【正文】 啟動時自動運行。在受感染文件中掃描病毒特征。. 防病毒客戶端功能要求? 文件系統(tǒng)實時防護(hù)，不間斷的監(jiān)視計算機(jī)上的活動，方法時在執(zhí)行或打開文件時，或者對文件機(jī)進(jìn)行修改（比如，重命名、保存、移動或者復(fù)制文件）時，查找病毒。? 在省中心部署一臺企業(yè)內(nèi)部的病毒庫升級服務(wù)器，將所有的服務(wù)器升級指向該升級服務(wù)器并進(jìn)行相應(yīng)的配置，所有的客戶端仍然通過服務(wù)器進(jìn)行病毒定義更新也可以通過內(nèi)部的病毒庫升級服務(wù)器進(jìn)行升級。? 在每臺一級防毒服務(wù)器上部署中央隔離區(qū)，以收集所在服務(wù)器上管理的客戶端隔離區(qū)的感染文件，可以清楚的查看服務(wù)器上客戶端上感染的病毒類型，分析解決方法。? 在省中心通過中心控制臺對郵件防病毒系統(tǒng)、網(wǎng)關(guān)防病毒系統(tǒng)進(jìn)行統(tǒng)一管理，實現(xiàn)內(nèi)容防病毒軟件的病毒代碼、掃描引擎、升級程序、預(yù)防策略、垃圾郵件列表的集中分發(fā)、管理。在每個分組內(nèi)，委派專屬的管理員進(jìn)行安全策略的制定和維護(hù)，以及對組內(nèi)的服務(wù)器和客戶端進(jìn)行監(jiān)控。? 對于工作站和服務(wù)器隔離的可疑病毒樣本可以集中到一臺服務(wù)器上處理，實現(xiàn)集中隔離?？蓪⒉煌锢淼攸c的服務(wù)器分組，對于客戶端也可根據(jù)配置的需要分組，包括設(shè)置客戶端密碼、實時監(jiān)控客戶端配置、統(tǒng)一刷新客戶端狀態(tài)、統(tǒng)一發(fā)送廣播、查詢歷史記錄等。而有一個控制中心進(jìn)行整體監(jiān)控。? 靈活的管理方式，可以支持集中和分步式管理，分步式管理可以跨越廣域網(wǎng)，跨廣域網(wǎng)時需要有效地利用帶寬。? 提供多種軟件安裝和軟件升級的手段，必須提供遠(yuǎn)程安裝客戶端、基于WEB 的軟件安裝和手動、定時病毒庫版本升級功能，以方便管理，節(jié)省勞動成本。能夠通過控制臺看到客戶端的病毒版本、查殺毒記錄及各種日志信息。? 強(qiáng)大、靈活的管理和任務(wù)調(diào)度手段，允許管理員通過中心控制臺，集中地實現(xiàn)全網(wǎng)范圍內(nèi)防毒策略的定制、分發(fā)和執(zhí)行。這些邊界防病毒過濾服務(wù)器接受省/直轄市中心的統(tǒng)一管理，包括工作策略配置、病毒特征和掃描引擎更新、病毒監(jiān)控。建議各省/直轄市根據(jù)實際情況，統(tǒng)一規(guī)整外部網(wǎng)絡(luò)的接入點，包括互聯(lián)網(wǎng)接入點、第三方組織網(wǎng)絡(luò)接入點。防病毒客戶端軟件按照下發(fā)的工作策略對工作站、個人計算機(jī)和服務(wù)器進(jìn)行防病毒保護(hù)，包括定期病毒掃描、文件系統(tǒng)實時保護(hù)，并且向上級的病毒服務(wù)器報告病毒事件。此層次視具體情況而設(shè)定，如某地市客戶端密集，則需要設(shè)置多臺二級服務(wù)器；如客戶端很少，可以和其他地市共用同一個二級服務(wù)器。這個層次的功能是擴(kuò)展最高層的防病毒安全策略和病毒特征、掃描引擎的更新，收集下層防病毒客戶端的狀態(tài)和病毒告警。此外需要部署防病毒控制臺，使得安全管理員能夠?qū)κ?直轄市范圍內(nèi)防病毒狀況進(jìn)行統(tǒng)一監(jiān)控，包括病毒報警和匯總統(tǒng)計，可以根據(jù)各個地市不同的 IP 地址分布定義相應(yīng)的報表實現(xiàn)。