广州中软公司网络安全系列典型解决方案之一——防病毒系统

2004-7-26　发布方：广州中软信息　网友评论 0 条　点击进入论坛

一、计算机病毒
　　随着计算机技术和计算机网络的发展和普及，各个企业的运行越来越依赖和离不开计算机，各种业务的运行架构于现代化的网络环境中。保证业务系统和工作的正常、可靠和安全地进行是信息系统工作的一个重要话题。但是由于计算机系统的安全威胁，给企业带来了重大的经济损失，这种损失可分为直接损失和间接损失。直接损失是由此而带来的经济损失，间接损失是由于安全而导致工作效率降低、机密情报数据泄露、系统不正常、修复系统而导致工作无法进行等。间接损失往往是很难以数字来衡量的，而且是巨大的。在所有计算机安全威胁中，计算机病毒是最为严重的事。

计算机病毒事实上是一种计算机程序，具有可自我复制性、传染性、潜伏性、破坏性等。目前存在的病毒表现有很多特点：病毒种类越来越多、危害性越来越强、传染速度快和感染方式多、发展和增长速度快、病毒传染源多、病毒变种多和速度快。

　　病毒种类可以按不同的标准来分。根据病毒所运行的操作系统环境分，有运行于DOS、Win3.x、Win95、Win98、NT workstation、NT服务器、Windows 2000、Novell和Unix操作系统的病毒；按照运行环境有单机病毒、群件环境(如Lotus Notes和MS Exchange等)和服务器下的病毒；按照受感染的载体不同有操作系统病毒、执行文件病毒、宏病毒、ActiveX/Java Applet病毒等；按照传染方式分软盘病毒、光盘病毒、Internet病毒(包括Email病毒、Http病毒)等；按照病毒的创作过程来分有单一病毒、变体病毒和混合病毒。随着Internet技术和信息技术的发展，病毒的种类越来越多，这样对病毒防护系统提出了新的挑战，要求病毒防护系统能适合于各种操作系统、各种运行环境和防护各种类型的病毒。

　　病毒的危害性有各种各样的表现，从CIH病毒对主板和硬盘的破坏到BO病毒对主机信息的泄露；从Explore病毒对文件系统的破坏到各种宏病毒对文档的破坏和感染；Nimda病毒可以使internet或intranet的流量无限增大；Worm病毒耗尽您的资源；所有这些都只是病毒破坏的一些表现。总体来讲，病毒的破坏有：直接对主板和硬盘破坏；破坏文件系统和文件；浪费和占用系统资源(如CPU和硬盘)，导致系统性能、速度降低；泄露主机信息，向外发送主机的相关信息，或者被远程控制端控制和留有后门，随时可以由远程进入和控制；一些善意的病毒往往发送一些问候消息，也有一些病毒开一些玩笑。病毒破坏的表现多种多样，但是结果是一样的，都会直接或间接地破坏系统、浪费资源，从而浪费生产力，降低效率和信息系统的利用率。

　　由于Internet技术及信息技术的普及和发展，病毒的传染速度越来越快。在Internet发展以前，所有病毒都是通过磁盘的拷贝来传染的，这时病毒的传染速度比较慢，病毒表现出存在一定的国界。但是，Internet的发展使的病毒没有国界，5分钟以前在美国发现的病毒，有可能在5分钟之后，就到了国内；依赖于Internet，病毒可以通过邮件、Http/Ftp等实时的方式感染到组织机构内部。另外，在组织机构内部的群件系统和办公自动化、工作流系统的使用(如Notes、Exchange)，使得病毒在组织机构内部的传染速度加快，各个员工在共享信息的同时，有可能共享病毒；同时，在群件环境中，部分机器的防病毒能力弱，会导致整个系统弱的防病毒能力；这样就要求整个组织机构防病毒系统的防病毒能力的一致性。一个和Internet相连的组织机构，最主要的病毒入口就是Internet，主要的传染方式是群件系统和Http；控制Internet 入口处的病毒侵入，就抑制了最主要的病毒源，良好的群件系统防病毒，将病毒的传染域隔离到孤立的某一台机器，这样病毒的破坏就会控制到最小范围。

