論文計(jì)算機(jī)病毒原理與防護(hù)

1、青島恒星職業(yè)技術(shù)學(xué)院畢業(yè)論文（設(shè)計(jì)）青島恒星職業(yè)技術(shù)學(xué)院高等職業(yè)教育?？芲計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)_專業(yè)畢業(yè)論文（設(shè)計(jì)）青島恒星職業(yè)技術(shù)學(xué)院畢業(yè)論文（設(shè)計(jì)）題目：計(jì)算機(jī)病毒原理與防范姓名：張鍇_學(xué)號(hào)：0800327_指導(dǎo)教師及職稱：所在學(xué)院； 信息學(xué)院 2010年 10 月 18 日目錄第一章 計(jì)算機(jī)病毒的特點(diǎn)及其典型型癥狀5第二章 病毒的判別方法及病毒的命名規(guī)則6病毒的命名解釋7第三章 病毒的預(yù)防技術(shù)及預(yù)防措施9單機(jī)的防范9小型局域網(wǎng)的防范113.2.1型局域網(wǎng)的特點(diǎn).113.2.2 簡(jiǎn)單對(duì)等網(wǎng)絡(luò)的防范113.2.3 windows nt網(wǎng)絡(luò)的防毒123.2.4 netware網(wǎng)絡(luò)的防毒133.2.5

2、 unix/linux網(wǎng)絡(luò)的防毒14大型網(wǎng)絡(luò)的防范143.3.1 大型復(fù)雜企業(yè)網(wǎng)絡(luò)的特點(diǎn)143.3.2 參考案例1：熊貓衛(wèi)士防計(jì)算機(jī)病毒方案的設(shè)計(jì)和實(shí)現(xiàn)153.3.3 參考案例2：賽門鐵克防計(jì)算機(jī)病毒方案的設(shè)計(jì)和實(shí)現(xiàn)183.3.4 參考案例3：kill防計(jì)算機(jī)病毒方案的設(shè)計(jì)和實(shí)現(xiàn)203.3.5 參考案例4：北信源防計(jì)算機(jī)病毒方案的設(shè)計(jì)和實(shí)現(xiàn)24第四章 病毒主動(dòng)防御的可行性26五、結(jié)束語27摘 要隨著計(jì)算機(jī)在社會(huì)生活各個(gè)領(lǐng)域的廣泛運(yùn)用，計(jì)算機(jī)病毒攻擊與防范技術(shù)也在不斷拓展。據(jù)報(bào)道，世界各國(guó)遭受計(jì)算機(jī)病毒感染和攻擊的事件數(shù)以億計(jì)，嚴(yán)重地干擾了正常的人類社會(huì)生活，給計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)帶來了巨大的潛在威

3、脅和破壞。與此同時(shí)，病毒技術(shù)在戰(zhàn)爭(zhēng)領(lǐng)域也曾廣泛的運(yùn)用，在海灣戰(zhàn)爭(zhēng)、近期的科索沃戰(zhàn)爭(zhēng)中，雙方都曾利用計(jì)算機(jī)病毒向敵方發(fā)起攻擊，破壞對(duì)方的計(jì)算機(jī)網(wǎng)絡(luò)和武器控制系統(tǒng)，達(dá)到了一定的政治目的與軍事目的?？梢灶A(yù)見，隨著計(jì)算機(jī)、網(wǎng)絡(luò)運(yùn)用的不斷普及、深入，防范計(jì)算機(jī)病毒將越來越受到各國(guó)的高度重視。關(guān)鍵詞 ：計(jì)算機(jī)病毒 預(yù)防 防火墻 漏洞 安全掃描abstractabstract: with the computer in all areas of social life, the extensive use of computer virus attacks and prevention techniques

4、 are expanding. according to reports, the world suffer from computer virus infections and attacks of hundreds of millions of events, which seriously interferes with the normal life of human society, to the computer networks and systems have brought tremendous potential threats and destruction. at th

5、e same time, the virus also in the field of war, widely used in the gulf war, the recent kosovo war, both sides have used computer viruses to attack enemy, destroy the opponents computer networks and weapons control systems, to a certain political objectives and military objectives. can be expected,

6、 with the computer, the growing popularity of internet use, in-depth to prevent computer viruses will be more and more national attention. 、key words： computer virus prevention firewall security vulnerability scanning 引言計(jì)算機(jī)病毒一直是計(jì)算機(jī)用戶和安全專家的心腹大患，雖然計(jì)算機(jī)反病毒技術(shù)不斷更新和發(fā)展，但是仍然不能改變被動(dòng)滯后的局面，計(jì)算機(jī)用戶必須不斷應(yīng)付計(jì)算機(jī)新病毒的出現(xiàn)?；?/p>

7、聯(lián)網(wǎng)的普及，更加劇了計(jì)算機(jī)病毒的泛濫。從上世紀(jì)90年代中后期開始，隨著國(guó)際互聯(lián)網(wǎng)的發(fā)展壯大，依賴互聯(lián)網(wǎng)絡(luò)傳播的郵件病毒、宏病毒和蠕蟲病毒等大量涌現(xiàn)，病毒傳播速度加快、隱蔽性增強(qiáng)、破壞性變大。最近這幾年新病毒層出不窮，出現(xiàn)了“紅色代碼”、“尼姆達(dá)”、“愛蟲”、 “sql蠕蟲” 、“求職信”、“沖擊波”、“惡郵差”等等許多影響廣、破壞大的病毒，眾多病毒中蠕蟲病毒的發(fā)展的特別快。最新發(fā)現(xiàn)的震蕩波病毒來勢(shì)洶洶，該病毒通過微軟的最新高危漏洞lsass 漏洞(微軟ms04-011 公告)進(jìn)行傳播，危害性極大，目前 windows 2000/xp/server 2003 等操作系統(tǒng)的用戶都存在該漏洞，這些操

8、作系統(tǒng)的用戶只要一上網(wǎng)，就有可能受到該病毒的攻擊。計(jì)算機(jī)病毒的產(chǎn)生和迅速蔓延，使計(jì)算機(jī)系統(tǒng)的安全受到了極大的威脅，人們意識(shí)到計(jì)算機(jī)安全的重要性，也因此產(chǎn)生了對(duì)計(jì)算機(jī)反病毒技術(shù)的需求。隨著計(jì)算機(jī)病毒采用的新技術(shù)不斷出現(xiàn)，計(jì)算機(jī)反病毒技術(shù)也不斷更新和發(fā)展，產(chǎn)生了實(shí)時(shí)反病毒技術(shù)、啟發(fā)式代碼掃描技術(shù)等許多優(yōu)秀的反病毒技術(shù)。日新月異的計(jì)算機(jī)技術(shù)給計(jì)算機(jī)病毒提供了存在和發(fā)展的空間，尤其是網(wǎng)絡(luò)技術(shù)的發(fā)展大大加快了計(jì)算機(jī)病毒的傳播速度，日益普及的計(jì)算機(jī)網(wǎng)絡(luò)給人們帶來了許多的方便的同時(shí)也給計(jì)算機(jī)病毒技術(shù)的傳播和發(fā)展提供了便利。隨著計(jì)算機(jī)病毒的傳播和攻擊方式不斷發(fā)展變化，我們必須不斷調(diào)整防范計(jì)算機(jī)病毒的策略，提升

9、和完善計(jì)算機(jī)反病毒技術(shù)，以對(duì)抗計(jì)算機(jī)病毒的危害。計(jì)算機(jī)病毒的防范是一項(xiàng)長(zhǎng)期且艱巨的任務(wù)。第一章 計(jì)算機(jī)病毒的特點(diǎn)及其典型型癥狀計(jì)算機(jī)病毒是一個(gè)程序，一段可執(zhí)行碼。就像生物病毒一樣，計(jì)算機(jī)病毒有獨(dú)特的復(fù)制能力。計(jì)算機(jī)病毒可以很快地蔓延，又常常難以根除。它們能把自身附著在各種類型的文件上。當(dāng)文件被復(fù)制或從一個(gè)用戶傳送到另一個(gè)用戶時(shí)，它們就隨同文件一起蔓延開來。除復(fù)制能力外，某些計(jì)算機(jī)病毒還有其它一些共同特性：一個(gè)被污染的程序能夠傳送病毒載體。當(dāng)你看到病毒載體似乎僅僅表現(xiàn)在文字和圖象上時(shí)，它們可能也已毀壞了文件、再格式化了你的硬盤驅(qū)動(dòng)或引發(fā)了其它類型的災(zāi)害。若是病毒并不寄生于一個(gè)污染程序，它仍然能通

