dpf企业防病毒系统面面观.doc

企业防病毒系统面面观一、企业防病毒系统的必要性计算机病毒防护概述计算机病毒防护是计算机系统安全策略中的重要组成部分，计算机系统的安全运行、各种资料、文件的安全使用是保证网络系统正常运作的重要环节，也是计算机系统的第一需要。一旦病毒染指系统，将会产生灾难性的后果。当前的紧迫形式随着互联网的发展，新的病毒出现速度越来越快，病毒传播途径越来越多，使系统感染病毒的机率大大增加。而随着电子邮件和办公自动化的普及，企业内部网络互联、数据集中，信息化的程度越来越高。一旦病毒侵入系统内部，会借助邮件和网络共享迅速蔓延整个内部系统，摧毁应用软件、破坏系统数据，给网络正常运行带来极大的危害。结论面对网络化的病毒软件，单机版防病毒系统已经远远不能满足网络用户的需求，采用网络版防病毒软件已是大势所趋。很多企业在建立了一个完整的网络平台之后，急需一个切实可行的企业级防病毒解决方案，来确保整个企业的业务数据不受到病毒的破坏，日常工作不受病毒的侵扰。二、了解企业网的结构1）基本上企业网都是以太网结构，及基于IEEE 802.2和IEE 802.3规范。2）现代企业网络都是基于一种叫做服务器/客户端的计算模式，及由服务器来处理关键性的业务逻辑和企业核心业务数据，客户端机器处理用户界面以及与用户的直接交互。3）从操作系统上看，企业网络的客户端基本上都是Windows平台，中小企业服务器一般采用Win NT/2000系统，部分行业用户或大型企业的关键业务应用服务器采用Unix操作系统。4）目前企业网络绝大部分采用TCP/IP协议。总结通过以上分析，企业网络的底层架构，应用模式，操作系统，通讯协议 都有着惊人的相同（相似）。这就是企业防病毒软件应运而生的前提条件。三、企业网络的应用1）文件和打印共享是企业网络的基本应用。2）办公自动化（OA）应用，方便的内部通讯和消息传送也是企业网的 一大特点。3）企业管理信息系统（MIS）是能对企业管理的各种信息进行收集、分析、储存、传输、维护，为企业管理提供决策信息，应用于企业网络中，是企业综合管理的系统工程。 4）企业Internet应用，企业需要收发Internet邮件，浏览外部网页，发布自己的企业信息。企业网络的飞速发展得益于企业Internet应用。 总结 企业网络的作用的共性，为企业防病毒软件开发提供了方向。四、病毒在企业网内部的传播过程1）病毒直接从有盘站拷贝到服务器中；2）病毒先传染工作站，在工作站内存驻留,等运行网络盘内程序时再传染给服务器； 3）病毒先传染工作站，在工作站内存驻留，在运行时直接通过映像路径传染到服务器； 4）如果远程工作站被病毒侵入，病毒也可以通过通讯中数据交换进入网络服务器中。总结以上也可以说是病毒的传播途径，病毒这种比较固定的传播模式为企业防病毒软件的病毒防护提供了截获方法，尤其是病毒在工作站内存驻留是一个很好的利用点。五、网络病毒的新特点1)感染速度快2)扩散面广3)传播的形式复杂多样4)难于彻底清除5)破坏性大总结病毒的这些特点，又是企业防病毒软件的一些细节要求，同时也是企业防病毒软件开发的一个难点。要想攻破这些困难，只有将软件不断的加进新功能才能使其尽善尽美。六、企业级网络防病毒软件的基本要求企业级防病毒解决方案针对一个特定的网络环境，涉及不同的软硬件设备。与此同时，病毒的来源也远比单机环境复杂得多。 一个企业杀毒软件不仅要能保护文件服务，同时也要对邮件服务器、员工用PC、网关等所有计算机设备进保护。而且，它必须能从邮件、FTP文件、网页、软盘、光盘等所有可能带来病毒的信息源进行监控和病毒拦截。 具体说，软件应该重点考虑以下几个方面：1）病毒查杀能力 病毒查杀能力是最容易引起用户注意的产品参数。可查杀病毒的种数固然是多多益善，但也要关注它对实际流行病毒的查杀能力。因为用户是要用它查杀可能染上的病毒，有些病毒虽然曾流行过，但却是我们今后不会再遇上的。