尽管windows 95/98/NT/2000平台具备了某些抵御计算机病毒的天然特性,但还是未能摆脱计算机病毒的威胁。单机防范计算机病毒,一是要在在思想重视、管理上到位,二是依靠防杀计算机病毒软件。下面就让小编给大家说说抵御计算机病毒的最重要措施是什么吧。
抵御计算机病毒的最重要措施
1、选择一个功能完善的单机版防杀计算机病毒软件
一个功能较好的单机防杀计算机病毒软件应能满足下面的要求:
(1)拥有计算机病毒检测扫描器。
检测计算机病毒有两种方式,对磁盘文件的扫描和对系统进行动态的实时监控。同时提供这两种功能是必要的,实时监控保护更不可少。
1)DOS平台的计算机病毒扫描器:由于系统引导过程中,Windows 95/98未能提供任何保护。因此,在Windows 95/98启动之前,有必要通过autoexec.bat或config.sys载入DOS平台的计算机病毒扫描器,对引导扇区、内存或主要的系统文件进行扫描,确保无毒后才继续系统的启动。同时,在系统由于感染计算机病毒而崩溃或在内存发现计算机病毒时,通过“干净的”系统引导软盘启动,DOS扫描器便成为主要的杀毒工具。
不过,在Windows 95/98下“重新引导并切换到MS-DOS方式”对大多数防杀计算机病毒软件来说存在漏洞。此时针对Windows 95/98的监视已失效,只有少数软件在Windows 95/98目录下的dosstart.bat里加入了DOS指令扫描器。我们自己可以将DOS指令扫描器添加到dosstart.bat去,增加DOS下的保护。
2)32位计算机病毒扫描器:供用户对本地硬盘或网络进行扫描。它是专门为Windows 95/98/NT/2000而设计的32位软件,从而支持长文件名及确保发挥最高的性能。
(2)实时监控程序:通过动态实时监控来进行防毒。一般是通过虚拟设备程序(VxD)或系统设备程序(Windows NT/2000下的SYS)形式而不是传统的驻留内存方式(TSR)进行实时监控。实时监控程序在磁盘读取等动作中实行动态的计算机病毒扫描,并对计算机病毒和一些类似计算机病毒的活动发出警告。
(3)未知计算机病毒的检测:
新的计算机病毒平均以每天4-5个的速度出现,而计算机病毒特征代码库的升级一般每月一次,这是不够的。理想的防杀计算机病毒软件除了使用特征代码来检测已知计算机病毒外,还可用如启发性分析(Heuristic Analysis)或系统完整性检验(Integrity Check)等方法来检测未知计算机病毒的存在。然而,要100%地区分正常程序和计算机病毒是不大可能的。在检测未知计算机病毒时,最后的判断工作常常要靠用户的经验。
(4)压缩文件内部检测:
从网络上下载的免费软件或共享软件大部分都是压缩文件,防杀计算机病毒软件应能检测压缩文件内部的原始文件是否带有计算机病毒。
(5)文件下载监视:
相当一部分计算机病毒的来源是在下载文件中,因此有必要对下载文件,尤其是下载可执行程序时进行动态扫描。
(6)计算机病毒清除能力:
仅仅检测计算机病毒还不够,软件还应该有很好的清除计算机病毒能力。
(7)计算机病毒特征代码库升级:
定时升级计算机病毒特征代码库非常重要。当前通过因特网进行升级已成为潮流,理想的是按一下按钮便可直接连线进行升级。
(8)重要数据备份:
对用户系统中重要的数据进行备份,以便在系统受计算机病毒攻击而崩溃时进行恢复。通常数据备份在可启动的软盘上,并包含有防杀计算机病毒软件的DOS平台计算机病毒扫描器。
(9)定时扫描设定:
对个人用户来说,这一功能并不重要,但对网络管理员来说,它可以避开高峰时间进行扫描而不影响工作。
(10)支持FAT32和NTFS等多种分区格式:
Windows 95 OSR2以后版本中增加了FAT32分区格式的支持,从而增加了硬盘的利用率,但同时也禁止了某些低级存取方式,而传统的软件大多使用低级存取方式检测或消除计算机病毒。如果软件不支持FAT32,便很难充分发挥其功能甚至误报。对于运行Windows NT/2000的计算机来说,支持NTFS也是防杀计算机病毒软件必须支持的。
(11)关机时检查软盘:
这一功能便是利用了关机的漫长时间,再次对A盘的引导区进行检测,以防止下次引导时的计算机病毒入侵。
(12)还必须注重计算机病毒检测率:
检测率是衡量防杀计算机病毒软件最重要的指标。
这里只能引用一个间接参考标准:美国ICSA(国际计算机安全协会,原名国家计算机安全协会NCSA)定期对其AVPD会员产品进行测试,要求对流行计算机病毒检测率为100%,(参照JoeWell的流行计算机病毒名单WildList)对随机抽取的非流行计算机病毒检测率为90%以上。
2、 主要的防护工作
(1) 检查BIOS设置,将引导次序改为硬盘先启动(C:A:)。
(2) 关闭BIOS中的软件升级支持,如果是底板上有跳线的,应该将跳线跳接到不允许更新BIOS。
(3) 用DOS平台防杀计算机病毒软件检查系统,确保没有计算机病毒存在。
(4) 安装较新的正式版本的防杀计算机病毒软件,并经常升级。
(5) 经常更新计算机病毒特征代码库。
(6) 备份系统中重要的数据和文件。
(7) 在Word中将“宏病毒防护”选项打开,并打开“提示保存Normal模板”,退出Word,然后将Normal.dot文件的属性改成只读。
(8) 在Excel和PowerPoint中将“宏病毒防护”选项打开。
(9) 若要使用Outlook/Outlook express收发电子函件,应关闭信件预览功能。
(10) 在IE或Netscape等浏览器中设置合适的因特网安全级别,防范来自ActiveX和Java Applet的恶意代码。
(11) 对外来的软盘、光盘和网上下载的软件等都应该先进行查杀计算机病毒,然后在使用。
(12) 经常备份用户数据。
(13) 启用防杀计算机病毒软件的实时监控功能。