10、過占據(jù)存貯空間給你帶來麻煩，并降低你的計(jì)算機(jī)的全部性能。 例如，某些病毒會(huì)大量釋放垃圾文件，占用硬盤資源。還有的病毒會(huì)運(yùn)行多個(gè)進(jìn)程，使中毒電腦運(yùn)行變得非常慢?？梢詮牟煌嵌冉o出計(jì)算機(jī)病毒的定義。一種定義是通過磁盤、磁帶和網(wǎng)絡(luò)等作為媒介傳播擴(kuò)散 ,能“傳染” 其他程序的程序。另一種是能夠?qū)崿F(xiàn)自身復(fù)制且借助一定的載體存在的具有潛伏性、傳染性和破壞性的程序。還有的定義是一種人為制造的程序 ,它通過不同的途徑潛伏或寄生在存儲(chǔ)媒體（如磁盤、內(nèi)存）或程序里。當(dāng)某種條件或時(shí)機(jī)成熟時(shí) ,它會(huì)自生復(fù)制并傳播 ,使計(jì)算機(jī)的資源受到不同程序的破壞等等。這些說法在某種意義上借用了生物學(xué)病毒的概念 ,計(jì)算機(jī)病毒同生物病

11、毒所相似之處是能夠侵入計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò) ,危害正常工作的“病原體”。它能夠?qū)τ?jì)算機(jī)系統(tǒng)進(jìn)行各種破壞 ,同時(shí)能夠自我復(fù)制 , 具有傳染性。要防治計(jì)算機(jī)病毒須做到“三打三防 “三打” 就是安裝新的計(jì)算機(jī)系統(tǒng)時(shí)，要注意打系統(tǒng)補(bǔ)丁，震蕩波一類的惡性蠕蟲病毒一般都是通過系統(tǒng)漏洞傳播的，打好補(bǔ)丁就可以防止此類病毒感染；用戶上網(wǎng)的時(shí)候要打開殺毒軟件實(shí)時(shí)監(jiān)控，以免病毒通過網(wǎng)絡(luò)進(jìn)入自己的電腦；玩網(wǎng)絡(luò)游戲時(shí)要打開個(gè)人防火墻，防火墻可以隔絕病毒跟外界的聯(lián)系，防止木馬病毒盜竊資料?！叭馈?就是防郵件病毒，用戶收到郵件時(shí)首先要進(jìn)行病毒掃描，不要隨意打開電子郵件里攜帶的附件；防木馬病毒，木馬病毒一般是通過惡意網(wǎng)站散播，

12、用戶從網(wǎng)上下載任何文件后，一定要先進(jìn)行病毒掃描再運(yùn)行；防惡意“好友”，現(xiàn)在很多木馬病毒可以通過 msn、 qq等即時(shí)通信軟件或電子郵件傳播，一旦你的在線好友感染病毒，那么所有好友將會(huì)遭到病毒的入侵。計(jì)算機(jī)病毒的典型癥狀：計(jì)算機(jī)病毒和人體中和病毒一樣，它的發(fā)作也有自己的典型癥狀，主要有： （a） 屏幕異常滾動(dòng)，和行同步無關(guān)。 （b） 系統(tǒng)文件長(zhǎng)度發(fā)生變化。 （c） 出現(xiàn)異常信息、異常圖形。 （d） 運(yùn)行速度減慢，系統(tǒng)引導(dǎo)、打印速度變慢。 （e） 存儲(chǔ)容量異常減少。 （f） 系統(tǒng)不能由硬盤引導(dǎo)。 （g） 系統(tǒng)出現(xiàn)異常死機(jī)。 （h） 數(shù)據(jù)丟失。第二章 病毒的判別方法及病毒的命名規(guī)則我的電腦經(jīng)常出現(xiàn)死

13、機(jī)、運(yùn)行速度慢等異常情況，使用了多種殺毒軟件也不見效，如何判斷電腦異常是否是病毒在作怪？ 這樣的例子并不少見，特別是對(duì)于一些初級(jí)電腦用戶。下面我就結(jié)合個(gè)人電腦使用及企業(yè)網(wǎng)絡(luò)維護(hù)方面的防毒經(jīng)驗(yàn)從以下幾個(gè)方面給大家介紹介紹如何判斷是否中了病毒，希望對(duì)幫助識(shí)別真毒有一定幫助！ 電腦出故障不只是因?yàn)楦腥静《静艜?huì)有的，個(gè)人電腦使用過程中出現(xiàn)各種故障現(xiàn)象多是因?yàn)殡娔X本身的軟、硬件故障引起的，網(wǎng)絡(luò)上的多是由于權(quán)限設(shè)置所致。我們只有充分地了解兩者的區(qū)別與聯(lián)系，才能作出正確的判斷，在真正病毒來了之時(shí)才會(huì)及時(shí)發(fā)現(xiàn)。下面我就簡(jiǎn)要列出了分別因病毒和軟、硬件故障引起的一些常見電腦故障癥狀分析。 經(jīng)常死機(jī)：病毒打開了許多

14、文件或占用了大量?jī)?nèi)存；不穩(wěn)定（如內(nèi)存質(zhì)量差，硬件超頻性能差等）；運(yùn)行了大容量的軟件占用了大量的內(nèi)存和磁盤空間；使用了一些測(cè)試軟件（有許多bug）；硬盤空間不夠等等；運(yùn)行網(wǎng)絡(luò)上的軟件時(shí)經(jīng)常死機(jī)也許是由于網(wǎng)絡(luò)速度太慢，所運(yùn)行的程序太大，或者自己的工作站硬件配置太低。 系統(tǒng)無法啟動(dòng)：病毒修改了硬盤的引導(dǎo)信息，或刪除了某些啟動(dòng)文件。如引導(dǎo)型病毒引導(dǎo)文件損壞；硬盤損壞或參數(shù)設(shè)置不正確；系統(tǒng)文件人為地誤刪除等。 文件打不開：病毒修改了文件格式；病毒修改了文件鏈接位置。文件損壞；硬盤損壞；文件快捷方式對(duì)應(yīng)的鏈接位置發(fā)生了變化；原來編輯文件的軟件刪除了；如果是在局域網(wǎng)中多表現(xiàn)為服務(wù)器中文件存放位置發(fā)生了變化，

15、而工作站沒有及時(shí)涮新服器的內(nèi)容（長(zhǎng)時(shí)間打開了資源管理器）。 經(jīng)常報(bào)告內(nèi)存不夠：病毒非法占用了大量?jī)?nèi)存；打開了大量的軟件；運(yùn)行了需內(nèi)存資源的軟件；系統(tǒng)配置不正確；內(nèi)存本就不夠（目前基本內(nèi)存要求為128m）等。 提示硬盤空間不夠：病毒復(fù)制了大量的病毒文件（這個(gè)遇到過好幾例，有時(shí)好端端的近10g硬盤安裝了一個(gè)win98或winnt4.0系統(tǒng)就說沒空間了，一安裝軟件就提示硬盤空間不夠。硬盤每個(gè)分區(qū)容量太??；安裝了大量的大容量軟件；所有軟件都集中安裝在一個(gè)分區(qū)之中；硬盤本身就??；如果是在局域網(wǎng)中系統(tǒng)管理員為每個(gè)用戶設(shè)置了工作站用戶的私人盤使用空間限制，因查看的是整個(gè)網(wǎng)絡(luò)盤的大小，其實(shí)私人盤上容量已用完了

16、。 軟盤等設(shè)備未訪問時(shí)出讀寫信號(hào)：病毒感染；軟盤取走了還在打開曾經(jīng)在軟盤中打開過的文件。 出現(xiàn)大量來歷不明的文件：病毒復(fù)制文件；可能是一些軟件安裝中產(chǎn)生的臨時(shí)文件；也或許是一些軟件的配置信息及運(yùn)行記錄。 啟動(dòng)黑屏：病毒感染；顯示器故障；顯示卡故障；主板故障；超頻過度；cpu損壞等等 數(shù)據(jù)丟失：病毒刪除了文件；硬盤扇區(qū)損壞；因恢復(fù)文件而覆蓋原文件；如果是在網(wǎng)絡(luò)上的文件，也可能是由于其它用戶誤刪除了。病毒的命名規(guī)則：病毒的命名并沒有一個(gè)統(tǒng)一的規(guī)定，每個(gè)反病毒公司的命名規(guī)則都不太一樣，但基本都是采用前、后綴法來進(jìn)行命名的，可以是多個(gè)前綴、后綴組合，中間以小數(shù)點(diǎn)分隔，一般格式為：前綴病毒名后綴1病毒前

