科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航



ZDNet>网络频道>ZD评测>企业网络防范计算机病毒的需求

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

随着数字技术及Internet技术的日益发展,病毒技术也在不断发展提高。它们的传播途径越来越广,传播速度越来越快,造成的危害越来越大,几乎到了令人防不胜防的地步。

来源:zdnet网络安全 2008年03月03日

关键字:杀毒软件 木马 反病毒 病毒防范 防病毒 病毒

随着数字及Internet技术的日益发展,病毒技术也在不断发展提高。它们的传播途径越来越广,传播速度越来越快,造成的危害越来越大,几乎到了令人防不胜防的地步。

很多企业在建立了一个完整的网络平台之后,急需一个切实可行的防病毒解决方案,来确保整个企业的业务数据不受到病毒的破坏,日常工作不受病毒的侵扰。那么,什么是企业网络的管理者在设计网络房病毒方案时需要考虑的呢?企业网络防病毒工作与个人用户病毒防治有哪些区别?本文将从企业网络的典型结构、典型应用以及现代病毒利用网络特征的传播趋势来回答这些问题,最后我们得出企业网络防病毒体系对反病毒技术和工具的需求点在哪里,从而回答一款真正的网络病毒防治产品应该有哪些性能要求。

一、企业网络的典型结构

现代化企业计算机网络是在一定的硬件设备系统构架下对各种信息数据进行收集、处理加工和汇总的综合应用体系。目前大多数的企业网络都具有大致相似的体系结构,这种体系结构的相似性表现在网络的底层基本协议构架、操作系统、通讯协议以及高层企业业务应用上,这就为通用的企业网络防病毒软件提供了某种程度的可以利用的共性。

从网络底层基本构架上,尽管不同的企业可能选择千差万别的联网设备,网络结构的复杂程度从简单的对等节点网络到三层交换复杂网络,但差不多全都是以太网结构,及基于IEEE 802.2和IEE 802.3规范。事实已经证明,这是一种成熟、经济的桌面应用网络方案。目前应用最多的是一种交换到桌面的10M/100M快速以太网。

从网络的应用模式上看,现代企业网络都是基于一种叫做服务器/客户端的计算模式,及由服务器来处理关键性的业务逻辑和企业核心业务数据,客户端机器处理用户界面以及与用户的直接交互。服务器是网络的中枢和信息化核心,具有高性能、高可靠性、高可用性、I/O吞吐能力强、存储容量大、连网和网络管理能力强等特点。客户端机器从硬件上没有特殊的要求,一般普通PC机就可以胜任。企业网络往往有一台或多台主要的业务服务器,在此之下分布着众多客户机或工作站,以及不同的应用服务器。根据不同的任务和功能服务,典型的服务器应用类型有:文件服务器、邮件服务器、Web服务器、数据库服务器和应用服务器等。

从操作系统上看,企业网络的客户端基本上都是Windows平台,中小企业服务器一般采用Win NT/2000系统,部分行业用户或大型企业的关键业务应用服务器采用Unix操作系统。Win平台的特点是价格比较便宜,具有良好的图形用户界面;而Unix系统的稳定性和大数据量可靠处理能力使得它更适合与关键性业务应用。

从通讯协议上看,目前企业网络绝大部分采用TCP/IP协议。TCP/IP本来是一种Internet的通讯协议,但是主流操作系统和绝大部分应用软件的支持以及它本身的发展,已经使得它足以承担从企业内网到Internet的主要通讯协议重任。当然,为了管理的方便或某些特殊的需求,在企业内网上常见的协议也包括NetBIOS、IPX/SPX等。

二、企业网络的典型应用

当前,企业网络主要应用于文件和打印服务共享、办公自动化系统、企业业务(MIS)系统、Internet应用等领域。

文件和打印共享是企业建网的最初目的,也是计算机网络的最基本应用。有了网络,文件再也不用通过软盘拷来拷去,同时大文件的交换、应用程序共享等也变得方便,工作组的全体成员可以在自己的计算机上使用共享的打印机。

办公自动化(OA)应用:企业网络应用达到了一定的层次,就需要一种更加方便的内部通讯和消息传送机制,以及工作流程在计算机上的体现和基于网络的协同工作机制,对办公信息也更加要求规范化和一致化,而且能够将所有的办公文档汇集在一起,方便地进行统计和查找,按照不同的权限设置在企业成员之间共享。基于这些需求建立起来的应用系统,就是企业的办公自动化(OA)应用。目前的OA应用系统大都建立在一种叫做群件的软件平台上,最流行的群件软件有Lotus公司的Domino/Notes系统以及微软的Exchange/OutLook系统。