小型局域网的防范
3.2.1小型局域网的特点
小型局域网大多以一台服务器和多台工作站组成,服务器主要提供简单的文件共享服务、打印服务和小规模的数据库访问服务。对等网络、Window NT网、NetWare网及Unix/Linux网为局域网的典型代表。计算机病毒一旦感染了其中的一台计算机,将会很快的蔓延到整个网络,而且不容易一下子将网络中传播的计算机病毒彻底清除。所以对于小型局域网的计算机病毒防范必须要全面预防计算机病毒在网络中的传播、扩散和破坏,客户端和服务器端必须要同时考虑。
3.2.2 简单对等网络的防范
简单对等网络,就是将一些计算机简单地通过集线器(Hub)连接在一起的方式。这类网络的特点是架构简单,没有明确的服务器,大多采用文件共享的方式进行数据交换。
由于这种网络相对封闭,或者某些主机通过拨号接入的方式联接到因特网,计算机病毒只能通过某台主机的软盘、光盘等侵入整个网络。对这类网络的防毒主要还是基于单机计算机病毒防范,同时对每台计算机安装计算机病毒实时监控程序,可以防止计算机病毒通过文件共享等方式在网络内传播。
3.2.3 Windows NT网络的防毒
大多数的中小企业的局域网都是Windows NT网络。Windows NT网络一般是由一台Windows NT主域控制器作为中心服务器,管理用户信息和访问权限控制。而工作站大多是采用有硬盘的PC计算机,操作系统以Windows 95/98、Windows 2000专业版、Windows NT Workstation或NT独立服务器为主,主要做文件共享和打印共享。网络相对封闭,或通过在中心服务器上安装访问代理程序(Proxy)来接入因特网。
除了对每台工作站进行单机的防护外,针对Windows NT网络的特点,Windows NT网络的防毒还应采取如下措施:
1。Windows NT服务器必须全部为NTFS分区格式。有的用户在安装系统时,一部分为FAT16分区格式,一部分为NTFS分区格式。这样就会把基于DOS的计算机病毒感染到Windows NT服务器的FAT16分区中,严重时计算机病毒破坏FAT16分区而导致Windows NT无法正常启动。
2。Windows NT服务器很容易把光盘作为共享给用户调用,因此要严格控制不知名的外来光盘的使用,以免传染上计算机病毒。
3。用户的权限和文件的读写属性要加以控制。用户权限越大,在工作站上能看到的共享目录和文件就越多。那么一旦工作站感染上计算机病毒,所能传染的范围就越大,破坏性就越强。若公用文件属性为只读形式,则计算机病毒无法传播,系统就更安全。
4。由于登录Windows NT网络的工作站基本上为有盘工作站,这样为计算机病毒进入网络创造了更多的机会。必须在工作站上选择优秀的具有实时检查、实时杀毒功能的杀毒软件,则能阻止计算机病毒从工作站进入网络系统。
5。在服务器端安装基于Windows NT服务器上开发的32位的实时检查、实时杀毒的服务器杀毒软件,可消除计算机病毒在网上的传播。
6。利用登录Windows NT网络后执行脚本的功能,实现工作站防杀计算机病毒软件的升级和更新。
7。尽量不要直接在Windows NT服务器上运行如各类应用程序,包括Office之类的办公自动化软件。因为有很多计算机病毒发作是恶性的,一旦遇到发作为格式化硬盘、删除重要文件等现象,那后果就非常严重。
8。安装Windows NT的服务器必须物理上绝对安全,不能有任何非法用户能够接触到该服务器,并且设置成只从硬盘启动。因为目前有些工具可以在DOS下直接读写NTFS分区。
综上所述,Windows NT网络防范计算机病毒应先从工作站入口开始,采取切实有效的措施,防止工作站感染计算机病毒,同时也在服务器端安装可靠、有效的网络杀毒软件,实时阻止计算机病毒在网络中的转播、扩散。另外还必须要对网络服务器重要的数据时刻进行备份,这样一旦网络出了意外,也能随时恢复正常。
3.2.4 NetWare网络的防毒
在金融、证券等行业的局域网中,NetWare网络还是具有一定的生命力的。NetWare网络的系统漏洞相对来说比较少,而且可以支持无盘工作站。大多数的NetWare网络以一台NetWare文件服务器为中心,用同轴电缆或双绞线联接许多工作站。这些工作站大多是无盘工作站,没有软驱、硬盘和光驱。各个工作站利用映射(map)网络驱动器的方式共享文件服务器上的应用程序和用户数据区。
NetWare网络的计算机病毒防范主要采取如下措施:
1、保护NetWare文件服务器
在NetWare网络,文件服务器可以说是局域网上的核心,所以加强对文件服务器的保护是一项重要的工作。
首先,从安全的盘上引导机器,如果文件服务器有DOS分区,那么最好是从硬盘启动系统;一般来说,文件服务器上并不需要DOS分区。在没有DOS分区的文件服务器上,如果有不带计算机病毒的正版可启动光盘,就不要用软盘启动系统。
其次,必须经常备份文件服务器上的重要数据。
2、保护网络文件的管理对策
Novell在NetWare LAN中为网络管理提供了一些十分有用的功能,可以有效地消除计算机病毒的威胁。
将“.exe”与“.com”文件置为只读属性和只可执行的属性。其次,对sys:public与sys:login和应用程序目录以及所有常规用户授予Only Read and SCAN权限。并且不要经常使用Supervisor或与之等效的用户注册网络。
计算机病毒总是会有意无意的被带入网络,对工作造成一些不同程度的破坏。这就必须进行网络杀毒与数据恢复,据最新的调查报告,NetWare网络的专有的计算机病毒数量很少,而在我国现有NetWare LAN上流行的计算机病毒主要还是DOS计算机病毒。DOS计算机病毒在NetWare网上传播主要是通过带毒客户机对网络文件的调用而进行传播。目前对付DOS计算机病毒的杀毒软件随处可见,所以可以利用现有的DOS杀毒软件来对付NetWare网上的计算机病毒。但必须按照严格的步骤来进行:
(1) 逐一用无毒软盘启动工作站,用杀毒软件杀除工作站本地硬盘上计算机病毒(如果有的话);
(2) 使某一工作站登录到文件服务器,并保证网上不得有其它的工作站连接到服务器上,利用杀毒软件将目录sys:login下的计算机病毒扫描杀除;
(3) 用login /s:x登录,必须加参数/s:x,以使登录时不执行脚本logintext与usetext;
(4) 扫描文件服务器上的所有目录(重点为用户数据区)。
3、控制有盘工作站的使用
多用无盘站,少用有盘站。使用无盘站后,用户只能执行服务器上的文件,这样就减少了计算机病毒从工作站侵入网络的机会。
4、控制用户的权限
对普通用户,不允许具有对其他的用户目录的浏览和访问权力,以防止用户通过拷贝他人已被计算机病毒感染的文件,将网络中的计算机病毒传至自己目录中的文件上。超级用户越少,具有访问整个服务器全部目录的使用者则越少,这就能增大整个网络的工作安全性。对重要的网络文件进行权限保护。
对公用目录中的系统文件和工具软件,要设置为只读和执行属性;对系统程序所在的目录不授予修改和管理权。这样,计算机病毒就无法对系统程序实施感染和寄生,其他用户也不会受到计算机病毒感染。工作站是网络的入口,只要将入口管理好,就能有效地防止计算机病毒的入侵。
在NetWare网络中,安装NLM模块方式设计、以服务器为基础、具有实时监控能力的杀毒软件,从而使服务器不被感染,消除计算机病毒在网上的传播。
3.2.5 Unix/Linux网络的防毒
对于Unix网络来说,其安全性和用户权限的控制可以说是很强大的,但并不是说就没有计算机病毒的危害存在。大多数的Unix/Linux网络主要是由一台或多台安装Unix/Linux操作系统的服务器做Web Server或FTP Server,通常也有Mail Server。而工作站端大多是安装Windows 95/98/2000/NT操作系统的计算机。对这种网络的计算机病毒防护主要还是基于工作站的单机防护。可以在Unix/Linux服务器上安装Samba服务,从某个安全的工作站定期对服务器磁盘上的文件进行扫描。
大型网络的防范
3.3.1 大型复杂企业网络的特点
这是目前比较流行的企业组网方式。整个网络分为内网(Intranet)和外网(Extranet)。内网和外网之间基本上是处于隔离状态,一般通过防火墙设备在内、外网之间建立一条受控的通路,从内网访问因特网一般采用代理的方式,外网通过路由器或直接与因特网相联。内网大多采用Windows NT网络组建,分配虚拟地址,并安装有内部办公自动化信息系统,如Lotus Domino或Microsoft Exchange server等;而外网一般多为Unix/Linux网络,也有采用NetWare网络或Windows NT网络的,分配实地址,并对外提供服务。外网一般安装有Web 服务器、FTP服务器、电子函件服务器、域名服务器,以及其他一些服务器等。从整个网络来看,可能有多个内网和一个外网构成,也有在外网中再划分子网的情况,网络内存移动工作站(存在便携机接入的情况)。
对于这种网络的计算机病毒防护,除了要对各个内网严加防范,更重要的是要建立多层次的网络防范架构,并同网管结合起来。主要的防范点有:因特网接入口、外网上的服务器、各内网的中心服务器等。
可以采用以下一些主要手段:
(1) 在因特网接入口处安装防火墙式防杀计算机病毒产品。
(2) 在外网单独设立一台服务器,安装服务器版的网络防杀计算机病毒软件,并对整个网络进行实时监控。
(3) 如果外网的服务器是基于Windows NT操作系统的,那么需要在外网的各个服务器上安装相应的计算机病毒防护软件,比如电子函件服务器使用的是Microsoft Exchange Server,那么就需要在该服务器上安装专为Microsoft Exchange Server设计的防杀计算机病毒软件。
(4) 外网上如果有工作站,需要进行单机防范布防,并适当参考小型局域网的防范要点进行有选择地增加。
(5) 在每个内网参照小型局域网的防范要点布防。
(6) 内网中的工作站参考单机防范的重点,适当参考小型局域网的防范要点进行布防。
(7) 建立严格的规章制度和操作规范,定期检查各防范点的工作状态。
3.3.2 参考案例1:熊猫卫士防计算机病毒方案的设计和实现
中国海运集团(中海集团)1997年7月1日在中国最大的口岸城市——上海成立,是一家跨地区、跨行业、跨所有制和跨国经营的国有大型航运企业,并拥有劳务、船务、货代、工业、电信、供贸、国贸、投资、仓储等多家陆上专业公司及二十余家境外企业。由于中海集团每天都有大量的数据交流和对Internet的访问,所以受计算机病毒感染的机率是比较高的,尤其是邮件附件中的宏病毒,虽然没有造成严重的后果,但还是存在极大的潜在危害,所以中海集团在计算机病毒防护方面的需求是甚为迫切的。
1、方案提供
在了解了中海集团对网络防计算机病毒的需求之后,熊猫卫士公司决定为中海集团提供三个月的试用。在勘查了中海的网络环境之后,提供了多种实施方案。中海集团的网络架构非常严谨,所有分支机构局域网内的计算机都可以通过专线联入位于上海的中心网络,通过Microsoft的Terminal Server登陆到NT主域服务器上接受身份验证。根据中海的网络拓扑结构,在提供的安装/管理方案中,包含了集中式和分布式两种安装和管理方案。
(1)集中式安装 / 管理
