病毒防范技術及應用

本論文在其他論文欄目，由論文格式網整理,轉載請注明來源www.donglienglish.cn,更多論文,請點論文格式范文查看摘要: 隨著Internet的迅速發展，信息安全問題面臨新的挑戰。信息安全技術和理論的發展,已經逐步形成了一個共識:安全問題是一個動態的、整體的、持續性的問題。當計算機系統或文件染有計算機病毒時，需要檢測和消除。因此，必須有一個功能完善的病毒防護體系，保證整個網絡的安全系統。
關鍵詞:病毒防范，信息安全,完整性。
隨著計算機及計算機網絡的發展，伴隨而來的計算機病毒傳播問題越來越引起人們的關注。隨因特網的流行，有些計算機病毒借助網絡爆發流行，如CIH計算機病毒、"愛蟲"病毒等，它們與以往的計算機病毒相比具有一些新的特點，給廣大計算機用戶帶來了極大的損失。
　　當計算機系統或文件染有計算機病毒時，需要檢測和消除。但是，計算機病毒一旦破壞了沒有副本的文件，便無法醫治。隱性計算機病毒和多態性計算機病毒更使人難以檢測。在與計算機病毒的對抗中，如果能采取有效的防范措施，就能使系統不染毒，或者染毒后能減少損失。
計算機病毒防范，是指通過建立合理的計算機病毒防范體系和制度，及時發現計算機病毒侵入，并采取有效的手段阻止計算機病毒的傳播和破壞，恢復受影響的計算機系統和數據。
一個和Internet相連的企業，最主要的病毒入口就是Internet，主要的傳染方式是群件系統；控制Internet入口處的病毒侵入，就抑制了最主要的病毒源；好的群件系統防病毒系統，將病毒的傳染域隔離到孤立的某一臺機器，這樣病毒的破壞就會控制到最小范圍。在大的企業里，為了保證防病毒系統的一致性、完整性和自升級能力，必須有一個完善的病毒防護管理體系，負責病毒軟件的自動分發、自動升級、集中配置和管理、統一事件和告警處理、保證整個企業范圍內病毒防護體系的一致性和完整性。
一、完整的產品體系和高的病毒檢測率
一個好的防病毒系統應該能夠覆蓋到每一種需要的平臺。我們都知道，病毒的入口點是非常多的。我們一般需要考慮在每一種需要防護的平臺上都部署防病毒軟件。大體上分為以下幾類平臺：
1．客戶端。不管客戶端使用什么操作系統，都必須具有相應的防病毒軟件進行安裝防范。
2．郵件服務器。電子郵件目前已經成為病毒傳播的重要途徑。對郵件服務器進行集中郵件病毒防范是非常有意義的。一個好的郵件或群件病毒防范系統可以很好地和服務器的郵件傳輸機制結合在一起，完成在服務器上對病毒的清除工作。另外，由于目前郵件病毒的傳輸方式已經從以前的單純附件攜帶方式擴展為內容攜帶方式，所以一個好的郵件防病毒系統應該具有清除郵件正文中的病毒的能力。
3．其他服務器。網絡中除了郵件服務器外，還存在大量的其他服務器如文件服務器、應用服務器等等。用戶在日常工作時會經常同這些服務器進行文件傳輸等工作，也就形成了另外一種病毒的傳播途徑。這些服務器也需要安裝相應的防病毒軟件。
4．網關。網關是隔離內部網絡和外部網絡的設備如防火墻、代理服務器等。在網關級別進行病毒防范可以起到對外部網絡中病毒進行隔離的作用。
比如，NAI公司的McAfee AVD(Active Virus Defense)網絡防病毒系統就是典型的例子，該系統包括桌面防病毒產品、服務器防病毒產品、郵件防病毒產品等，其全球用戶數目已達到了6千萬以上。當然，一個好的防病毒軟件必須具備極高的病毒檢測率和清除率。另外，防病毒軟件還必須能夠對各種格式的文件包括各種格式的壓縮文件進行病毒的清除。
二、功能完善的防病毒軟件控制臺
所謂網絡防病毒所講的不僅僅是可以對網絡服務器進行病毒防范，更加重要的是能夠對防病毒軟件通過網絡進行集中的管理和統一的配置。一個能夠完成集中分發軟件、進行病毒特征碼升級的控制臺是非常必要的。為了方便集中管理，防病毒軟件控制臺首先需要解決的就是管理容量問題。也就是每一臺控制臺能夠管理到的客戶機的最大數目。另外，對于一個企業內部的不同部門，我們有可能需要設置不同的防病毒策略。一個好的控制臺應該允許管理員按照IP地址、計算機名稱、子網甚至NT域進行安全策略的分別實施。