2）对新病毒的反应能力 对新病毒的反应能力是考察一个防病毒软件好坏的重要方面。这一点主要从三个方面衡量：软件供应商的病毒信息搜集网络、病毒代码的更新周期和供应商对用户发现的新病毒的反应周期。3）病毒实时监测能力 按照统计，目前的病毒中最常见的是通过邮件系统来传输，另外还有一些病毒通过网页传播。这些传播途径都有一定的实时性，用户无法人为地了解可能感染的时间。因此，防病毒软件的实时监测能力显得相当重要。4）快速、方便的升级 企业级防病毒软件对更新的及时性需求尤其突出。需要提到的是，这种升级信息也需要和安装一样能方便地分发到各个终端。 5）智能安装、远程识别 远程安装、远程设置，这也是网络防毒区分单机防毒的一点。这样做可以大大减轻管理员奔波于每台机器进行安装、设置的繁重工作，即可以对全网的机器进行统一安装，又可以有针对性的设置。6）管理方便，易于操作 系统的可管理性是系统管理员尤其需要注意。因此，生成病毒监控报告等辅助管理措施将会有助于防病毒软件应用更加得心应手。 比如：一些防病毒软件采用了远程管理的措施，把企业用户的防病毒管理由专业防病毒厂商的控制中心专门管理，从而降低用户企业的管理难度。7）对现有资源的占用情况 防病毒程序进行实时监控都或多或少地要占用部分系统资源，这就不可避免地要带来系统性能的降低。资源的占用率也是考察软件设计的一个方面。8）系统兼容性 防病毒软件的一部分常驻程序如果跟其它软件不兼容将会带来更大的问题。 9）软件的价格 就价格来说，企业级防病毒软件大多是按照网络规模来确定初次购买和后继的升级费用的。初次购买后，软件商一般会提供一定时期的免费升级，而此后的升级及服务如何收费也需做到心中有数。 10）软件商的企业实力 软件商的实力一方面指它对现有产品的技术支持和服务能力，另一方面是指它的后续发展能力。因为企业级防毒软件实际是用户企业与防病毒厂商的长期合作，企业实力将会影响这种合作的持续性，从而影响到用户企业在此方面的投入成本。七、企业级网络防病毒解决方案设计系统简介在网络内部设置一台防病毒主控服务器，负责病毒定义码的分发和整个网络防病毒软件的管理。各地以分部为基础，根据网络带宽和系统应用规模，以100-600个用户为单位安装一个防病毒二级服务器，客户端安装到相应的服务器上。 主控服务器与二级服务器之间、服务器与客户端之间每二小时（可配置）自动通讯一次，检查是否有最新的病毒定义码文件，防病毒系统配置是否修改。如果有新的变化，则自动从服务器获取最新配置并修改本机配置。服务器与客户端的扫描每周五中午时间全面扫描一次，可以根据用户需求修改配置。实时监控保护系统在日常运行中不受病毒侵害。 防病毒管理中心可以对单台电脑、整个服务器及所带的客户端或整个防护体系分别作系统配置，极大的简化了系统维护工作。 系统网络拓扑图如图: 八、网络防病毒技术要求1）提供跨平台多层次的产品A)：网络防病毒在防火墙、网关、邮件系统、服务器、桌面系统都有对应的防护产品，系统支持NT/2000、WINDOWS 9X 、NOVELL等多种操作系统平台。 B)：网关系统支持SMTP、FTP、HTTP、HTML和POP3协议，对所有经过防火墙的信息内容进行检测和过滤，群件系统支持Lotus Domino和Exchange两种主流的邮件服务器，在邮件发出和接受以前对邮件附件进行病毒检测和清除。应用服务器支持WINDOWS NT、WINDOWS 2000和NETWARE，保障所有关键性应用不受病毒的入侵。对WINDOWS 9X、ME、NT、2000、XP等桌面系统提供网络统一的配置和管理，保障整个网络的顺利运行。 C)：病毒产品覆盖整个网络系统的各个方面，对所有产品提供统一的管理与监控，将潜在的病毒感染源清除在感染以前，对整个信息交换提供不同层次的病毒防御，降低病毒大范围传播的可能性。2）强大的网络管理、监控功能 A)：跨平台集中管理：管理员只需打开中央控制器就可以动态实时管理、监控全网中所有计算机的安全状况。 