17、綴病毒前綴是指一個(gè)病毒的種類，我們常見的木馬病毒的前綴是“trojan”，蠕蟲病毒的前綴是“worm”，其他前綴還有如“macro”、“backdoor”、“script”等。2病毒名病毒名是指一個(gè)病毒名稱，如以前很有名的cih病毒，它和它的一些變種都是統(tǒng)一的“cih”，還有振蕩波蠕蟲病毒，它的病毒名則是“sasser”。3病毒后綴病毒后綴是指一個(gè)病毒的變種特征，一般是采用英文中的26個(gè)字母來表示的，如 “worm.sasser.c”是指振蕩波蠕蟲病毒的變種c。如果病毒的變種太多了，那也可以采用數(shù)字和字母混合的方法來表示病毒的變種。病毒的命名解釋1木馬病毒木馬病毒的前綴是：trojan。木馬病

18、毒的特點(diǎn)就是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)入用戶的系統(tǒng)并隱藏，然后再向外界泄露用戶的信息。一般的木馬如qq消息尾巴trojan.qqpsw.r，網(wǎng)絡(luò)游戲木馬病毒trojan.startpage.fh等。病毒名中有psw或者什么pwd之類的是表示這個(gè)病毒有盜取密碼的功能，所有這類病毒特別需要注意。2腳本病毒腳本病毒的前綴是：script。腳本病毒是用腳本語言編寫，通過網(wǎng)頁進(jìn)行的傳播的病毒，如紅色代碼script.redlof等。有些腳本病毒還會(huì)有 vbs、html之類的前綴，是表示用何種腳本編寫的，如歡樂時(shí)光vbs.happytime、html.reality.d等。3系統(tǒng)病毒系統(tǒng)病毒的前綴為：win3

19、2、pe、win95、w32、w95等。這些病毒的特點(diǎn)是可以感染windows操作系統(tǒng)的 *.exe 和 *.dll 文件，并通過這些文件進(jìn)行傳播，如以前有名的cih病毒就屬于系統(tǒng)病毒。4宏病毒宏病毒也可以算是腳本病毒的一種，由于它的特殊性，因此就單獨(dú)算成一類。宏病毒的前綴是：macro，第二前綴有word、word97、excel、 excel97等，根據(jù)感染的文檔類型來選擇相應(yīng)的第二前綴。該類病毒的特點(diǎn)就是能感染office系列的文檔，然后通過office通用模板進(jìn)行傳播，如以前著名的美麗莎病毒macro.melissa。5蠕蟲病毒 蠕蟲病毒的前綴是：worm。這種病毒的特點(diǎn)是可以通過網(wǎng)絡(luò)

20、或者系統(tǒng)漏洞來進(jìn)行傳播，很大部分的蠕蟲病毒都有向外發(fā)送帶毒郵件，阻塞網(wǎng)絡(luò)的特性，大家比較熟悉的這類病毒有沖擊波、震蕩波等。6捆綁機(jī)病毒捆綁機(jī)病毒的前綴是：binder。病毒作者會(huì)使用特定的捆綁程序把病毒與一些應(yīng)用程序（如qq等大家常用的軟件）捆綁起來，表面上看去是個(gè)正常的文件，但當(dāng)用戶運(yùn)行這些應(yīng)用程序時(shí)，也同時(shí)運(yùn)行了被捆綁在一起的病毒文件，從而給用戶造成危害。如系統(tǒng)殺手binder.killsys。7后門病毒后門病毒的前綴是：backdoor。該類病毒的特點(diǎn)就是通過網(wǎng)絡(luò)傳播來給中毒系統(tǒng)開后門，給用戶電腦帶來安全隱患。如愛情后門病毒worm.lovgate.a/b/c。第三章 病毒的預(yù)防技術(shù)及預(yù)

21、防措施單機(jī)的防范與以往的平臺(tái)相比，windows 95/98/nt/2000/xp引入了很多非常有用的特性，充分利用這些特性將能大大地增強(qiáng)軟件的能力和便利。應(yīng)該提醒的是，盡管windows 95/98/nt/2000/xp平臺(tái)具備了某些抵御計(jì)算機(jī)病毒的天然特性，但還是未能擺脫計(jì)算機(jī)病毒的威脅。單機(jī)防范計(jì)算機(jī)病毒，一是要在在思想重視、管理上到位，二是依靠防殺計(jì)算機(jī)病毒軟件。3.1.1、選擇一個(gè)功能完善的單機(jī)版防殺計(jì)算機(jī)病毒軟件一個(gè)功能較好的單機(jī)防殺計(jì)算機(jī)病毒軟件應(yīng)能滿足下面的要求：（1）擁有計(jì)算機(jī)病毒檢測(cè)掃描器。檢測(cè)計(jì)算機(jī)病毒有兩種方式，對(duì)磁盤文件的掃描和對(duì)系統(tǒng)進(jìn)行動(dòng)態(tài)的實(shí)時(shí)監(jiān)控。同時(shí)提供這兩種

22、功能是必要的，實(shí)時(shí)監(jiān)控保護(hù)更不可少。1）dos平臺(tái)的計(jì)算機(jī)病毒掃描器：由于系統(tǒng)引導(dǎo)過程中，windows 95/98未能提供任何保護(hù)。因此，在windows 95/98啟動(dòng)之前，有必要通過autoexec.bat或config.sys載入dos平臺(tái)的計(jì)算機(jī)病毒掃描器，對(duì)引導(dǎo)扇區(qū)、內(nèi)存或主要的系統(tǒng)文件進(jìn)行掃描，確保無毒后才繼續(xù)系統(tǒng)的啟動(dòng)。同時(shí)，在系統(tǒng)由于感染計(jì)算機(jī)病毒而崩潰或在內(nèi)存發(fā)現(xiàn)計(jì)算機(jī)病毒時(shí)，通過“干凈的”系統(tǒng)引導(dǎo)軟盤啟動(dòng)，dos掃描器便成為主要的殺毒工具。不過，在windows 95/98下“重新引導(dǎo)并切換到msdos方式”對(duì)大多數(shù)防殺計(jì)算機(jī)病毒軟件來說存在漏洞。此時(shí)針對(duì)windows

23、95/98的監(jiān)視已失效，只有少數(shù)軟件在windows 95/98目錄下的dosstart.bat里加入了dos指令掃描器。我們自己可以將dos指令掃描器添加到dosstart.bat去，增加dos下的保護(hù)。2）32位計(jì)算機(jī)病毒掃描器：供用戶對(duì)本地硬盤或網(wǎng)絡(luò)進(jìn)行掃描。它是專門為windows 95/98/nt/2000而設(shè)計(jì)的32位軟件，從而支持長(zhǎng)文件名及確保發(fā)揮最高的性能。（2）實(shí)時(shí)監(jiān)控程序：通過動(dòng)態(tài)實(shí)時(shí)監(jiān)控來進(jìn)行防毒。一般是通過虛擬設(shè)備程序（vxd）或系統(tǒng)設(shè)備程序（windows nt/2000下的sys）形式而不是傳統(tǒng)的駐留內(nèi)存方式（tsr）進(jìn)行實(shí)時(shí)監(jiān)控。實(shí)時(shí)監(jiān)控程序在磁盤讀取等動(dòng)作中實(shí)行

24、動(dòng)態(tài)的計(jì)算機(jī)病毒掃描，并對(duì)計(jì)算機(jī)病毒和一些類似計(jì)算機(jī)病毒的活動(dòng)發(fā)出警告。（3）未知計(jì)算機(jī)病毒的檢測(cè)：新的計(jì)算機(jī)病毒平均以每天45個(gè)的速度出現(xiàn)，而計(jì)算機(jī)病毒特征代碼庫的升級(jí)一般每月一次，這是不夠的。理想的防殺計(jì)算機(jī)病毒軟件除了使用特征代碼來檢測(cè)已知計(jì)算機(jī)病毒外，還可用如啟發(fā)性分析（heuristic analysis）或系統(tǒng)完整性檢驗(yàn)（integrity check）等方法來檢測(cè)未知計(jì)算機(jī)病毒的存在。然而，要100%地區(qū)分正常程序和計(jì)算機(jī)病毒是不大可能的。在檢測(cè)未知計(jì)算機(jī)病毒時(shí)，最后的判斷工作常常要靠用戶的經(jīng)驗(yàn)。（4）壓縮文件內(nèi)部檢測(cè)：從網(wǎng)絡(luò)上下載的免費(fèi)軟件或共享軟件大部分都是壓縮文件，防殺計(jì)算