　　由于Internet的发展和信息共享程度的增强，人们可以从Internet上浏览到大量的丰富的信息，其中在Internet上有大量的关于病毒的信息，包括：典型病毒的原理解释、病毒源代码、病毒工具库、病毒编写教程等，人们可以很容易从网上得到这些信息，利用这些信息可以产生新的病毒；另外宏语言的发展，简化了病毒编写的复杂性，程序员可以利用各种宏语言编写出具有危害性的宏病毒；Java和ActiveX技术的发展，也简化了病毒的编写，增加了病毒的种类。

　　病毒和防病毒是一个动态的发展过程，病毒的飞速发展要求防病毒系统也要相应地发展，要求病毒防护系统能适合于各种操作系统、各种运行环境和防护各种类型的病毒，管理上也有了更高的要求。

二、需求分析
　　进行计算机病毒防范需要对计算机病毒的可能入口点进行分析和防范。由于企业的信息传输通常是基于企业内联网络结构的，所以对内联网的结构分析就可以对计算机病毒的入口和传播途径有一个清晰的了解。
　　通过对企业内联网的分析不难发现以下几个特点：
　　1、外部连接部分
　　企业由于信息检索的必要性及EMAIL通信的普遍性，在Internet上下载的信息有可能传播病毒到内部网络上来。所以对Internet上下载的信息进行防病毒是有必要的。

　　2、内部网络部分
　　企业内联网服务器采用的操作系统有Windows NT/2000等操作系统。另外，企业内部网络办公自动化以及邮件系统是建立在Lotus Notes/Domino或Microsoft Exchange群件服务器上的。邮件传播要求我们必须针对各种平台的操作系统和群件服务器配备不同的病毒防范软件，对服务器上的关键数据进行保护。

　　网络客户端也是病毒的入口点之一，而且由于数量很多，而且地理位置分布较为分散，所以对客户端一定需要有病毒实时防范措施和具体有效的管理手段。企业内的网络客户端操作系统类型复杂，有DOS、Windows 3.x，Windows 95/98/ME/XP，Windows NT Workstation以及Windows 2000 Professional等操作系统。我们需要在这些平台上配备相应的防病毒软件，对通过磁盘、可移动磁盘、光盘、网络驱动器、调制解调器连接等传送的文件进行病毒防护。同时，客户端不能是独立的一个防护系统，我们需要将客户端病毒防护软件和服务器控制台结合在一起，一方面可以从服务器直接向客户端进行防病毒软件版本、特征码的升级，另一方面可以将客户端防病毒软件发现的病毒情况以及相关信息传送给服务器控制台以及个人或者指定的一组人，以便于集中管理和监督。

　　3、单机部分
　　企业内的部分计算机，包括一些笔记本电脑没有联网，为单机方式运行。主要为Windows 95/98、Windows NT/2000等。对这一部分的计算机，病毒传染途径主要包含磁盘、可移动磁盘、光盘和调制解调器等方式。需要对通过这些途径传播的病毒进行防范。

为了企业计算机环境的安全，应付越来越猖獗、制作技巧越来越高明的病毒，建立全方位的、集中管理的企业网络防病毒体系刻不容缓。

三、防病毒系统整体规划
　　企业计算机网络系统已经覆盖了整个企业系统的各个岗位，上网用户在进行多种数据交换时，随时可能受到病毒的攻击，通过电子邮件来联系业务、交换数据等都可能不知不觉中感染病毒，并在内部网络上不断扩散。必须在网络整个系统的各个环节上严加防范，才能有效地防止和控制病毒的侵害。

（一）设计原则
　　建立防病毒系统需要考虑的主要内容有：
　　控制传染源
　　控制传染途径
　　简化组织机构防病毒体系的管理
　　防病毒软件的集中分发和维护
　　病毒事件的集中管理和报警
　　预防胜于杀毒
　　防病毒的自动化
　　考虑以后的防病毒体系——升级能力
　　如何考虑性能的折衷

