【導讀】安全性越來越感到擔憂。網(wǎng)絡間諜、黑客攻擊及其他被廣為描述的安全性問題已有很多報道，計算機病毒造成的。或臺式機都曾受到計算機病毒的侵害。在這種情況下，為了免受財產(chǎn)損失，大多數(shù)用戶都需。要選擇了防病毒產(chǎn)品。企業(yè)防毒已經(jīng)成為時下IT業(yè)界最為關注的焦點之一，而掌握病毒的。注的企業(yè)，甚至專設了安全管理員或反病毒管理員的職位。本文通過對病毒知識的介紹，希。望對網(wǎng)絡管理員、反病毒技術人員或深受病毒困擾的人士能有所幫助。就企業(yè)防毒提供了相關的參考建議。勒出來，但沒有引起人們的注意。斯在工余想出一種電子游戲叫做"磁芯大戰(zhàn)"。1977年夏天，托馬斯.捷.瑞安的科幻小說《P-1的青春》成為。美國的暢銷書，轟動了科普界。作者幻想了世界上第一個計算機病毒，可以從一臺計算機傳

　　

【正文】 ete HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows /v run /f reg delete HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\_reg /f rem file clean part del %windir%\system32\ del %windir%\system32\ del %windir%\system32\ del %windir%\system32\ 28 del %windir%\system32\ del %windir%\system32\ del %windir%\ del %windir%\system32\ 九 、 企業(yè)病毒防范 安全體系建設 選擇網(wǎng)絡版防毒軟件 在網(wǎng)絡環(huán)境下，病毒傳 播擴散快，僅用單機防殺病毒產(chǎn)品以及難以清除網(wǎng)絡病毒，必須有適用于局域網(wǎng)、廣域網(wǎng)的防殺病毒產(chǎn)品。 全方位、多層次的防毒體系 病毒在網(wǎng)絡中存儲、傳播、感染的方式各異和途徑多種多樣，企業(yè)在構(gòu)建網(wǎng)絡防病毒系統(tǒng)時，應利用全方位企業(yè)防病毒產(chǎn)品，實施“層層設防，集中控制，以防為主，防殺結(jié)合”的企業(yè)防病毒策略。 全方位、多層次病毒防護體系的實施 需要制定下列相關策略： ? 防護工作站 網(wǎng)絡工作站的防護位于企業(yè)防毒體系中的最底層，對企業(yè)計算機用戶而言，也是最后一道防、殺病毒的要塞?？紤]到網(wǎng)絡中的工作站數(shù)量少則幾十臺，多則 數(shù)百上千臺甚至更多。如果需要靠網(wǎng)管人員逐一到每臺計算機上安裝單機防病毒軟件，費時費力，同時難以實施統(tǒng)一的防病毒策略，日后的維護和更新工作也十分繁瑣。選擇這類防毒產(chǎn)品時，可考慮一些專為企業(yè)網(wǎng)而設計的企業(yè)版軟件，如趨勢科技的 OfficeScan（趨勢科技防毒墻網(wǎng)絡版）便提供了針對工作站、移動終端病毒防護的簡便安裝和集中管理功能， OfficeScan 提供多達七種之多的客戶端軟件安裝方式，基于 web 的管理方式和獨特的帶寬管理方式更加適合企業(yè)防毒的需要。 ? 防護文件服務器 文件服務器是企業(yè)網(wǎng)絡中最常見的服務器。 例如 Windows NT 文件服務器會遭受大量引導型病毒、 DOS病毒、 32 位 Windows 病毒以及宏病毒等的攻擊，更為常見的是，由于文件服務器為網(wǎng)絡中所有工作站提供文件資源共享，因而也成為病毒理想的隱身寄居場所，進而 29 將病毒輕易擴散到網(wǎng)絡中的所有工作站上。 防毒體系結(jié)構(gòu)中的服務器端產(chǎn)品，實時病毒監(jiān)控功能，遠程安裝、遠程調(diào)用功能，病毒碼自動更新功能以及病毒活動日志、多種報警通知方式等，可為企業(yè)內(nèi)文件服務器的病毒防護提供便利和效能。針對服務器的防毒，趨勢科技 ServerProtect 提供了跨網(wǎng)域管理、多平臺支持 甚至對海量存儲文件系統(tǒng)的病毒掃描等諸多優(yōu)越特性。 ? 郵件服務器的病毒防護 隨著企業(yè)內(nèi)部電子郵件應用與群件服務器應用日益普及，企業(yè)網(wǎng)絡中又增加了一個病毒入侵的通道。