病毒防护-病毒防护策略

发布时间：2017-08-02 所属栏目：windows7病毒防护

一 : 病毒防护策略

第13章病毒防护策略

?本章概要
针对病毒流行发展趋势，本章将详细阐述如何应对越来越复杂的病毒攻击，对如何构建完整的企业病毒防护策略和一般原则进行了说明。 ? 课程目标通过本章的学习，读者应能够： ? 掌握用来对抗病毒相关的威胁的常用战略； ? 描述目前可用的防毒产品和服务的相似性和不同； ? 定义与防毒战略、产品和服务相关的监控和扫描概念。

2

13.1 防毒战略
下面的战略是公司保护计算机系统免受病毒、恶意代码和垃圾邮件攻击的常用方法。过去，病毒和恶意代码是通过软盘传播到个人的工作站中的。感染集中在本地，防毒软件主要针对桌面保护。然而，今天的大多数病毒和恶意代码都是来自互联网或电子邮件，

通常是先攻击服务器和网关，然后再扩散到公司的整个内部
网络。由于这种感染方式的变化，所以，当前许多防毒产品都是基于网络的而不是基于桌面上的。

3

13.1.1多层保护战略
现代的网络结构通常分三个http://www.61k.com等级或层次，可以将防毒产品部署在它们之上。

一个多层次的保护战略应该能够将防毒软件安装在所有这三个网络层中，提供对计算机病毒的集中防护。一个多层的战略可以由一个厂商的产品实施，也可以由多个厂商的产品共同实施。
4

单厂商产品一个单厂商多层次的战略即在网络的三个层次(网关、服务器和桌面)中部署来自同一厂商的产品。由于单个厂商经常成套出售他们的产品，因此，这种方案可能会比多厂商方案更加经济。不仅如此，单厂商策略在产品上易于管理。多厂商产品一个多厂商多层次的战略即在网络的三个层次上分别部

署来自两个或多个厂商的产品。这个方案可能会产生兼容性
的问题或难于管理。

13.1.2 基于点的保护战略
同多层次方案不同，一个基于点的保护战略只会将产品置入网络中已知的进入点。桌面防毒产品就是其中的一个例于，它不负责保护服务器或网关。这个战略比多层次方案更有针对性，也更加经济。但应该注意，CodeRed和Nimda这样的混合型病毒经常会攻击网路中多个进入点。一个基于点的战略可能无法提供应付这种攻击的有效防护。同时，基于

点的防毒产品还存在着管理上的问题，因为这些产品不能够
从一个集中的位置进行管理。

6

13.1.3 集成方案战略
一个集成方案可以将多层次的保护和基于点的方法相结

合来提供抵御计算机病毒的最广泛的防护。许多防毒产品包
都是根据这个战略设计而成的。另外，一个集成的方案通过提供一个中央控制台还会提高管理水平，尤其是在使用单厂

商的产品包时更是如此。

7

13.1.4 被动型战

略和主动型战略
除了在网络中的哪个位置实施防毒保护的问题以外，还存在着对抗病毒的最佳时机问题。许多公司都拥有一个被动型战略：只有在系统被感染以后，他们才会对抗恶意代码的问题。有些公司甚至没有部署一个保护性基础设施。在被动型战略中，被病毒感染的公司会与防毒厂商进行联络，希望厂商能够为他们提供所需的代码文件和其他工具来扫描和清除病毒。这个过程很耽误时间，进而造成生产效率和数据的损失。
一个主动型战略指的是在病毒发生之前便准备好对抗病毒的办法，具体就是定期获得最新的代码文件，并进行日常的恶意代码扫描。一个主动型的战略不能保证公司永远不被病毒感染，但它却能够使公司快速检测到和抑制住病毒感染，减少损失的时间，以及被破坏的数据量。
8

13.1.5 基于订购的防毒支持服务
对病毒保护采取主动型方案的公司通常会订购防毒支持服务。这些服务由防毒厂商提供，包括定期更新的代码文件以及有关新病毒的最新消息，对减少病毒感染的建议，提供解决病毒问题的解决方案。订购服务通常都设有支持中心，

能够为客户提供全天候的信息和帮助服务。

9

13.2 防毒产品和服务
当前，有许多厂商生产防毒产品。一些厂商创建它们的 “自用”的防毒技术，也就是说，这些防毒厂商设计和生产它们自己的软件。趋势科技就是创建自己的产品。其他厂商，如Network Associates，采用另一些公司(此处是指原始设备生产商或OEM)开发的产品组成一个防毒解决方案。不同的厂商也采取不同的方案来对付计算机病毒问题。有些厂商将他们的技术集中在桌面上，而其他厂商则将重点

放在网关上，或提供一个完整的多层次解决方案。选择一个
厂商需要系统管理员理解适合于各自公司的最佳战略，并应清楚哪个厂商能够更好地与他们的战略兼容。
10

13.2.1 防毒厂商
表13-1 防毒软件供应商

在 2002 年 8 月 IDC的公告牌列出了以下全球领先的防毒软件供应商，参见表13-1。

11

13.2.2防毒产品和服务的对比
防毒产品在功能和保护网络的方案上有很大的不同。下面的列表对三个市场领先的厂商的防毒产品的一般特性进行了比较，参见表13-2。

表13-2 防毒产品特性比较
厂商保护的进入点产品中包括的清理工具趋势科技网管到桌面包括 Sybari 邮件和文件服务器不包括 Norton/Symantec 网关到桌面包括 Microsoft Windows, 平台支持支持所有操作系统 Microsoft Windows Sun Solaris,Novell NetWare 特性集中管理、一个扫描引有限的集中管理功能有效的集中管理功能，