企业管理信息系统(MIS):企业信息管理系统是能对企业管理的各种信息进行收集、分析、储存、传输、维护,为企业管理提供决策信息,是一个利用现代计算机信息及网络技术进行企业综合管理的系统工程。MIS与OA的区别在于MIS系统管理的是高度结构化,数据粒度比较小的业务信息,比如财务数据,它的长项在于数据实时的统计查询和灵活的报表生成;而OA管理的是非结构化的数据,包括大规模的文本、图像、声音等,它的长项在于规范工作成员之间的工作流程和促进交流与协作。

企业应用MIS和OA系统进行业务数据管理和工作流程管理,这些系统都充分地利用了网络的数据交换特征,大量的文档、结构化或非结构化的业务数据通过网络来传输和处理。这种频繁和大规模的文件、数据交换也为病毒通过网络传播大开了便利之门。

企业Internet应用:企业需要收发Internet邮件,浏览外部网页,发布自己的企业信息。所有这些都需要企业内部网络与Internet之间连接的畅通无阻。畅通的Internet连接使得企业方便地获取和发布信息的同时,也为病毒的乘虚而入创造了条件。

总之,企业应用需要网络的便利信息交换特性,病毒也可以充分利用网络的特性来达到它的传播目的。企业在充分地利用网络进行业务处理时,就不得不考虑企业的病毒防范问题,以保证关系企业命运的业务数据完整不被破坏。

三、病毒在企业网内部的传播过程

目前,互联网已经成为病毒传播最大的来源,电子邮件和网络信息传递为病毒传播打开了高速的通道。企业网络化的发展也有助于病毒的传播速度大大提高,感染的范围也越来越广。可以说,网络化带来了病毒传染的高效率,而病毒传染的高效率也对防病毒产品提出了新的要求。

近一、二年,全球的企业网络经历了网络病毒的不断侵袭。 “爱虫”、“探险者”(Explore)、Matrix病毒可以算是大名鼎鼎了。这些病毒几乎一夜之间让世界为之震惊,唤醒了人们对于网络防毒的重视。我们以Remote Explore、Matri、LOVELETTER三个典型病毒为例,来说明网络病毒如何在通过Internet进入企业网络并在内部快速传播。

① 病毒Remote Explore算是网络病毒的“先驱者”,它于98年爆发,至今是病毒发展历史中的一个重要标志。

Remote Explore病毒通过盗取WINDOWS NT域管理员的帐号进行传播。如果一个具有管理员身份的用户执行了染毒的程序,该病毒便以服务(Service)的方式驻留内存,取名为“Remote Explore”,并在染毒系统中安装文件\winnt\system32\drivers\ie403r.sys。

这时,另一台NT机器只要用同一管理员帐号登录到染毒的机器中,该病毒就可以感染WIN NT 局域网附加网络驱动器中的文件。当病毒被激活后,它便在共享的网络驱动器上随机选择一个文件夹,感染除.dll 或.tmp扩展名的文件外的所有其他文件,连一些DOS下的EXE文件同样难逃厄运……。

② 病毒Matrix(还有许多别名)在2000年8月发源于德国,在当时它是一个危险级数相当高的病毒。该病毒之所以能够在全球范围内广泛且快速传播,是由于它具有网络蠕虫的特性,即利用INTERNET和局域网进行传播。

该病毒以邮件附件的形式传播。当接收者打开附件,该病毒便在网络系统内安装文件到c:\windows目录下,然后将系统内的WSOCK32.DLL删除,把WSOCK32.MTX更名为WSOCK32.DLL。这样,受感染系统在发送邮件时增加自动发送附件的功能,附件即为蠕虫的副本。此外,病毒还能对网上邻居中的所有可用资源(映像驱动器)进行搜索,以便能够同本机进行文件传输,从而达到感染网络中其它机器的目的。

病毒通过创建wininit.ini文件,在每次系统启动后自动运行。另外,被安装的文件MTX_.EXE还能够将系统连接到指定的站点,并下载新的病毒插件,以完成自身更新。

③ 病毒LOVELETTER于2000年5月发源于菲律宾。“爱虫”病毒可谓家喻户晓,它在全世界制造的恐慌给人们留下了深刻的教训。

“爱虫”病毒最大的特点是通过EMAIL和IRC快速传播。在通过电子邮件传播时,它不放过地址簿中的每一个地址,而且,邮件的主题还是具有诱惑性的“I LOVE YOU”。附件为LOVE-LETTER-FOR-YOU.TXT.VBS,一旦用户打开附件,病毒便进行感染:搜索outlook地址簿、IRC连接、发送带有病毒的邮件、通过IRC感染其它用户……。

