1月25日起，全球互联网被一个蠕虫病毒瘫痪。在各国政府信息安全机构和信息安全厂商的共同努力下，到目前为止“2003蠕虫王”的疫情基本上被控制，主干网络已经恢复通畅。

    但是一个小小的蠕虫病毒竟然能够造成这么大的破坏，这的确是我们应该深刻反思的。

    在病毒破坏的初期，美国FBI、韩国通信情报部等政府安全机构都以为是大规模的黑客入侵，事实上，这个病毒的破坏行为的确和黑客的“拒绝服务攻击”很相似。瑞星反病毒专家认为，目前大部分的新病毒都集成了黑客工具，而许多黑客在攻击目标的时候，也会经常使用一些病毒程序。

    因此防毒和反黑已经密不可分，对于企事业单位来说“防毒＋反黑”的整体安全解决方案绝不是“防毒”和“反黑”的简单相加，而是通过防火墙、入侵检测和反病毒软件的密切配合，互相支持来完成防护任务的。

    从反病毒的角度说，杀毒软件的升级总是滞后于病毒传播的，这就要求反病毒厂商的快速反应能力。那么，针对“2003蠕虫王”这样的类似黑客攻击的病毒，在反病毒软件没有升级的情况下，如何能将损失减小到最小呢？

    “2003蠕虫王”病毒是通过向UDP/1434端口发送大量的UDP包来进行破坏活动的。如果企事业单位的用户安装了恰当的入侵检测设备，那就就能够在最短的时间内发现这些恶意信息的传入、及时发出警报。如果局域网内部某些机器被感染，那么入侵检测设备也能够发现它们并告知网管采取相应措施。

    这个时候防火墙就切断相关的端口，减少垃圾信息的涌入，使企事业单位的内网（局域网）不被外来的垃圾信息包阻塞；同时也可以切断从内往外的UDP包，减少公网上的垃圾信息数量。在入侵检测和防火墙的共同作用下，我们可以把病毒初期的损失减小到最小，即使公网被阻塞了，局域网内也可以正常工作，内部信息传输不会被阻断。

    在网络版反病毒软件升级的同时，防火墙也应该升级。前者保证做到彻底查杀、后者则可以彻底拦阻，在这种情况下，整个局域网才会完全不受“2003蠕虫王”的侵袭。

    事实上，“2003蠕虫王”是利用微软SQL Server2000的一个漏洞进行破坏的，而微软早在去年7月就发布了补丁程序。从这次全球泛滥的情况来看，的确有很多电信机构的网管“失职”，才导致了整个主干网的阻塞。

    瑞星总裁刘旭认为，信息安全一定是多层次、多角度的防护。“光有网络版反病毒软件是不够的，还需要防火墙、入侵检测等设备，才能在反病毒的基础上对黑客攻击行为进行有效的防护，并且减少病毒发作的早期损失”。

    在使用了相应安全设备的情况下，一个企事业单位的整体安全策略的制定、网管人员的安全培训，这些都是信息安全厂商的任务。刘旭表示，“这些和技术服务一起，可以看作是‘大服务’的概念。对瑞星来说，都是提供给用户的，我们的产品不光是软硬件设备，服务也要逐步产品化”。