IBM、赛门铁克数字免疫系统方案

2004-6-10　发布方：IBM 中国　网友评论 0 条　点击进入论坛

　　数字免疫系统（Digital Immune System）是IBM公司和赛门铁克（Symantec）公司提出的新概念。数字免疫系统主要是为企业级的信息系统服务的，它所"预防治疗"的病症很广泛，既包括计算机病毒，也包括影响企业信息系统正常运行的诸多因素，如磁盘碎片引起的运行处理速度缓慢，经常性的系统死机多，并且提供修复更新系统的工具。数字免疫系统还特别包括了一系列用于远程控制的技术，以实现对整个企业信息系统的有效、全面的管理。
　　
　　根据国际计算机安全协会ICSA研究报告"病毒损失及各种保护策略"，实施全天候的病毒保护可以比定时病毒检测减少88%的损失。实施全天候的病毒检测最主要的问题是，用户经常有意无意地关闭了病毒保护，或者更改了病毒检测的设置，使检测工作不能按照IT部门的整体规划进行。从整个企业的全局来看，IT部门应该加强管理控制，保证病毒检测工作的协调进行。所以数字免疫系统的首要问题是实施规划。如果不从技术的角度，从根本上保障实施规划的正常进行，而是任由最终用户改动，那么考虑得再周全的数字免疫系统也起不到预期的作用。
　　
　　管理职能
　　
　　数字免疫系统应该提供很好的管理职能，这在网络时代尤为重要。管理职能应该从最基层做起，数字免疫系统的设置可以被锁死，用户不得随意进行更改。为了加强统一管理，数字免疫系统可以监控客户端的设置。一旦客户端的设置被改动，数字免疫系统就要采取相应的行动，这些行动包括对设置的变化进行登记，向数字免疫系统的控制台报警，以及返回客户端最初的设置等等。这部分严格监控的设置主要是实施计划，并不影响数字免疫系统工具应用方面的设置。
　　
　　数字免疫系统有两种办法对客户端的配置进行管理。最简单的就是将客户端的配置彻底锁死，这样用户不能随意更改。但是当整个企业的规划进行调整时，这种方法显得很不方便。第二种方法是客户端的系统由管理中心统一设置，然后进行监控。例如，一个用户在安装软件的时候，关闭了病毒的实时保护，数字免疫系统的控制中心就会收到报警。报警会触发对病毒保护的重新设置，从而再次起动病毒保护，以免用户在安装完软件以后，忘记重新激活反病毒工具。
　　
　　数字免疫系统可以随时对客户端的配置进行检查，以确认企业安全规划的顺利执行。
　　
　　智能化的反病毒工具
　　
　　计算机病毒的检测、清除自然十分重要，但更重要的是及早发现可疑的代码，及早采取措施，特别是网络时代，病毒的传播速度很快。一些新的计算机病毒可能在IT部门接到通知以前，就已经进入了企业网。防患于未然，及早发现比任何强大的反病毒功能都重要。同时数字免疫系统应该具备一定的推理能力，有一定的智能化特征。早期反病毒工具那种就事论事的方法显得过时了，因为现在编写病毒的人员越来越多，危害也越来越大，Internet及企业内部网络使其传播也越来越容易，所以今后的数字免疫系统的开发思路应从病毒发作的种种特征入手，其处理对象也应该由具体的病毒转向恶意代码，根据运行处理的特征鉴别它是正常操作或是可能的病毒，预防为主将成为反病毒工具的主要特征，反病毒工具也将逐步智能化。
　　
　　根据国际计算机安全协会1998年关于计算机病毒的大范围调查，在1997年99%的企业曾经发现过计算机病毒，37%的企业曾经发生过计算机病毒引起的超过25台计算机瘫痪的恶性事故，所以数字免疫系统的首要任务还是反病毒。
　　
