网络防病毒技术.docx
- 文档编号:18186983
- 上传时间:2023-08-13
- 格式:DOCX
- 页数:19
- 大小:59.10KB
网络防病毒技术.docx
《网络防病毒技术.docx》由会员分享,可在线阅读,更多相关《网络防病毒技术.docx(19页珍藏版)》请在冰点文库上搜索。
网络防病毒技术
1、病毒查杀能力
病毒查杀能力是衡量网络版杀毒软件性能的重要因素。
用户在选择软件的时候不仅要考虑可查杀病毒的种类数量,更应该注重其对流行病毒的查杀能力。
很多厂商都以拥有大病毒库而自豪,但其实很多恶意攻击是针对政府、金融机构、门户网站的,而并不对普通用户的计算机构成危害。
过于庞大的病毒库,一方面会降低杀毒软件的工作效率,同是也会增大误报、误杀的可能性。
2、对新病毒的反应能力
对新病毒的反应能力也是考察防病毒软件查杀病毒能力的一个重要方面。
通常,防病毒软件供应商都会在全国甚至全世界建立一个病毒信息收集、分析和预测的网络,使其软件能更加及时、有效地查杀新出现的病毒。
这一搜集网络体现了软件商对新病毒的反应能力。
3、病毒实时监测能力
对网络驱动器的实时监控是网络版杀毒软件的一个重要功能。
很多企业中,特别是网吧、学校、机关中有一些老式机器因为资源、系统等问题不能安装杀毒软件时,就需要用该功能进行实时监控。
同时,实时监控还应识别尽可能多的邮件格式,具备对网页的监控和从端口进行拦截病毒邮件的功能。
4、快速、方便的升级能力
和个人版杀毒软件一样,只有不断更新病毒数据库,才能保证网络版防病毒软件对新病毒的查杀能力。
升级的方式应该多样化,防病毒软件厂商必须提供多种升级方式,特别是对于公安、医院、金融等不能连接到公共互联网络的用户,必须要求厂商提供除Internet以外的本地服务器、本机等升级方式。
自动升级的设置也应该多样。
5、智能安装、远程识别
对于中小企业用户,由于网络结构相对简单,网络管理员可以手工安装相应软件,只需要明确各种设备的防护需求即可。
但对于计算机网络应用复杂的用户(跨国机构、国内连锁机构、大型企业等)选择软件时,应该考虑到各种情况,要求能提供多种安装方式,如域用户的安装、普通非域用户的安装、未连网用户的安装和移动客户的安装等。
6、管理方便,易于操作
系统的可管理性是系统管理员尤其需要注意的问题,对于那些多数员工对计算机知识不是很了解的单位,应该限制客户端对软件参数的修改权限;对于软件开发、系统集成等科技企业,根据员工对网络安全知识的了解情况以及工作需要,可适当开放部分参数设置的权限,但必须做到可集中控管。
对于网络管理技术薄弱的企业,可以考虑采用远程管理的措施,把企业用户的防病毒管理交给专业防病毒厂商的控制中心专门管理,从而降低用户企业的管理难度。
7、对资源的占用情况
防病毒程序进行实时监控都或多或少地要占用部分系统资源,这就不可避免地要带来系统性能的降低。
如一些单位上网速度太慢,有一部分原因是防病毒程序对文件过滤带来的影响。
企业应该根据自身网络的特点,灵活配置网络版防病毒软件的相关设置。
8、系统兼容性与可融合性
系统兼容性是选购防病毒软件时需要考虑的事。
防病毒软件的一部分常驻程序如果跟其它软件不兼容将会带来很多问题,比如说引起某些第三方控件的无法使用,影响系统的运行。
在选购安装时,应该经过严密的测试,以免影响正常系统的运行。
对于机器操作系统千差万别的企业,还应该要求网络版防病毒能适应不同的操作系统平台。
网络病毒防治技术
苏武荣(suwr@)
一、网络病毒的特点
电脑网络系统的建立是为了使多台电脑能够共享数据资料和
外部资源,然而也给电脑病毒带来了更为有利的生存和传播环境。
在网络环境下,病毒可以按指数增长模式进行传染。
病毒侵入电