25、機(jī)病毒軟件應(yīng)能檢測(cè)壓縮文件內(nèi)部的原始文件是否帶有計(jì)算機(jī)病毒。（5）文件下載監(jiān)視：相當(dāng)一部分計(jì)算機(jī)病毒的來源是在下載文件中，因此有必要對(duì)下載文件，尤其是下載可執(zhí)行程序時(shí)進(jìn)行動(dòng)態(tài)掃描。（6）計(jì)算機(jī)病毒清除能力：僅僅檢測(cè)計(jì)算機(jī)病毒還不夠，軟件還應(yīng)該有很好的清除計(jì)算機(jī)病毒能力。（7）計(jì)算機(jī)病毒特征代碼庫升級(jí)：定時(shí)升級(jí)計(jì)算機(jī)病毒特征代碼庫非常重要。當(dāng)前通過因特網(wǎng)進(jìn)行升級(jí)已成為潮流，理想的是按一下按鈕便可直接連線進(jìn)行升級(jí)。（8）重要數(shù)據(jù)備份：對(duì)用戶系統(tǒng)中重要的數(shù)據(jù)進(jìn)行備份，以便在系統(tǒng)受計(jì)算機(jī)病毒攻擊而崩潰時(shí)進(jìn)行恢復(fù)。通常數(shù)據(jù)備份在可啟動(dòng)的軟盤上，并包含有防殺計(jì)算機(jī)病毒軟件的dos平臺(tái)計(jì)算機(jī)病毒掃描器。（9

26、）定時(shí)掃描設(shè)定：對(duì)個(gè)人用戶來說，這一功能并不重要，但對(duì)網(wǎng)絡(luò)管理員來說，它可以避開高峰時(shí)間進(jìn)行掃描而不影響工作。（10）支持fat32和ntfs等多種分區(qū)格式：windows 95 osr2以后版本中增加了fat32分區(qū)格式的支持，從而增加了硬盤的利用率，但同時(shí)也禁止了某些低級(jí)存取方式，而傳統(tǒng)的軟件大多使用低級(jí)存取方式檢測(cè)或消除計(jì)算機(jī)病毒。如果軟件不支持fat32，便很難充分發(fā)揮其功能甚至誤報(bào)。對(duì)于運(yùn)行windows nt/2000的計(jì)算機(jī)來說，支持ntfs也是防殺計(jì)算機(jī)病毒軟件必須支持的。（11）關(guān)機(jī)時(shí)檢查軟盤：這一功能便是利用了關(guān)機(jī)的漫長(zhǎng)時(shí)間，再次對(duì)a盤的引導(dǎo)區(qū)進(jìn)行檢測(cè)，以防止下次引導(dǎo)時(shí)的計(jì)

27、算機(jī)病毒入侵。（12）還必須注重計(jì)算機(jī)病毒檢測(cè)率：檢測(cè)率是衡量防殺計(jì)算機(jī)病毒軟件最重要的指標(biāo)。這里只能引用一個(gè)間接參考標(biāo)準(zhǔn)：美國(guó)icsa（國(guó)際計(jì)算機(jī)安全協(xié)會(huì)，原名國(guó)家計(jì)算機(jī)安全協(xié)會(huì)ncsa）定期對(duì)其avpd會(huì)員產(chǎn)品進(jìn)行測(cè)試，要求對(duì)流行計(jì)算機(jī)病毒檢測(cè)率為100%，（參照joewell的流行計(jì)算機(jī)病毒名單wildlist）對(duì)隨機(jī)抽取的非流行計(jì)算機(jī)病毒檢測(cè)率為90%以上。 3.1.2、 主要的防護(hù)工作（1) 檢查bios設(shè)置，將引導(dǎo)次序改為硬盤先啟動(dòng)（c：a：）。（2) 關(guān)閉bios中的軟件升級(jí)支持，如果是底板上有跳線的，應(yīng)該將跳線跳接到不允許更新bios。（3) 用dos平臺(tái)防殺計(jì)算機(jī)病毒軟件檢查

28、系統(tǒng)，確保沒有計(jì)算機(jī)病毒存在。（4) 安裝較新的正式版本的防殺計(jì)算機(jī)病毒軟件，并經(jīng)常升級(jí)。（5) 經(jīng)常更新計(jì)算機(jī)病毒特征代碼庫。（6) 備份系統(tǒng)中重要的數(shù)據(jù)和文件。（7) 在word中將“宏病毒防護(hù)”選項(xiàng)打開，并打開“提示保存normal模板”，退出word，然后將normal.dot文件的屬性改成只讀。（8) 在excel和powerpoint中將“宏病毒防護(hù)”選項(xiàng)打開。（9) 若要使用outlook/outlook express收發(fā)電子函件，應(yīng)關(guān)閉信件預(yù)覽功能。（10) 在ie或netscape等瀏覽器中設(shè)置合適的因特網(wǎng)安全級(jí)別，防范來自activex和java applet的惡意代碼。

29、（11) 對(duì)外來的軟盤、光盤和網(wǎng)上下載的軟件等都應(yīng)該先進(jìn)行查殺計(jì)算機(jī)病毒，然后在使用。（12) 經(jīng)常備份用戶數(shù)據(jù)。（13） 啟用防殺計(jì)算機(jī)病毒軟件的實(shí)時(shí)監(jiān)控功能。小型局域網(wǎng)的防范 3.2.1小型局域網(wǎng)的特點(diǎn)小型局域網(wǎng)大多以一臺(tái)服務(wù)器和多臺(tái)工作站組成，服務(wù)器主要提供簡(jiǎn)單的文件共享服務(wù)、打印服務(wù)和小規(guī)模的數(shù)據(jù)庫訪問服務(wù)。對(duì)等網(wǎng)絡(luò)、window nt網(wǎng)、netware網(wǎng)及unix/linux網(wǎng)為局域網(wǎng)的典型代表。計(jì)算機(jī)病毒一旦感染了其中的一臺(tái)計(jì)算機(jī)，將會(huì)很快的蔓延到整個(gè)網(wǎng)絡(luò)，而且不容易一下子將網(wǎng)絡(luò)中傳播的計(jì)算機(jī)病毒徹底清除。所以對(duì)于小型局域網(wǎng)的計(jì)算機(jī)病毒防范必須要全面預(yù)防計(jì)算機(jī)病毒在網(wǎng)絡(luò)中的傳播、擴(kuò)

30、散和破壞，客戶端和服務(wù)器端必須要同時(shí)考慮。 3.2.2 簡(jiǎn)單對(duì)等網(wǎng)絡(luò)的防范簡(jiǎn)單對(duì)等網(wǎng)絡(luò)，就是將一些計(jì)算機(jī)簡(jiǎn)單地通過集線器（hub）連接在一起的方式。這類網(wǎng)絡(luò)的特點(diǎn)是架構(gòu)簡(jiǎn)單，沒有明確的服務(wù)器，大多采用文件共享的方式進(jìn)行數(shù)據(jù)交換。由于這種網(wǎng)絡(luò)相對(duì)封閉，或者某些主機(jī)通過撥號(hào)接入的方式聯(lián)接到因特網(wǎng)，計(jì)算機(jī)病毒只能通過某臺(tái)主機(jī)的軟盤、光盤等侵入整個(gè)網(wǎng)絡(luò)。對(duì)這類網(wǎng)絡(luò)的防毒主要還是基于單機(jī)計(jì)算機(jī)病毒防范，同時(shí)對(duì)每臺(tái)計(jì)算機(jī)安裝計(jì)算機(jī)病毒實(shí)時(shí)監(jiān)控程序，可以防止計(jì)算機(jī)病毒通過文件共享等方式在網(wǎng)絡(luò)內(nèi)傳播。3.2.3 windows nt網(wǎng)絡(luò)的防毒大多數(shù)的中小企業(yè)的局域網(wǎng)都是windows nt網(wǎng)絡(luò)。windows