　　在反病毒方面，数字免疫系统要及时更新，为企业提供最及时的反病毒技术。在实施方面，要特别注意与企业外部联接的节点，并且支持从DOS到Windows 95/98，以及众多的网络操作系统。近年来，通过电子邮件传播的病毒越来越多，已经逐渐成为企业安全的最大威胁。当前通常使用的企业级电子邮件主要是Microsoft Exchange 和Lotus Notes，所以数字免疫系统要特别对这种软件提供保护。针对Internet数字免疫系统提供Internet网点和防火墙上的反病毒功能。
　　
　　启发式方法是计算机领域中常用的和有效的方法，它主要是依据过去的经验，产生解决问题的方法。如果新的方法不能产生满意的结果，结合这个不成功的方法和过去的经验，产生新的方法。如此反复一直到产生满意的方法为止。在处理未知病毒的时候，启发式方法自然就成为数字免疫系统的设计思想。借处于启发式方法，数字免疫系统具备了一定的推理功能。由于启发式方法的特点，知识经验的积累成为完善的数字免疫系统功能的关键。
　　
　　在反病毒方面，数字免疫系统的运行过程大致是这样的：当一种未知的恶意代码被发现后，对该文件进行检测，并向数字免疫系统的管理控制中心报警，数字免疫系统采取一系列的行动。向相关人员发出电子邮件或者传呼，恶意代码被发送到管理控制中心，准备由企业控制中心发往数字免疫系统生产厂商的病毒研发机构，例如Symantec的用户可以将病毒发往该公司的反病毒研发中心Antirus Research Conter。或者该恶意代码被直接发往生产厂商，这样生产厂商可以更及时地为企业提供安全保证。生产厂商在收到可疑的恶意代码以后，提供反病毒的方案，并将其返回数字免疫系统的管理控制中心。最后管理控制中心自动向相关人员发布反病毒方案。当然，如果用户发现的是一种已知的病毒，那么该问题在企业内部就解决了。
　　
　　同时，企业收到的新的反病毒方案，应该无缝地添加到数字免疫系统中，免去了重新大量安装软件的麻烦，软件厂商也可以通过数字免疫系统的控制厂商，进行软件升级。以往企业的IT部门在收到升级版本后，要将软件逐级下发，这样做最大的弊端在于升级更新不及时，新版本的反病毒软件不能及时到位。通过企业数字免疫系统的管理中心，极大地缩短了从软件升级发布到分配最终用户使用的时间，减少了病毒带来的损失。
　　
　　整理磁盘碎片
　　
　　除计算机病毒之外，另一个影响企业网正常运行，且不容忽视的问题是磁盘碎片。磁盘碎片是由大量数据的读写产生的。它使得一个磁盘文件散乱地分布在磁盘表面，从而大大增加了磁盘文件的读取时间，磁盘碎片给个人工作站的使用带来了不便，对企业服务器的影响则是降低了运行性能。特别是随着Microsoft Exchange和Lotus Notes等群件的大量使用，对服务器直接的读写操作大量增加，许多企业内部对服务器的读写操作已经达到每分钟几千次的水平，以致磁盘碎片的产生速度很快，影响了软硬件性能的发挥，浪费了用户的时间。磁盘碎片是由于正常操作产生的，也是不可避免的。为了保证企业网的正常运行，整理磁盘碎片的工作应该经常进行。通过整理磁盘碎片，使文件分布在连续的簇上；合并使用的磁盘空间，使新的数据也写在连续的簇上，起到优化数据读取的工作。
　　数字免疫系统在以往整理磁盘碎片工具的基础上，又增加了一些控制功能，以保证整理磁盘碎片的工作能正常进行。数字免疫系统的控制中心对磁盘碎片情况进行监控。当磁盘碎片超过了设定的限制。数字免疫系统的中心将收到报警。报警将通知相关的人员，或者在非高峰时间直接起动整理磁盘碎片的工具软件，并且这些工作在后台进行，不影响正常操作。通过这种方式，数字免疫系统保证服务器的高性能，实现对个人工作站磁盘碎片的监控和处理。将损失消灭在萌芽状态。
　　
　　事故防范与灾难恢复
　　