脑网络,可以导致电脑效率急剧下降、系统资源遭到严重破坏,
短时间内造成网络系统的瘫痪。
因此网络环境下病毒防治必将成
为电脑防毒领域的研究重点。
在网络环境中,电脑病毒具有一些新的特点:
1.传染方式多
病毒入侵网络的主要途径是通过工作站传播到服务器硬盘中,
再由服务器的共享目录传播到其它的工作站。
但病毒传染方式比
较复杂,通常有以下几种:
(1)引导型病毒对工作站或服务器的硬盘分区表或DOS引导
区进行传染。
(2)通过在有盘工作站上执行带毒程序,而传染服务器映
像盘上的文件。
由于LOGIN.EXE文件是用户登录入网的首个调用
的可执行文件,因此该文件最易被病毒感染,而一旦LOGIN.EXE
文件被病毒感染,则每个工作站使用其登录时便遭感染,并进一
步感染服务器共享目录。
侵。
因此必须对电脑安全要有足够的重视,增强防范意识,健全
安全管理制度,加强网络管理,使用合法软件,减少病毒入侵机
会,具体有以下几点加以注意:
(1)尽量多用无盘工作站。
这种工作站通过网卡上的远程
复位PROM完成系统引导工作。
用户只能执行服务器允许执行的
文件,不能向服务器装入文件或从服务器下载文件,这就减少了
病毒从无盘工作站入侵系统的机会。
(2)尽量少用有盘工作站,从科学上来说,一个网络上有
两个有盘工作站便可以。
一个是系统管理员操作的工作站,另一
个是用来备份或向服务器内装入软件的工作站。
对有盘工作站加
以特别管理,严禁任意将外来非法软件和未经查毒的软件拷入网
络。
(3)尽量少用超级用户登录。
系统管理员或被赋予与系统
管理员同等权力的用户一经登录,将被赋予整个服务器目录下的
全部权力。
这样,若他的工作站被病毒感染,有可能进一步感染
整个网络服务器中的可执行文件。
因此,系统管理员应将部分权
力分别下放给组管理员、打印队列操作员、控制台操作员,使系
统管理员解脱出来,另一方面也减少以超级用户登录的次数,增
强整个系统的安全性。
(4)严格控制用户的网络使用权限。
这样一旦有病毒从某
个用户工作站上侵入也只能在这一用户使用权限范围内传染,减
少其它文件被传染的机会。
不允许一个用户对其他用户私人目录的读和文件扫描权利,
以杜绝用户通过拷贝其他私人目录中带毒文件,将病毒传染至本
地目录中。
不允许多个用户对同一目录有读写权利。
若必须使多个用户
以读写权存取同一目录,则应告知用户不能在共享目录下放置可
执行文件。
组目录只允许含有数据文件,组中所有共享可执行文
件目录要严格管理,根据实际情况授予用户最小的文件访问权。
通常用户只能有读、打开、检索等权利。
(5)对某些频繁使用或非常重要的文件属性加以控制,以
免被病毒传染。
例如将某些经常使用的可执行文件的属性改为
只执行方式。
(6)对远程工作站的登录权限严格限制,由于一些远程工
作站分布范围较广,难以统一管理,是病毒入侵的一个入口,因
此将其发来的数据按指定目录存放,待检查后方可使用,以防带
入病毒。
三、基于工作站与服务器的防毒技术
电脑网络的拓朴结构有总线型、环型和星型等,无论采用哪
种拓朴结构,工作方式大多数都是采用“客户工作站——服务器”
的形式,网络中最主要的软硬件实体就是服务器和工作站,因此
需要从服务器和工作站两个结合方面解决防范病毒的问题。
1、基于工作站的DOS防毒技术
工作站是网络的门,只要将这扇门户关好,就能有效地防止
病毒的入侵。
工作站防毒主要有以下几种方法:
(1)使用防毒杀毒软件
不少DOS防毒杀毒软件都兼顾网络上的DOS病毒。
如:
CPAV中
的VSAFE就具有探测网络安全能力,设置相应的参数后,每当遇
到网络访问时,它都会提供安全检测。
CPAV中还有网络支撑文件
ISCPSTSR.EXE,用于检测VSAFE是否常驻内存。
美国McAfeeAssociates防毒协会推出的扫毒软件中也有