三、減少通過廣域網進行管理的流量
在一個需要通過廣域網進行管理的企業中，由于廣域網的帶寬有限，防病毒軟件的安裝和升級流量問題也是必須要考慮到的。好的防病毒軟件應從各個方面考慮，盡量減少帶寬占用問題。首先，自動升級功能允許升級發生在非工作時間，盡量不占用業務需要的帶寬；其次，對于必須頻繁升級的特征碼，應采用必要的措施將其進行壓縮，比如增量升級方式等。
四、方便易用的報表功能
一個網絡中的病毒活動狀況對于網絡管理員來說是非常重要的。通過了解網絡中的病毒活動情況，管理員可以了解哪些病毒活動比較頻繁、哪些計算機或者用戶的文件比較容易感染病毒以及發現的病毒的清除情況等等，以便修改病毒防范策略以及了解病毒的來源情況，方便進行用戶、文件資源的安全管理。實用、界面友好的報表是一個網絡防病毒軟件必備的功能。
五、對計算機病毒的實時防范能力
傳統意義上的實時計算機病毒防范是指防病毒軟件能夠常駐內存，對所有活動的文件進行病毒掃描和清除。這當然是一個防病毒軟件必備的功能。這里說的防范能力是另外一種意義的自動病毒防范能力。目前由于病毒活動頻繁，再加上網絡管理員一般都工作忙碌，有可能會導致病毒特征碼不能及時更新。這就需要防病毒軟件本身能夠具有一定程度的未知病毒識別能力。
六、快速及時的病毒特征碼升級
能夠提供一個方便、有效和快速的升級方式是防病毒系統應該具備的重要功能之一。正是由于防病毒軟件需要不斷進行升級，所以對防病毒軟件廠商的技術力量和售后服務的要求也是格外重要。
與以往的平臺相比，Windows 95/98/NT/2000引入了很多非常有用的特性，充分利用這些特性將能大大地增強軟件的能力和便利。應該提醒的是，盡管windows 95/98/NT/2000平臺具備了某些抵御計算機病毒的天然特性，但還是未能擺脫計算機病毒的威脅。防范計算機病毒，一是要在在思想重視、管理上到位；二是依靠防殺計算機病毒軟件。
1、選擇一個功能完善的防殺計算機病毒軟件
一個功能較好的防殺計算機病毒軟件應能滿足下面的要求：　　　
（1）擁有計算機病毒檢測掃描器。
　檢測計算機病毒有兩種方式，對磁盤文件的掃描和對系統進行動態的實時監控。同時提供這兩種功能是必要的，實時監控保護更不可少。一種是DOS平臺的計算機病毒掃描器：由于系統引導過程中，Windows 95/98未能提供任何保護。因此，在Windows 95/98啟動之前，有必要通過autoexec.bat或config.sys載入DOS平臺的計算機病毒掃描器，對引導扇區、內存或主要的系統文件進行掃描，確保無毒后才繼續系統的啟動。同時，在系統由于感染計算機病毒而崩潰或在內存發現計算機病毒時，通過“干凈的”系統引導軟盤啟動，DOS掃描器便成為主要的殺毒工具。不過，在Windows 95/98下“重新引導并切換到MS－DOS方式”對大多數防殺計算機病毒軟件來說存在漏洞。此時針對Windows 95/98的監視已失效，只有少數軟件在Windows 95/98目錄下的dosstart.bat里加入了DOS指令掃描器。我們自己可以將DOS指令掃描器添加到dosstart.bat去，增加DOS下的保護；另一種是32位計算機病毒掃描器：供用戶對本地硬盤或網絡進行掃描。它是專門為Windows 95/98/NT/2000而設計的32位軟件，從而支持長文件名及確保發揮最高的性能。
（2）實時監控程序：通過動態實時監控來進行防毒。一般是通過虛擬設備程序（VxD）或系統設備程序（Windows NT/2000下的SYS）形式而不是傳統的駐留內存方式（TSR）進行實時監控。實時監控程序在磁盤讀取等動作中實行動態的計算機病毒掃描，并對計算機病毒和一些類似計算機病毒的活動發出警告。