根據(jù)世界計算機安全協(xié)會（ ICSA） 1999 年的報告，因使用電子郵件而中毒的事件已占所有中毒事件的 58％，且其比率正在持續(xù)升高之中。不久前，發(fā)生在美國的包括微軟在內(nèi)的幾家全球著名企業(yè)，遭受到來自電子郵件的 “I LOVE YOU”病毒的攻擊，致使企業(yè)郵件服務器關閉。我們不難得出保護郵件服務器免受病毒攻擊的重要性。在網(wǎng)絡防毒體系結(jié)構(gòu)中再增加了一層關 卡，確保經(jīng)由企業(yè)郵件服務器的郵件附件隨時處于病毒免疫狀態(tài)。該類產(chǎn)品如上文提及的趨勢科技 ScanMail for Exchange,ScanMail for Lotus Notes. ? 網(wǎng)關防毒把住病毒入口 在 毒 苗擴散前，直接在網(wǎng)絡入口消滅駭客程序、垃圾郵件，有效避免病毒災情蔓延網(wǎng)絡。 黑客通過 Inter 及 ，利用惡性程序進入網(wǎng)絡內(nèi)部破壞系統(tǒng)運作，甚至入侵電子商務網(wǎng)站竊取客戶資料。更有黑客操縱被惡性程序進駐的「僵尸計算機」，發(fā)動「阻斷服務 (DoS)」，攻擊知名網(wǎng)站，造成公司計算機被當成傀儡不法 使用。另外，大量的垃圾郵件，將會擁塞網(wǎng)絡頻寬，甚至灌爆郵件服務器而造成當機。據(jù) ICSA的統(tǒng)計報告： 87% 以上的病毒是通過 SMTP和 HTTP傳播的。所以，如何在網(wǎng)絡的入口處架設一道防毒屏障，如何阻絕惡性程序及垃圾郵件，對系統(tǒng)管理者來說是一件刻不容緩的事。在網(wǎng)際網(wǎng)絡關口建構(gòu)一道能隨時偵測及過濾病毒、惡性程序、垃圾郵件、不當內(nèi)容郵件的防毒墻，可有效防止病毒災情擴散。因此需要在企業(yè)網(wǎng)絡的第一道入口 網(wǎng)關，將病毒過濾，如果企業(yè)可以在網(wǎng)關和郵件服務器做好防毒殺毒的工作，那么自然可以減少桌面機上的防毒任務。自趨勢科技第 一個提出網(wǎng)關防病毒理念，并創(chuàng)造了“ on the fly(空中抓毒 )”的專利技術以來，眾多的防毒廠商也相繼推出了網(wǎng)關防毒產(chǎn)品，但趨勢科技的 InterScan 系列網(wǎng)關防毒產(chǎn)品仍牢牢占據(jù)領先地位，擁有全球企業(yè)網(wǎng)關防毒產(chǎn)品的近 2/3的市場。 總之，防毒不可以有漏洞，任何一處的疏忽大意均可給企業(yè)帶來重大災難，所以全面防毒和多層次防毒顯得十分必要了。 30 中央控管至關重要 網(wǎng)絡病毒的防御應與網(wǎng)絡管理緊密結(jié)合。網(wǎng)絡防病毒最大的優(yōu)勢在于網(wǎng)絡的管理功能，如果沒有把管理功能加上，很難完成網(wǎng)絡防病毒的任務。只有管理與防范相結(jié)合 ，才能保證系統(tǒng)的良好運行。網(wǎng)管功能就是管理全部的網(wǎng)絡設備：從 Hub、交換機、服務器到 PC，軟盤的存取、局域網(wǎng)上的信息互通及與 Inter 的連接等等，所有病毒能夠進來的地方。 企業(yè)的防毒管理系統(tǒng)，就像是一個軍隊的作戰(zhàn)指揮中心，能否一個口令全體同時立即執(zhí)行一項決策，是戰(zhàn)役成敗的關鍵。落實到防毒軟件來說，要使得位于 Client、 Server、 Gateway 各個節(jié)點的防毒軟件都能同時接收中央控管系統(tǒng)的防毒指令，就要采用同一個廠商的防毒軟件。因為，如果企業(yè)采用兩種以上的防毒軟件，不但無法取得統(tǒng)一的報告，還需要 通過好幾個控管工具管理和更新防毒軟件。 具有領導地位的防毒廠商，應該提供具中央控管的作業(yè)平臺，比如趨勢科技業(yè)網(wǎng)絡防毒中央控管系統(tǒng) Control Manager，它可讓企業(yè)網(wǎng)管員通過 Inter 及 Intra 控管企業(yè)網(wǎng)絡中的所有防毒軟件，并使用瀏覽器作為使用接口以 HTTP 為傳輸協(xié)議，網(wǎng)管人員可監(jiān)視并管理執(zhí)行在不同操作系統(tǒng)中的防毒軟件，大部分的工作都可以在同一個瀏覽器的畫面中完成。對企業(yè)而言，既省下更多的管理成本，同時也降低網(wǎng)管員對網(wǎng)絡及防毒平臺的維護復雜度。 