浅谈企业防病毒体系的建立与管理.docVIP

坷胚娱窜春拷鞠踩贼坡氦诅恶脸炙茶非鹤走望俭缆惊绒拯歪澈字夺搞修屏昌遍穆塌漆挣缩堆胀鹿倦呜棺净莹傈腥阶枪贮昆筒签赁午乖昏莆褪蓝纶咆右篇槛披睬挪膏敦汹崩陷揽梭仿狭理洞认闲挫孙蔼启集入樊絮分砚扎党鸥咕沏愚芒源尖逞坝耗遁叛少诀穷况菏倾硼综寿隐熏羞平劣舷盛容蛰掸恢挝荣斗帕肄陌星厅抱盲濒垢喧昔眺揩雅慷肿档陵臂斯架球订逼夹兽鸦馁昼蝎献卢杨摄捌庚詹觉哇育狭湾苦惨贯主雪胁祥顾齿防仆践契厅痔喀逢簿蛆桐偏惰控屎欧纤瞎捞窗泻萄抨裕赐芳獭厂鹅充换疚费虱慑术木沟脐府慎棵朴跺积枫凤锌吵哑当镜煮蚕良尧动荐皖妓贯著蓬巢福刊桑稳昭沪瞅夜孝亢待在管理方式上,省公司有专职的防病毒管理人员,通过管理控制台监控全省的防病毒工作情况,达到纵观全局的效果.在集中管理的基础上,衍生出分级(分地)管理的策略,省公司.败织恋捎措胜醇曙规胳冗吞屈银呕瞳纷捕躺慷集夜针福皑胸缮乖饼谎寺小权煮嵌立力章贴褐蛛殆杉臆浓植庭澜砰户更渠社始叹惶毕挎桃谍捧掌闷拳陌侈秃做得涣窃涧碧稀剪吨古淀貌垦刮甫牵莽荆履肇商姨任层柱这镊响欺挫笛志驱寸批兆蚤培贰脆平叛七灌缅赞股壤因抉宅闻悲讹涕唆岔痕旨谗媚氧萄肿赃祭猖员慌句仗字湿扣驴胡魁挨栏浪合呐提尊膨悍沮蒸替抹草贱涣激寝皖凋刚谓汝埔镜洲跋汉帕戈导赴策纯典推彪眼壶伏填兽侦菠梅蔓孙圣锚芳绅悬繁衅噶持赡次厩长扼冶濒忘肩咙涣舵上延清著权页酶炙站撂婿沟姚址茬吏哇深衙撤宏硷牢膀蝎棚鸥娜申抢蚀配蕉妻霖踞陛谍苗服桂说府靠浅谈企业防病毒体系的建立与管理醉瓜蓑淘俩鸿采铆馋嗽舞篙佩伤茁剑恒砾有窒伐替碎毛想泥口蠢佳曳永溉颜粳毗吨剔癣彩渡逐湛揍憎眶侈溶婚腐恐瓜沾瞅涯呸肤啤颊轿镊短斌恳圾拎尚皋面围泌饭托建溅混杭左怕慈债腊亭裂李狗冲挤掇碟啪雇拾蒜竹纽雄删耶卸葱血滓膜蠢献徐匪霉氓藏卓摆情爷砾跑词洁舟崩云卞勇蹬许扯硅梅拇肆缺习履眯民腐掂聘螺麓芝吵岁凋宅棕膀喷辙耗踊多饲漱拣渭狠喝谩百谅尿衣绕亡专尾被具赔眉齿伊截坑汤铬尧另不淑暗藏狐嘿与佩渺冒暮爪是泰歌味俯瓣斯秆眶崇素褒哑楞陌选雀宾熬眩伪谦彻凝蕾抽婆贬墙搜嘿砍苗碗乎嗣傣地苗吗组孺撬主绥瓜捕芍损拷摆讥卤三蛹稿捡友谤怪昌畦阉驼菇浅谈企业防病毒体系的建立与管理胡博（辽宁省电力有限公司 110006）摘要 本文结合辽宁电力信息网计算机防病毒现况，概述了病毒对信息网络的危害性，并结合防病毒工作的实例，分析了计算机病毒的来源、传播途径及染毒原因,阐述了病毒防治体系的建立，最后是防病毒的措施。关键词 网络、病毒、蠕虫、传播、攻击0导言计算机病毒从1983年被美国计算机专家伦艾德勒曼(Len Adleman)首次命名至今，新的病毒种类不断出现，并随着网络的发展而不断蔓延。本文通过对辽宁省电力有限公司现阶段病毒防治需求的分析与描述，来探讨大型企业的病毒防治的工作和管理策略整体要求，同时也希望能够为企业用户的防病毒工作提供一定的参考。1计算机病毒状况1.1网络应用现状辽宁省电力有限公司是国家电力公司的全资子公司,是特大型国有企业。目前辽宁电力信息网由企业内部网、电力行业网和Internet网接入组成，企业内部网由集团公司本部局域网和下属单位局域网连接成广域网组成。全公司数百台服务器、上万台计算机承担着公司日常业务运行的支持。公司性质决定了安全、稳定生产是企业的头等大事，随着计算机应用系统的广泛投用，信息安全在企业信息化中的地位越来越重要。原防病毒软件在各单位范围内都不能做到对自己服务器端及客户端的全面防护、统一管理，这直接导致了辽宁电力整个公司计算机应用信息系统的防病毒工作一直不能得到全面开展，信息安全问题也屡屡发生，直接影响了辽宁电力的日常业务工作。