一个网络扫毒程序NETSCAN.EXE,该程序适用于3COM,3/Share
和3/Open,ArtisoftLANTastic,AT&TStarLAN,Banyan
VINES,DECPathworks,MicrosoftLANManager,
NovellNetWare,以及其它与IBMNET或NETBIOS兼容的网络
操作系统。
该程序专用于扫描网络文件服务器,如果发现病毒也
可用相应的CLEAN清除病毒。
这种方法的特点是软件版本升级容易,防毒软件实时监测,
查毒杀毒软件能够发现病毒并加以清除,但与DOS防毒杀毒软件
一样,防毒软件有兼容性问题,杀毒软件有被动性问题。
(2)安装防毒卡
现有的防毒卡一般都是以单机为防毒对象,虽然一些厂商声
称具有网络防毒功能,但其实质上只是解决与网络操作系统(如
中断向量等)的冲突问题。
另一方面,由于厂商从市场角度考虑,
将防毒卡与产品加密合二为一,这样一个工作站必须安装一个防
毒卡,给用户带来了许多不便,并且防毒卡占用硬件资源,如扩
充槽口、I/O地址等,易发生防病毒系统与其它系统的软硬件冲
突,也影响电脑执行速度。
(3)安装防毒芯片
这种方法是将防毒程序集成在一个芯片上,安装在网络工作
站上,以便经常性地保护工作站及其通往服务器的路径。
其基本
原理是基于网络上每个工作站都要求安装网络接口卡,而网络接
口卡上有一个BootROM芯片,因为多数网卡的BootROM并没有充
分利用,都会剩余一些使用空间,所以如果防毒程序够小的话,
就可以把它安装在网络的BootROM的剩余空间内,而不必另插
一块芯片。
这样,将工作站存取控制与病毒保护能力合二为一插
在网卡的EPROM槽内,用户也可以免除许多繁琐的管理工作。
市场上Chipway防病毒芯片就是采用这种网络防毒技术,当
工作站DOS引导过程时,在ROMBIOS、ExtendedBIOS装入之后,
PartitionTable装入之前,Chipway将会获得控制权,这样可
以防止引导型病毒。
然而目前,Chipway对防止网络上广为传播
的文件型病毒能力还十分有限。
2、基于服务器的NLM防毒技术
服务器是网络的核心,一旦服务器被病毒感染,就会使服务
器无法启动,整个网络陷于瘫痪,造成灾难性后果。
目前基于
服务器的防治病毒方法大都采用了以NLM(NetWareLoadable
Module)可装载模块技术进行程序设计,以服务器基础,提供实
时扫描病毒能力。
基于服务器的NLM防毒技术一般具备以下功能:
(1)实时在线扫描
网络防毒技术必须保持全天24小时监控网络中是否有带毒文
件进入服务器。
为了保证病毒监测实时性,通常采用多线索的设
计方法,让检测程序作为一个随时可以激活的功能模块。
且在
NetWare运行环境中,不影响其它线索的运行。
这往往是设计一
个NLM最重要的部分,即多线索的调度,实时在线扫描能非常及
时追踪病毒的活动,及时告之网络管理员和工作站用户。
当网络
用户将带毒文件有意或无意拷入服务器中时,网络防毒系统必须
立即通知网络管理员,或涉嫌病毒的使用者,同时自己记入病毒
档案。
(2)服务器扫描
对服务器中的所有文件集中检查是否带毒。
若有带毒文件,
则提供几种处理方法给网络管理员,允许用户清除病毒,或删除
带毒文件,或更改带毒文件名成为不可执行文件名并隔离到一个
特定的病毒文件目录中。
允许网络管理员定期检查服务器中是否带毒,例如可按每月、
每星期、每天集中扫描一下网络服务器,这样网络用户拥有极大
的操作选择余地。
(3)工作站扫描
基于服务器的防毒软件并不能保护本地工作站的硬盘,一个
有效方法是在服务器上安装防毒软件的同时,需要在上网的工作
站内存中调入一个常驻扫毒程序,实时检测在工作站中运行的程