该种方案中,整个集团网络系统可以只使用一套管理工具就可以对整个网络(本地和外地)实施杀毒软件的安装/管理/升级。网络管理员只需要在一台本地计算机就可以随时对整个网络的防计算机病毒事件了然于胸。此种安装方式的一个最大特色就是实际的安装过程仅需在一台计算机上即可完成,不需要到客户端或外地分支机构进行任何操作。整个集团内部只要一台计算机上因特网更新过计算机病毒代码库了,通过软件内嵌的机制可以实现其它所有用户同时升级(包括服务器和用户)。网络管理员可以在本地管理集团内部的任何一台服务器,而当地用户的管理则由这些当地服务器进行。但是此种方式最大的一个缺点就是首次安装时网络流量非常大,每安装一台需要管理当地用户的服务器需在网络上传送100M的文件,即便是通过专线连接,安装速度也较慢。
(2)布式安装 / 管理
该种方案将外地的分支机构的局域网都看作是一个个独立分割的网络,在每个局域网内分别安装一套管理工具,由当地的网络管理员具体负责防计算机病毒事务。而通过软件提供的丰富的报警功能,可以将计算机病毒事件全部报告给本地网络管理员和总部的网络管理人员。对于软件的更新则可以选择上因特网或总部特定服务器实现自动更新。此种安装方式的优点是解决了集中式安装造成的网络流量大和速度慢的缺点,同时也达到了分级防护的功能。但是缺点也是显而易见的,必须由专人到这些网络实施安装或者通过某些远程控制软件实现远程安装,速度慢效率低而且需要培训专门的网络管理员。
中海集团的技术人员根据情况选择了分布式的方案。
2、安装过程
下面是整个安装过程:
(1)安装熊猫管理员
在GVI多平台计算机病毒解决方案中,包含了允许网络管理员从一个单独的工作站上管理整个网络的熊猫卫士计算机病毒保护程序。该工具名为熊猫管理员。通过这一工具,可进行安装、卸载、设置、扫描及更新工作站或服务器上的任何杀毒软件。如果没有熊猫管理员,必须在每台计算机上重复所有这些工作。众所周知,大部分应用程序安装之后要求计算机重新启动,所以选定一台作为工作站的独立服务器,安装熊猫管理员,之后对网络中其它的服务器进行安装管理。
(2)为服务器安装熊猫卫士防计算机病毒软件
在对服务器安装之前,对中海集团网络的网段划分,IP地址分配,路由器设置等等都进行了详细了解,对安装有熊猫管理员的工作站进行重新设置,保证其能和网络中所有的服务器进行通讯。然后打开熊猫管理员,自动地搜索到网络中的Netware 服务器,NT主域服务器,NT 备份域服务器,NT独立服务器,Exchange Server邮件服务器,Proxy服务器和Web服务器,接着为这些服务器分别安装熊猫卫士防计算机病毒软件,这个过程很快就完成了。
(3)为工作站自动安装熊猫卫士防计算机病毒软件
中海集团的网络中,有基于域用户登录的网络,也有只是物理上连通的对等网式的多个组,针对不同的连网方式,熊猫卫士采用了不同的方案,实现对工作站防计算机病毒软件地自动分发。熊猫卫士软件在对用户的安装方式中有服务器向用户“推”式的强迫安装,还有由用户主动向服务器“拉”的安装方式。不管使用何种安装方式,由于熊猫软件能自动识别工作站使用的是何种操作系统,并且能自动安装相应的防计算机病毒软件模块,所以在对中海集团网络计算机病毒解决方案的整个实施过程中,不须实施人员指定计算机的操作系统,真正实现了工作站的自动安装。
(4)服务器和工作站的配置
无论在服务器端,还是在工作站上,熊猫卫士防计算机病毒软件都能保护通过内部网络、磁盘、调制解调器连接、笔记本接入所收发的文件和邮件服务器所收发的电子邮件,而对于中海集团特别强调的Internet系统防护,通过设置熊猫卫士防计算机病毒软件,对通过Internet进入或传送的文档,熊猫卫士提供了全面地防护,包含SMTP、FTP、HTTP、HTML和POP3等协议,同时设置了对某些特定IP地址的屏蔽。
3、广域网的安装管理
中海集团的网络是一个广域网,其中心是在上海,同时通过DDN,Frame Relay连接国内、外各地区的网络,熊猫卫士的全球计算机病毒解决方案确实能实现远程的安装,但是100M多的文件量在有限的Frame Relay带宽下进行传输,会对网络速度有一定的影响,因此通过和中海集团的商讨,决定对外地的局域网,由经过培训的网络管理员在本地自己安装,而由中海集团上海中心的技术人员通过熊猫管理员对下属公司安装的防计算机病毒软件进行集中管理。
这套实施方案的特点还在于,一旦中海集团的网络进行了扩容,如增加了新的服务器,或者是新的Exchange Server,即使是增加了新的域,都不需要重新安装熊猫管理员,只须在熊猫管理员中刷新一下视图,熊猫管理员就能自动搜索到所有新增加的服务器,网络管理员了解情况,只要在安装有熊猫管理员的这台计算机上为新增的服务器远程安装熊猫卫士的防计算机病毒模块即可。
中海集团在试用熊猫卫士网络版杀毒软件期间,熊猫软件的技术工程师定时拜访客户,及时了解中海集团在使用杀毒软件中的问题。一天,熊猫卫士技术部接到中海集团电脑部的电话,被告知中海集团内部正发生一些问题,怀疑是电脑计算机病毒所致。通过电话,熊猫卫士的技术工程师了解到,中海集团内部的某些计算机硬盘正无缘无故在减小,而且每查看一次硬盘空间,该空间都会减少几十兆,而且受染的计算机正逐步扩大。中海集团电脑部的人员已经使用了包括熊猫卫士、Norton、KV300和瑞星在内的市场上常见的杀毒软件都没有能查出是何种计算机病毒所致。但是从某些状况和经验上判断,这应当是一次未知电脑计算机病毒事件。
通过电话,熊猫卫士的技术工程师指导中海集团电脑部的技术人员进行某些操作,基本上排除了电脑操作和配置中失误的因素。通过电话指导,让中海集团电脑部的人员捕捉了一些文件样本通过电子邮件传送到熊猫卫士计算机病毒搜寻实验室。但是经过熊猫卫士的技术工程师连夜分析,所捕获得样本文件并不带毒。第二天一大早,熊猫卫士技术部派出包括外籍技术人员在内的多名技术人员奔赴现场,查看计算机病毒疫情同时捕捉计算机病毒样本。所捕获得样本文件及时传送至总部进行分析。在接到计算机病毒样本的24小时之内,熊猫卫士计算机病毒搜寻试验室分析出了该新计算机病毒并同时研制出了解毒剂,立即通过电子邮件将解毒剂发送至中海集团集团电脑部。经过该集团电脑部技术人员的实施,清除了该计算机病毒,彻底解决了该故障,获得了满意的实施效果。