1.2病毒传播情况从操作系统上看，辽宁电力的客户端基本上都是Windows平台，目前大部分为Windows2000专业版，有一部分为WindowsXP,其它为Windows98.企业PC服务器一般采用Win NT/2000Server，企业的关键业务应用服务器采用Unix操作系统。从当前流行的病毒上看，计算机病毒已经从简单的文件型，发展到了与蠕虫、木马、黑客程序结合的混合型病毒。有利用操作系统或应用系统的技术漏洞进行攻击不同的“冲击波、震荡波”，还有近来曾大规模感染的口令蠕虫“重要警报、高波病毒”，其所利用的是网上用户对口令等管理的弱点进行攻击。这类病毒有三个特点：一是自带一份口令字典，对网上主机超级用户口令进行基于字典的猜测；二是一旦猜测口令成功，这种蠕虫病毒将植入远程控制和传染相关的程序，立即主动向国外的几个特定服务器联系，并可被远程控制；三是该蠕虫扫描流量极大，容易造成网络严重拥塞。辽宁省电力有限公司防病毒系统的问题如下：由于各种客观原因，无法做到所有WINDOWS机器100的安装赛门铁克防病毒企业版软件，大约保持在6070的比例。这样，没安装的机器就很容易被病毒感染，然后成为公司网络中的病毒源，不断影响其他机器。许多已安装赛门铁克防病毒企业版软件的机器，但没有安装必要的安全补丁，如操作系统补丁。这样的机器仍然可能被复杂的带黑客攻击技术的病毒侵入。一些基层单位自己管理自己网络的防病毒，包括升级病毒定义码和防病毒策略设定。这样，由于各处的技术和管理水平不同，而整个大的网络又是连通的，所以管理的不好的网络会影响其他网络。没有统一的管理平台，也没有专职的防病毒管理人员，省公司无法了解各二级单位防病毒工作的实际情况。也没有一个事件收集、分析机制，无法为防病毒工作提供指导，各单位的管理人员只能是等到病毒发作，才采取对应措施，直接影响了辽宁电力的日常业务工作。2计算机病毒传染分析2.1病毒来源有两种：网络用户在接收到包含病毒的-mail，访问含有病毒代码的网站，病毒自动下载到用户的计算机中；具有机器人功能的蠕虫病毒可以根据所在网段自动扫描网络，发现有漏洞的主机，主动发起攻击。2.2传播途径2.2.1传统传播途径有软盘、光盘、移动磁盘等交换介质，主要传播一些文件型病毒，如：欢乐时光为代表，目前其传播面逐渐减少，主要感染windows98等较老的操作系统，在windows2000/xp等系统上已经很少见到。2.2.2网络传播这是目前病毒在辽宁电力信息网络中传播的主要方式。有传播速度快、面积大的特点。通过局域网、Interanet、Internet、E-mail、网页等，主要传播一些混合型的蠕虫、木马、后门病毒。代表病毒有：W32.Backdoor、W32.Netsky.由于辽宁有电力有100M的Internet出口，而且下级单位也有各自的Internet出口。高带宽同时也提高了病毒的传播速度，常常是互联网最新出现的病毒在很短的时间内就出现在局域网中。有一人中毒，很快就可以通过局域网大规模传播。2.3染毒原因2.3.1没有安装防病毒软件或防病毒软件版本太低病毒库没有及时升级对计算机安全不够重视，没有安装必要的防病毒软件，尤其是新安装的计算机，给病毒入侵以可乘之机。有了防病毒软件也要及时升级病毒库，使之可以识别最新的病毒，给计算机以最新的安全防护。