31、 nt網(wǎng)絡(luò)一般是由一臺(tái)windows nt主域控制器作為中心服務(wù)器，管理用戶信息和訪問權(quán)限控制。而工作站大多是采用有硬盤的pc計(jì)算機(jī)，操作系統(tǒng)以windows 95/98、windows 2000專業(yè)版、windows nt workstation或nt獨(dú)立服務(wù)器為主，主要做文件共享和打印共享。網(wǎng)絡(luò)相對(duì)封閉，或通過在中心服務(wù)器上安裝訪問代理程序（proxy）來接入因特網(wǎng)。除了對(duì)每臺(tái)工作站進(jìn)行單機(jī)的防護(hù)外，針對(duì)windows nt網(wǎng)絡(luò)的特點(diǎn)，windows nt網(wǎng)絡(luò)的防毒還應(yīng)采取如下措施：1。windows nt服務(wù)器必須全部為ntfs分區(qū)格式。有的用戶在安裝系統(tǒng)時(shí)，一部分為fat16分區(qū)格式，

32、一部分為ntfs分區(qū)格式。這樣就會(huì)把基于dos的計(jì)算機(jī)病毒感染到windows nt服務(wù)器的fat16分區(qū)中，嚴(yán)重時(shí)計(jì)算機(jī)病毒破壞fat16分區(qū)而導(dǎo)致windows nt無法正常啟動(dòng)。2。windows nt服務(wù)器很容易把光盤作為共享給用戶調(diào)用，因此要嚴(yán)格控制不知名的外來光盤的使用，以免傳染上計(jì)算機(jī)病毒。3。用戶的權(quán)限和文件的讀寫屬性要加以控制。用戶權(quán)限越大，在工作站上能看到的共享目錄和文件就越多。那么一旦工作站感染上計(jì)算機(jī)病毒，所能傳染的范圍就越大，破壞性就越強(qiáng)。若公用文件屬性為只讀形式，則計(jì)算機(jī)病毒無法傳播，系統(tǒng)就更安全。4。由于登錄windows nt網(wǎng)絡(luò)的工作站基本上為有盤工作站，這樣

33、為計(jì)算機(jī)病毒進(jìn)入網(wǎng)絡(luò)創(chuàng)造了更多的機(jī)會(huì)。必須在工作站上選擇優(yōu)秀的具有實(shí)時(shí)檢查、實(shí)時(shí)殺毒功能的殺毒軟件，則能阻止計(jì)算機(jī)病毒從工作站進(jìn)入網(wǎng)絡(luò)系統(tǒng)。5。在服務(wù)器端安裝基于windows nt服務(wù)器上開發(fā)的32位的實(shí)時(shí)檢查、實(shí)時(shí)殺毒的服務(wù)器殺毒軟件，可消除計(jì)算機(jī)病毒在網(wǎng)上的傳播。6。利用登錄windows nt網(wǎng)絡(luò)后執(zhí)行腳本的功能，實(shí)現(xiàn)工作站防殺計(jì)算機(jī)病毒軟件的升級(jí)和更新。7。盡量不要直接在windows nt服務(wù)器上運(yùn)行如各類應(yīng)用程序，包括office之類的辦公自動(dòng)化軟件。因?yàn)橛泻芏嘤?jì)算機(jī)病毒發(fā)作是惡性的，一旦遇到發(fā)作為格式化硬盤、刪除重要文件等現(xiàn)象，那后果就非常嚴(yán)重。8。安裝windows nt的服

34、務(wù)器必須物理上絕對(duì)安全，不能有任何非法用戶能夠接觸到該服務(wù)器，并且設(shè)置成只從硬盤啟動(dòng)。因?yàn)槟壳坝行┕ぞ呖梢栽赿os下直接讀寫ntfs分區(qū)。綜上所述，windows nt網(wǎng)絡(luò)防范計(jì)算機(jī)病毒應(yīng)先從工作站入口開始，采取切實(shí)有效的措施，防止工作站感染計(jì)算機(jī)病毒，同時(shí)也在服務(wù)器端安裝可靠、有效的網(wǎng)絡(luò)殺毒軟件，實(shí)時(shí)阻止計(jì)算機(jī)病毒在網(wǎng)絡(luò)中的轉(zhuǎn)播、擴(kuò)散。另外還必須要對(duì)網(wǎng)絡(luò)服務(wù)器重要的數(shù)據(jù)時(shí)刻進(jìn)行備份，這樣一旦網(wǎng)絡(luò)出了意外，也能隨時(shí)恢復(fù)正常。3.2.4 netware網(wǎng)絡(luò)的防毒在金融、證券等行業(yè)的局域網(wǎng)中，netware網(wǎng)絡(luò)還是具有一定的生命力的。netware網(wǎng)絡(luò)的系統(tǒng)漏洞相對(duì)來說比較少，而且可以支持無盤工作

35、站。大多數(shù)的netware網(wǎng)絡(luò)以一臺(tái)netware文件服務(wù)器為中心，用同軸電纜或雙絞線聯(lián)接許多工作站。這些工作站大多是無盤工作站，沒有軟驅(qū)、硬盤和光驅(qū)。各個(gè)工作站利用映射（map）網(wǎng)絡(luò)驅(qū)動(dòng)器的方式共享文件服務(wù)器上的應(yīng)用程序和用戶數(shù)據(jù)區(qū)。netware網(wǎng)絡(luò)的計(jì)算機(jī)病毒防范主要采取如下措施：1、保護(hù)netware文件服務(wù)器在netware網(wǎng)絡(luò)，文件服務(wù)器可以說是局域網(wǎng)上的核心，所以加強(qiáng)對(duì)文件服務(wù)器的保護(hù)是一項(xiàng)重要的工作。首先，從安全的盤上引導(dǎo)機(jī)器，如果文件服務(wù)器有dos分區(qū)，那么最好是從硬盤啟動(dòng)系統(tǒng)；一般來說，文件服務(wù)器上并不需要dos分區(qū)。在沒有dos分區(qū)的文件服務(wù)器上，如果有不帶計(jì)算機(jī)病毒的正

36、版可啟動(dòng)光盤，就不要用軟盤啟動(dòng)系統(tǒng)。其次，必須經(jīng)常備份文件服務(wù)器上的重要數(shù)據(jù)。2、保護(hù)網(wǎng)絡(luò)文件的管理對(duì)策novell在netware lan中為網(wǎng)絡(luò)管理提供了一些十分有用的功能，可以有效地消除計(jì)算機(jī)病毒的威脅。將“.exe”與“.com”文件置為只讀屬性和只可執(zhí)行的屬性。其次，對(duì)sys:public與sys:login和應(yīng)用程序目錄以及所有常規(guī)用戶授予only read and scan權(quán)限。并且不要經(jīng)常使用supervisor或與之等效的用戶注冊(cè)網(wǎng)絡(luò)。計(jì)算機(jī)病毒總是會(huì)有意無意的被帶入網(wǎng)絡(luò)，對(duì)工作造成一些不同程度的破壞。這就必須進(jìn)行網(wǎng)絡(luò)殺毒與數(shù)據(jù)恢復(fù)，據(jù)最新的調(diào)查報(bào)告，netware網(wǎng)絡(luò)的專有

37、的計(jì)算機(jī)病毒數(shù)量很少，而在我國(guó)現(xiàn)有netware lan上流行的計(jì)算機(jī)病毒主要還是dos計(jì)算機(jī)病毒。dos計(jì)算機(jī)病毒在netware網(wǎng)上傳播主要是通過帶毒客戶機(jī)對(duì)網(wǎng)絡(luò)文件的調(diào)用而進(jìn)行傳播。目前對(duì)付dos計(jì)算機(jī)病毒的殺毒軟件隨處可見，所以可以利用現(xiàn)有的dos殺毒軟件來對(duì)付netware網(wǎng)上的計(jì)算機(jī)病毒。但必須按照嚴(yán)格的步驟來進(jìn)行：（1) 逐一用無毒軟盤啟動(dòng)工作站，用殺毒軟件殺除工作站本地硬盤上計(jì)算機(jī)病毒（如果有的話）；（2) 使某一工作站登錄到文件服務(wù)器，并保證網(wǎng)上不得有其它的工作站連接到服務(wù)器上，利用殺毒軟件將目錄sys:login下的計(jì)算機(jī)病毒掃描殺除；（3) 用login /s:x登錄，必