　　防止信息系统事故的发生自然是数字免疫系统的首要任务，但是如果一旦问题出现了，数字免疫系统也会采取相应的措施，及时进行系统的修复和重新安装。在这方面数字免疫系统的主要任务包括：实现硬盘的完整拷贝；创建磁盘镜像文件；分区之间的拷贝；生成可以创建其他分区的磁盘分区镜像文件；通过镜像文件实现磁盘文件的远程修复和重新配置。通过使用先进的镜像压缩技术，数字数字免疫系统可以将镜像压缩70%，压缩的效率由分区和磁盘的内容而定。在镜像恢复以后，系统还将自动检测文件是否有损坏、复制文件是否与原文件一致。根据具体需要，镜像文件可以保存在本地或网络驱动器上，也可以保存在ZIP、CD-ROM或SCSI磁带机上。同时，数字免疫系统还承担了诸如安装配置PC，动态分配FAT12、FAT16、FAT32和NTFS分区等耗时的工作，FDISK和FORMAT等手工操作已成为过去，当源驱动器和目标驱动器大小不一样时，系统还将自动修正分区的大小。数字免疫系统可以为这些重复性的工作创建批处理任务，从而简化了安装大量工作站时镜像文件的下载工作。
　　
　　用户经常遇到的问题是应用程序崩溃、系统崩溃、"蓝屏幕"等一系列死机现象，数字免疫系统将向系统控制中心报告这些情况。控制中心将就事故的原因进行分析，以避免类似的问题的发生。
　　
　　一个真正解决企业问题的数字免疫系统必须具备远程处理能力，在及时发现问题并且报警的基础上，数字免疫系统提供远程修复处理的能力，这样大大节约了IT部门人员现场处理问题带来的经费和人员的浪费，数字免疫系统必须支持TCP/IP、Netware IPX/SPX、NetBIOS等多种协议，运行于各种局域网和广域网，对远程计算机进行监控、管理和解决问题。功能强大的数字免疫系统还可以采用镜像文件，远程安装工作站。这就意味着工作站无论是在局域网、校园网还是分布在全国各地，只要采用了数字免疫系统都可以进行远程安装。系统将采用同一镜像文件向各地同时进行传输的方式，降低网络负载。
　　
　　远程支持
　　
　　远程用户也是企业信息网络一部分，企业信息系统的实施规划在远程用户端也要得到贯彻和执行，实施规划的变动也必须及时地体现在远程用户方面。但是由于远程连网的速度较慢，且远程用户经常处于脱机状态，因此在传输技术上必须得到改进。数字免疫系统在服务器端采用于"Delta技术"（Delta Technology），在客户端采用"更新代理"技术，每一次远程通信只是传递数据的更改情况，还不是再重新原原本本传递整个文件，从而解决了远程传输的问题，数字免疫系统的控制中心将跟踪文件的变化情况。每发现一处变化，它都要确认文件的一致性，然后决定是发布变化还是简单地通知文件已经改变。
　
　　数字免疫系统一般还配备相应的工具。这些工具在日常工作中也可以经常使用，例如远程访问、文件传输等。这些工具由于得到了数字免疫系统中新技术的支持，变得更加灵活易用，功能强大。例如远程文件传输不再是整个文件的拷贝，而仅传送两次传送之间的变化，从而提高了效率。
　
　　从数字免疫系统包含的主要内容，可以看到它是网络时代的产物。网络为我们带来了便利，同时也带来了一系列的问题：病毒传播速度加快了；群件的使用增加了数据读写的频率，容易产生大量的磁盘碎片；网络的速度不够快，远程用户无法及时更新数据……数字免疫系统正是有效地解决了这些问题，它在保证企业信息系统安全、高效运行，降低企业费用等方面，将起到重要的作用，可以为企业在网络时代的竞争中助一臂之力。

已有 0 位对此文章感兴趣的网友发布了看法　

我来评两句	登录邮箱：密码：
请您在这里发表您的个人看法，发言时请各位遵纪守法并注意语言文明！
	匿名发表