网络在现代企业的运作中扮演了越来越重要的作用。企业内员工通过内部局域网共享和交流业务数据,企业各分支机构之间通过专线将各个局域网连接起来构成城域网或广域网,企业网络又通过专线或拨号等方式与ISP相联,从而连接到更为广阔的 Internet。企业的绝大部分信息和关键业务数据都存储在网络的节点(计算机)中,节点之间通过网络进行通讯,方便快捷地交流信息,使得人们可以快捷高效、不受时空限制地协同工作。网络在带来信息高效流动的同时,也给病毒的高效快速传播大开了方便之门。 高度重要的企业数据需要特别的安全保护,反病毒是企业信息安全防护中的一个重要部分,很多企业的信息部门已经将反病毒和保障企业数据安全作为企业信息化的一项重要工作来抓。
本文将详细描述现代网络病毒通过网络的传播方式,并以此为依据说明企业网络防病毒工作的整体性和对网络病毒整体防范的需求,由此得出一款真正的网络防病毒软件应该具有的功能特点。
一、现代病毒通过网络的传播
1、网络传输文件速度的加快导致了病毒传播速度的加快
传统病毒寄生在文件中(部分寄生在软盘的引导区),通过软盘、光盘等有形的物理介质来传播,因此企业病毒的重要来源就是外来的软件,以及企业内部的软盘等介质共享。物理的介质需要物理的移动和运输手段来移动,速度是有形物质(在《数字化生存》中被成为原子,Atom)的传播速度。自从有了网络后,人们通过Internet下载软件,通过网络共享和邮件来交流文件,依附于文件的病毒现在通过网络以比特(Byte)的速度传播,比起原子的传播速度,是大大加快了。
2、病毒通过邮件的传播
邮件附件中的病毒文件需要被激活才能感染和继续传播,病毒作者在骗取人们主动运行邮件附件上可谓竭尽其能。最早是人们通过邮件交流的软件和工作Office文档本身就有让人打开得需求,后来病毒文件伪装成屏保或游戏软件来骗取人们打开运行。再后来,病毒学会了利用人们的情感心理,象爱虫、库尔尼科娃病毒,毕竟人们是很难拒绝一封求爱信或一张美女图片的诱惑的。再后来,病毒利用微软的邮件客户端程序 OutLook以及浏览器IE的安全缺陷,不再需求人们去主动打开运行邮件附件了,只要您预览一下邮件,病毒已经悄悄地在您的电脑里播下了种子,并为这粒种子的生存、继续传播和感染创造好了一切条件,这种病毒比较著名的象圣诞节病毒(NaviDad)、欢乐时光(HappyTime)病毒等。
最初通过邮件传播的病毒需要人们主动去发带有病毒附件的邮件,现在病毒已经会自己将自己发出去了。在激活的情况下,病毒主动读取OutLook 地址本中所有邮件地址,并将自己向这些邮件地址发送出去。于是,一生几十,几十生成千,… … 病毒以几何级数通过Internet迅速从一点蔓延到世界各地,造成网络拥塞,邮件服务器不堪重负而瘫痪。象爱虫等病毒之所以造成如此巨大的影响和破坏主要就是因为它的这种非凡的再生和复制能力。
3、病毒通过共享文件夹主动传播
在企业网络内部,人们除了通过内部邮件系统、办公自动化平台及网络应用软件交流共享信息外,网络文件夹的共享也是一种最普遍和常见的文件和信息共享方式。现代网络病毒将写共享文件夹已经作为一个基本的功能了。网络中的一台机器感染了病毒,很快病毒通过写共享文件夹的方式迅速地就会传播的网络邻居的其他机器上,而且这种过程都是在人们一无所知的情况下自动进行的。
4、浏览网页也会感染病毒
