病毒防护系统.doc

病毒防护问题分析
随着计算机技术应用的普及,各个企业的运行越来越依赖和离不开计算机,各种业务的运行架构于现代化的网络环境中。保证各种业务系统和工作的正常、可靠和安全地进行是信息系统工作的一个重要话题。由于计算机系统的安全威胁,给企业带来了重大的经济损失,这种损失可分为直接损失和间接损失;直接损失是由此而带来的经济损失,间接损失是由于安全而导致工作效率降低、机密情报数据泄露、系统不正常、修复系统而导致工作无法进行等。间接损失往往是很难以数字来衡量的,而且是巨大的。在所有计算机安全威胁中,计算机病毒是最为严重的,它往往是发生的频率高、损失大、潜伏性强、覆盖面广。计算机病毒直接涉及到每一个计算机使用人员,是每一个使用人员经常会碰到和感到头痛的事。
计算机病毒事实上是一种计算机程序,具有可自我复制性、传染性、潜伏性、破坏性等。目前存在的病毒表现有很多特点:病毒种类越来越多、危害性越来越强、传染速度快和感染方式多、发展和增长速度快、病毒传染源多、病毒变种多和速度快。
病毒种类可以按不同的标准来分。根据病毒所运行的操作系统环境分,有运行于DOS、、Win95、Win98、NT workstation、NT服务器、Novell和Unix操作系统的病毒;按照运行环境有单机病毒、群件环境(如Lotus Notes和MS Exchange等)和服务器下的病毒;按照受感染的载体不同有操作系统病毒、执行文件病毒、宏病毒、ActiveX/Java Applet病毒等;按照传染方式分软盘病毒、光盘病毒、病毒(包括Email病毒、Http病毒)等;按照病毒的创作过程来分有单一病毒、变体病毒和混合病毒。技术和信息技术的发展,病毒的种类越来越多,这样对病毒防护系统提出了新的挑战,要求病毒防护系统能适合于各种操作系统、各种运行环境和防护各种类型的病毒。
病毒的危害性有各种各样的表现,从CIH病毒对主板和硬盘的破坏到BO病毒对主机信息的泄露;从Explore病毒对文件系统的破坏到各种宏病毒对文档的破坏和感染;所有这些都只是病毒破坏的一些表现。总体来讲,病毒的破坏有:直接对主板和硬盘破坏;破坏文件系统和文件;浪费和占用系统资源
(如CPU和硬盘),导致系统性能、速度降低;泄露主机信息,向外发送主机的相关信息,或者被远程控制端控制和留有后门,随时可以由远程进入和控制;一些善意的病毒往往发送一些问候消息,也有一些病毒开一些玩笑。病毒破坏的表现多种多样,但是结果是一样的,都会直接或间接地破坏系统、浪费资源,从而浪费生产力,降低效率和信息系统的利用率。
技术及信息技术的普及和发展,病毒的传染速度越来越快。发展以前,所有病毒都是通过磁盘的拷贝来传染的,这时病毒的传染速度比较慢,病毒表现出存在一定的国界。但是,的发展使的病毒没有国界,5分钟以前在美国发现的病毒,有可能在5分钟之后,就到了国内;,病毒可以通过邮件、Http/Ftp等实时的方式感染到企业内部。另外,在企业内部的群件系统和办公自动化、工作流系统的使用(如Notes、Exchange),使的病毒在企业内部的传染速度加快,各个员工在共享信息的同时,有可能共享病毒;同时,在群件环境中,部分机器的防病毒能力弱,会导致整个系统弱的防病毒能力;这样就要求整个企业防病毒系统的防病毒能力的一致性。相连的企业,,主要的传染方式是群件系统; 入口处的病毒侵入,就抑制了最主要的病毒源;好的群件系统防病毒,将病毒的传染域隔离到孤立的某一台机器,这样病毒的破坏就会控制到最小范围。
如图 1所示典型企业的病毒源和传染途径。

图 1 病毒源和传染示意图
的发展和信息共享程度的增强,上浏览到大量的丰富的信息,上有大量的关于病毒的信息,包括:典型病毒的原理解释、病毒源代码、病毒工具库、病毒编写教程等,人们可以很容易从网上得到这些信息,利用这些信息可以产生新的病毒;另外宏语言的发展,简化了病毒编写的复杂性,程序员可以利用各种宏语言编写出具有危害性的宏病毒;Java和ActiveX技术的发展,也简化了病毒的编写,增加了病毒的种类。目前,每月都会有300种新的病毒出现。
病毒的飞速发展要求防病毒系统也要相应地发展,病毒和防病毒是一个动态的发展过程;对于构建防病毒系统,自升级能力是一个重要的指标;只有自我加强的防病毒系统才能保证对新出现病毒的免疫。另外,一个企业内防病毒系统的一致性和完整性是避免病毒防御系统漏洞的重要的一个方面。
在大的企业里,为了保证防病毒系统的一致性、完整性和自升级能力,必须有一个完善的病毒防护管理体系,负责病毒软件的自动分发、自动升级、集中配置和管理、统一事件和告警处理、保证整个企业范围内病毒防护体系的一致性和完整性。
NAI是全球反病毒解决方案的领导者,它提供了一套现成的解决方案,即McAf