序,如LANdeskVirusProtect采用LPSean,而
LANClearForNetWare采用World程序等。
与DOS防毒一样,服务器NLM防毒也面临如何使防毒系统能够
对付不断出现的新病毒的问题。
典型的做法是开放病毒特征数据
库。
用户随时将遇到的带毒文件,经过病毒特征分析程序,自动
将病毒特征加入特征库,以随时增强抗毒能力。
基于服务器的NLM防毒方法表现在:
可以集中式扫毒、能实
现实时扫描功能、软件升级方便;特别是联网机器很多的话,利
用这种方法比为每台工作站都安装防病毒产品要节省成本。
市场上较有代表性的产品有:
Symantec的NortonAnti
VirusforNetWare、Intel公司的LANDeskVirusProtect、
Cheyenne的InocuLAN、OntrackComputerSystems的Dr
.Solomon'sAnti-VirusToolkit、McAfeeDNetShield、
CommandSoftwareSystems的Net-Prot、CentralPointAnti
-VirusforNetWare以及北京威尔德电脑公司的LANClearFor
NetWare等。
LANDesKVirusProtect是经过NOVELL实验室认证的网络防
毒管理系统。
该系统安装于文件服务器上,可以保护网络工作
站,并随时监控文件服务器及工作站的病毒活动,让所有网络管
理者远离病毒的侵扰。
当防毒系统发现中毒文件,便会将之隔离。
使用者可以选择将中毒文件删除,或更名为不可执行文件,或是
搬至指定目录下。
防毒系统还将详细记录中毒文件的来源、时
间、LOGINUSER的名字。
LANDesKVirusProtect2.0以上版
本还提供服务器及工作站的双重保护。
通过工作站的常驻扫描
程序(TSRSCAN),随时检查工作站所执行的程序是否为病毒携
带者,与服务器的监控相辅成,达到真正的全面防毒效果。
四、网络病毒清除方法
一旦在网络上发现病毒,应设法立即清除:
(1)立即使用BROADCAST命令,通知所有用户退网,关闭文
件服务器。
(2)用带有写保护的、“干净”的系统盘启动系统管理员
工作站,并立即清除本机病毒。
(3)用带有写保护的、“干净”的系统盘启动文件服务器,
系统管理员登录后,使用DISABLELOGIN命令禁止其他用户登录。
(4)将文件服务器的硬盘中的重要资料备份到干净的软盘
上。
但千万不可执行硬盘上的程序,也千万不要往硬盘中拷贝
文件,以免破坏被病毒搞乱的硬盘数据结构。
(5)用杀毒软件(最好是网络杀毒软件)扫描服务器上所
有卷的文件,恢复或删除发现被病毒感染的文件,重新安装被
删文件。
(6)用杀毒软件扫描并清除所有可能染上病毒的软盘或备
份文件中的病毒。
(7)用杀毒软件扫描并清除所有的有盘工作站硬盘上的病
毒。
(8)在确信病毒已经彻底清除后,重新启动网络和工作站。
如有异常现象,应请网络安全与病毒防治专家来处理。
在此,列出KV200查解网络病毒的方法,供大家参考。
(1)待夜晚或服务器不用时,用“干净”的系统盘引导网
络服务器,运行KV200,出现主菜单后,按一下F1键(广谱扩展
扫描法),再按C。
这样可查解网络服务器硬盘主引导区和DOS分
区内的病毒。
(2)待确认网络服务器硬盘主引导区没有病毒后,建议将
该硬盘主引导区信息永久性保存,一旦日后因病毒破坏了而无
法引导硬盘时,可再将保存的硬盘主引导信息再原样恢复。
(3)应一个一个地检查有硬盘的工作站。
用“干净”系统
盘引导系统,运行KV200,出现主菜单后,按下C,D,E...等。
再清查所有的软盘,查明无病毒后,运行进网程序,其中CONFIG.