在最初的概念中,浏览网页总是安全的,但是,随着浏览器功能的不断增强,这种安全感已然不再存在。利用 WHS(Windows Host Script), 网页中嵌入的有害脚本代码可以读写用户的本地文件,修改注册表,访问其他系统资源,简直是为所欲为,典型的例子象最近流行的“混客绝情×××”病毒等。还有,潜入网页中的有害 ActiveX及Java程序以及浏览器广泛支持的Cookie都可能带来极为严重的安全问题,不过这是病毒以外范畴的话题了,不少杀毒软件已经将这类安全问题纳入了自己的防范范围。
5、真正的网络蠕虫
以红色代码(CodeRed)病毒为始的新一类病毒开启了病毒传播技术的新纪元。 他带有黑客软件和病毒的双重性质,通过微软的 Web 服务器 IIS 的安全问题,从一台服务器的内存直接攻击另一台服务器并传播到它的内存。 由于 Web 服务器总是随时在线地,并且具有较大的Internet连接带宽,通过服务器之间的自动连续搜索IP地址感染,病毒会很快扩散到世界的每一个角落。该病毒可以修改被感染网站的网页,如果它在被修改的网页中在加进一个网页病毒代码,通过用户对网页的访问再传播到用户的机器中去,那后果就更可怕了。后来这些特征就被最近大规模流行的尼姆达(Nimda)病毒采纳了, 尼姆达病毒可以说是集网络传播技术之大成的一款病毒,它既有传统的感染文件方式,也可以通过网络共享传播,同时,它还会乱发邮件从而通过邮件扩散,以及利用红色代码相同的技术进行感染。
二、企业防病毒需求
现代网络病毒的特征决定了企业网络防病毒的具体需求。首先,企业网络的防病毒工作成了一个整体性、全局性的工作,不再象单机时代那样,发一套杀毒软件,大家在需要时各自查杀一下,只要不用来历不明的的软盘和光盘,机器就不会感染病毒。网络特征决定了连接在网络上的每一台机器都是一个安全整体, 每一台机器的病毒防护能力决定了整体的防护能力,“木桶原理”在这里是适用的,网络的整体安全特性决定于安全防护最差的那台机器。这就需要在每台机器上安装杀毒软件,并保证所有机器的杀毒软件实时监控打开。
举个例子,网络中如果有一台机器没有安装杀毒软件,或者安装了但版本比较老,或者实时监控没有打开,无孔不入的网络病毒就可能在这台机器上安家生根,并潜伏在这台机器上随时向其他有防护弱点的机器发起进攻。更可怕的是,有恶意的外部攻击者可能通过这台被感染的机器窃取或破坏网络中其他机器的数据!
杀毒软件是一种需要不断升级以保持对新病毒防治能力的软件,维护网络中每台机器杀毒软件的版本同步是一件非常重要的工作,否则就像前面所说的那样会在网络中留下安全弱点,但是,这又是一件非常费时费力的工作,有没有简单的办法让网络管理员轻松完成全网的同步升级呢?
正如上面所说,保证每台机器的实时监控随时打开是保证全网不留安全弱点的关键,有没有手段让管理员监控每台机器的实时监控开启情况呢?
作为管理的需要,在网络中有病毒传播时,往往需要知道病毒源在哪里。那么,有没有办法监控网络中每台机器的病毒感染情况呢?
企业中的一般计算机用户可能只关心自己的应用软件工作情况,并没有足够的理念和知识来重视病毒的防治工作,那么,是否有足够方便的手段帮助网络管理员进行全网的自动安装,病毒查杀等工作呢?
邮件作为当前一个病毒传播的主要途径,是否有办法在邮件服务器、企业网网关处就堵住病毒邮件的入侵呢?