B)：对客户端的完全控制-管理员通过控制台能够对运行在所有平台上的防病毒软件进行全面管理，包括客户端软件的安装、卸载、启动、关闭、扫描配置、计划、升级、CPU占有率、进程和目录排除、管理授权等全部任务进行控制。 C)：详细的日志功能-管理员通过中央控制台可以查看基于客户机、服务器的所有病毒感染情况、隔离的病毒文件、防病毒软件的操作情况，并可以基于时间、文件名称、感染目录、病毒名称、操作结果、IP地址、计算机名等多种手段进行排序，找出病毒的传播途径，对系统的防护漏洞进行修复。3）对病毒危害的预防 A)：智能自动化升级方式：服务器每天定时通过INTERNET获取最新的病毒定义码，客户端每天间隔特定时间（120分钟）与服务器通讯获取最新的病毒定义文件和病毒防护策略。 B)： 多种灵活的升级方式可供灵活选择，INTERNET升级、局域网FTP升级、本地路径等升级方式，可以根据客户网络环境的不同灵活配置。 C)：根据防病毒软件当前定义码的日期自动选择新增加的病毒定义码进行升级，减少由于升级产生的网络负载，升级时间采取模糊匹配，降低由于所有计算机病毒定义码同时升级对网络造成拥塞的影响。 D)： 全面实时防护病毒查杀：在文件创建、打开、移动、复制、运行时自动扫描为用户网络系统查杀病毒，恢复损坏的系统。随时监控软盘、硬盘、网络与电子邮件，全天候自动保护电脑。 E)：病毒监测网以及本地病毒警报：防病毒厂商通过全球的病毒监测网，及时收集国内外出现的最新病毒样本，为可靠地查杀各种最新病毒提供了技术保障。本地服务机构基于国家计算机病毒应急处理中心和本地客户病毒警告提供所有购买用户国内最新恶性病毒的防范报警以及应急处理办法。4）先进的病毒扫描和查杀技术 A)：智能陷阱检测技术：放弃传统的病毒码对比方式，采用启发式技术来检视疑是病毒的行为，大大提高对未知性病毒的检测结果。 B)：实时扫描、预定扫描：当网络恶性病毒大范围感染或爆发前，通过控制器对整个网络的调度扫描进行统一的安排和配置，结合实时防护对整个网络内部进行同一时间的全面扫描，消除网络内部的病毒感染，将病毒通过邮件、局域网交叉感染的可能性降到最低。 C)：多种病毒处理方式：针对病毒感染和传播方法的不同，对病毒防护提供文件修复、病毒隔离、病毒删除、拒绝访问、日志记录等多种不同的处理方式，在对网络正常应用不造成影响的情况下，对病毒达到最大的防护效果。 D)：进程文件的排除扫描：管理员通过控制台可以对特定的进程进行排除扫描，并且也能够对特定目录和文件进行排除。5）完备的病毒修复技术 A)：提供自动清除工具：病毒感染可以修改系统文件、数据文件、用户帐号设置、用户共享目录设置、用户注册表等多种配置，要想彻底清除病毒对系统的影响并评估病毒防护效果，提供清查工具修复病毒损坏是最快捷、简便的修复方法。 B)：提供病毒资料库：在病毒爆发时有效防御病毒感染并查杀病毒，在病毒查杀以后评估并修复病毒对整个网络安全配置的破坏都需要参照该病毒的详细资料。 C)：数据修复和网络安全：在系统破坏造成以后，可以提供专业化的服务和技术支持，帮助用户迅速、有效的修复系统的各种软硬件故障。6）迅速、周到的技术服务支持 A)：立体的技术支持体系：病毒防护支持体系由本地服务支持、厂商远程服务支持以及厂商全球资料库自动支持体系三部分组成，通过本地集成商将三者有机地结合起来，给用户提供不同层次的技术支持服务。 B)：病毒报警：公司每天专人查阅国家计算机病毒应急处理中心等国内著名病毒防护网站的最新病毒动态和疫情通告，对于恶性病毒在第一时间将病毒防护资料和清除工具，通过邮件和电话通知给购买过网络防病毒软件的注册用户。 C)：防病毒技术使用培训：可以根据用户的具体需求，举办对于系统管理人员的技术培训，以及在用户具体环境或者模拟环境对具体使用人员提供现场使用培训。 D)：防病毒技术使用培训：可以根据用户的具体需求，举办对于系统管理人员的技术培训，以及在用户具体环境或者模拟环境对具体使用人员提供现场使用培训。