38、須加參數(shù)/s:x，以使登錄時(shí)不執(zhí)行腳本logintext與usetext；（4) 掃描文件服務(wù)器上的所有目錄（重點(diǎn)為用戶數(shù)據(jù)區(qū)）。3、控制有盤工作站的使用多用無盤站，少用有盤站。使用無盤站后，用戶只能執(zhí)行服務(wù)器上的文件，這樣就減少了計(jì)算機(jī)病毒從工作站侵入網(wǎng)絡(luò)的機(jī)會(huì)。4、控制用戶的權(quán)限對(duì)普通用戶，不允許具有對(duì)其他的用戶目錄的瀏覽和訪問權(quán)力，以防止用戶通過拷貝他人已被計(jì)算機(jī)病毒感染的文件，將網(wǎng)絡(luò)中的計(jì)算機(jī)病毒傳至自己目錄中的文件上。超級(jí)用戶越少，具有訪問整個(gè)服務(wù)器全部目錄的使用者則越少，這就能增大整個(gè)網(wǎng)絡(luò)的工作安全性。對(duì)重要的網(wǎng)絡(luò)文件進(jìn)行權(quán)限保護(hù)。對(duì)公用目錄中的系統(tǒng)文件和工具軟件，要設(shè)置為只讀和執(zhí)

39、行屬性；對(duì)系統(tǒng)程序所在的目錄不授予修改和管理權(quán)。這樣，計(jì)算機(jī)病毒就無法對(duì)系統(tǒng)程序?qū)嵤└腥竞图纳?，其他用戶也不?huì)受到計(jì)算機(jī)病毒感染。工作站是網(wǎng)絡(luò)的入口，只要將入口管理好，就能有效地防止計(jì)算機(jī)病毒的入侵。在netware網(wǎng)絡(luò)中，安裝nlm模塊方式設(shè)計(jì)、以服務(wù)器為基礎(chǔ)、具有實(shí)時(shí)監(jiān)控能力的殺毒軟件，從而使服務(wù)器不被感染，消除計(jì)算機(jī)病毒在網(wǎng)上的傳播。3.2.5 unix/linux網(wǎng)絡(luò)的防毒對(duì)于unix網(wǎng)絡(luò)來說，其安全性和用戶權(quán)限的控制可以說是很強(qiáng)大的，但并不是說就沒有計(jì)算機(jī)病毒的危害存在。大多數(shù)的unix/linux網(wǎng)絡(luò)主要是由一臺(tái)或多臺(tái)安裝unix/linux操作系統(tǒng)的服務(wù)器做web server或

40、ftp server，通常也有mail server。而工作站端大多是安裝windows 95/98/2000/nt操作系統(tǒng)的計(jì)算機(jī)。對(duì)這種網(wǎng)絡(luò)的計(jì)算機(jī)病毒防護(hù)主要還是基于工作站的單機(jī)防護(hù)?？梢栽趗nix/linux服務(wù)器上安裝samba服務(wù)，從某個(gè)安全的工作站定期對(duì)服務(wù)器磁盤上的文件進(jìn)行掃描。大型網(wǎng)絡(luò)的防范3.3.1 大型復(fù)雜企業(yè)網(wǎng)絡(luò)的特點(diǎn)這是目前比較流行的企業(yè)組網(wǎng)方式。整個(gè)網(wǎng)絡(luò)分為內(nèi)網(wǎng)（intranet）和外網(wǎng)（extranet）。內(nèi)網(wǎng)和外網(wǎng)之間基本上是處于隔離狀態(tài)，一般通過防火墻設(shè)備在內(nèi)、外網(wǎng)之間建立一條受控的通路，從內(nèi)網(wǎng)訪問因特網(wǎng)一般采用代理的方式，外網(wǎng)通過路由器或直接與因特網(wǎng)相聯(lián)。內(nèi)

41、網(wǎng)大多采用windows nt網(wǎng)絡(luò)組建，分配虛擬地址，并安裝有內(nèi)部辦公自動(dòng)化信息系統(tǒng)，如lotus domino或microsoft exchange server等；而外網(wǎng)一般多為unix/linux網(wǎng)絡(luò)，也有采用netware網(wǎng)絡(luò)或windows nt網(wǎng)絡(luò)的，分配實(shí)地址，并對(duì)外提供服務(wù)。外網(wǎng)一般安裝有web 服務(wù)器、ftp服務(wù)器、電子函件服務(wù)器、域名服務(wù)器，以及其他一些服務(wù)器等。從整個(gè)網(wǎng)絡(luò)來看，可能有多個(gè)內(nèi)網(wǎng)和一個(gè)外網(wǎng)構(gòu)成，也有在外網(wǎng)中再劃分子網(wǎng)的情況，網(wǎng)絡(luò)內(nèi)存移動(dòng)工作站（存在便攜機(jī)接入的情況）。對(duì)于這種網(wǎng)絡(luò)的計(jì)算機(jī)病毒防護(hù)，除了要對(duì)各個(gè)內(nèi)網(wǎng)嚴(yán)加防范，更重要的是要建立多層次的網(wǎng)絡(luò)防范架構(gòu)，

42、并同網(wǎng)管結(jié)合起來。主要的防范點(diǎn)有：因特網(wǎng)接入口、外網(wǎng)上的服務(wù)器、各內(nèi)網(wǎng)的中心服務(wù)器等。可以采用以下一些主要手段：（1) 在因特網(wǎng)接入口處安裝防火墻式防殺計(jì)算機(jī)病毒產(chǎn)品。（2) 在外網(wǎng)單獨(dú)設(shè)立一臺(tái)服務(wù)器，安裝服務(wù)器版的網(wǎng)絡(luò)防殺計(jì)算機(jī)病毒軟件，并對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控。（3) 如果外網(wǎng)的服務(wù)器是基于windows nt操作系統(tǒng)的，那么需要在外網(wǎng)的各個(gè)服務(wù)器上安裝相應(yīng)的計(jì)算機(jī)病毒防護(hù)軟件，比如電子函件服務(wù)器使用的是microsoft exchange server，那么就需要在該服務(wù)器上安裝專為microsoft exchange server設(shè)計(jì)的防殺計(jì)算機(jī)病毒軟件。（4) 外網(wǎng)上如果有工作站，需

43、要進(jìn)行單機(jī)防范布防，并適當(dāng)參考小型局域網(wǎng)的防范要點(diǎn)進(jìn)行有選擇地增加。（5) 在每個(gè)內(nèi)網(wǎng)參照小型局域網(wǎng)的防范要點(diǎn)布防。（6) 內(nèi)網(wǎng)中的工作站參考單機(jī)防范的重點(diǎn)，適當(dāng)參考小型局域網(wǎng)的防范要點(diǎn)進(jìn)行布防。（7） 建立嚴(yán)格的規(guī)章制度和操作規(guī)范，定期檢查各防范點(diǎn)的工作狀態(tài)。3.3.2 參考案例1：熊貓衛(wèi)士防計(jì)算機(jī)病毒方案的設(shè)計(jì)和實(shí)現(xiàn)中國(guó)海運(yùn)集團(tuán)（中海集團(tuán)）1997年7月1日在中國(guó)最大的口岸城市上海成立，是一家跨地區(qū)、跨行業(yè)、跨所有制和跨國(guó)經(jīng)營(yíng)的國(guó)有大型航運(yùn)企業(yè)，并擁有勞務(wù)、船務(wù)、貨代、工業(yè)、電信、供貿(mào)、國(guó)貿(mào)、投資、倉儲(chǔ)等多家陸上專業(yè)公司及二十余家境外企業(yè)。由于中海集團(tuán)每天都有大量的數(shù)據(jù)交流和對(duì)intern

44、et的訪問，所以受計(jì)算機(jī)病毒感染的機(jī)率是比較高的，尤其是郵件附件中的宏病毒，雖然沒有造成嚴(yán)重的后果，但還是存在極大的潛在危害，所以中海集團(tuán)在計(jì)算機(jī)病毒防護(hù)方面的需求是甚為迫切的。1、方案提供在了解了中海集團(tuán)對(duì)網(wǎng)絡(luò)防計(jì)算機(jī)病毒的需求之后，熊貓衛(wèi)士公司決定為中海集團(tuán)提供三個(gè)月的試用。在勘查了中海的網(wǎng)絡(luò)環(huán)境之后，提供了多種實(shí)施方案。中海集團(tuán)的網(wǎng)絡(luò)架構(gòu)非常嚴(yán)謹(jǐn)，所有分支機(jī)構(gòu)局域網(wǎng)內(nèi)的計(jì)算機(jī)都可以通過專線聯(lián)入位于上海的中心網(wǎng)絡(luò)，通過microsoft的terminal server登陸到nt主域服務(wù)器上接受身份驗(yàn)證。根據(jù)中海的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，在提供的安裝/管理方案中，包含了集中式和分布式兩種安裝和管理方案