所有这些,都不是原来基于每台单机的杀毒软件可以解决的,企业网络的这些防病毒需求要求具有真正网络特征,有效利用网络来帮助企业网络管理者进行安装、升级、查杀以及监控的网络版杀毒软件。
企业网络是相当复杂的,有小到几台机器的小型局域网,也有大到几千上万台机器的大型企业网,硬件平台各色各样,网络拓扑结构各不相同,软件平台仅Windows就有95、97、98、NT、2000、XP等各种平台,同时还包含用户五花八门的应用软件环境,这就对网络版的杀毒软件的兼容性、可扩展性和稳定性提出了很高的要求。
三、真正意义的网络版杀毒软件应具备的功能特点
针对企业网络的防病毒需求,一款真正意义的网络版杀毒软件,因该具有如下功能特点:
1、核心反病毒能力。
核心反病毒能力包括软件可查杀病毒的数量、实时监控对病毒的敏感性、数据保护能力、反病毒软件公司对新病毒的监控和反映能力、公司的服务水平。
1) 查杀病毒数量的能力。企业在应用网络的便利特×××换信息时, 病毒也正在充分利用网络的特性来达到它的传播目的。病毒种类和传播途径的多样化对查杀病毒数量的能力提出了更高的要求,传统的只有升级杀毒软件才能查杀新病毒的方式已不适应网络时代要求。
一些病毒常感染操作系统内核文件时,在Windows下无法清除而必须在DOS下进行查杀,然而很多厂家的DOS杀毒产品都无法在DOS下对NTFS分区中的文件进行查杀,这就需要网络版杀毒软件具有在DOS下查杀NTFS分区的能力。
出于节约下载时间的考虑,从Internet网络上下载的文件,大多是压缩文件,且国内大多数光盘,出于节约空间的考虑,大多以压缩文件形式存放。支持DOS、Windows、Unix系统下的常用压缩格式有ZIP、GZIP、ARJ、CAB、RAR、ZOO,ARC、LZH等。由于压缩文件现在已成为病毒传播的主要载体,因此要求网络版杀毒软件具有支持众多压缩格式,并清查压缩文件中病毒的功能。
当前市场上的杀毒软件对宏病毒和网页病毒的检测滞后于病毒的出现和发展,象欢乐时光(HappyTime)、爱虫(I Love You)、主页(Home page)等病毒不能及时查杀,说明传统特征码型检测手段的局限性。所以迫切需要网络版杀毒软件具有查杀未知宏病毒和脚本病毒的功能。
2) 实时监控对病毒敏感性的能力。 目前的病毒中最常见的是通过邮件系统来传输,另外还有一些病毒通过网页来传播。这些传播途径都有一定的实时性,用户无法人为地了解可能感染的时间,因此实时监控能力显得相当重要。
当前由于邮件服务器 Exchange Server 的流行,使用Outlook、Outlook Express、Foxmail的客户端越来越多,而这些客户端必须有支持SMTP和POP3、IMAP或HTTP 协议的邮件系统,所以要求网络版杀毒软件应具有对POP3邮件的监控的功能。
实际工作中,正在运行的程序不能被修改的共享冲突问题和选择驻留内存来躲避杀毒软件查杀的 Funlove、CIH等病毒,常常为网络管理员及时、彻底清除网络中病毒带来困难。 特别是近来危害极大的“红色代码”以及其变种“红色代码II”内存型病毒,该病毒是通过 IIS漏洞进行感染,使IIS 服务程序处理请求数据包时溢出,导致把此“数据包”当作代码运行,病毒驻留后再次通过此漏洞感染其它服务器,并且Code Red采用了一种叫做"缓存区溢出"的黑客技术,利用网络上使用微软IIS 系统的服务器来进行病毒传播。这个蠕虫病毒使用服务器80端口进行传播,而这个端口正是Web 服务器与浏览器进行信息交流的渠道,因此该病毒破坏性极大。所以急需网络版杀毒软件具有能够实时对运行的进程和线程进行扫描,并能直接在内存中对正在运行的染毒文件进行清除的能力。