事后,中海集团电脑部负责人高度赞扬了熊猫卫士所提供的SOS紧急计算机病毒救助服务,称这项服务带给用户最大的安全保障,本次计算机病毒救助服务给中海集团电脑部的技术人员留下了很深的印象,在最后该集团选用防计算机病毒软件时,熊猫卫士所提供的这项服务以及成功实施的事实成为选型时非常重要的一条参考标准。
3.3.3 参考案例2:赛门铁克防计算机病毒方案的设计和实现
1、 计算机病毒防范需求分析
某大型企业的计算机网络有如下特点
(1)企业及其辖内单位均通过相应的通讯线路进行着数据交换工作;
(2)内部所有的计算机设备均通过局域网连接,工作站对服务器、工作站之间只要授权允许,即可互相访问资源。只要其中一台通过软盘、光驱、电子函件或外部数据接收而感染计算机病毒,就会非常容易地传给其他工作站和服务器。并通过内部网络迅速扩散到整个网络中的服务器和工作站。
显然,这样的网络环境具有多重感染途径,受计算机病毒感染的可能性相当大,一旦感染象CIH、“美丽莎”等恶性计算机病毒或者是遭受一些不明的类似BO等的黑客程序的恶意攻击,系统将面临崩溃的危险。也将影响到整个分行系统信息的安全;
如果选用一些普通的杀毒软件,不能自动预防计算机病毒,只能在感染计算机病毒后去扫描。一方面不能查到全部计算机病毒,另一方面难以忍受的扫描时间和网上众多的计算机也给系统管理员带来繁重的工作,耗费大量人力时间。
对于这样一种网络环境的防计算机病毒方案,应该从以下几个方面考虑:
(1) 必须具备24小时自动防护功能。
(2) 必须能够在各条可能感染途径上防止计算机病毒。
(3) 必须能够扫描预防电子函件附带的计算机病毒和未知宏病毒。
(4) 必须具备最先进的检测清除计算机病毒的功能。
(5) 对已感染计算机病毒的文件,能够通过先进的修复工具保证文件免受损害。
(6) 对服务器系统性能的影响应该非常小。
(7) 扫描计算机病毒引擎的更新必须快速方便。
(8) 必须能够实现集中管理、网上分发功能。
2、Norton AntiVirus 防杀计算机病毒企业级方案
赛门铁克公司建议选择Norton AntiVirus企业级的防杀计算机病毒的解决方案来构建强有力的防计算机病毒体系。
在Norton AntiVirus企业级的解决方案中,包含工作站级、服务器和网关级的全部防计算机病毒软件。支持的平台有Dos/Win3.X、Macintosh、Windows 95/98、Windows NT、Novell NetWare、MS Exchange、 LotusNotes和Firewall。
(1)建立分级计算机病毒隔离中心
赛门铁克的防计算机病毒解决方案的先进技术同时能够保证当侦测到未知计算机病毒时提供有效的反应手段,即对可疑文件进行隔离,不让它发作和传播。可以在每个单位局域网络中同时建立隔离服务器的机制来实现隔离服务器的技术,并且系统管理员应该在有可以文件被隔离时,及时通过赛门铁克防毒方案中的向导功能发送该文件到赛门铁克的公司去,以便得到及时的解毒支持。
(2)建立计算机病毒管理报警中心
用户可以利用一台Windows NT服务器,通过使用Norton“系统管理中心”建立一个计算机病毒集中管理报警中心,并且随时记录活动日志,以简化企业的安全管理。所有工作站和服务器的报警都可以被发送过来,并可以电子函件等方式提醒管理员。管理员可以同时利用建立在这台Windows NT服务器上 Norton“系统管理中心”来完成对网络上的计算机防计算机病毒软件安装、配置、计算机病毒定义码更新及引擎更新等管理功能,并能监控网络上的防计算机病毒安全状态。
(3)在作为管理中心的Windows NT服务器上安装:
Network Distribution Tools:
Network Manager for Windows 95/NT
Norton System Center (NSC3.0)
LiveUpdate Administration Utility
NSC Packages(NAV)
然后,通过诺顿系统中心(NSC)网络分发功能为每一台用户工作站分发中文或英文版本的Norton AntiVirus,并为每一台用户工作站创建配置文件,设定自动保护、自动更新计算机病毒定义和定时扫描功能。对一些重要的防计算机病毒功能设置口令,避免任何无意获恶意的操作取消某台计算机的自动防毒功能,给计算机病毒造成可乘之机。
为所有的Windows NT服务器分发Norton AntiVirus for NT和配置文件,设定自动保护、自动更新计算机病毒定义和定时扫描功能。对一些重要的防计算机病毒功能设置口令。
在Lotus Notes服务器上安装Norton AntiVirus for Lotus Notes软件,对电子函件及数据库提供实时性扫描,如果发现邮件被感染,可隔离含毒的邮件附件。
(4)对于笔记本电脑的用户或没有连接到网络的用户,采用以下方法:
1) 单机安装;
2) 利用赛门铁克公司的远程遥控软件pcAnyWhere,安装在管理中心和不在网络上的计算机上,利用pcAnyWhere的远程控制存取功能,通过pcAnyWhere的远程遥控线或调制解调,实现远程安装分发。
3) 更新计算机病毒定义码和引擎
为服务器建立一条因特网连接,在调度选项里增加每周自动执行LiveUpdate以获取最新计算机病毒定义和扫描引擎,并将这台服务器设为内部FTP服务器,使网络上的所有计算机可以通过它执行LiveUpdate,而不必每台计算机每周去因特网执行。
(5)为确保用户端的防计算机病毒功能,建议计算机病毒定义码的更新由系统管理员从赛门铁克公司的防计算机病毒研究中心网站上下载,通过Norton“系统管理中心”来分发。系统管理员还应该通过手动或进程调度自动进行定期的用户端防计算机病毒状态的审核以及计算机病毒扫描。
