的情况下,能够阻止98%的垃圾邮件。
RazorGate为RSA保护邮件
RSA公司一直使用微软公司的Exchange邮件系统,为全球的用户提供及时的在线邮件服务。为了确保其邮件系统的安全性,RSA在网络边缘部署了一套防病毒套件,希望以此来保障邮件服务器的安全。在防病毒套件安装初期,对阻止病毒起到了一定的作用,但是,在当时垃圾邮件并未成为一个非常严重的问题。
不久之后,情况发生了改变。垃圾邮件泛滥成灾,每天充斥着RSA信息安全公司的邮件系统,使他们无法正常工作。RSA信息安全公司IT技术服务经理 Torsten Guttenberger这样说:“防病毒套件对垃圾邮件根本不起作用,无法使我们免受垃圾邮件之苦,垃圾邮件已经成为我们的用户碰到的实际问题。”RSA信息安全公司认识到必须采用更好的、更全面的安 全解决方案去阻止垃圾邮件、病毒以及SMTP 端口安全。
微软公司的Exchange邮件系统是一套基于软件的邮件服务器,它必须运行在硬件服务器上,再加上适当的存储、数据库等解决方案才能构成一套完整的邮件体系。而且,在这套邮件架构中,没有随机附带的安全措施。因此,RSA信息安全公司必须额外为邮件体系配置安全措施。在防病毒软件失效之后,RSA信息安全公司开始寻找能够为邮件服务器提供保护的产品。Guttenberger开始测试一些替代方案,他和他的小组成员认为最佳的方案必须完全兼容微软Exchange服务器,提供足够的处理大流量邮件吞吐的能力,并保持非常低的误 判率。同时,Guttenberger也希望这个解决方案是他能够完全管理的系统。
经过对市场上主流解决方案的比较,在最终用户控制、报表能力、易用性和总拥有成本等方面,RSA选中了Mirapoint公司的RazorGate邮件安全网关解决方案。Mirapoint提供了一 个更加全面的方案,包括通过邮件栏杆、策略实施、SMTP 连接管理、内容过滤等先进的邮件流量管理,以及详细的日志和报表。
RSA 信息安全公司把Mirapoint的RazorGate邮件安全网关置于邮件服务器的前端,从外部进入网络的邮件首先经过RazorGate邮件安全网关,然后才能到达邮件服务器系统。 Mirapoint邮件网关的连接层拦截技术,能够将病毒和垃圾邮件尽可能在邮件系统的对话层进行拦截,使得垃圾邮件和病毒邮件在消耗系统资源和管理资源之前就已经被处理掉 。Mirapoint MailHurdle邮件栏杆技术提供了一种连接控制手段,它能够在垃圾邮件产生网络带宽、存储、处理器、管理资源浪费前,将80%以上的垃圾邮件和病毒邮件直接拦截在网络外层。MailHurdle通过阻断非RFC兼容连接的方式,在SMTP层拦截了大量的恶意邮件。通过基于发件人信誉的评估策略技术, MailHurdle能够让好的发件人畅通无阻而将恶意发送者阻挡在网络之外。MailHurdle策略基于实时数据实时变更,因此对新爆发的垃圾邮件或者正在变异的垃圾威胁具有非常强大的拦截效果。
Mirapoint 提供的邮件安全技术,不仅仅只是在邮件服务器外层实现,而是一整套全面的、内置集成的、多层次的邮件安全系统。整个安全解决方案贯穿整个邮件的生命周期,包括连接控制、防攻击、防垃圾、防病毒、策略控制、安全存储、安全访问、邮件归档、数据备份和灾难恢复以及其他的保护服务。Mirapoint提供的安全邮件架构,涵盖了从操作系统 、硬件设备以及数据和服务范畴,是最全面的、最彻底的安全解决方案。
与一般邮件安全网关不同的是,Mirapoint邮件网关能够同时提供多层杀毒引擎。一般来说,再好的杀毒引擎,也不能实现100%的病毒查杀。但如果同时提供多个引擎,引擎之间 优势互补,就能够大大提高杀毒的效果,最大限度地保护系统安全。
Mirapoint 还提供了基于RAPID技术的RAPID AV引擎。该引擎充分利用了RAPID防垃圾引擎的特点,为常规杀毒引擎提供了一层全新的互补杀毒引擎。Mirapoint的RAPID AV引擎,能够实时监控全球相同邮件的重复爆发模式和爆发特点,通过邮件的重复模式检测而不是具体内容进行识别,从而最快能够在0.5~3分钟之内就识别出突然爆发的病毒邮件。