SYS和AUTOEXEC.BAT文件应先改名不用,使进网的程序越少越好
但应开放为超级用户环境。
(4)在无病毒的工作站中查寻网络服务器中的数据存储区。
运行KV200,出现主菜单后,按一下“F”键即可查解“F”盘中
的病毒,再按“G”键即可查解“G”盘中的病毒,查出病毒后,
即可杀除。
如果要再细致的进行检查,先按一下“F1”或“F4”
键,再按下F,G,H...等,即可对F,G,H,...等盘进行广谱全
代码过滤法查毒。
这种方法查毒仔细,但速度慢。
1.分布式杀毒技术
分布式杀毒是一种建立在集中式管理基础上的网络防病毒技术。
安装在网络系统中特定计算机的中央控制台和安装在每台计算机上的杀毒软件,共同构筑成协调一致的病毒防护体系。
网络管理员只需通过控制台,就可管理整个网络的所有杀毒程序,掌管全网各节点的病毒防护状况,对各节点统一实施病毒特征代码库和杀毒软件的联网升级和更新。
采用分布杀毒、集中管理技术的网络防病毒系统,可以克服网络杀毒产品不能全网统一杀毒的缺陷,杜绝了因部分计算机未能及时杀毒而留下的隐患。
2.病毒源监控技术
密切关注和测控外部网络中的病毒动向,将所有病毒堵截在网络入口处,是当前网络防病毒技术的一个重点。
网络防毒必须从各个不同的层次堵截病毒的来源。
目前流行的网络防病毒远程中央监控系统,是一种可以跨网域操作的病毒源监控技术。
它由中央监控系统及用于不同网络服务和客户计算机的病毒源监控软件模块组成,如用于Internet访问代理服务器的模块、用于邮件服务器的模块、用于文件服务器的模块和用于客户计算机的模块,形成一个全方位的防病毒解决方案,构成了一道网关防毒网。
3.数字免疫系统技术
数字免疫系统(DigitalImmuneSystem)是赛门铁克公司与IBM公司共同合作研究开发的一项网络防病毒技术。
采用该技术的网络防病毒产品能够应付网络病毒的爆发和极端恶意事件的发生。
数字免疫系统主要包括封闭循环自动化网络防病毒技术和启发式检测技术(HeuristicTechnology)。
封闭循环自动化网络防病毒技术是一个后端基础设施,可以为企业级用户提供高级别的病毒保护。
在网络系统的管理中,数字免疫系统能够根据网络管理员的要求,自动进行病毒检测和分析。
采用启发式侦测技术,还可以自动监视计算机和网络中的可疑行为,为网络防病毒产品对付未知病毒提供依据。
数字免疫系统还可以将病毒解决方案广泛发送到被感染的联网计算机上,或者发送到整个企业内部网系统中,从而提高网络系统的运行效率。
数字免疫系统提供的超流量控制功能,还可以减轻由于过多用户同时提交被感染文件引发的网络通信拥堵,使对整个网络的监测变得更加简便。
4.主动内核技术
主动内核技术是一种将已经开发出的各种网络防病毒手段,从源程序级嵌入到操作系统或网络系统内核中的技术,实现了网络防病毒产品与操作系统的无缝集成。
这种技术可以保证网络防病毒模块从系统的底层内核与各种操作系统和应用环境协调工作,确保防毒操作不会伤及到操作系统内核,同时确保杀毒的功效。
在一个大型异构计算机网络中采用这种技术时,只要在服务器中安装了内置主动内核技术的操作系统,采用该技术的安全产品就能自动探测出网络中的每一台计算机是否已经安装了主动内核,以及是否都已升级到了最新版本。
当发现哪台计算机不符合要求时,防毒系统就会自动补上这个漏洞。
只要用户所用的计算机系统若处于主动内核保护之下,已知病毒的入侵就会被拒之门外。
这种技术对用户是完全透明的,使用这种技术的网络防病毒系统,可以通过全方位的网络管理,支持远程服务器和软件自动分发等机制,帮助网络管理员有效抵御网络病毒的侵袭。
1引言
随着计算机技术的发展和互联网的扩大,使高校计算机教育的教学方法越来越先进,师生通过网络机房检索与获取所需信息、进行专题讨论、网上学习等活动,给教学带来了极大的方便,但与此同时,计算机病毒对计算机的攻击与日俱增,而且破坏性日益严重。