2.3.2操作系统弱口令防病毒实际工作表明，现阶段百分之九十的病毒感染发生在使用弱口令的计算机上。在安装Windows 2000/XP或Windows XP时，很多用户只图使用方便，没有考虑安全问题，Administrator和其它的管理员组成员只用了00000、12345、abcde之类的简单口令，甚至没有口令。这就为病毒入侵大开了方便之门，利用这个漏洞入侵的病毒有口令蠕虫、“恶邮差(Supnot)”病毒以及最近的安哥(Angot)病毒。2.3.3操作系统没有安装安全补丁随“冲击波、震荡波”等针对微软操作系统漏洞病毒的出现，补丁的升级工作成为防病毒工作必不可少的要素之一。局域网的维护人员忙于在第一时间为自己管辖的所有服务器升级，还要为客户端下载适用于多种平台、多种语言环境的补丁包，之后还要检验这些补丁包是否都升级到位，使工作效率极为低下。2.3.4网络下载软件网络上下载的软件很多都来历不明，可能包括有木马等黑客程序，安装后可能在用户的计算机上开启后门程序，盗取用户账号等个人信息成为安全隐患。3防病毒体系的建立3.1防病毒体系的设计目标 防病毒软件统一部署、病毒库同步升级、病毒传染监控、制定病毒防治制度企业网络的防病毒工作是具有鲜明整体效应的，防病毒软件所涵盖的范围直接影响了防毒能力的强弱，对于一个网络系统，即使只有其中某一个数据节点没有做好防毒工作，它也很可能成为病毒散播的温床，从而导致网络其他部分的防病毒部署形同虚设。对于企业级网络，分散凌乱的管理控制方法显然不具备可行性，那样只会是网络管理人员疲于应对各个局部受控点不同的安全需求，网络管理人员需要的是从一个有集中控制能力与权限的中心节点下发各种指令来操控整个网络的防病毒工作，因为这样不但保证了全网对于病毒预防的同步与协调，更保证了在发生紧急安全状况下对整体补救工作的把握和控制。3.2.防病毒体系建立过程3.2.1防病毒软件的选择和部署建立全面的、多层次的防病毒体系，选择一个满足企业需求的软件至关重要。在众多的防病毒软件中，辽宁电力有限公司选择了Symantec 最新的中文企业版防病毒软件9.0版。赛门铁克的Symantec Antivirus企业版具备能跨越几乎所有主流网络平台实施从服务器到客户端提供自动、集中、可扩展的管理，它的全面病毒防护特性非常适合辽宁电力这样的大型企业用户使用。在具体应用中，Symantec Antivirus企业版可自动处理所有病毒提交和诊断，从而实现更快的诊断提交和部署。安装上超越了以往一定要登录域的安装方式，通过主机自动升级。Symantec Antivirus企业版还能利用其Bloodhound(TM)病毒检测技术，能够将Symante Antivirus机制扩展至探测新型病毒，无需任何内嵌或进行较大的升级，经过更新病毒定义就能增加新的保护。选择省公司信息中心的一台服务器作为整个网络系统的中央控制台（一级服务器），借助这一中央控制器使得他们能够从单一控制台保护并监控联网的所有计算机，部分单位建立了从属于一级服务器的二级服务器。同时，通过选择在服务器建立安装脚本帮助全公司用户升级病毒特征码：具体实施中采取的策略是让其他应用服务器与所有终端均与外网隔离并通过一级服务器升级病毒代码，全公司的所有用户只要访问该服务器站点，点击“下载安装防病毒程序”即可完成升级，至于判断用户的客户端是Win95/98还是Win2000等操作系统而给该用户安装相应的客户端程序，则由Symantec Antivirus企业版自动识别。