各省/直轄市根據(jù)需要部署一級病毒服務(wù)器，分別管理辦公網(wǎng)、承載網(wǎng)、業(yè)務(wù)網(wǎng)的防病毒系統(tǒng)。. 省中心集中管理層最高層部署統(tǒng)管全省/直轄市的防病毒控制臺和一級病毒服務(wù)器，建議在各省移動中心部署。這個層次分布于網(wǎng)絡(luò)出入接口，在這些外部網(wǎng)絡(luò)接入點部署郵件防病毒過濾服務(wù)器、Web 防病毒過濾服務(wù)器、FTP 防病毒過濾服務(wù)器。桌面工作站和文檔服務(wù)器接受二層防病毒服務(wù)器的直接管理。? 第三層：終端層。這個層次具有多個分布在不同地市部門的防病毒服務(wù)器，負(fù)責(zé)局域網(wǎng)內(nèi)桌面工作站或者文檔服務(wù)器的防病毒控制。? 第二層：分布層。成立統(tǒng)一防病毒管理中心。. 各省/直轄市網(wǎng)絡(luò)防病毒體系架構(gòu)建議各省/直轄市網(wǎng)絡(luò)防病毒體系架構(gòu)示意圖20 / 53各省/直轄市建立統(tǒng)一的防病毒管理體系，采用分層的管理模式。在這些外部網(wǎng)絡(luò)接入點部署郵件防病毒過濾服務(wù)器、Web 與 FTP 防病毒過濾服務(wù)器。. 邊界層在集團(tuán)總部統(tǒng)一網(wǎng)絡(luò)出入接口，部署邊界防病毒過濾服務(wù)器。. 終端層第二層是在集團(tuán)總部移動范圍內(nèi)的防病毒客戶端，建議所有的工作站、個人計算機(jī)以及服務(wù)器統(tǒng)一安裝防病毒客戶端軟件。部署一級病毒服務(wù)器，管理集團(tuán)辦公網(wǎng)防病毒系統(tǒng)，一級病毒服務(wù)器負(fù)責(zé)防病毒系統(tǒng)的工作策略的制定，更新病毒代碼、掃描引擎，并且分發(fā)到下屬各個部門的防病毒客戶端。. 集團(tuán)總部中心集中管理層在集團(tuán)總部內(nèi)部部署統(tǒng)一的防病毒控制臺和一級病毒服務(wù)器，建議在監(jiān)控中心部署。這個層次分布于集團(tuán)網(wǎng)絡(luò)出入接口，在這些外部網(wǎng)絡(luò)接入點部署郵件防病毒過濾服務(wù)器、Web 防病毒過濾服務(wù)器、FTP防病毒過濾服務(wù)器。桌面工作站和文檔服務(wù)器接受中心防病毒服務(wù)器的直接管理。? 第二層：各部門的終端層。這個層次通過防病毒中央控制臺統(tǒng)一管理集團(tuán)總部的防病毒事務(wù)，負(fù)責(zé)集團(tuán)總部防病毒架構(gòu)的工作策略配置的制定和分發(fā)。18 / 53在集團(tuán)總部建立防病毒管理中心，覆蓋總部范圍內(nèi)的各個部門：? 第一層：集中管理層。包括：? 制定公司的防病毒管理策略；? 防病毒運維組織架構(gòu)；? 防病毒管理職責(zé)定義；? 監(jiān)督各省/直轄市的防病毒工作，定期以安全審計檢查的方式監(jiān)督下屬公司的防病毒體系建設(shè)和管理工作是否到位。? 通過制定中移動統(tǒng)一的防病毒架構(gòu)體系建設(shè)規(guī)范，為各省/直轄市的防17 / 53病毒架構(gòu)建設(shè)和改進(jìn)提供了規(guī)范性的指導(dǎo)建議。根據(jù)中國移動的情況來講，應(yīng)以各省或者直轄市為單位，在各省或者直轄市的信息化責(zé)任部門設(shè)立省或者直轄市內(nèi)統(tǒng)一的防病毒管理中心，由專門的防病毒管理人員通過防病毒中央控制臺，對分布在省或者直轄市內(nèi)網(wǎng)絡(luò)中的防病毒部件進(jìn)行統(tǒng)一管理控制。建議在中移動范圍內(nèi)，根據(jù)實際的情況，建立局部范圍內(nèi)統(tǒng)一集中的基于網(wǎng)絡(luò)的防病毒架構(gòu)體系。