总结通过上面对系统简介以及网络防病毒软件的技术分析，可以得出整体的病毒防护的流程大致如下：九、一些防病毒产品比较NortonNAV企业版8.0能够智能而主动地检测并解决与病毒有关的问题，支持受控的分立反病毒配置，兼顾桌面和便携机用户环境。而赛门铁克系统中心则是一项全新的功能，功能强大，提供很多的系统组织和管理工具，可以主动地设置和锁定相关策略，保证系统版本始终最新，并正确地配置。可以集中地在多机Windows NT和NetWare网络中应用赛门铁克的反病毒方案，通过单一的中心控制台监视特定反病毒区域内的多台计算机。提供自动升级，病毒库每周更新一次。McAfeeVirusScan是用于桌面反病毒的解决方案，可检测出现在几乎所有已知的病毒，防止许多最新的病毒和恶意ActiveX或Java小程序对数据的破坏,实时监测包括软盘、Internet下载、E-mail、网络、共享文件、CD-ROM和在线服务等在内的各种病毒源，使系统免遭各种病毒的侵害。它还能扫描各种流行的压缩文件，使病毒无处藏身。并且还带有一些简单的防火墙功能。在多级跨平台防毒工具方面，NAI拥有McAfee TVD (Total Virus Defense)，McAfee TVD是NAI公司网络安全与管理全面动态解决方案Net Tools套装软件的一个部分。为企业提供了企业整体安全防护、所有入口点防护、病毒发现支持和快速高效的病毒更新功能。McAfee TVD包括VirusScan、NetShield、GroupShield和WebShield等四个组件，提供了桌面、服务器和Internet网关的单一集成的防病毒系统。McAfee的病毒库每天更新一次。 熊猫卫士熊猫卫士网络版（Global Virus Insurance，GVI）提供了对Internet、E-mail及群件、服务器、工作站和单机的防护。GVI具备强大的网络管理工具，并首次采用零度网络管理(Zero Administration Security，ZAS)技术，能通过网上任一台工作站在几分钟内完成对整个网络的软件分发、安装、配置和升级。GVI提供了集中管理功能，可以在线监控服务器和工作站，即时或预定地扫描服务器，并给出完整检查报告。此外，GVI可以智能更新病毒代码并把它们发送到网络中的各个工作站和服务器上，同时支持智能升级功能。Trend Micro（趋势科技）OfficeScan 网络版是一套专为企业网络环境的台式机和移动客户端所提供的实时、全面的防毒解决方案。通过OfficeScan 的 Web 接口管理控制台，遇有紧急状况时，管理员能够从网络上的任一地点通过 Web 浏览器立即处理。功能包括：含趋势TSC系统病毒清除程序，提供简便且可自订的部署，支持CheckPoint VP 1 SecureClient计算机的网络安全，支持POP3邮件扫描，支持掌上型计算机同步数据扫描，支持趋势科技EPS企业安全防护策略，智能型扫描技术。卡巴斯基通过集中管理程序可管理网络中的所有节点，具有统一的操作界面，支持大多数常用操作系统和应用程序。卡巴斯基? 网络版反病毒软件提供全方位的信息安全防护，可保护工作站、文件服务器、邮件服务器、防火墙、网站服务器，为企业网络内的所有节点提供病毒防护，并可根据您的网络结构定制个性化的兼容防护体系。瑞星专门针对目前流行的网络病毒研制开发产品，多项最新技术的应用，有效提升对未知病毒、变种病毒、黑客木马、恶意网页等新型病毒的查杀能力，在降低系统资源消耗、提升查杀毒速度、快速智能升级等多方面进行了改进。它的主要特点: 1.采用目前国际上先进的结构化多层可扩展(SME)技术研制的第五代全新杀毒引擎。 2.首创网络游戏防盗抢功能的个人防火墙。 3.针对冲击波等漏洞型网络病毒设计的漏洞扫描系统。 4.全新智能化数据修复系统。 5.方便快捷的交互式手机短信通。 6.嵌入式即时安全信息中心。 7.预杀式无毒安装。 8.注册表修