Mirapoint 的RAPID防垃圾引擎,是一种全新概念的防垃圾引擎。提供了非常高的拦截率和极低的误判率。它改变了传统基于内容关键字技术的局限,真正实现了和内容无关、语言 类型无关的垃圾邮件实时检测。能够同时拦截垃圾邮件、病毒邮件、欺骗邮件、钓鱼邮件以及恶意邮件。
据Guttenberger 反映,Mirapoint的RazorGate 设备运行状态非常良好。他说:“我们的用户是RazorGate设备的最大受益者,他们不必每天应付垃圾邮件。这不仅不会丢掉用户的邮件,也不会增加邮件给网络带来的负担。我们不再收到用户的投诉和抱怨。事实上,我们经常接到客户的赞誉,这些都是自从系统安装后而发生的变化。”
梭子鱼助中集集团阻挡垃圾邮件
中集集团是我国具备向世界名牌进军实力的16强企业之一,目前是世界最大、品种最全的国际海运集装箱生产企业。和其他大型企业一样,中集集团的邮件系统也饱受垃圾邮件的 骚扰:
大量占用网络资源。上百万垃圾邮件降低中集集团网络运行效率,占用网络带宽,造成邮件服务器拥塞,进而降低整个网络的运行效率。
消耗员工时间,降低工作效率。中集集团泛滥成灾的垃圾信件半年数量翻倍,员工只好每天耗费大量的时间、精力来过滤清除这些不请自来的垃圾邮件,专家预计每封垃圾邮件所 抵消的生产力成本在1美元左右。
间谍软件的入口。据网络安全专家分析猜测,目前80%以上的计算机都被装有间谍软件,而间谍软件的一个重要发送渠道就是传播广泛,无处不在的垃圾邮件。作为具有国际竞争力 的大公司,如果公司机密信息被竞争对手窃取,造成的损失将无法估计。
根据中集集团的邮件情况,博威特公司建议其使用梭子鱼300型号产品。由于传统的防垃圾邮件方案只是在邮件服务器上安装防垃圾邮件软件,常常导致邮件服务器系统不堪重负,增加管理负担,而且由于防垃圾邮件软件系统的本身缺陷和BUG更会造成整个服务器的不稳定因素,浪费用户时间以及造成巨大的财务损失。而且无法在垃圾邮件的主要入口处进行防垃圾防病毒处理,也就是只有在垃圾邮件到达服务器后,才通过本地已经安装的防垃圾邮件软件进行分析和病毒查杀。因此根据大型行业的网络实际情况,在网关处进行防垃圾 邮件和病毒保护的实际意义尤为显著。
梭子鱼300型号产品架设在网关处,并单独分配一个IP地址,将原有IP地址分配给梭子鱼反垃圾邮件防火墙。解决方案实施之后,通过梭子鱼垃圾邮件防火墙自动生成的报表可以看 出,中集集团收到的收信人不明和内容疑似垃圾邮件的信大大减少。
反垃圾邮件硬件欲为王
最近备受关注的“反垃圾邮件”领域,硬件也发挥出无尽的活力,下面就是一些硬件反垃圾邮件的代表产品:
美国博威特网络技术公司的产品Barracuda Spam Firewall(梭子鱼垃圾邮件防火墙):Barracuda Networks公司旗下的产品分为BSF200,BSF300,BSF400,BSF600,BSF800五个不同型号,每日邮件处理能力从100万封到千万封不等。从电信级用户到中小企业都是其服务对象。公司年底推出的BSF800型号,允许热插拔的电源供应,设有5个磁盘存储器,双重千兆以太网端口,是一款运营商级别的产品。梭子鱼垃圾邮件防火墙独创的十层过滤检测,分别是拒绝服务攻击及安全防护层;IP封锁清单;速率控制;第一层病毒防护;第二层病毒防护;用户自定义规则;垃圾邮件指纹检查;邮件意图分析;贝叶斯分析;基于规则的评分系统。
Tumbleweed Communications的产品Tumbleweed Email Firewall:产品主要基于Linux系统,公司预测增长最快的反垃圾邮件市场应该是基于Linux系统的基础之上的,谁能够更好地适用和服务该系统,谁就能在反垃圾邮件领域发展得更快。防御黑客攻击的功能使这款产品安全性能更高,广泛应用于金融和政府行业。Anti-Phishing功能,有效防止网络经济犯罪。不少邮件通过假冒银行或者金融机构的信件,骗取用户的密码信息,Anti-Phishing功能检测到这类犯罪活动每月50%的速度在增长,eBay、花旗银行、AOL、雅虎等公司都被监测到曾被仿冒过邮件。
