课件：计算机病毒防治策略.ppt

计算机病毒与防治,重庆电子工程职业学院,计算机病毒与防治课程小组,教学单元6 计算机病毒防治策略,趋势科技防毒产品简介,病毒防治战略,计算机病毒防治策略,计算机病毒与防治课程小组,病毒防治战略,过去，病毒和恶意代码是通过软盘传播到个人的工作站中的。感染集中在本地，防毒软件主要针对桌面保护。然而，今天的大多数病毒和恶意代码都是来自互联网或电子邮件，通常是先攻击服务器和网关，然后再扩散到公司的整个内部网络。由于这种感染方式的变化，所以，当前许多防毒产品都是基于网络的而不是基于桌面上的。 现代的网络结构通常分为三个等级或层次，可以将防毒产品部署在它们之上，如下表6-1所示。,病毒防治战略,病毒防治战略,一个多层次的保护战略应该能够将防毒软件安装在所有这三个网络层中，提供对计算机病毒的集中保护。 一个多层的战略可以由一个厂商的产品实施，也可以由多个厂商的产品共同实施。 （1）单个厂商产品 一个单厂商多层次的战略即在网络的三个层次（网关、服务器、桌面）中部署来自同一厂商的产品。由于单个厂商经常成套出售他们的产品，因此，这种方案可能会比多厂商方案更加经济。不仅如此，单厂商策略在产品上易于管理。 （2）多厂商产品 一个多厂商多层次的战略即在网络的三个层次上分别部署来自两个或多个厂商的产品。这个方案可能会产生兼容性的问题或难于管理。,1.多层保护战略,病毒防治战略,计算机病毒与防治课程小组,2.基于点的保护战略,同多层次方案不同，一个基于点的保护战略只会将产品置入网络中已知的进入点。桌面防毒产品就是其中的一个例子，它不负责保护服务器或网关。这个战略比多层次方案更有针对性，也更加经济。但应该注意，CodeRed和Nimda这样的混合型病毒经常会攻击网路中多个进入点。 一个基于点的战略可能无法提供应付这种攻击的有效防护。同时，基于点的防毒产品还存在着管理上的问题，因为这些产品不能够从一个集中的位置进行管理。,病毒防治战略,一个集成方案可以将多层次的保护和基于点的方法相结合来提供抵御计算机病毒的最广泛的保护。许多防毒产品包都是根据这个战略设计而成的。 另外，一个集成的方案通过提供一个中央控制台还会提高管理水平，尤其是在使用单厂商的产品包时更是如此。,计算机病毒与防治课程小组,3.集成方案战略,病毒防治战略,被动型战略：只是在系统被感染以后，他们才会对抗恶意代码的问题。这个过程很耽误时间，进而造成生产效率和数据的损失。 主动型战略：是在病毒发生之前便准备好对抗病毒的方法，具体就是定期获得最新的代码文件，并进行日常的恶意代码扫描。,计算机病毒与防治课程小组,4.被动型战略和主动型战略,病毒防治战略,采取主动型方案的公司通常会订购防毒支持服务。这些服务由防毒厂商提供，包括定期更新的代码文件以及有关新病毒的最新消息，对减少病毒感染的建议，提供解决病毒问题的解决方案。,5.基于订购的防毒支持服务,趋势科技防毒产品简介,趋势科技精心打造的全新PC&U盘安全防护方案，内置PC-cillin Internet Security 2006,为用户的个人电脑提供实时全面的网络安全防护。 趋势科技防毒维C片内置趋势科技独有的U盘防毒引擎，保证存入U盘文件的安全性，是全球的一款能够防止病毒感染的安全U盘。,1.防毒维C片,趋势科技防毒产品简介,表6-2 防毒维C片功能特性,趋势科技防毒产品简介,OfficeScan企业版可以为桌面和移动客户端提供综合病毒保护。 OfficeScan包括集中管理功能，可以允许管理员管理和强化整个组织内部的防病毒策略。,2.趋势科技企业防毒墙,趋势科技防毒产品简介,计算机病毒与防治课程小组,表6-3 OfficeScan特色,趋势科技防毒产品简介,计算机病毒与防治课程小组,InterScan邮件安全版（InterScan MSS）可以封堵试图通过电子邮件服务器进入内部环境的因特网威胁。它可以检测和清除位于通信网关的简单邮件传输协议（SMTP）和POP3通信中的病毒。,3.InterScan邮件安全版,趋势科技防毒产品简介,计算机病毒与防治课程小组,表6-4 InterScan MSS功能特色,趋势科技防毒产品简介,计算机病毒与防治课程小组,（1）适用于Microsoft Exchange或IBM Domino的ScanMail可以为进出电子邮件以及附件提供实时病毒检测和清除服务。管理员可以创建规则来阻挡、延迟和优化电子邮件。这些ScanMail产品可以与控管中心进行互操作。 （2）适用于Microsoft Exchange的ScanMail可以在邮件电子邮件服务器时对其进行扫描，其中包括SMTP、MAPI、HTTP、POP3、IMAP4（因特网信息访问协议4）、IFS（可安装文件系统）及NNTP（网络新型传输协议）通信。可以与诸如MAPI（Microsoft通信API）、VSAPI（病毒扫描API）及ESE API（可展存储引擎API）等最新的Microsoft API进行完全集成。 适用于IBM Domino的ScanMail经过设计，可以在Lotus Domino环境中作为一个本地Domino服务器应用软件进行操作，从而为Microsoft Windows2000、Sun Solaris、IBM AIX、S/390、AS/400 Red Hat Linux及SuSE Linux提供支持。可以从Lotus Notes电子邮件、附件、数据库文档以及类似于Lotus Sametime和Quickplace等附加应用程序中检测和清除病毒。,Exchange与Domino的防毒产品,趋势科技防毒产品简介,计算机病毒与防治课程小组,IWSA 2500/5000在网关处针对基于Web方式的威胁为企业网络提供动态的、集成式的安全保护，最大程度保证恶意程序在进入内部网络前就被清除掉。,4.集成云安全技术趋势科技Web安全网关IWSA 2500/5000,趋势科技防毒产品简介,计算机病毒与防治课程小组,表6-6 IWSA 2500/5000功能特点,趋势科技防毒产品简介,趋势科技的InterScan Web Security Suite(IWSS) ，提供高效能、具备扩充弹性的Web 安全解决方案，在HTTP 和FTP 网关端即可对病毒进行有效围堵。它可以大幅改进因为扫毒而造成信息传输速度降低的使用不便。 InterScan Web Security Suite同时支持独立扫瞄和ICAP 通讯协议扫瞄，为企业提供具弹性的Web 安全防护。,5.IWSS产品,趋势科技防毒产品简介,计算机病毒与防治课程小组,（1）提供稳定及高效能的HTTP 和FTP 扫毒，改进传输速度与使用的便利性。 （2）提供多种扫瞄功能，系统管理人员可以自订企业管理原则的安全等级。 （3）支持独立扫瞄和ICAP 通讯协议扫瞄两种版本。ICAP 版提供快取装置，具有更大的扩充弹性。 （4）可纾解流量拥塞的情形。,1主要功能,趋势科技防毒产品简介,计算机病毒与防治课程小组,IWSS 被设计用于扫描介于公司网络与Internet 之间的HTTP 和FTP 数据传输。 IWSS 扫描的文件小于in-memory 扫描的设置值（默认是64KB），只要文件大于in-memory 扫描的设置值，IWSS 会复制这个文件到一个临时的目录并扫描它。如果文件是干净的，IWSS 会删除这个复本并将原始文件传输到目的地。如果有病毒，会出现一个报警信息，你会收到一个通知，IWSS 会做所设置的操作： （1）隔离无法清除的感染文件；这个设置下，客户端将不会收到文件。 （2）删除感染文件；这个设置下，客户端将不会收到文件。 （3）清除感染文件；这个设置下，客户端会收到清除后的干净文件。,2IWSS 如何工作,趋势科技防毒产品简介,计算机病毒与防治课程小组,目的确保到达客户端的所有HTTP 和FTP 数据都是“干净”的。,图 6-1 IWSS拓扑图,3IWSS 拓扑图,趋势科技防毒产品简介,计算机病毒与防治课程小组,（1）病毒库匹配：IWSS 使用一个几乎完整记录已知病毒的数据库。IWSS 检查可疑文件主要部分的病毒代码字符串，并与TrendMicro 病毒数据库中的记录做比较。 （2）扫描引擎：IWSS 允许可疑文件在一个临时环境中执行。当文件运行了，病毒代码会嵌入这个执行的文件，IWSS 于是扫描整个文件并能识别任何变化的病毒串，以及做-清楚、删除、隔离或通过等操作。 注意：保持实时更新病毒库和引擎是十分重要的，趋势科技提供方便的自动升级途径。 （3） MacrTrap：“宏陷阱”对于文档中的宏代码执行一个基于规则的检测。宏病毒代码是典型的“无形代码”（例如：在.dot word 文件中）随文档而传播。MacrTrap 通过搜索出类似病毒行为的指示（例如，复制部分代码到其他文件或执行有害的命令。）来检查未知宏病毒的代码。 （4）压缩文件扫描：IWSS 会按照“Scanning and Blocking”的配