擎、实时扫描、手动/
计划任务扫描、内容过滤/反

垃圾邮件措施内部技术开发是

，多个扫描引擎，只
提供实时扫描，没内容过滤功能否

一个扫描引擎

12

13.3

监控和扫描概念
防毒软件采用各种不同的方法来查找恶意代码和垃圾邮

件。每个方法都有其优点和缺点。当面对一些病毒威胁或特殊情况时，每个方法都不是完全有效的。最好的解决方案是将这些方法结合起来。 13.3.1 活动监测一些防毒软件会经常检查工作站或网络发现可疑的活动，比如试图写入另一个可执行程序或对硬盘进行重新格式化，

以此来搜索恶意代码。活动监视不能直接检查文件或代码来
发现病毒，而是关注计算机系统中所发生的事件。一个隧道病毒可以绕过或禁用这种保护。
13

13.3.2 实时扫描

在访问某个文件时，执行实时扫描的防毒产品会检查这个被打开的文件。扫描程序会检查文件中已知的恶意代码。这个扫描动作在背景中发生，不需要用户的参与。然而，这类扫描只局限于检查已知的恶意代码签名，无法检测到未知的恶意代码。

14

13.3.3 完整性检查
完整性检查也称为修改检测，是一种可以查找文件是否被病毒行为修改的扫描技术。一个用这种技术的防毒程序会计算它所扫描文件的校验和或散列值；然后程序会再次计算文件的散列值，并将这些值与原来的值进行比较。如果该值不匹配，说明文件已经被修改。完整性检查将检查到有意的或无意的修改，用户必须确定这种修改是否是由病毒引起的。

15

13.3.4 内容扫描
在内容扫描中，通过检查电子邮件信件和附件来查找某些特定的语句和词语、文件扩展名或病毒签名。随着垃圾邮件的继续增长以及其他计算机病毒不断利用电子邮件来传播病毒，这种技术现在变得越来越重要。内容扫描程序会将电子邮件和附件与一组规则进行比较来确定它们是否含有可疑的部分。垃圾邮件中经常会包含某些特殊的语句，可能暗示该邮件的目的，因为可执行文件或

其他附加的文件类型可能包含病毒或蠕虫。如果病毒扫描程
序检测到一个被认为是可疑的语句或特定的文件类型，电子邮件就会被阻挡、删除、清理或转移到管理员那里。
16

除了过滤发来的电子邮件中的计算机病毒，内容扫描还

可以用来过滤发出邮件中的攻击性语言或秘密信息。
内容过滤的效力是由扫描程序设定的规则决定的。必须在规则中进行明确设置才能够对内容进行检测。

13.3.5 启发式扫描
启发式扫描是一种能够让防毒扫描程序分析一个可执行文件的代码，从而确定该程序将可能做些什么的一种技术，而不是搜索含有已知病毒签名的文件。启发式扫描将文件的指令与一组规

则进行对比，查看这些指令中是否会产生有害的行为。例如，指示一个程序编入一个硬盘中的引导扇区的代码可能表明该程序是病毒。因为启发式扫描不会搜索指定的病毒签名，它能够检测

到以前未知的病毒和恶意代码。不幸的是，这个方法通常还
可能产生错误警告。

18

13.3.6 错误警告
当防毒软件错误地识别了一个病毒或恶意代码时就会发生错误警告。错误警告可能是正面错误或是反面错误。当防毒软件将一个没有病毒的文件或目标标为“被感染”时会发生正面错误。当一个文件或目标被感染，但造成感染的恶意代码并不是防毒软件所识别的恶意代码时，会发生反面错误。如果一个病毒感染被误诊，则清理这个被识别出的病毒的步骤可能就不会清理真正存在的病毒。

当防毒软件不能识别出一个文件或可执行文件已经被感染时，
就会发生反面错误。

19

实施防毒保护的防毒战略包括多层次战略、基于点的保护战略和集成的方案战略。多层次战略需要将防毒软件安装在网络的所有三个层次中。这些层次包括网关、服务器和桌面。一个多层次的战略可以通过来自同一个厂商的产品实施 (单一厂商方案)或来自几个不同厂商的产品(多厂商方案)来实施。在一个基于点的保护战略中，防毒软件只被安装在己知的网络进入点中，而一个集成的方案则会综合多层次战略和基于点的战略中的方案。

防毒战略还可以集中针对公司在病毒生命周期解决病毒问

题时实施。采用反应型战略的公司只有在网络被感染后才会对
抗病毒和恶意代码，而采用主动型战略的公司会采取一个积极的防范措施来预防病毒感染的发生。许多采用主动型战略的公

司都利用基于订购的防毒支持服务，防毒厂商可以为他们提供
日常的代码文件更新和提供其他的服务，用户每月需要交纳一定的费用。目前市场中有许多防毒产品厂商。一些厂商独立开发他们内部的技术，而其他则转销外界公司开发的技术。厂商通过不同的方案创建防毒产品。有些厂商的产品集中解决桌面问题，而另一些厂商则主要面向网管，提供多层次的解决方案。

最后，防毒软件使用许——文章窝——多不同的方法来查找病毒、恶意代码和垃圾邮件。这些方法包括活动监测、实时扫描、完整性检查和修改检测以及启发性扫描。这些方法中有些偶尔会产生错误警告，包括正面错误或反面错误。

第13章结束！