(6)对于没有连接在局域网的工作站用户如有调制解调器,能够连接因特网,可以定时自己完成LiveUpdate。不能连接到因特网的用户,可以由管理员定期制作更新软盘分发给他们。
(7)总控管中心
安装诺顿系统中心(NSC)及pcAnyWhere主控端。通过NSC实现对总部下辖客户端进行防计算机病毒产品分发安装、配置、监控和更新。在总部建立企业防计算机病毒FTP服务器,可用于总部及所有分部服务器和客户端进行主动的计算机病毒定义码下载(可越过路由器)。并通过pcAnyWhere主控端监测和管理所有一级控管中心。统一扫描或单机主动防护所侦测到的计算机病毒,统一总控管中心。
1)一级控管中心
安装诺顿系统中心(NSC)及pcAnyWhere主、被控端。通过NSC实现对分部下辖客户端进行防计算机病毒产品分发安装、配置、监控和更新。并通过pcAnyWhere主控端监测和管理下辖二级控管中心;通过pcAnyWhere被控端接受总控管中心的监测和管理。统一扫描或单机主动防护所侦测到的计算机病毒,统一本地控管中心、总控管中心或某指定控管中心。
2)二级控管中心
安装诺顿系统中心(NSC)及pcAnyWhere被控端。通过NSC实现对分部下辖客户端进行防计算机病毒产品分发安装、配置、监控和更新。并通过pcAnyWhere被控端接受一级控管中心的监测和管理。统一扫描或单机主动防护所侦测到的计算机病毒统一本地控管中心、总控管中心或某指定控管中心。
由于对服务器和工作站的扫描结果每一次都将输入到本网络的系统中心的事件管理器中,而产生数据库文件,利用pcAnyWhere可定期将每一级控管中心每一次的扫描数据库文件传输到总控管中心,以产生内部的总体报告。
总部或每一个分部拥有一套诺顿系统中心。对于计算机病毒定义码的升级,只须某一台PC连至因特网作计算机病毒定义码升级,而后传至诺顿系统中心,透过诺顿系统中心对总控管中心或每一个分控管中心下辖所有服务器和工作站进行计算机病毒定义码升级。对于未接入网络的用户,可通过软盘或由电子函件进行升级,或由赛门铁克办事处代为升级。计算机病毒定义码升级的时间应定于周六或周一。
对于各个不同的诺顿系统中心如何来进行统一管理的问题,建议企业采用若干pcAnyWhere建立总控管中心与各分级控管中心之间的联系。具体而言,就是利用一个pcAnyWhere主控端和多个下一级的pcAnyWhere主控端和被控端,将总部与各分部的系统中心设置在一个或多个平台上,统一有一名或几名管理员进行管理,而这样就可以跨过路由器进行不同网段的管理。在主控端控制平台和被控端控制平台的连接方面,pcAnyWhere可设置由上一级控管中心系统管理员随时查看下一级控管中心系统管理平台。
管理由赛门铁克工程师配合企业内部系统管理人员,针对系统应用情况设定统一的防毒杀毒设置,配合对每一项管理设置密码口令,防止用户无意或有意的修改。特别指出通过此种设定,保证企业内部所有系统保持实时监控的自动防护功能,并且用户一旦被计算机病毒攻击或侵染,系统管理人员将立即收到警报。从安全角度出发,对于每一个诺顿系统中心的系统管理人员应在每日系统工作之后和系统关闭之前,利用短时间(大约5分钟)对系统所有用户进行防毒状态审核,如发现Norton AntiVirus没有安装、计算机病毒定义码过期、自动防护没有启动等等错误信息时,系统管理员应通过管理工作站对此类用户进行及时的修正。
总部或每一个分部的系统管理人员应在每一周利用更新过的Norton AntiVirus重新创建三张紧急修复磁盘,用于特殊情况的处理。
3.3.4 参考案例3:KILL防计算机病毒方案的设计和实现
1、 基本需求
北京市政工程设计研究总院是市政工程设计工作的主要单位。由于设计工作量大、任务艰巨、工作质量要求高,因此,设计院很早就引入微机进行图形设计,其后建设的局域网络体系进一步实现了全院的数字化管理,实现了内部文件共享、设计数据网络化查询、财务管理的纵向联网,极大的提高了工作效率,也很好地解决了设计图纸的保存问题。但是,随着企业局域网及互联网络的深入就用,企业网络中用户数量不断增多,企业内外文件数据交换量增大,数据交换渠道根本无法控制,在这种情况下,仅通过单机防毒软件实现网络防毒,对整个网络体系的安全构成了极大的威胁。再加上计算机病毒技术的发展造成通过各种渠道传播的计算机病毒数量及破坏剧增、传播速度大大加快,甚至还出现了直接攻击服务器的计算机病毒,企业数据安全管理工作的难度日益加剧。因此,从网络防毒实际情况分析,设计院的企业网络安全和计算机病毒防范工作必须要渗透到服务器和客户端的各个角落才能实现真正的安全防护。
该院局域网络主要划分为两大部分:4个业务设计所为一部分,党政团组成的职能部门是另一部分。
在这两部分中,终端用计算机有:
财务用计算机;
内部办公用计算机;
400-500台图纸设计业务用计算机;
服务器有7台;主要包括一台主域控制器使用NT Server操作系统,平时承担内部数据的数据库服务和用户的身份验证;一台备份域控制器,操作系统也为NT Server,其中还安装了用于内部公文办公的Exchange办公群件系统,平时承担用户数据备份、邮件服务;一台单独服务器合用NT Server操作系统,主要用于内部普通文件的存放和软件共享;另外4台为4个业务设计所公别单独使用,主要用于存放图纸资料和数据,并提供打印服务,操作系统均使用NT Server;同时其上还安装了ARCServer IT备份软份,每周定时将数据备份到DLT磁带。网关服务由NUIX服务器提供,其上安装Netscape Proxy Server代理服务软件以提供Internet网络访问代理服务。计算机内部以100M以太网络连接,再通过网关与Internet网络连接。
根据市政工程设计院的实际情况,选择网络计算机病毒防范软件有以下几种依据:
