计算机病毒及其防范技术（第2版） 教学课件 978 7 302 25452 2 第11章 杀毒软件及解决方案

在线教务辅导网：,教材其余课件及动画素材请查阅在线教务辅导网,QQ:349134187 或者直接输入下面地址：,,常用杀毒软件及其解决方案,上海交通大学信息安全工程学院,本章学习目标,了解国内外著名杀毒软件 掌握病毒防治解决方案,内容,常用杀毒软件 解决方案,国内外著名杀毒软件,杀毒软件概述 杀毒软件必备功能 六款流行企业版杀毒产品比较 产品比较评论 反病毒产品的地缘性,国内杀毒工具发展历史,国际名人： 俄罗斯的Eugene Kaspersky。1989年，Eugene Kaspersky开始研究计算机病毒现象。从1991年到1997年，他在俄罗斯大型计算机公司KAMI的信息技术中心，带领一批助手研发出了AVP（AntiViral Toolkit Pro）反病毒程序。Kaspersky Lab于1997年成立，Eugene Kaspersky是创始人之一。2000年11月，AVP更名为Kaspersky Anti-Virus。,第二位是Doctor Soloman。他创建的Doctor Soloman公司曾经是欧洲最大的反病毒企业，后来被McAfee兼并，成为最为庞大的安全托拉斯NAI的一部分。 还有两位是Peter Norton和Mcafee。Symmantac和McAfee两个杀毒公司的创始人。,1989年7月，中国公安部计算机管理监察局监察处病毒研究小组编制出了中国最早的杀毒软件Kill 6.0。这一版本可以检测和清除当时在国内出现的6种病毒。Kill杀毒软件在随后的很长一段时间内一直由公安部免费发放。 1990年，中国广东省深圳市，一家名为北京华星的公司推出了一种硬件的反病毒工具，即华星防病毒卡。 1991年11月，北京瑞星公司成立，并推出硬件防病毒毒系统，即瑞星防病毒卡。,1993年上半年，微软发行了自己的反病毒软件微软反病毒软件（MSAV），这是微软购买了另一家公司的CPAV杀毒软件后推出的，但不久后就放弃了。 同年6月，中国公安部正式决定将Kill的资产和开发人员移交公安部下属的中国金辰安全技术实业公司进行商品化推广。 1994年，山东省的王江民编制了一个杀毒软件取名“KV100”，在中关村以20000元的价格转让了销售许可，推广名为“超级巡警”。,1997年，南京信源公司首次推出具有实时监控功能的病毒防火墙。同年，华美星际推出了“病毒克星”。 1998年，瑞星公司依靠OEM策略，先后与方正、联想、同创、浪潮、实达、和光、COPAQ等计算机生产商达成合作协议，捆绑销售其杀毒软件，获得了市场成功。 1998年南北信源反目为仇，先是划江而治，即划分成北方市场和南方市场，然后由于市场和经营观念的冲突以及公司内部的矛盾开始相互起诉和争斗，两家公司部因此元气大伤，市场份额和影响力急剧下降。,1998年5月，中国金辰安全技术实业公司和世界第二大软件公司（美国CA公司）共同合资成立北京冠群金辰软件有限公司。1998年7月，冠群金辰公司发布KILL认证版。产品虽然还叫做KILL，但核心技术己经完全转换为CA公司的技术。 1999年6月，金山公司首次发布金山毒霸的测试版，开始尝试进入杀毒软件市场。次年11月，金山毒霸正式上市，从此正式进入反病毒软件市场。,交大铭泰公司推出的东方卫士也曾经在杀毒市场上风光一时，但在登录香港创业板后，逐渐退出了杀毒市场。 奇虎360创立于2005年9月，并于2006年7月推出了专门查杀流氓软件的360安全卫士（）。,杀毒软件必备功能,病毒查杀能力 漏报率 误报率 清除能力 自我保护能力 对新病毒的反应能力 软件供应商的病毒信息收集网络 病毒代码的更新周期 供应商对用户发现的新病毒的反应周期。,对文件的备份和恢复能力 实时监控功能 及时有效的升级功能 智能安装、远程识别功能 界面友好、易于操作 对现有资源的占用情况,系统兼容性 软件的价格 软件商的实力,国内外杀毒软件及市场,金山毒霸、瑞星杀毒、KV3000、PC-Cillin VirusBuster、Norton AntiVirus、Mcafee Virus Scan、Kaspersky Antivirus、F-Secure Antivirus,Nod32,小红伞等。,国内外病毒检测机构,WildList 国外机构 AV-test Virus Bulletin （VB100） AV-Comparatives ICSA（International Computer Security Association） WestCoastLabs（Checkmark） 国内机构 公安部 其他媒体，如计算机世界报等,AV-Test, AV-Test是全球最大的反病毒产品测试中心 马德堡大学和AV-Test GmbH共同合作的研究计划 AV-Test测试是国际权威的第三方独立测试之一，采用大病毒库的样本库（大于100万种的病毒样本库）进行自动测试,Virus Bulletin, 国际间最有名、历史最悠久的病毒测试机构之一，1989 年成立于英国 认证标示为VB100,AV-Comparatives, AV-Comparatives 同样是国际性的独立测试机构，测试由奥地利 人 Andreas Rechengasse 主持 对未知病毒测试则要参考另一国际权威测试机构 AV-Comparatives,ICSA, 基于WildList的测试 美国的第三方测试机构 ICSA有如下几类安全产品的评测： firewall（防火墙）、Secure