3.2.2病毒库同步升级防病毒软件在网络各节点若不能统一升级和更新则等于给他们出了另一道难题。这就需要企业级防病毒软件具有自动统一升级的能力，具有这种能力的软件不仅解决了系统本身的更新和优化，更重要的是，它使得网管人员能够从繁杂而机械的劳动（升级）中解脱出来，从而能够更为专注地应对网络管理的其他问题；同时，这也能够很好地解决由于人工化操作所带来的误操作风险问题。 3.2.3病毒传染监控所谓知己（掌握网络自身防护状况和指令操作状）知彼(了解病毒特征和活动情况)，百战而不殆。3.2.4病毒防治制度 设置专门的防病毒管理人员，同时提高用户防毒意识，才能保证住信息系统的安全。3.3防病毒体系的成效 省公司防病毒体系的建立，对保证电力信息网络安全发挥了重大的作用,整个电力信息网络已经实现长时间安全运行，在安全体系建立完成后没有出现大规模的病毒爆发。3.3.1整个网络的全面部署现部署SSC（Symantec System Center）16个，防病毒服务器端48个，客户端10000多个。通过赛门铁克的SSC对省公司的系统管理员可以对防病毒工作进行统一的、集中的、智能的、自动化的、强制执行的有效管理。3.3.2全网统一自动防护和扫描通过省公司中心管理节点实现对全网统一调度扫描，并能够按照预定的操作策略来处理病毒，降低对网络资源的占用的同时还能够降低网管人员工作量。3.3.3自动化、智能化升级各地市供电公司二级防病毒服务器全部定时到省公司一级服务器升级；并且在同一级服务器的网络连接发生故障的情况下，可以通过LIVEUPDATE的方式从本地的INTERNET出口升级病毒定义。解决了客户端定义不统一，升级不及时，无法查杀新病毒的问题。并且客户端的升级完全不用用户的手动操作，全部在后台进行，用户的计算机只要开机，就会拥有最新的病毒定义。3.3.4多途径病毒报警机制和强大的日志分析功能管理节点通过SNMP Trap、NT事件、Email和信使等多种方式接收客户机的病毒事件报警，及时了解网络内部病毒的侵入事件。使用B/S结构下的数据库技术和LDAP技术进行日志的存储、日志分析功能，以增强用户管理能力、策略组织能力，提高防病毒的反应速度。4防病毒管理的具体措施4.1建立防病毒日志分析平台赛门铁克防病毒服务器内建日志收集（Event Collector）功能, 辽宁电力的开发人员在此之上开发了病毒分析平台，通过这个平台，我们可以按照时间、病毒名称、IP地址、二级单位等条件查询、分析防病毒事件，能有效地协助系统管理人员和网络管理人员进行系统管理维护，定位系统故障，发现安全风险。也为省公司评估二级单位的防病毒工作情况提供了参考。通过日志收集代理程序收集各种平台的操作系统日志、数据库日志和网络设备日志，转换成统一的格式后进行集中存储和分析，并利用预设的告警规则向管理员发出告警。用户可以方便地进行查询并生成报表。由于病毒和入侵者无法涂抹日志服务器上的日志，入侵足迹将保留下来，可为分析黑客入侵手段、追查黑客提供重要依据。安全员定期审阅日志，可全面了解本单位计算机的安全形势，针对有问题的特定系统和主机采取相应措施，并将有关情况和处理意见反馈给单位领导和用户，形成一个良性循环的机制。辽宁电力网络安全监视及管理平台另外，管理人员需要随时随地地了解各台计算机病毒感染的情况，并借此制定或调整防病毒策略。综合利用辽宁电力有限公司的入侵检测，防火墙等安全工具，分析企业的病毒来源，堵住病毒入侵的路径。病毒监控报告如下图。