(1) 计算机病毒防范软件必须具备很高的系统稳定性,能够克服传统防病毒软件无法在操作系统特别是Windows NT这种现代操作系统环境下稳定运行的缺陷。也就是说,计算机病毒防范软件能够与操作系统紧密结合,不存在兼容性、可靠性、运行效率问题。
(2) 计算机病毒防范产品也需要具备优秀的病毒发现能力和病毒清除能力,也就是说,必须能够迅速捕获并查杀世界范围内的所有流行计算机病毒。
(3) 计算机病毒防范产品必须具有实时监控功能、对压缩文件内部计算机病毒的检测能力和良好的自我校验功能,以及良好的易用性,能够支持软件分发及自动更新计算机病毒特征文件的能力,做到简易安装、集中控制管理,对企业内部网络系统资源和网络资源的占用率要求要很低。
(4) 计算机病毒防范软件的质量要有可靠的保障,对于查杀病数量、查杀计算机病毒安全性、与软硬平台的兼容性、运行效率等问题,有权威性的机构对此进行评测,提供质量保障。
(5) 安全性和投资问题。设计院内部许多图纸设计数据不仅要求精确而且很多属于机密数据,从安全角度出发,选择计算机病毒防范软件时,在反毒能力、管理能力、杀毒数量满足设计院总体需求的前提下,优先考虑国内开发的软件产品。另外,由于网络存在不断扩展的需要,网络版计算机病毒防范软件也需要是无限用户产品,才能保证设计院在安全方面的投资不会有损失。
(6) 计算机病毒防范软件必须具备多平台、多方位的计算机病毒防范体系,可以为设计院企业局域网构筑一个立体的网络防毒体系,能够确保每一点的安全。
(7) 能够与备份系统紧密结合、协同工作,以确保系统在发现计算机病毒后能够自动清除计算机病毒而不会打断备份工作,使计算机病毒清除工作与备份工作都能够不间断进行。
(8) 在国内拥有高水平的研发中心,具备快速计算机病毒反应能力并提供及时的升级服务。为了彻底杜绝计算机病毒可能对设计院网络系统系统构成威胁,市政工程设计院对整个企业结构进行分析,根据以上需求选择了最为合适的KILL网络版计算机病毒防范软件。
2、KILL计算机病毒防护系统部署方案:
(1)服务器病防护
KILL系列计算机病毒防范软件采用服务器/客户端构架。服务器端能够对Windows NT、NetWare、Domino/Notes等操作平台进行计算机病毒防护。根据服务器端系统平台的实际情况,设计院选择了相应的KILL网络版软件,分别在装有Windows NT Server系统的主域控制器、备份域控制器、成员服务器和单独服务器上装备了KILL for Windows NT 网络版,并在装有Domino/Notes的备份域控制器中安装了KILL for Exchange群件,从而实现了多平台服务器的全面防护。KILL服务器端软件的安装可以从本地服务器进行,也可以从一台服务器或工作站向远程服务器进行安装,由此实现了一点对多点的自动简易安装。
(2)客户端计算机病毒防护
根据工作站平台实际情况,设计院网络终端分别先用了相应的KILL客户端软件:DOS工作站安装KILL for DOS 客户端;Windows。X工作站安装KILL for Windows客户端软件;Windows95/98工作站上安装KILL for Windows95/98客户端软件;Windows NT WorkStation工作站安装KILL for WorkStation客户端件。客户端软件安装完成后,相应的KILL客户端软件对本地工作站实现计算机病毒防护功能,由此,客户端与服务器相配合的网络构架完成。
(3)电子邮件防毒
设计院内部网络采用Exchange邮件服务系统,因此,对于这个极易传播计算机病毒的邮件系统,采用KILL for Exchange实现邮件病毒防护。KILL for Lotus Notes选件具有实时扫描功能,当企业网络中用户使用Exchange读取和发送电子邮件时,KILL都会对计算机病毒进行检测,这样可以防止系统将感染文件附加在Exchange上或从Exchange上剥离受感染文件的情况。另外,KILL for Exchange选件的布告选项可以设置代理程序,将感染公告发送给收到和发送染毒文件的用户,或者直接给包含计算机病毒的Exchange发送消息。
(4)Internet网关病毒防护方案
KILL解决方案所采用的主要方式是通过对计算机病毒源进行控制,实现全面的计算机病毒防护。因此,设计院网络体系病毒防护方式是,在网关处安装Internet Protect选件从而解决网关病毒防护问题。
(5)计算机病毒防范网络管理能力实施现状
设计院防毒网络管理工作主要由KILL软件自动完成,系统管理员只要按照不同部门或地域的实际情况分组设置好域,整个网络的管理工作变得极度为简单。因为,KILL域管理功能可以自动统一KILL域中所有机器,能够避免同一组内的手工重复操作,根据实际需要,还可灵活设置某台机器的扫描作业及选项(包括实时扫描设置)、同时通过设置域扫描作业中的远程扫描选项可以实现对整个设计院网络系统的本地化统一管理。另外,对于系统中的重要服务器和工作站,利用KILL点对点扫描主式将能够重点保护重要信息。
(6)报警功能的实现
设计院KILL反毒网络建设完毕后,整个企业网便具有了相互间的通讯能力和报警能力,即通过KILL提供的网络广播、故障打印、MS Mail、邮件等多种报名方式对计算机病毒情况进行通报。与此相配合的是日志纪录,它包括了从服务器到客户端所有出现问题的计算机名称、用户名、使用时间、染毒情况、处理情况信息纪录。因此,从报警和日志信息,系统管理员便能够全面掌握整个网络的病毒情况,使网络管理更加简单、明了且有针对性。
(7)升级及维护功能的实现
升级问题是计算机病毒防范软件的一个重要考核标准,因此,KILL所提供的自动简单升级方法也是设计院选择KILL系列产品的一个重要原因。KILL主动邮件服务功能,能够直接将最新升级版本用电子邮件的方式发送到设计院指定电子邮箱中。同时,企业内部网通过简单配置,在一台服务器上下载升级文件便能够自动完成全域内所有计算机升级工作。即在TEST域中,系统管理员可以将S2作为下载升级文件服务器,当S2T升级文件下载成功后,KILL会自动将升级文件分发给其他服务器和NT工作站;在终端用户登录到升级后的服务器时,客户端会自动运行升级程序,从而完成客户端升级工作。