Internet filtering（互联网安全过滤）、PC firewall（个人防火墙）、（5） Cryptography（密码防护）、Intrusion detection（入侵检测）、IP sec（网络安全协议）、Web applications（WEB应用）、WLAN security（无线网络安全）等,WestCoastLabs,/checkmark/ 西海岸实验室位于英国 Checkmark认证标志,中国的测试机构,国家计算机病毒应急处理中心（）下属的计算机病毒防治产品检验中心 检验中心共收集各种病毒几万种 进入中国市场的准人证,电脑报2008评测结果,AV-Test 2007年5月排名,反病毒产品的地缘性,病毒编制者的生活空间 病毒的传播以病毒编制者初始的地点为中心，逐渐向周围扩散。 特定的操作系统或者流行软件环境 操作系统相关的病毒 软件即时消息宏病毒 定向性攻击和条件传播 蠕虫病毒扫描范围，条件判断,地缘性对反病毒产品的影响,Internet非常落后的时代地缘性最严重 宏病毒流行时期技术壁垒加重了地缘性 Internet普及的今天地缘性差距又缩减的趋势 病毒样本网上流通,地缘性对国外主流产品的新挑战,几个典型蠕虫表明中国已经成为中国全球病毒扩散的中心节点之一 国产蠕虫Worm.Solaris.Sadmind 造成微软源码失窃的Worm.Qaz也被怀疑出自国人之手 木马病毒大量出现 冰河、广外女生、网络神偷 针对OICQ、国内网络工具等的专用木马大量出现 OICQ、边锋、联众、传奇,国外主流产品的本土化改造,国外产品需要改造的地方 1、如何有效的对抗本土病毒的新技术点； 2、如何更迅速的采集并响应本土病毒样本； 3、如何并非简单汉化而使产品逐步符合中国用户的习惯； 4、如何推广企业级的反病毒思路； 5、如何让国内用户认识到国际产品的技术优势。,国外企业进军中国的途径 第一类是在中国建立分支机构，不设立研发部门，通过用户渠道解决相关问题，这种方式成本低，但是很多方面都受到一定限制。 第二类是逐步在国内建立独立研发中心。完成汉化和本土病毒处理，这种方式效果好，但是成本比较高。 第三类是与国内反病毒企业合资，使国内现有品牌换装国外先进的引擎，利用原有企业力量完成汉化和本土病毒处理，这种方式需要一定的机遇。 第四类是选择一个非商用反病毒的本土技术型企业合作，开展全新的模式，既降低成本，也保证效果。,企业级病毒防治方案,重要性 需求分析 典型分析 典型应用 病毒在网络上传播的过程 企业网络防病毒方案,企业防病毒的需求企业自身评估,1.哪些计算机正在运行实时性的防毒软件？ 2.如何更新病毒的定义码？ 3.哪些计算机没有运行防病毒软件，为什么没有？ 4.现有的防病毒软件效果和功能是否能保证系统的安全？ 5.过去是否曾遭受病毒的侵害？ 6.谁负责处理用户病毒问题？ 7.用人工处理一次病毒危机的花费多少？ 8.如果企业计算机系统一天不能运行，损失有多少？ 9.如果病毒发作，信息系统是否会瘫痪？ 10.如果系统瘫痪或重要数据丢失，恢复的难度有多大，费用有多高？,企业防病毒的需求考虑因素,1.防毒软件每台机器都要安装，很麻烦且费时费力！ 2. 面对上千台机器的病毒定义码更新，防毒软件要持续同步、实时、有效更新，这些由谁来做？需要多少专人管理？ 3.一般行政人员或不太了解计算机的人员是否可以轻松使用，简捷更新和升级。 4. 是否可以透过某种轻松的方式一次性设定，也就是说，能否使软件的安装、防病毒策略的定义、实施以及病毒定义码和扫描引擎的更新和升级变得非常简单，甚至完全自动化？ 5.标准预设的防毒选项设置不一定适用所有的工作站。 6.很难分析统计病毒攻击事件的次数、原因以及来源。,7.用户随意更改防病毒策略和选项设置或忘记更新最新的病毒定义码和扫描引擎，甚至卸载防病毒软件，这样即使装了防毒软件，仍然不到防病毒的效果。 8.移动用户太多，无法有效、及时的掌握和把最新的病毒定义码送到移动用户手中。 9.是否能够很方便地在多种平台下进行安装、维护升级等工作。 10.是否可以对网络进行全方位、多层次地预防和过滤病毒。,企业防病毒的需求对产品的要求,多层次、全方位的防病毒保护工作环境-跨平台的技术及强大功能 先进的防病毒技术 简易快速的网络防病毒软件安装和维护 集中和方便地进行病毒定义码和扫描引擎的更新 方便、全面、友好的病毒警报和报表系统管理机制 病毒防护自动化服务机制 客户端防病毒策略的强制定义和执行 快速、有效地处理未知病毒 合理的预算规划和低廉的总拥有成本 良好的服务与强大支持,企业网络的典型结构,从网络基本结构上看，一个典型的企业网络包括网关（Gateway）、服务器（文件服务器、邮件服务器等）和客户端。 从网络的应用模式上看，现代企业网络都是基于服务器/客户端的计算模式。 从操作系统上看，企业网络的客户端基本上都是Windows平台，中小企业服务器一般采用Win NT/2000系统，部分行业用户或大型企业的关键业务应用服务器采用Unix操作系统。 从通讯协议上看，目前企业网络绝大部分采用TCP/IP协议。,企业网络的典型应用,文件和打印服务共享 办公自动化系统 企业信息管理系统（MIS） Internet应用等领域,病毒在网络上传播的过程,病毒在企业网中的几种传播途径： 第一种是来自互联网。网络上有些计算机具有连接互联网的功能，而互联网上有许多可供下载的程序、文件、信息。另外，收发Email也必须通过互联网。这些都是病毒进入企业内部网络的入口。 第二种是使用网络上带病毒共享文件。当使