如果未應(yīng)用更新防病毒，或者未能及時應(yīng)用，則企業(yè)的關(guān)鍵系統(tǒng)和數(shù)據(jù)就容易受到攻擊。有效的安全極大的取決于防病毒體系能夠及時進(jìn)行安全工具更新與配置，以及企業(yè)迅速響應(yīng)威脅的能力。這將最終導(dǎo)致在相關(guān)漏洞剛剛出現(xiàn)就創(chuàng)建并發(fā)布對漏洞的利用，使組織根本沒有時間響應(yīng)，這種情況下就出現(xiàn)了“零日”威脅。隨著電子商務(wù)、協(xié)作和控制關(guān)鍵基礎(chǔ)架構(gòu)（如發(fā)電）對互聯(lián)網(wǎng)依賴的增加，已經(jīng)開始向具有特定目標(biāo)和動機(jī)的、更“專業(yè)”的攻擊者演變，從而導(dǎo)致更短的漏洞威脅窗口。通常，這些利用發(fā)生16 / 53在發(fā)現(xiàn)并宣布漏洞一段時間后。? 部署支持 HTTP、FTP、SMTP 通信協(xié)議的網(wǎng)關(guān)防病毒部件，保護(hù)計算機(jī)用戶免受因互聯(lián)網(wǎng)絡(luò)活動的感染病毒。 ? 郵件服務(wù)器。? 服務(wù)器。防病毒架構(gòu)應(yīng)該覆蓋：? 客戶端。根據(jù)當(dāng)前病毒技術(shù)的特點，中移動集團(tuán)的防病毒架構(gòu)的要點為：1) 多層次、覆蓋全面從技術(shù)架構(gòu)方面，防毒一定要實現(xiàn)全方位、多層次防毒。尤其是在病毒爆發(fā)的時候，如何在第一時間和防毒軟件公司的技術(shù)服務(wù)人員連系， 取得有效的支持是致勝的關(guān)鍵，一般較好的防毒軟件公司能夠提供比如 Premium Support Program 企業(yè)專屬咨詢服務(wù)，提供 7 天 24 小時的全天候服務(wù)給有此需求特別的客戶。8) 爭取急救第一時間“時間點”和上述的程序有著密切的關(guān)系，現(xiàn)今病毒爆發(fā)的速度都連一秒千里都不足以形容，對于大型企業(yè)而言，若是遭遇到自動發(fā)送電子郵件型態(tài)的病毒 （如愛蟲） ，不用幾個小時就可以制造出成千上萬帶有病毒的垃圾郵件，所以每一分一秒在病毒爆發(fā)的時候都是珍貴無比，定義正確的處理程序以及每個時間點（Checkpoint）所必須完成的事（Milestone） ，如此才不致于自亂陣腳，而錯失原可阻止災(zāi)害的第一時間。諸如此類和防毒相關(guān)的處理流程，往往只會出現(xiàn)在防毒軟件公司。13 / 536) 建立病毒安全管理機(jī)制在網(wǎng)絡(luò)寬帶時代不論是企業(yè)甚至個人，許多計算機(jī)都已經(jīng)處于“（固接）Always On”的狀態(tài)，面對未來可能急劇演變的計算機(jī)病毒環(huán)境，我們必須更主動的做好各項準(zhǔn)備，例如經(jīng)常檢查操作系統(tǒng)及應(yīng)用程序是否有安全性漏洞并更新安全性補(bǔ)丁程序，但更重要的是企業(yè)本身必須建立起一套“防毒政策” ，并且貫徹整個執(zhí)行面才有辦法做到有效防毒，否則若單純只靠防毒軟件而企業(yè)內(nèi)部人員沒有足夠的警覺性，一旦公司內(nèi)部病毒爆發(fā)，而又沒有一個有效率的緊急應(yīng)變措施，那可就真的后悔莫及了。5) 個人計算機(jī)最后一道關(guān)卡打從第一只計算機(jī)病毒問世以來，個人計算機(jī)一直是病毒的主要傳播媒介，因為個人計算機(jī)可和外界的溝通的太頻繁也太廣泛了，從固定式的儲存裝置、Inter 下載到點對點連接，都是計算機(jī)病毒得以入侵的渠道。