3) 数据保护能力。 随着网络的普及,数字化生活逐步实现,计算机数据对于人们比以往的任何时候都重要。然而由于病毒、误操作、软硬件故障等原因导致的数据丢失时时刻刻侵扰着大家,危及着各行各业的数据资源,及时的备份数据成为网络管理员必备工作。可是大多数硬盘备份和恢复工具不仅不支持NTFS分区,还多使用软盘来保存,由于软盘具有容量小、容易损坏、使用不便、备份和恢复时间长、不会对目录结构进行备份等缺点,为网络管理员的工作带来许多不便。这就需要网络版杀毒软件提供的硬盘数据备份和恢复工具,具有将备份数据保存在硬盘中、并可根据设置进行定期和定时的自动备份、具有对 NTFS 分区数据进行备份的功能。
4) 全方位的客户服务。 做为企业的网络管理员,在挑选一款优秀的反病毒软件的同时,也希望能提供快速、准确、完善的服务来解决软件使用过程中遇到的各种问题。对反病毒软件公司来说,能否提高产品的市场占有率,已成为继技术之后又一个值得深思的问题。一方面,病毒与反病毒是一个“魔道相争”的典型表现,杀毒软件的价值与能力就需要通过不断地升级来体现;另一方面,企业网络的信息安全也需要通过定期地进行“普查”与“检修”来保证系统的真正安全。所以,网络版杀毒软件产品的特点决定了反病毒软件公司应具有提供长期而周到的技术支持及全方位服务的能力。
四、利用网络来进行方便地安装、升级、全网查杀及监控的能力
由于网络上每个用户的病毒防范意识、计算机知识水平不尽相同,总有人对杀毒软件不能做到及时更新,从而影响整个网络的病毒防护能力。直接的解决办法就是网络管理员专门过问这件事情,主动地为每个机器更新杀毒软件,或者要求计算机使用者同步更新,并随时进行检查和监督。不难想象,这是一项繁琐、细致的工作。再加上,经常有计算机已经遭到破坏,需要网络管理员帮助重装系统、恢复数据,工作量是可想而知的。
网络的问题还要用网络的办法来解决。 所以,网络版杀毒软件应能实现全网化的远程管理、远程安装、远程杀毒、远程操作、远程报警等功能,确保不受时空所限,实时地维护企业的网络安全。因此,一款真正意义的网络版杀毒软件应具备利用网络进行方便地安装、升级、全网查杀及监控的能力:
1.安装。能够自动根据用户的操作系统和当前网络状态,选择安装合适的模块,使整个安装过程完全智能化,而不需用户指定安装的模块。另外,网络管理员可以从控制台向任何已安装了网络版杀毒软件的服务器端/客户端的计算机进行远程安装管理员控制台,实现移动式管理。
2.升级。网络版杀毒软件应实现全网主动同步自动统一升级,先从控制台进行升级,随后从控制台主动通知每一个客户端或服务器端立即进行升级,对于当前没有开机的计算机,将在下一次开机时进行升级,这样就保证了全网内杀毒软件的版本都是一致的,从而完全杜绝了由于版本不一致造成的安全漏洞和安全隐患。
3.全网查杀及监控。 最近,通过互联网传播的新型电脑病毒尼姆达(Nimda)的出现给许多企业造成了巨大的损失。 尼姆达病毒不同于其他病毒,十分狡猾,它不仅可以通过电子邮件、OICQ等网上即时通信工具传染,也可以通过修改网页,进行病毒传播,而且还能通过局域网传播,使局域网内部“一机染毒,全体遭殃”。更可怕的是,带有尼姆达病毒的电子邮件,不需你打开附件,只要阅读或预览了带病毒的邮件,即可传播。传播方式的多样化使得只有全网统一行动才能彻底地、有效地清除,否则只能将每台计算机从网络上断开进行单独杀毒,这为实际工作带来许多不利,于是要求网络版杀毒软件应具有能随时启动对全网的统一查杀毒及监控(即使本次没有开机的计算机,在下次启动后也会自动进行查杀毒)的功能。
五、对网络拓扑结构的广泛适应性、扩展能力和稳定性