45、。（1）集中式安裝 / 管理該種方案中，整個(gè)集團(tuán)網(wǎng)絡(luò)系統(tǒng)可以只使用一套管理工具就可以對(duì)整個(gè)網(wǎng)絡(luò)（本地和外地）實(shí)施殺毒軟件的安裝/管理/升級(jí)。網(wǎng)絡(luò)管理員只需要在一臺(tái)本地計(jì)算機(jī)就可以隨時(shí)對(duì)整個(gè)網(wǎng)絡(luò)的防計(jì)算機(jī)病毒事件了然于胸。此種安裝方式的一個(gè)最大特色就是實(shí)際的安裝過程僅需在一臺(tái)計(jì)算機(jī)上即可完成，不需要到客戶端或外地分支機(jī)構(gòu)進(jìn)行任何操作。整個(gè)集團(tuán)內(nèi)部只要一臺(tái)計(jì)算機(jī)上因特網(wǎng)更新過計(jì)算機(jī)病毒代碼庫了，通過軟件內(nèi)嵌的機(jī)制可以實(shí)現(xiàn)其它所有用戶同時(shí)升級(jí)（包括服務(wù)器和用戶）。網(wǎng)絡(luò)管理員可以在本地管理集團(tuán)內(nèi)部的任何一臺(tái)服務(wù)器，而當(dāng)?shù)赜脩舻墓芾韯t由這些當(dāng)?shù)胤?wù)器進(jìn)行。但是此種方式最大的一個(gè)缺點(diǎn)就是首次安裝時(shí)網(wǎng)絡(luò)流量

46、非常大，每安裝一臺(tái)需要管理當(dāng)?shù)赜脩舻姆?wù)器需在網(wǎng)絡(luò)上傳送100m的文件，即便是通過專線連接，安裝速度也較慢。（2）布式安裝 / 管理該種方案將外地的分支機(jī)構(gòu)的局域網(wǎng)都看作是一個(gè)個(gè)獨(dú)立分割的網(wǎng)絡(luò)，在每個(gè)局域網(wǎng)內(nèi)分別安裝一套管理工具，由當(dāng)?shù)氐木W(wǎng)絡(luò)管理員具體負(fù)責(zé)防計(jì)算機(jī)病毒事務(wù)。而通過軟件提供的豐富的報(bào)警功能，可以將計(jì)算機(jī)病毒事件全部報(bào)告給本地網(wǎng)絡(luò)管理員和總部的網(wǎng)絡(luò)管理人員。對(duì)于軟件的更新則可以選擇上因特網(wǎng)或總部特定服務(wù)器實(shí)現(xiàn)自動(dòng)更新。此種安裝方式的優(yōu)點(diǎn)是解決了集中式安裝造成的網(wǎng)絡(luò)流量大和速度慢的缺點(diǎn)，同時(shí)也達(dá)到了分級(jí)防護(hù)的功能。但是缺點(diǎn)也是顯而易見的，必須由專人到這些網(wǎng)絡(luò)實(shí)施安裝或者通過某些遠(yuǎn)程控

47、制軟件實(shí)現(xiàn)遠(yuǎn)程安裝，速度慢效率低而且需要培訓(xùn)專門的網(wǎng)絡(luò)管理員。中海集團(tuán)的技術(shù)人員根據(jù)情況選擇了分布式的方案。2、安裝過程下面是整個(gè)安裝過程：（1）安裝熊貓管理員在gvi多平臺(tái)計(jì)算機(jī)病毒解決方案中，包含了允許網(wǎng)絡(luò)管理員從一個(gè)單獨(dú)的工作站上管理整個(gè)網(wǎng)絡(luò)的熊貓衛(wèi)士計(jì)算機(jī)病毒保護(hù)程序。該工具名為熊貓管理員。通過這一工具，可進(jìn)行安裝、卸載、設(shè)置、掃描及更新工作站或服務(wù)器上的任何殺毒軟件。如果沒有熊貓管理員，必須在每臺(tái)計(jì)算機(jī)上重復(fù)所有這些工作。眾所周知，大部分應(yīng)用程序安裝之后要求計(jì)算機(jī)重新啟動(dòng)，所以選定一臺(tái)作為工作站的獨(dú)立服務(wù)器，安裝熊貓管理員，之后對(duì)網(wǎng)絡(luò)中其它的服務(wù)器進(jìn)行安裝管理。（2）為服務(wù)器安裝熊貓

48、衛(wèi)士防計(jì)算機(jī)病毒軟件在對(duì)服務(wù)器安裝之前，對(duì)中海集團(tuán)網(wǎng)絡(luò)的網(wǎng)段劃分，ip地址分配，路由器設(shè)置等等都進(jìn)行了詳細(xì)了解，對(duì)安裝有熊貓管理員的工作站進(jìn)行重新設(shè)置，保證其能和網(wǎng)絡(luò)中所有的服務(wù)器進(jìn)行通訊。然后打開熊貓管理員，自動(dòng)地搜索到網(wǎng)絡(luò)中的netware 服務(wù)器，nt主域服務(wù)器，nt 備份域服務(wù)器，nt獨(dú)立服務(wù)器，exchange server郵件服務(wù)器，proxy服務(wù)器和web服務(wù)器，接著為這些服務(wù)器分別安裝熊貓衛(wèi)士防計(jì)算機(jī)病毒軟件，這個(gè)過程很快就完成了。（3）為工作站自動(dòng)安裝熊貓衛(wèi)士防計(jì)算機(jī)病毒軟件中海集團(tuán)的網(wǎng)絡(luò)中，有基于域用戶登錄的網(wǎng)絡(luò)，也有只是物理上連通的對(duì)等網(wǎng)式的多個(gè)組，針對(duì)不同的連網(wǎng)方式，熊

49、貓衛(wèi)士采用了不同的方案，實(shí)現(xiàn)對(duì)工作站防計(jì)算機(jī)病毒軟件地自動(dòng)分發(fā)。熊貓衛(wèi)士軟件在對(duì)用戶的安裝方式中有服務(wù)器向用戶“推”式的強(qiáng)迫安裝，還有由用戶主動(dòng)向服務(wù)器“拉”的安裝方式。不管使用何種安裝方式，由于熊貓軟件能自動(dòng)識(shí)別工作站使用的是何種操作系統(tǒng)，并且能自動(dòng)安裝相應(yīng)的防計(jì)算機(jī)病毒軟件模塊，所以在對(duì)中海集團(tuán)網(wǎng)絡(luò)計(jì)算機(jī)病毒解決方案的整個(gè)實(shí)施過程中，不須實(shí)施人員指定計(jì)算機(jī)的操作系統(tǒng)，真正實(shí)現(xiàn)了工作站的自動(dòng)安裝。（4）服務(wù)器和工作站的配置無論在服務(wù)器端，還是在工作站上，熊貓衛(wèi)士防計(jì)算機(jī)病毒軟件都能保護(hù)通過內(nèi)部網(wǎng)絡(luò)、磁盤、調(diào)制解調(diào)器連接、筆記本接入所收發(fā)的文件和郵件服務(wù)器所收發(fā)的電子郵件，而對(duì)于中海集團(tuán)特別強(qiáng)

50、調(diào)的internet系統(tǒng)防護(hù)，通過設(shè)置熊貓衛(wèi)士防計(jì)算機(jī)病毒軟件，對(duì)通過internet進(jìn)入或傳送的文檔，熊貓衛(wèi)士提供了全面地防護(hù)，包含smtp、ftp、http、html和pop3等協(xié)議，同時(shí)設(shè)置了對(duì)某些特定ip地址的屏蔽。 3、廣域網(wǎng)的安裝管理中海集團(tuán)的網(wǎng)絡(luò)是一個(gè)廣域網(wǎng)，其中心是在上海，同時(shí)通過ddn，frame relay連接國(guó)內(nèi)、外各地區(qū)的網(wǎng)絡(luò)，熊貓衛(wèi)士的全球計(jì)算機(jī)病毒解決方案確實(shí)能實(shí)現(xiàn)遠(yuǎn)程的安裝，但是100m多的文件量在有限的frame relay帶寬下進(jìn)行傳輸，會(huì)對(duì)網(wǎng)絡(luò)速度有一定的影響，因此通過和中海集團(tuán)的商討，決定對(duì)外地的局域網(wǎng)，由經(jīng)過培訓(xùn)的網(wǎng)絡(luò)管理員在本地自己安裝，而由中海集團(tuán)上