其中“”防護(hù)功能可掃描任何通過網(wǎng)頁瀏覽器所瀏覽的內(nèi)容或是下載的文件：“ftp” 防護(hù)功能則是針對任何以 FTP 通訊協(xié)議傳輸?shù)奈募右赃^濾，以防止含有病毒的文件被下載；而“smtp” 防護(hù)功能則針對所有進(jìn)出企業(yè)內(nèi)部的 自動進(jìn)行掃描檢查。3) 網(wǎng)關(guān)安裝防毒軟件最有經(jīng)濟(jì)效益Inter 網(wǎng)關(guān)為企業(yè)與外界溝通的唯一渠道，因此在網(wǎng)關(guān)安裝防毒軟件是最有經(jīng)濟(jì)效益的防毒方式。病毒防御對策要點:1) 防毒須涵蓋所有企業(yè)據(jù)點防毒軟件所涵蓋的范圍直接影響了防毒能力的強(qiáng)弱，對于象中移動這樣的全國性企業(yè)，如果其中一個局域網(wǎng)沒有做好防毒工作，則該局域網(wǎng)勢必成為病毒散播的溫床，加上同屬一個企業(yè)體，即使不同地區(qū)但存取內(nèi)部網(wǎng)絡(luò)的權(quán)限依12 / 53然存在，因而導(dǎo)致其它局域網(wǎng)受感染的機(jī)率也大大的增加。. 公司病毒防御對策關(guān)鍵要點公司病毒的防御所涉及到的不僅僅是一般的病毒查殺、軟件使用問題，而是企業(yè)信息系統(tǒng)建設(shè)過程中所面臨的一系列問題，包括從防病毒架構(gòu)體系建設(shè)、防管理管理機(jī)制的完善兩個方面進(jìn)行公司病毒防御。這造成了公司防病毒工作方面的壓力不但要去解決各種由于病毒而引起的問題，還要負(fù)責(zé)計算機(jī)使用者的病毒教育工作、以及病毒事故處理工作。病毒在網(wǎng)絡(luò)中大面積的傳播破壞，給網(wǎng)絡(luò)運行造成極大危險，嚴(yán)重影響生產(chǎn)、辦公、營業(yè)，建立有效的病毒防護(hù)體系相當(dāng)重要。這些病毒將造成了內(nèi)部用戶終端和服務(wù)器的極大威脅。企業(yè)內(nèi)外網(wǎng)絡(luò)的出入口，成為了病毒感染和傳播的要道。具有高速傳播和網(wǎng)絡(luò)攻擊能力的病毒，可以造成企業(yè)有限的網(wǎng)絡(luò)貸款被擁擠，導(dǎo)致網(wǎng)絡(luò)癱瘓。. 網(wǎng)絡(luò)面臨的威脅病毒對企業(yè)網(wǎng)絡(luò)具有極大的威脅。郵件服務(wù)器的病毒防護(hù)是至關(guān)重要的，現(xiàn)在流行的極有破壞力的病毒都是通過電子郵件進(jìn)行傳播。在這些服務(wù)器當(dāng)中，需要重點考慮的是文檔服務(wù)器和郵件服務(wù)器。10 / 53. 桌面終端面臨的威脅病毒感染的工作站是受害的直接對象，感染病毒可能導(dǎo)致系統(tǒng)無法正常工作或數(shù)據(jù)破壞等直接損失，影響辦公效率是病毒破壞的最直接表現(xiàn)；病毒如果破壞用戶數(shù)據(jù)會更糟糕，如破壞工作計劃、會議記錄、一些重要文檔等，這些損失都是不可估量的。網(wǎng)絡(luò)中服務(wù)器一旦死機(jī)、或數(shù)據(jù)阻塞，給業(yè)務(wù)帶來損失不可估量。一般的來說，企業(yè)在信息化方面所做的投入較高，計費、辦公、管理等業(yè)務(wù)必須依賴先進(jìn)的計算機(jī)通訊設(shè)施。企業(yè)的大量存在及其網(wǎng)絡(luò)的復(fù)雜性，會同上面所敘述的計算病毒發(fā)展的趨勢，必然要求企業(yè)在做好信息化建設(shè)過程中能夠重視信息安全建設(shè)，以提高企業(yè)的整體信息安全、網(wǎng)絡(luò)辦公效率等。9 / 53第 5 章 企業(yè)的安全風(fēng)險和對策企業(yè)級防病毒體系要有針對企業(yè)的桌面終端、文件服務(wù)器、郵件服務(wù)器、網(wǎng)絡(luò)等提供全方位、多層次的安全防護(hù)。