保障高校计算机网络安全必须坚持一手抓技术防范,一手抓管理防范,并有效解决网络安全问题,高校计算机网络才能安全高效运行。
2计算机病毒与计算机网络病毒的特点及危害
2.1计算机病毒及特点
计算机病毒是将自身纳入另外的程序或文件的一段小程序。
计算机病毒还包括逻辑炸弹、特洛伊木马和系统陷阱入口等等。
广义上,能够引起计算机故障,破坏计算机数据的程序都可称为计算机病毒;狭义上,特别是在我国,计算机病毒是指“编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码”;计算机病毒虽是一个小小程序,但它和普通的计算机程序不同,具有以下特点。
自我复制的能力。
它可以隐藏在合法程序内部,随着人们的操作不断地进行自我复制;它具有潜在的破坏力。
系统被病毒感染后,病毒一般不即时发作,而是潜藏在系统中,等条件成熟后,便会发作,给系统带来严重的破坏,它只能由人为编制而成。
计算机病毒不可能随机自然产生,也不可能由编程失误造成;它不仅破坏系统程序,也有可能损坏硬件设备。
如CIH病毒;它具有可传染性,并借助非法拷贝进行这种传染。
计算机病毒通常都附着在其他程序上,在病毒发作时,有一部分是自己复制自己,并在一定条件下传染给其他程序;另一部分则是在特定条件下执行某种行为。
2.2计算机网络病毒的特点及危害
计算机网络病毒是在计算机网络上传播扩散,专门攻击网络薄弱环节、破坏网络资源的计算机病毒。
计算机病毒攻击网络的途径主要是通过软盘拷贝、互联网上的文件传输、硬件设备中的固化病毒程序等等。
病毒还可以利用网络的薄弱环节攻击计算机网络。
在现有的各计算机系统中都存在着一定的缺陷,尤其是网络系统软件方面存在着漏洞。
因此网络病毒利用软件的破绽和研制时因疏忽而留下的“后门”,大肆发起攻击。
网络病毒可以突破网络的安全的防御,侵入到网络的主机上,导致计算机工作效率下降,资源遭到严重破坏,甚至造成网络系统的瘫痪。
计算机网络病毒破坏性极强。
它不仅攻击程序,而且能破坏网络上的主机硬分区,造成主机无法启动,使整个网络无法工作。
网络病毒有很强的繁殖或再生机制,一旦一个网络病毒深入到一个公共的实用工具或实用软件中,便会很快传播扩散到整个网络上。
在传播扩散播少则几个小时,多则一个星期,病毒就会充满整个网络。
潜伏在网络中的病毒一旦等到触发条件成熟,便会立刻活跃起来,触发条件可以是用户名、内部时钟、网络的一次操作或是一次通讯对话等等。
一种网络病毒并不针对、也不可能针对所有的计算机及网络主机进行攻击。
限于操作系统的不同,一种网络病毒只有一种毒性,有的专门攻击微机DOS操作系统的计算机,有的专门攻击UNIX操作系统或MACINTOSH计算机。
从以上这些特点来看,计算机网络病毒比单机病毒的危害更大,杀伤力也更强,必须采取措施加强防治。
2.3目前高校网络中的主要安全隐患
(1)网络系统自身的漏洞的威胁。
网络设备和计算机软件不可能是十全十美的,在设计和开发的过程中,不可避免会出现一些缺陷和漏洞,漏洞包括许多方面:
如操作系统的安全漏洞,包括操作系统的BUG、I/O非法访问、访问控制的混乱等;数据库及应用软件的安全漏洞,如数据库文件格式、文件存放位置、口令加密机制等;TCP/IP协议的安全漏洞,IPV4并未考虑安全性,这是IP网络不安全的主要原因;网络软件和服务的安全漏洞,如Finger漏洞、匿名FTP漏洞、Telnet漏洞、E-mail漏洞等。
另外,编程人员为自己方便而在软件中留有“后门”,这些漏洞、缺陷以及“后门”恰恰是黑客进行攻
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 防病 技术