美国Ironport公司的产品IronPort C-Series:Ironport公司的产品C系列分C10 、C30、C60三个型号分别服务于中小企业级用户、企业级用户和电信级用户。IronPort公司专有可信度过滤功能能够根据可信度自动实施邮件传输策略,生成IronPort SenderBase—信誉服务。但是该技术有一点需要注意,即从不扫描可信赖的邮件,目的是消除误报几率。如果邮件是由于进入电脑的病毒自动外发的,发件人虽然是可信任的(相当于处于“白名单”中),但是邮件本身却是危险邮件。
Mirapoint 公司的RazorGate邮件安全网关:全新的RazorGate邮件安全网关在性能和存储容量上都得到了大幅度提升,流量处理能力提升了40%,但大大减少了产品的尺寸,提供了每天可处理900多万条邮件的强大功能,帮助企业跟上对邮件安全的更高需求。
利用高达225G的本地存储容量,全新RazorGate邮件安全网关通过扩展,可以支持几百万个用户以及隔离的垃圾邮件。当垃圾邮件继续增长和发展时, Mirapoint集成的Junk Mail Manager可以提供个人隔离邮箱,把垃圾邮件从核心邮件服务器上隔离出来,存放在收件箱之外的隔离邮箱。为了降低误判和确保正常邮件的收发,用户可以查看被隔离的电子邮件,并且做出保留或删除的决定。
邮件栏杆技术(MailHurdle)能够在SMTP层阻止80%的垃圾邮件和病毒。RazorGate的特别之处在于能够识别垃圾邮件发件人,并且在 SMTP层阻断他们。在垃圾邮件进入网络之前阻止它们,可以保护和节省网络和处理器资源。采用定制的基于信誉的技术,邮件栏杆可以阻断已知的恶意发信人,一旦他们开始一些不良行为,就可以被阻断,极大地提高了安全性。另外,通过使用SMTP协议层技术识别收件人和发信人,能够识别收件人,并且拒绝非针对真正用户的信息。
这种方法可以有效地防范垃圾邮件发送者实施账号搜集攻击,以及向用户名单发送大量的电子邮件。当病毒和垃圾邮件开始传播之后,Mirapoint的 RAPID防病毒和防垃圾邮件引擎可以在几分钟之后实现“零时刻”阻止这些病毒和垃圾邮件的传播。通过采用一种同内容无关的,对邮件进行一种重复模式的监测的功能,如果企业没有传统的基于内容签名的保护方案,借助RAPID完全可以保护自己的邮件网络。采用RAPID技术,Mirapoint RazorGate邮件安全网关能够拦截98%以上的垃圾邮件,而误判率非常之小几乎可以忽略不计。RazorGate邮件安全网关还可以同时运行多个防病毒解决方案,为企业提供对已知和未知病毒的更多防护。
McAfee Secure Internet Gateway(SIG)设备:McAfee SIG内置电子邮件内容过滤功能,能对电子邮件和300多种附件进行词汇扫描。因此,如果电子邮件含有违反内容规则的特定词汇或词组,SIG就可以对它们进行拦截或修改。McAfee的垃圾邮件防护模块与McAfee SIG完全集成,可通过一个可选许可证使用该模块。垃圾邮件防护模块采用极其复杂的技术来检测并拦截垃圾邮件和网络钓鱼诈骗攻击:完整性分析、启发式检测、内容过滤、黑名单和白名单支持、DNS拦截列表支持和贝叶斯过滤。时常更新,确保您的保护始终处于最新状态。用户不仅可以获取作为垃圾邮件被拦截的邮件的每日摘要,还可以管理他们的垃圾邮件隔离、黑名单和白名单。
硕琦科技SpamTrap垃圾邮件防御服务器:采用“垃圾邮件行为模式解析技术”,预设上百种“垃圾邮件行为类型Pattern”,无需依赖关键词和演算,避免了因主观判断垃圾邮件内容引发的误判。SpamTrap垃圾邮件防御服务器具有ST220、ST500和ST800等型号,分别为1U、2U机架式,采用Intel处理器和主板。SpamTrap可以针对匿名、伪造、滥发和非法行为的邮件进行认证和阻隔,并且提供多种防护模式进行选择处理这些垃圾邮件。在MTA执行阶段,In-Job监控SMTP信息,可侦测出在SMTP方面的各种攻击收发,并达到有效防御。瑞星公司的反垃圾邮件产品:是国内第一款面向个人用户的、独立的反垃圾邮件产品,该产品对垃圾邮件的拦截率达到97%以上,误报率低于1%。
瑞星反垃圾邮件产品综合使用了多种垃圾邮件判定技术,如贝叶斯分析、关键词过滤、动态规则升级、黑白名单控制等,提高了判定垃圾邮件的准确度。该产品还可以和瑞星杀毒软件、防火墙相配合,更好地防范蠕虫邮件、网络钓鱼邮件等垃圾邮件的攻击。瑞星还把反垃圾邮件与保护用户信息安全有机地结合起来,可以更好地保护用户利益。