（3）未知計算機病毒的檢測：新的計算機病毒平均以每天4－5個的速度出現，而計算機病毒特征代碼庫的升級一般每月一次，這是不夠的。理想的防殺計算機病毒軟件除了使用特征代碼來檢測已知計算機病毒外，還可用如啟發性分析（Heuristic Analysis）或系統完整性檢驗（Integrity Check）等方法來檢測未知計算機病毒的存在。然而，要100%地區分正常程序和計算機病毒是不大可能的。在檢測未知計算機病毒時，最后的判斷工作常常要靠用戶的經驗。
（4）壓縮文件內部檢測：從網絡上下載的免費軟件或共享軟件大部分都是壓縮文件，防殺計算機病毒軟件應能檢測壓縮文件內部的原始文件是否帶有計算機病毒。　　　　
（5）文件下載監視：相當一部分計算機病毒的來源是在下載文件中，因此有必要對下載文件，尤其是下載可執行程序時進行動態掃描。
（6）計算機病毒清除能力：僅僅檢測計算機病毒還不夠，軟件還應該有很好的清除計算機病毒能力。
（7）計算機病毒特征代碼庫升級：定時升級計算機病毒特征代碼庫非常重要。當前通過因特網進行升級已成為潮流，理想的是按一下按鈕便可直接連線進行升級。
（8）重要數據備份：對用戶系統中重要的數據進行備份，以便在系統受計算機病毒攻擊而崩潰時進行恢復。通常數據備份在可啟動的軟盤上，并包含有防殺計算機病毒軟件的DOS平臺計算機病毒掃描器。
（9）定時掃描設定：對個人用戶來說，這一功能并不重要，但對網絡管理員來說，它可以避開高峰時間進行掃描而不影響工作。　　　　
（10）支持FAT32和NTFS等多種分區格式：Windows 95 OSR2以后版本中增加了FAT32分區格式的支持，從而增加了硬盤的利用率，但同時也禁止了某些低級存取方式，而傳統的軟件大多使用低級存取方式檢測或消除計算機病毒。如果軟件不支持FAT32，便很難充分發揮其功能甚至誤報。對于運行Windows NT/2000的計算機來說，支持NTFS也是防殺計算機病毒軟件必須支持的。
（11）關機時檢查軟盤：這一功能便是利用了關機的漫長時間，再次對A盤的引導區進行檢測，以防止下次引導時的計算機病毒入侵。
（12）還必須注重計算機病毒檢測率：檢測率是衡量防殺計算機病毒軟件最重要的指標。
這里只能引用一個間接參考標準：美國ICSA（國際計算機安全協會，原名國家計算機安全協會NCSA）定期對其AVPD會員產品進行測試，要求對流行計算機病毒檢測率為100%，（參照JoeWell的流行計算機病毒名單WildList）對隨機抽取的非流行計算機病毒檢測率為90%以上。
2、主要的防護工作
1) 安裝較新的正式版本的防殺計算機病毒軟件，并經常升級。
2) 備份系統中重要的數據和文件。
3) 在IE或Netscape等瀏覽器中設置合適的因特網安全級別，防范來自ActiveX和Java Applet的惡意代碼。
4) 對外來的軟盤、光盤和網上下載的軟件等都應該先進行查殺計算機病毒，然后在使用。
5）啟用防殺計算機病毒軟件的實時監控功能。
計算機病毒在網絡中泛濫已久，而其在局域網中也能快速繁殖，導致局域網計算機的相互感染，下面將為大家介紹有關局域網病毒的入侵原理及防范方法。
一般來說，計算機網絡的基本構成包括網絡服務器和網絡節點站（包括有盤工作站、無盤工作站和遠程工作站）。計算機病毒一般首先通過各種途徑進入到有盤工作站，也就進入網絡，然后開始在網上的傳播。具體地說，其傳播方式有以下幾種。
(1）病毒直接從工作站拷貝到服務器中或通過郵件在網內傳播；
(2）病毒先傳染工作站，在工作站內存駐留，等運行網絡盤內程序時再傳染給服務器；
(3）病毒先傳染工作站，在工作站內存駐留，在病毒運行時直接通過映像路徑傳染到服務器中