随着网络应用的快速发展,高分辨率图像、视频和其他大数据量的数据类型都需要在网络上传输,促使对带宽的需求日益增长,并对计算机、服务器、集成器和交换机造成越来越大的压力。这样网络管理员将不得不把其网络中的关键部分升级到可提供更高带宽的网络上, 因此,网络已由原先支持10/100Mbps发展为支持1000Mbps的网络。
由于网络服务不断多样化, 人们可以利用网络做很多事情, 如收发信件、家庭办公、Video ondemand、网络电话……,能否把这些对带宽、实时性、传输质量要求各不相同的网络服务,由一个统一的多媒体网络来实现,做到真正的一线通呢?异步传输模式 (ATM)技术的出现,为人们解决了这一难题。ATM 是一项数据传输技术,它适用于局域网和广域网,它是具有高速数据传输率和支持多种类型如声音、数据、传真、实时视频、 CD 质量音频和图象的通信,因此被许多大型公司所采用。像AT&T和US Sprint等通信公司已经在广域网上采用 ATM,为客户提供多兆位的数据传输服务。
传统的网络结构对用户应用造成了许多限制。众所周知,局域网中网段划分之后,网段中子网必须依赖路由器进行管理。特别是在交换网络中,尤其是大规模的交换网络中,没有路由功能是不可想象的,然而路由器的处理能力又限制交换网络的速度, 为网络中的用户带来不便。多层数据交换技术(第二层交换 +第三层转发技术)的出现解决了传统路由器低速,复杂所造成的网络瓶颈问题。
网络技术的发展推动了网络的发展。虽然局域网技术的发展突飞猛进,以太网的传输速率已达到千兆,但局域网的性质本身就大大限制了LAN规模的覆盖及应用,幸好ATM技术的应用,使不同网络都能快速、安全地为用户提供各种服务成为可能。这就需要网络版杀毒软件适用多种网络结构,并具有无论在局域网还是在广域网上都能进行核心反病毒和利用网络来进行方便地安装、升级、全网查杀及监控的能力。
另外,网络版杀毒软件还应支持局域网或专线上网,代理方式上网,拨号上网等多种网络连接方式。
六、多平台支持能力
目前流行的所有操作系统平台中,很多杀毒软件都支持Windows NT/Windows2000,Windo-s95/98/Me,Novell的操作系统,可对Unix/Linux操作系统不支持。由于Unix/Linux 操作系统具有比其他操作系统更能紧密和内核结合在一起的连接网络的能力。在相同的硬件条件下,同Internet或其他使用TCP/IP或IXP协议的网络进行连接时,比Windows NT、Novell 操作系统性能更卓越。再加上价格的便宜,使得Unix/Linux操作系统受到许多企业的青睐。因此,对多平台支持的能力也成为衡量一款优秀网络版杀毒软件的标准。
根据对网络病毒的传播方式和企业在网络防病毒工作中具体需求的分析,作为在计算机反病毒领域驰骋了多年的国内最资深的瑞星科技股份有限公司,本着“以技术为根,服务为本”的宗旨率先推出的2002网络版杀毒软件,不仅具有国际领先的查杀未知病毒和内存杀毒技术,并且拥有独创的DOS下查杀 NTFS 分区、支持众多压缩格式和对POP3 邮件进行监控的功能。另外,针对目前网络结构复杂化、多样化的特点,采用了先进的 CORBA(Common Object Request Broker Architecture)分布式技术,不仅支持局域网,而且支持城域网、广域网下的各种网络环境,为用户的网络系统提供了100%的安全解决方案。
最后值得一提的就是瑞星技术服务部为用户提供工作日全员支持和全天电话支持,同时利用遍布各地的网络开展上门求助服务,全面满足用户的各种需求,真正地做到将“瑞星服务”伸入到每一个用户心中. | 