本机系统被感染后,爱虫病毒开始查找所有相连接的固定和移动的驱动器,用自身代码覆盖扩展名为vbs、vbe、js、jse、css、wsh、sct和hta的所有文件。而对于jpg、jpeg文件,爱虫病毒不仅用病毒代码覆盖原文件,还添加.vbs扩展名……。

从上面典型病毒传播方式可以看出,现代病毒在企业网络内部之所以能够快速而广泛传播,是因为它们充分利用了网络的特点。

一般来说,计算机网络的基本构成包括网络服务器和网络节点站(包括有盘工作站,无盘工作站和远程工作站)。计算机病毒一般首先通过有盘工作站传播到软盘和硬盘,然后进入网络,进一步在网上的传播。具体来说,其传播方式有如下几种:

① 病毒直接从有盘站拷贝到服务器中;

② 病毒先传染工作站,在工作站内存驻留,等运行网络盘内程序时再传染给服务器;

③ 病毒先传染工作站,在工作站内存驻留,在运行时直接通过映像路径传染到服务器;

④ 如果远程工作站被病毒侵入,病毒也可以通过通讯中数据交换进入网络服务器中。

由以上病毒在网络上传播方式可以看出,在网络环境下,网络病毒除了具有可传播性、可执行性、破坏性、可触发性等计算机病毒的共性外,还具有一些新的特点:

① 感染速度快。在单机环境下,病毒只能通过软盘从一台计算机带到另一台,而在网络中则可以通过网络通讯机制进行迅速扩散。

② 扩散面广。由于病毒在网络中扩散非常快,扩散范围很大,不但能迅速传染局域网内所有计算机,还能在瞬间通过远程工作站将病毒传播到千里之外。

③ 传播的形式复杂多样。计算机病毒在网络上一般是通过“工作站-服务器-工作站”的途径进行传播的,但传播的形式复杂多样。

④ 难于彻底清除。单机上的计算机病毒有时可通过删除带毒文件、低级格式化硬盘等措施将病毒彻底清除。而企业网络中,只要有一台工作站未能消毒干净,就可能使整个网络重新被病毒感染,甚至刚刚完成清除工作的一台工作站就有可能被网上另一台带毒工作站所感染。

⑤ 破坏性大。网络上病毒将直接影响网络的工作,轻则降低速度,影响工作效率,重则使网络崩溃, 破坏服务器信息,使多年工作毁于一旦。

四、企业信息系统管理者对杀毒软件的需求

企业信息系统管理者在选择杀毒软件时,首先要考虑到解决方案的整体性。企业级防病毒解决方案针对一个特定的网络环境,涉及不同的软硬件设备。与此同时,病毒的来源也远比单机环境复杂得多。因此,所选择的企业杀毒软件不仅要能保护文件服务,同时也要对邮件服务器、员工用PC、网关等所有计算机设备进保护。而且,它必须能从邮件、FTP文件、网页、软盘、光盘等所有可能带来病毒的信息源进行监控和病毒拦截。具体来说,企业管理者对网络防毒方面应该重点考虑以下几个方面,这也是网络防病毒软件应该具有的功能:

1、病毒查杀能力

病毒查杀能力是最容易引起用户注意的产品参数。可查杀病毒的种数固然是多多益善,但也要关注它对实际流行病毒的查杀能力。因为用户是要用它查杀可能染上的病毒,有些病毒虽然曾流行过,但却是我们今后不会再遇上的。

2、对新病毒的反应能力

对新病毒的反应能力是考察一个防病毒软件好坏的重要方面。这一点主要从三个方面衡量:软件供应商的病毒信息搜集网络、病毒代码的更新周期和供应商对用户发现的新病毒的反应周期。

通常,防病毒软件供应商都会在全国甚至全世界各地建立一个病毒信息的收集、分析和预测网络,使其软件能更加及时、有效地查杀新出现的病毒。因此,这一搜集网络多少反映了软件商对新病毒的反应能力。

病毒代码的更新周期各个厂商也不尽相同,有的一个周更新一次,有的半个月。而供应商对用户发现的新病毒的反应周期不仅体现了厂商对新病毒的反应速度,实际上也反映了厂商对新病毒查杀的技术实力。

3、病毒实时监测能力

按照统计,目前的病毒中最常见的是通过邮件系统来传输,另外还有一些病毒通过网页传播。这些传播途径都有一定的实时性,用户无法人为地了解可能感染的时间。因此,防病毒软件的实时监测能力显得相当重要。应该说,目前绝大多数该类软件都拥有这一功能,但实时监测的信息范围仍值得注意。