51、海中心的技術(shù)人員通過熊貓管理員對(duì)下屬公司安裝的防計(jì)算機(jī)病毒軟件進(jìn)行集中管理。這套實(shí)施方案的特點(diǎn)還在于，一旦中海集團(tuán)的網(wǎng)絡(luò)進(jìn)行了擴(kuò)容，如增加了新的服務(wù)器，或者是新的exchange server，即使是增加了新的域，都不需要重新安裝熊貓管理員，只須在熊貓管理員中刷新一下視圖，熊貓管理員就能自動(dòng)搜索到所有新增加的服務(wù)器，網(wǎng)絡(luò)管理員了解情況，只要在安裝有熊貓管理員的這臺(tái)計(jì)算機(jī)上為新增的服務(wù)器遠(yuǎn)程安裝熊貓衛(wèi)士的防計(jì)算機(jī)病毒模塊即可。中海集團(tuán)在試用熊貓衛(wèi)士網(wǎng)絡(luò)版殺毒軟件期間，熊貓軟件的技術(shù)工程師定時(shí)拜訪客戶，及時(shí)了解中海集團(tuán)在使用殺毒軟件中的問題。一天，熊貓衛(wèi)士技術(shù)部接到中海集團(tuán)電腦部的電話，被告知中海

52、集團(tuán)內(nèi)部正發(fā)生一些問題，懷疑是電腦計(jì)算機(jī)病毒所致。通過電話，熊貓衛(wèi)士的技術(shù)工程師了解到，中海集團(tuán)內(nèi)部的某些計(jì)算機(jī)硬盤正無緣無故在減小，而且每查看一次硬盤空間，該空間都會(huì)減少幾十兆，而且受染的計(jì)算機(jī)正逐步擴(kuò)大。中海集團(tuán)電腦部的人員已經(jīng)使用了包括熊貓衛(wèi)士、norton、kv300和瑞星在內(nèi)的市場(chǎng)上常見的殺毒軟件都沒有能查出是何種計(jì)算機(jī)病毒所致。但是從某些狀況和經(jīng)驗(yàn)上判斷，這應(yīng)當(dāng)是一次未知電腦計(jì)算機(jī)病毒事件。事后，中海集團(tuán)電腦部負(fù)責(zé)人高度贊揚(yáng)了熊貓衛(wèi)士所提供的sos緊急計(jì)算機(jī)病毒救助服務(wù)，稱這項(xiàng)服務(wù)帶給用戶最大的安全保障，本次計(jì)算機(jī)病毒救助服務(wù)給中海集團(tuán)電腦部的技術(shù)人員留下了很深的印象，在最后該集團(tuán)

53、選用防計(jì)算機(jī)病毒軟件時(shí)，熊貓衛(wèi)士所提供的這項(xiàng)服務(wù)以及成功實(shí)施的事實(shí)成為選型時(shí)非常重要的一條參考標(biāo)準(zhǔn)。3.3.3 參考案例2：賽門鐵克防計(jì)算機(jī)病毒方案的設(shè)計(jì)和實(shí)現(xiàn)1、 計(jì)算機(jī)病毒防范需求分析某大型企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)有如下特點(diǎn)（1）企業(yè)及其轄內(nèi)單位均通過相應(yīng)的通訊線路進(jìn)行著數(shù)據(jù)交換工作；（2）內(nèi)部所有的計(jì)算機(jī)設(shè)備均通過局域網(wǎng)連接，工作站對(duì)服務(wù)器、工作站之間只要授權(quán)允許，即可互相訪問資源。只要其中一臺(tái)通過軟盤、光驅(qū)、電子函件或外部數(shù)據(jù)接收而感染計(jì)算機(jī)病毒，就會(huì)非常容易地傳給其他工作站和服務(wù)器。并通過內(nèi)部網(wǎng)絡(luò)迅速擴(kuò)散到整個(gè)網(wǎng)絡(luò)中的服務(wù)器和工作站。顯然，這樣的網(wǎng)絡(luò)環(huán)境具有多重感染途徑，受計(jì)算機(jī)病毒感染的可

54、能性相當(dāng)大，一旦感染象cih、“美麗莎”等惡性計(jì)算機(jī)病毒或者是遭受一些不明的類似bo等的黑客程序的惡意攻擊，系統(tǒng)將面臨崩潰的危險(xiǎn)。也將影響到整個(gè)分行系統(tǒng)信息的安全；如果選用一些普通的殺毒軟件，不能自動(dòng)預(yù)防計(jì)算機(jī)病毒，只能在感染計(jì)算機(jī)病毒后去掃描。一方面不能查到全部計(jì)算機(jī)病毒，另一方面難以忍受的掃描時(shí)間和網(wǎng)上眾多的計(jì)算機(jī)也給系統(tǒng)管理員帶來繁重的工作，耗費(fèi)大量人力時(shí)間。對(duì)于這樣一種網(wǎng)絡(luò)環(huán)境的防計(jì)算機(jī)病毒方案，應(yīng)該從以下幾個(gè)方面考慮：（1) 必須具備24小時(shí)自動(dòng)防護(hù)功能。（2) 必須能夠在各條可能感染途徑上防止計(jì)算機(jī)病毒。（3) 必須能夠掃描預(yù)防電子函件附帶的計(jì)算機(jī)病毒和未知宏病毒。（4) 必須具備

55、最先進(jìn)的檢測(cè)清除計(jì)算機(jī)病毒的功能。（5) 對(duì)已感染計(jì)算機(jī)病毒的文件，能夠通過先進(jìn)的修復(fù)工具保證文件免受損害。（6) 對(duì)服務(wù)器系統(tǒng)性能的影響應(yīng)該非常小。（7) 掃描計(jì)算機(jī)病毒引擎的更新必須快速方便。（8) 必須能夠?qū)崿F(xiàn)集中管理、網(wǎng)上分發(fā)功能。2、norton antivirus 防殺計(jì)算機(jī)病毒企業(yè)級(jí)方案 賽門鐵克公司建議選擇norton antivirus企業(yè)級(jí)的防殺計(jì)算機(jī)病毒的解決方案來構(gòu)建強(qiáng)有力的防計(jì)算機(jī)病毒體系。在norton antivirus企業(yè)級(jí)的解決方案中，包含工作站級(jí)、服務(wù)器和網(wǎng)關(guān)級(jí)的全部防計(jì)算機(jī)病毒軟件。支持的平臺(tái)有dos/win3.x、macintosh、windows 95

56、/98、windows nt、novell netware、ms exchange、 lotusnotes和firewall。（1）建立分級(jí)計(jì)算機(jī)病毒隔離中心賽門鐵克的防計(jì)算機(jī)病毒解決方案的先進(jìn)技術(shù)同時(shí)能夠保證當(dāng)偵測(cè)到未知計(jì)算機(jī)病毒時(shí)提供有效的反應(yīng)手段，即對(duì)可疑文件進(jìn)行隔離，不讓它發(fā)作和傳播。可以在每個(gè)單位局域網(wǎng)絡(luò)中同時(shí)建立隔離服務(wù)器的機(jī)制來實(shí)現(xiàn)隔離服務(wù)器的技術(shù)，并且系統(tǒng)管理員應(yīng)該在有可以文件被隔離時(shí)，及時(shí)通過賽門鐵克防毒方案中的向?qū)Чδ馨l(fā)送該文件到賽門鐵克的公司去，以便得到及時(shí)的解毒支持。（2）建立計(jì)算機(jī)病毒管理報(bào)警中心用戶可以利用一臺(tái)windows nt服務(wù)器，通過使用norton“系統(tǒng)管理中心”建立一個(gè)計(jì)算機(jī)病毒集中管理報(bào)警中心，并且隨時(shí)記錄活動(dòng)日志，以簡(jiǎn)化企業(yè)的安全管理。所有工作站和服務(wù)器的報(bào)警都可以被發(fā)送過來，并可以電子函件等方式提醒管理員。管理員可以同時(shí)利用建立在這臺(tái)windows nt服務(wù)器上 norton“系統(tǒng)管理中心”來完成對(duì)網(wǎng)絡(luò)上的計(jì)算機(jī)防計(jì)算機(jī)病毒軟件安裝、配置、計(jì)算機(jī)病毒定