　　综上所述，设计防病毒方案时一般应遵循以下原则：

　　1、技术和产品的成熟性和稳定性
　　充分考虑防病毒产品本身和技术上的成熟性。

　　2、满足需求为第一
　　针对企业的具体应用情况，建立满足需求的病毒防护系统。

　　3、先进性
　　由于防病毒领域是一个动态的发展过程，必须要求今天的防病毒系统不仅仅能够全面检测到已经发现的病毒，还能接受明天病毒的挑战。

　　4、扩展性和可升级性
　　可升级能力是衡量防病毒系统是否具有生命力的重要指标。

　　5、可管理性
　　对于企业来说，IT专家是非常宝贵和繁忙的，要管理防病毒软件的分发、升级、配置和支持是一个非常难的事，这就要求提供一个方便管理的平台。

　　6、易用性
企业计算机系统中大部分的使用人员并非计算机专业人员，而且由于业务繁忙，不可能系统学习每一个工具软件。这就要求客户端的防病毒软件必须简单易用，自动化程度高，最好无须用户干预。

　　7、跨平台和操作系统
防病毒软件覆盖已有各种机器和操作系统，这些机器都可能是潜在的病毒传染源。

（二）产品选型
　　企业地位和业务的特殊性决定了网络传输信息数据的重要性，计算机病毒防护软件的选择也就格外重要。病毒的发展趋势也表明，防止病毒，最重要的是如何使企业网络快速响应突发性的恶意病毒。用户在选择防病毒产品时，除产品的查、杀能力外，更应该了解防病毒产品的厂商所具备的这种响应能力，产品在快速响应方面的能力，也就是产品的升级能力和方式是否完整迅速。

邮件病毒的传播也要求必须针对各种平台的操作系统和群件服务器配备不同的病毒防范软件，对服务器上的关键数据进行保护。网络客户端也是病毒的入口点之一，对客户端一定需要有病毒实时防范措施和具体有效的管理手段。

　　为了方便有效地进行计算机病毒的防范和管理，建立一套行之有效的管理体制是非常有必要的。为此，需要在企业实现集中监控管理的计算机病毒防御系统。集中监控是指企业总部的管理员可以随时通过网络远程访问管理服务器，了解企业内防病毒分支体系的防病毒报告、升级报告等，必要时可以直接进行防病毒策略的变更。

　　目前，国外主流的防病毒厂家主要有Symantec、NAI McAfee和Trend micro等，国内主流的防病毒厂家主要有瑞星、金山、江民科技等。从防病毒产品的整体功能、性能上来看，国内产品与国外产品相比还有一定的差距。企业在选择防病毒产品时，应结合自身的实际需求，针对性地选择防病毒产品。
　　
四、防病毒方案实现
　　对于网络环境的防病毒方案，我们应该从以下几个方面来考虑：
　　1、必须对整个网络实行全方位的、多层次的病毒防护，也就是说应该在网络的每一个层次都要进行有效的病毒防护。

　　2、必须具备24小时自动防护功能。

　　3、必须能够在各条可能感染病毒的途径上防止病毒。尤其必须能够扫描预防电子邮件附带的病毒和未知宏病毒。

　　4、必须具备最先进的检测清除病毒的功能。当感染传播性很强的病毒时，要能够快速从整个网络上把这一病毒清除，不让病毒残留在某台机器上。

　　5、对已感染的病毒文件，能够通过先进的修复工具保证文件免受损害。对于感染无法处理的未知病毒，必须提供一种方法，不让其在网络上传播，同时，能够快速获得解决方案。

　　6、对整个网络性能的影响应该非常小。

　　7、病毒定义码和扫描病毒引擎的更新必须快速方便。

　　8、必须能够实现集中管理和自动安装的功能。某些重要功能实行强制性管理。

已有 0 位对此文章感兴趣的网友发布了看法　

我来评两句	登录邮箱：密码：
请您在这里发表您的个人看法，发言时请各位遵纪守法并注意语言文明！
	匿名发表