此外， Control Manager 還可根據(jù)病毒的感染特性，在病毒碼公布之前每 15 分鐘，通過中央控管系統(tǒng)自動部署最新的防毒對策，同時使得桌面機、服務器與網(wǎng)關等節(jié)點防毒軟件進入備戰(zhàn)狀態(tài)，采用統(tǒng)一的病毒代碼、更新程序，這樣局域網(wǎng)帶寬資源就不至于因為安裝病毒代碼及更新程序而被占據(jù)太多，并可在第一時間內(nèi)將“解藥”送至災區(qū)。 網(wǎng)絡病毒爆發(fā)時的主動防御 就網(wǎng)絡病毒的組成來講，其行為也是相當復雜，可能同時具備蠕蟲、后門以及病毒的多重行為特征，對一個單獨的計算機系統(tǒng)乃至整個網(wǎng)絡環(huán)境安全所造成的威脅也是不可估量的。甚至如紅色代碼以及 SLAMMER 等網(wǎng)絡 病毒更是直接利用系統(tǒng)漏洞進行傳播，而且并不具備實體文件，這無疑對傳統(tǒng)的使用病毒特征代碼進行比對的病毒防治技術帶來了嚴峻的挑戰(zhàn)。 傳統(tǒng)的防病毒技術通常是采取的是一種消極的被動的防御方式，因此在遭受導網(wǎng)絡病毒攻擊時往往應接不暇。即便是一個企業(yè)在其網(wǎng)關、文件服務器、群件服務器以及個人用戶桌面都部署了防病毒產(chǎn)品，也會由于新病毒的病毒特征碼沒有發(fā)布，而在病毒的攻擊下無力抵 31 抗。在這種情況下，只有采取主動式的防御，對病毒的整個生命周期進行管理才是出路。 主動式的防御，就是在病毒特征碼還沒有發(fā)布的情況下，經(jīng)由中央控管，在整 個網(wǎng)絡環(huán)境中針對網(wǎng)絡病毒的傳播途徑，采取防御措施，使網(wǎng)絡病毒失去傳播的機會。網(wǎng)絡病毒的主要傳播途徑主要有以下幾種：電子郵件、文件共享。以梅麗莎病毒舉例，該病毒以電子郵件的形式傳播，如果以傳統(tǒng)的方式防毒，在沒有病毒碼的情況下，沒有計算機能幸免被感染。但是，如果網(wǎng)關類或是群件類的防病毒軟件可以設置郵件阻擋策略，例如趨勢科技的 IMSS 即可以針對郵件本身進行阻擋過濾。又例如 SLAMMER病毒是針對 SQL 2020的特定端口進行攻擊，那么對相關端口進行屏蔽，自然可以消餌病毒的攻擊。 附錄： Sysclean 工具使 用方法 “sysclean” 工具是專門用來清除被感染系統(tǒng)中病毒的工具。傳統(tǒng)的清毒工具都是分別針對單一的病毒感染進行修復，而本工具可以同時清除系統(tǒng)中的各類病毒。 本工具具有以下功能： ? 終止正在內(nèi)存中運行的惡意程序 ? 清除或修復惡意程序使用的注冊表鍵值 ? 清除或修復系統(tǒng)文件中被惡意程序修改的內(nèi)容 ? 掃描整個硬盤，以清除所有惡意程序的文件 ? 請先下載最新版本的 Sysclean 工具。 下載地址為： 需下載的文件有：程序文件 [] 和病毒碼文件 [lpt$]。(注： nnnn, xxx, zzz 分別代表各自的版本號 ) ? 在系統(tǒng)的某個分區(qū)中創(chuàng)建一個專用目錄來存放下載的文件。如目錄 c:\trend\tools\sysclean 注：請確保將 sysclean 程序文件和病毒碼文件放在同一目錄下。 ? 此工具可以在 Windows 9x/ME/NT/2020/XP 平臺下使用。 ( 對于使用 Windows NT 的用戶，可能需要將庫文件 復制到 Windows系統(tǒng)目錄下，通常目錄 32 路徑類似于 C:\WINNT\system32。 此動態(tài)庫文件可以從 Windows NT Setup CD上找到，具體位置為： \Support\Debug\i386\ ) ? 關閉所有正在運行的窗口和程序，其中尤其要注意防毒軟件的實時防毒也需關閉。 ? 在資源管理器的 [工具 ]\[文件夾選項 ]中，選擇 [使用 windows 傳統(tǒng)風格文件夾 ]的選項，以禁止資源管理器對 Web瀏覽器的自動調(diào)用。 (某些病毒專門感染 web頁面，一旦 Web瀏覽器程序 ,如 IE處于開啟狀態(tài)，會造成開啟的頁面中的病毒無法有效清除。 ) ? 運行下載的程序 []，直接雙擊執(zhí)行。 ? 該工具會在自己的目錄下產(chǎn)生日志 (log)文件 ,內(nèi)有詳細的清毒日志。