通过KILL所部署的整体设计院网络安全体系,不仅可以通过详细的日志管理,能够及时发现内闻传播计算机病毒的主要源泉,及时做出有效处理,实现更为规范的计算机安全管理,也为设计院信息化、现代化网络体系的进一步完善提供了安全保障。
3、服务器配置:
任意选择一台作为KILL域的主服务器。在主域服务器中启动KILL服务,它会自动寻找设计院企业网中其他NT、NetWare服务器和工作站,并显示KILL服务运行情况,对网络中所有服务器和工作站进行任务分配、自动下载和分发、扫描设置等日常安全维护工作,充分为网络每点给予保护。
4、客户端配置:
通过对KILL客户端的配置实现客户端自动安装和自动升级,客户端的安装可以从自身机器进行安装,也可以从服务器自动远程安装,只要配置好网络用户的登录设置后,即被登录服务器需要配置相应的用户登录脚本并将相应KILL客户端软件的安装文件放置在相应目录,设置为共享后,系统管理员便可以从设计院企业网中任意一台未安装KILL客户端的工作站登录到此服务器,完成自动远程安装工作站所需客户端软件的工作,当这台工作站下次登录时,KILL服务器会检查工作站是否已安装了KILL客户端软件,如已安装,则跳过自动安装过程,通过这种方式,能够确保每一台工作站都处于KILL的计算机病毒软件的保护之中。
5、客户支持:
计算机病毒的发展速度很快,因此计算机病毒防范产品的升级服务的技术服务就显得非常重要。鉴于此,冠群金辰根据中国国情建立起一套完善的服务网络体系。用户无需自己上网升级,KILL的主动服务系统会通过用户的电子邮箱自动将升级版本送到用户手中。
3.3.5 参考案例4:北信源防计算机病毒方案的设计和实现
关于人行上海分行网络计算机病毒防范安全管理方案实施
1、局域网的计算机病毒防护
(1)服务器端实时计算机病毒防范平台
对进出服务器的病毒进行自动过滤,进而阻止计算机病毒通过某台服务器向全网段传播。北信源公司网络计算机病毒防范平台依据操作系统分为三类:Window NT版本、Novel1版本、Unix版本,考虑到人民银行上海分行信息系统对服务器资源占用提出的极为严格要求,所有版本的计算机病毒防范软件资源占用率都做到了最小,能够完全胜任任何应用环境的需要。除了自动实时查杀因网络操作系统及磁盘、光盘等介质或调制解调器连接所收发文件而引起的计算机病毒,同时生成LOG日志文件,服务器端计算机病毒防范平台还可以指定目标,进行立即扫描及定时扫描。
(2)工作站端计算机病毒防护
工作站端实时计算机病毒防范软件主要针对MS-DOS,Windows 9X,Windows Workstation,Windows2000等平台设计,实时查杀微机上的通过磁盘、光盘、网络映射器、调制解调器连接所收发文件而引起的各种计算机病毒,同时在网络上具有计算机病毒信息集中审计功能,同时生成LOG日志文件,便于网络管理员的操作管理,并支持全息数据备份技术和系统灾难还原技术,以SamartUPTM(灵巧升级TM)方式快速升级。
(3)电子邮件、互联网系统计算机病毒防护
在邮件服务器(MAIL SERVER、EXCHANGE SERVER、NOTES、DOMINO SERVER)上,使用北信源杀毒软件网络版For WindowsNT防计算机病毒系统(基于邮件服务器扫描监控版本),它可WINDOWS NT作为邮件服务器对所收发的文件、电子邮件、以及通过INTERNET进入或传送的HTML文档的网络病毒袒监控过滤,实时监视远程客户端机器和本楼内客户端机器对服务器上文件的操作,包括邮件的上传邮件的下载、邮件的分发、邮件的转移等等,发现计算机病毒立即报警并自动清除,同时生成LOG日志文件,便于网络管理员的操作管理。
2、网络计算机病毒防范集中监控网管中心
专门提供网管使用,对整个网络实施计算机病毒防范集中管理监控。使得一个网管人员可以管理百个网段及数万台计算机,主要功能如下:
访问“安全审计数据库”,对整个网络所有节点染毒情况实施全面监控。
查询每台工作站和服务器计算机病毒防范软件的状态,如若计算机病毒防范软件未启动或未安装,则可强制相关点启动或安装。
如果网络被计算机病毒感染或发生其它异常情况,立即向网管发送寻呼声信息(可选)。
协同网管升级专家对应用系统进行数据分发及自动维护。
3、计算机病毒防范软件自动升级平台
与工作站和服务器端计算机病毒防范软件整合一起(是实时计算机病毒防范软件的功能模块),自动从“计算机病毒防范软件升级代码库”中提取版本信息,判断本机计算机病毒防范软件的版本情况并决定是否需要立即对本机计算机病毒防范软件进行升级。支持北信源公司独创的SmartUP灵巧升级。
(1)计算机病毒防范软件升级代码库
存放最新版本计算机病毒防范软件升级代码以及升级代码版本号。最新升级代码由网络从北信源获得。
网络中各节点所安装的“计算机病毒防范软件自动升级平台”通过查询、比较最新代码版本号的方法判断自身所管理的计算机病毒防范软件是否需要升级,如是则从升级代码库中自行下载相应最新版本升级文件并对计算机病毒防范软件进行自动升级。
网管所使用的“计算机病毒防范集中监控网管中心”组件,也能够对升级代码库中的版本号进行查询。
(2)计算机病毒防范安全审计数据库
用于记录整个网段中所有与计算机病毒相关的信息,并提供给整个网段、特别是网管“计算机病毒防范集中监控网管中心”使用。所记录的信息包括:
网段中所有节点被计算机病毒感染的民政部包括计算机病毒名称、感染时间、感染路径等等):
所有节点开机时间以及在运行过程中计算机病毒防范软件的工作状态:
所有节点计算机病毒防范软件升级时间、次数以及最新版本情况等。