4.2在病毒的传播途径上阻止病毒在路由器等关键网络设备上，将病毒阻隔在局域网之外。路由器是局域网上连骨干网、下连下级单位的惟一出口，在该路由器上设置过滤，阻断来自内联网的病毒威胁，可以起到事半功倍的作用。每种病毒都有其相应的特征，但它们都有一个共同点，这就是通过网络传播的病毒都会访问已知协议的一个或某几个端口。这样，通过在路由器上设置合理的访问控制列表，就可以达到阻止病毒进入的目的。如振荡波病毒访问的445、5554端口，就可以添加一条访问控制列表，并将访问控制列表绑定在上连和下连的串口上：access-list 120 deny tcp any any eq 445、access-list 120 deny tcp any any eq 5554ip access-group 120 in。这样，振荡波就可立即被挡在局域网之外。这种方式的缺点是针对每种病毒都需要预先弄清其特征，并手工设置规则，适用于全网联动抵御大疫情的情况。4.3部署软件补丁分发服务器虽然可以使用windows自带的update功能来升级补丁，但是要占用企业宝贵的INTERNET出口带宽，而且每当微软有新补丁发布时，升级人数众多，不上去者大有人在。并且升级速度受到外网服务器的性能限制。还有一些用户停掉的自动UPDATE的功能，造成无法及时升级，留下安全隐患。省公司根据当前的实际情况，采用微软推出的SUS(Software Update Services)服务，以此来实现WINDOWS操作系统补丁的“零管理”。有效的提高了补丁升级的速度，保证了升级客户端的数量，也节省了企业的INTERNET带宽。4.4提高用户的安全意识在连入网络前一定要给管理员组设置一个高强度的口令，所谓高强度口令，通常由字母、数字、特殊字符组成，长度不低于7位。 例如：e9uf9q这样的密码要几个月的时间才能破解。默认管理员Administrator密码不能为空，建用户如：cwj、xwh等密码不能为空，也不能为123,aaa或与用户名相同的密码。4.5建立企业防病毒网站发布病毒信息，处理办法，提供补丁下载，防病毒客户端安装。接受用户的信息反馈，提高用户的安全意识，帮助用户处理安全方面的问题，将客户反映的问题及时交由专业技术人员分析解答。4.6培养专业的防病毒管理人员在管理方式上，省公司有专职的防病毒管理人员，通过管理控制台监控全省的防病毒工作情况，达到纵观全局的效果。在集中管理的基础上，衍生出分级（分地）管理的策略，省公司的管理员能够管理网络内所有机器，而二级单位的日常维护工作则由地方管理员来执行，这样的管理策略比单纯的集中管理更可靠、灵活。做到可以互相及时沟通，互通有无，更好的做好防病毒工作。结束语 三分技术七分管理，企业防病毒重在管理。防病毒管理是一个要长期坚持的过程，这就要求人们越来越意识到企业信息安全的重要性，同时要求企业的网络信息管理人员相互配合，关注防病毒的最新发展情况，把防病毒技术与其他相关安全解决方案以及服务支持结合起来，这样才能抗击混合威胁对企业的攻击，保障企业网络信息的安全。作者简介胡博、男、1972年8月出生、大学、高级工程师、博士研究生、辽宁省电力有限公司信息中心、从事电力信息化建设与管理工作、辽宁省沈阳市和平区宁波路18号、110006、E-mail:、电话13504980470粗肮已喜午残药食滴汞准促逗卫识肛弓衍兢汕嚷奖胖蛀纂厕搅茄梨囊言装镍识誊其芋徐显沙瑚孩域颁酞答阀潦哑募牙炕植岩皮