(4）如果遠程工作站被病毒侵入，病毒也可以通過數據交換進入網絡服務器中一旦病毒進入文件服務器，就可通過它迅速傳染到整個網絡的每一個計算機上。而對于無盤工作站來說，由于其并非真的"無盤"（它的盤是網絡盤），當其運行網絡盤上的一個帶毒程序時，便將內存中的病毒傳染給該程序或通過映像路徑傳染到服務器的其他的文件上，因此無盤工作站也是病毒孽生的溫床。
由以上病毒在網絡上的傳播方式可見，在網絡環境下，網絡病毒除了具有可傳播性、可執行性、破壞性等計算機病毒的共性外，還具有一些新的特點。
（1）感染速度快
在單機環境下，病毒只能通過介質從一臺計算機帶到另一臺，而在網絡中則可以通過網絡通訊機制進行迅速擴散。根據測定，在網絡正常工作情況下，只要有一臺工作站有病毒，就可在幾十分鐘內將網上的數百臺計算機全部感染。
（2）擴散面廣
由于病毒在網絡中擴散非常快，擴散范圍很大，不但能迅速傳染局域網內所有計算機，還能通過遠程工作站將病毒在一瞬間傳播到千里之外。
(3）傳播的形式復雜多樣
計算機病毒在網絡上一般是通過"工作站"到"服務器"到"工作站"的途徑進行傳播的，但現在病毒技術進步了不少，傳播的形式復雜多樣。
（4）難于徹底清除e.
單機上的計算機病毒有時可以通過帶毒文件來解決。低級格式化硬盤等措施能將病毒徹底清除。而網絡中只要有一臺工作站未能清除干凈，就可使整個網絡重新被病毒感染，甚至剛剛完成殺毒工作的一臺工作站，就有可能被網上另一臺帶毒工作站所感染。因此，僅對工作站進行殺毒，并不能解決病毒對網絡的危害。
（5）破壞性大
網絡病毒將直接影響網絡的工作，輕則降低速度，影響工作效率，重則使網絡崩潰，破壞服務器信息，使多年工作毀于一旦。
（6）可激發性
網絡病毒激發的條件多樣化，可以是內部時鐘、系統的日期和用戶名，也可以是網絡的一次通信等。一個病毒程序可以按照病毒設計者的要求，在某個工作站上激發并發出攻擊。
（7）潛在性
網絡一旦感染了病毒，即使病毒已被清除，其潛在的危險性也是巨大的。根據統計，病毒在網絡上被清除后，85％的網絡在30天內會被再次感染。
例如尼姆達病毒，會搜索本地網絡的文件共享，無論是文件服務器還是終端客戶機，一旦找到，便安裝一個隱藏文件，名為Riched20.DLL到每一個包含"DOC"和"eml"文件的目錄中，當用戶通過Word、寫字板、Outlook打開"DOC"和"eml"文檔時，這些應用程序將執行 Riched20.DLL文件，從而使機器被感染，同時該病毒還可以感染遠程服務器被啟動的文件。帶有尼姆達病毒的電子郵件，不需你打開附件，只要閱讀或預覽了帶病毒的郵件，就會繼續發送帶毒郵件給你通訊簿里的朋友。
綜上所述，目前的防病毒工作的意義早已脫離了各自為戰的狀況，技術也不僅僅局限在單機的防病毒。目前，如果需要對整個網絡進行規范化的網絡病毒防范，我們必須了解最新的技術，結合網絡的病毒入口點分析，很好地將這些技術應用到自己的網絡中去，形成一個協同作戰、統一管理的局面，這樣的病毒防范體系，才能夠稱得上是一個完整的、現代化的網絡病毒防御體系。
參考文獻：
[1]段云所、魏仕民、唐禮勇等.信息安全概論.高等教育出版社.2003
[2]俞承杭.信息安全技術.科學出版社.2006
[3]韓筱卿.計算機病毒分析與防范大全.電子工業出版社.2006
[4]張漢亭.計算機病毒與反病毒技術.青華大學出版社.1996
[5]王錫林等.計算機安全.人民郵電出版社.1995
[6]軋之英.計算機網絡系統病毒防范技術的探討.北京電子出版社.2005
[7]蘇五榮.微機病毒防范與殺毒技術.福建科學技術出版社.2000

相關論文


上一篇：藥品GMP認證在我國	下一篇：數學課堂中新課標下的四種境界

Tags：病毒防范技術應用

【收藏】【返回頂部】