例如沖擊波病毒，利用微軟 RPC漏洞在短短幾天之內(nèi)感染了國內(nèi)幾乎所有使用 WinNT/2022/XP/2022 的聯(lián)網(wǎng)計算機(jī)。? 利用系統(tǒng)的漏洞進(jìn)行網(wǎng)絡(luò)傳播。惡意的攻擊者會利用用戶客戶端瀏覽器的漏洞或設(shè)置不當(dāng)，引誘用戶瀏覽或者下載某些帶有病毒的內(nèi)容。有些病毒能夠使用從受感染系統(tǒng)中獲取的電子郵件地址，將其自身轉(zhuǎn)發(fā)到其他受害者，制造更多的垃圾郵件。大量帶有病毒的電子郵件，有些甚至偽裝成為來自可信的系統(tǒng)管理員或官方服務(wù)的信件。? 電子郵件感染。? 通過共享資源。許多系統(tǒng)感染病毒是由于從不可信的系統(tǒng)或存儲介質(zhì)中拷取被感染的文件而造成的。造成系統(tǒng)資源耗盡和崩潰，企業(yè)內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)絡(luò)被大量的傳播攻擊而阻塞。系統(tǒng)崩潰和網(wǎng)絡(luò)阻塞這類病毒利用網(wǎng)絡(luò)系統(tǒng)漏洞或者用戶的疏忽達(dá)到利用網(wǎng)絡(luò)進(jìn)行繁殖和攻擊的目的，比如網(wǎng)絡(luò)蠕蟲病毒，利用電子郵件傳播蠕蟲病毒，或者是利用網(wǎng)絡(luò)系統(tǒng)（如 Windowns 服務(wù)器）的系統(tǒng)漏洞進(jìn)行蠕蟲攻擊傳播。盜竊機(jī)密信息這類病毒的目的是獲取感染病毒系統(tǒng)中的機(jī)密信息，例如木馬病毒，一旦其感染系統(tǒng)后能夠監(jiān)視系統(tǒng)，收集系統(tǒng)的帳戶密碼（例如游戲帳號密碼，甚至是信用卡帳號信息等） ，病毒將這些機(jī)密信息發(fā)送到攻擊者的系統(tǒng)中。 更惡劣的病毒還能夠破壞磁盤的引導(dǎo)扇區(qū)文件、修改文件分配表和硬盤分區(qū)表，造成系統(tǒng)根本無法啟動，有時甚至?xí)袷交蜴i死硬盤，使用戶無法使用硬盤。這類病毒入侵后系統(tǒng)除了不能正常使用之外，別無其它損失，系統(tǒng)損壞后一般只需要重裝系統(tǒng)的某個部分文件后即可恢復(fù)，當(dāng)然還是要殺掉這些病毒之后重裝系統(tǒng)。最常見的木馬便是試圖竊取用戶名和密碼的登錄窗口，或者試圖從眾多的 Inter 服務(wù)器提供商（ISP）盜竊用戶的注冊信息和賬號信息。木馬病毒的公有特性是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)入用戶的系統(tǒng)并隱藏，然后向外界泄露用戶的信息；而黑客病毒則有一個可視的界面，能對用戶的電腦進(jìn)行遠(yuǎn)程控制。它的傳播速度相當(dāng)驚人，成千上萬的病毒感染造成眾多郵件服務(wù)器先后崩潰，給人們帶來難以彌補(bǔ)的損失。這種病毒的公有特性是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)行傳播，比如沖擊波（阻塞網(wǎng)絡(luò)） ，小郵差（發(fā)帶毒郵件） 等。腳本語言比宏語言更具有開放終端的趨勢，這樣使得病毒制造者對感染腳本病毒的機(jī)器可以有更多的控制力。6 / 53. 腳本病毒腳本病毒依賴一種特殊的腳本語言（如：VBScript 、JavaScript 等）起作用，同時需要主軟件或應(yīng)用環(huán)境能夠正確識別和翻譯這種腳本語言中嵌套的命令。. 宏病毒它是一種特殊的文件型病毒，一些軟件開發(fā)商在產(chǎn)品研發(fā)中引入宏語言，并允許這些產(chǎn)品在生成載有宏的數(shù)據(jù)文件之后出現(xiàn)。同時還經(jīng)常將控制