4、快速、方便的升级

企业级防病毒软件对更新的及时性需求尤其突出。多数反病毒软件采用了Internet进行病毒代码和病毒查杀引擎的更新,并可以通过一定的设置自动进行,尽可能地减少人力的介入。值得一提的是,这种升级信息也需要和安装一样能方便地“分发”到各个终端。

5、智能安装、远程识别

由于局域网中,服务器、客户端承担的任务不同,在防病毒方面的要求也不大一样。因此在安装时如果能够自动区分服务器与客户端,并安装相应的软件,这对管理员来说是将一件十分方便的事。远程安装、远程设置,这也是网络防毒区分单机防毒的一点。这样做可以大大减轻管理员“奔波”于每台机器进行安装、设置的繁重工作,即可以对全网的机器进行统一安装,又可以有针对性的设置。

6、管理方便,易于操作

系统的可管理性是系统管理员尤其需要注意。一个简单的例子是防病毒软件的参数设置。管理员从系统整体角度出发对各台计算机上的设置,如果各员工随意修改自己使用的计算机上防毒软件参数,可能会造成一些意想不到的漏洞,使病毒趁虚而入。

另外,管理者需要随时随地地了解各台计算机病毒感染的情况,并借此制定或调整防病毒策略。因此,生成病毒监控报告等辅助管理措施将会有助于防病毒软件应用更加得心应手。

一些防病毒软件采用了远程管理的措施,把企业用户的防病毒管理由专业防病毒厂商的控制中心专门管理,从而降低用户企业的管理难度。

7、对现有资源的占用情况

防病毒程序进行实时监控都或多或少地要占用部分系统资源,这就不可避免地要带来系统性能的降低。尤其是对邮件、网页和FTP文件的监控扫描,由于工作量相当大,因此对系统资源的占用较大。如一些单位上网速度感觉太慢,有一部分原因是防病毒程序对文件“过滤”带来的影响。

另一个是升级信息的交换,下载和分发升级信息都将或多或少地占用网络带宽。但这一影响比起其它方面来说要小得多,多数产品每次升级信息包的数据不过几百KB而已。

8、系统兼容性

系统兼容性并不是仅仅选购防病毒软件时需要考虑的事,而是买绝大多数软件时都必须考虑的因素。不同的是,防病毒软件的一部分常驻程序如果跟其它软件不兼容将会带来更大的问题。

9、软件的价格

就价格来说,企业级防病毒软件大多是按照网络规模来确定初次购买和后继的升级费用的。初次购买后,软件商一般会提供一定时期的免费升级,而此后的升级及服务如何收费也需做到心中有数。

不同的选购参数对不同的用户有不同的权重。企业可以根据具体系统的情况确定哪一因素作为购买时最重要的参考。

10、软件商的企业实力

软件商的实力一方面指它对现有产品的技术支持和服务能力,另一方面是指它的后续发展能力。因为企业级防毒软件实际是用户企业与防病毒厂商的长期合作,企业实力将会影响这种合作的持续性,从而影响到用户企业在此方面的投入成本。

五、一款真正的网络防病毒软件需要具备什么

一款真正的企业防病毒产品的哪些功能最为重要?防毒软件的易管理性和全面防毒功能是多数企业网络管理者关注的焦点。

现在的防病毒软件已不仅是检测和清除病毒。企业级防病毒应加强对病毒的防护工作。通过远程安装全面部署防病毒软件,保证不出现防病毒漏洞。因此,远程安装、集中管理、统一防病毒策略成为了企业级防病毒产品的重要功能。

目前,计算机病毒形式及传播途径日趋多样化,大型企业网络系统的防病毒工作已不再是简单的、单台计算机病毒的检测及清除,而需要建立多层次的、立体的病毒防护体系,而且要具备完善的管理系统来设置和维护病毒防护策略。

这里的多层次病毒防护体系是指在企业的每个台式机上安装台式机的反病毒软件,在服务器上安装基于服务器的反病毒软件,在Internet网关上安装基于Internet网关的反病毒软件。因为对企业网络系统来说,防止病毒的攻击并不是保护某一台服务器或台式机,而是从工作站到服务器到网关的全面保护,这样才能保证整个企业网不受计算机病毒的侵害。

在大型跨地区的企业广域网内,要保证整个广域网安全无毒,首先要保证每一个局域网的安全无毒。也就是说,一个企业网的防病毒体系是建立在每个局域网的防病毒系统上的。应该根据每个局域网的防病毒要求,建立局域网防病毒控制系统,分别设置有针对性的防病毒策略。从总部到分支机构,由上到下,各个局域网的防病毒系统相结合,最终形成一个立体的、完整的广域网病毒防护体系。

推广二维码
邮件订阅

如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

重磅专题