计算机病毒及其防范技术（第2版）第11章 杀毒软件及解决方案

常用杀毒软件及其解决方案 上海交通大学信息安全工程学院 信息安全工程学院 本章学习目标 了解国内外著名杀毒软件 掌握病毒防治解决方案 内容 常用杀毒软件 解决方案 信息安全工程学院 国内外著名杀毒软件 杀毒软件概述 杀毒软件必备功能 六款流行企业版杀毒产品比较 产品比较评论 反病毒产品的地缘性 信息安全工程学院 国内杀毒工具发展历史 国际名人： 俄罗斯的 1989年， 1991年到 1997年，他在俄罗斯大型计算机公司 领一批助手研发出了 病毒程序。 997年成立， 2000年 11月， 信息安全工程学院 第二位是 创建的 来被 为最为庞大的安全托拉斯 还有两位是 信息安全工程学院 1989年 7月，中国公安部计算机管理监察局监察处病毒研究小组编制出了中国最早的杀毒软件 一版本可以检测和清除当时在国内出现的 6种病毒。 1990年，中国广东省深圳市，一家名为北京华星的公司推出了一种硬件的反病毒工具，即华星防病毒卡。 1991年 11月，北京瑞星公司成立，并推出硬件防病毒毒系统，即瑞星防病毒卡。 信息安全工程学院 1993年上半年，微软发行了自己的反病毒软件 微软反病毒软件（ 这是微软购买了另一家公司的 不久后就放弃了。 同年 6月，中国公安部正式决定将 1994年，山东省的王江民编制了一个杀毒软件取名“ 在中关村以 20000元的价格转让了销售许可，推广名为“超级巡警”。 信息安全工程学院 1997年，南京信源公司首次推出具有实时监控功能的病毒防火墙。同年，华美星际推出了“病毒克星”。 1998年，瑞星公司依靠 后与方正、联想、同创、浪潮、实达、和光、 绑销售其杀毒软件，获得了市场成功。 1998年 南北信源反目为仇 ， 先是划江而治 ， 即划分成北方市场和南方市场 ， 然后由于市场和经营观念的冲突以及公司内部的矛盾 开始相互起诉和争斗 ，两家公司部因此元气大伤 ， 市场份额和影响力急剧下降 。 信息安全工程学院 1998年 5月，中国金辰安全技术实业公司和世界第二大软件公司（美国 同合资成立北京冠群金辰软件有限公司。 1998年 7月，冠群金辰公司发布 品虽然还叫做 核心技术己经完全转换为 1999年 6月，金山公司首次发布金山毒霸的测试版，开始尝试进入杀毒软件市场。次年 11月，金山毒霸正式上市，从此正式进入反病毒软件市场。 信息安全工程学院 交大铭泰公司推出的东方卫士也曾经在杀毒市场上风光一时，但在登录香港创业板后，逐渐退出了杀毒市场。 奇虎 360创立于 2005年 9月，并于 2006年 7月推出了专门查杀流氓软件的 360安全卫士（ 信息安全工程学院 杀毒软件必备功能 病毒查杀能力 漏报率 误报率 清除能力 自我保护能力 对新病毒的反应能力 软件供应商的病毒信息收集网络 病毒代码的更新周期 供应商对用户发现的新病毒的反应周期。 信息安全工程学院 对文件的备份和恢复能力 实时监控功能 及时有效的升级功能 智能安装、远程识别功能 界面友好、易于操作 对现有资源的占用情况 信息安全工程学院 系统兼容性 软件的价格 软件商的实力 信息安全工程学院 国内外杀毒软件及市场 金山毒霸、瑞星杀毒、 红伞等。 信息安全工程学院 国内外病毒检测机构 国外机构 国内机构 公安部 其他媒体，如计算机世界报等 信息安全工程学院 马德堡大学和 用大病毒库的样本库（大于 100万种的病毒样本库）进行自动测试 信息安全工程学院 际间最有名、历史最悠久的病毒测试机构之一，1989 年成立于英国 认证标示为 息安全工程学院 样是国际性的独立测试机构，测试由奥地利 人 持 对未知病毒测试则要参考另一国际权威测试机构 息安全工程学院 ： 火墙）、 联网安全过滤）、 PC 人防火墙）、（ 5） 码防护）、侵检测）、 IP 络安全协议）、 线网络安全）等 信息安全工程学院 （ 属的计算机病毒防治产品检验中心 检验中心共收集各种病毒几万种 进入中国市场的准人证 信息安全工程学院 电脑报 2008评测结果 信息安全工程学院 007年 5月排名 信息安全工程学院 反病毒产品的地缘性 病毒编制者的生活空间 病毒的传播以病毒编制者初始的地点为中心，逐渐向周围扩散。 特定的操作系统或者流行软件环境 操作系统相关的病毒 软件 即时消息 宏病毒 定向性攻击和条件传播 蠕虫病毒扫描范围，条件判断 信息安全工程学院 地缘性对反病毒产品的影响 地缘性最严重 宏病毒流行时期 技术壁垒加重了地缘性 地缘性差距又缩减的趋势 病毒样本网上流通 信息安全工程学院 地缘性对国外主流产品的新挑战 几个典型蠕虫表明中国已经成为中国全球病毒扩散的中心节点之一 国产蠕虫 造成微软源码失窃的 木马病毒大量出现 冰河、广外女生、网络神偷 针对 内网络工具等的专用木马大量出现 锋、联众、传奇 信息安全工程学院 国外主流产品的本土化改造 国外产品需要改造的地方 1、如何有效的对抗本土病毒的新技术点； 2、如何更迅速的采集并响应本土病毒样本； 3、如何并非简单汉化而使产品逐步符合中国用户的习惯； 4、如何推广企业级的反病毒思路； 5、如何让国内用户认识到国际产品的技术优势。 信息安全工程学院 国外企业进军中国的途径 第一类是在中国建立分支机构，不设立研发部门，通过用户渠道解决相关问题，这种方式成本低，但是很多方面都受到一定限制。 第二类是逐步在国内建立独立研发中心。完成汉化和本土病毒处理，这种方式效果好，但是成本比较高。 第三类是与国内反病毒企业合资，使国内现有品牌换装国外先进的引擎，利用原有企业力量完成汉化和本土病毒处理，这种方式需要一定的机遇。 第四类是选择一个非商用反病毒的本土技术型企业合作，开展全新的模式，既降低成本，也保证效果。 信息安全工程学院 企业级病毒防治方案 重要性 需求分析 典型分析 典型应用 病毒在网络上传播的过程 企业网络防病毒方案 信息安全工程学院 企业防病毒的需求 企业自身评估 什么没有？ 失有多少？ 息系统是否会瘫痪？ 复的难度有多大，费用有多高？ 信息安全工程学院 企业防病毒的需求 考虑因素 麻烦且费时费力！ 2. 面对上千台机器的病毒定义码更新，防毒软件要持续同步、实时、有效更新，这些由谁来做？需要多少专人管理？ 捷更新和升级。 4. 是否可以透过某种轻松的方式一次性设定，也就是说，能否使软件的安装、防病毒策略的定义、实施以及病毒定义码和扫描引擎的更新和升级变得非常简单，甚至完全自动化？ 因以及来源。 信息安全工程学院 至卸载防病毒软件，这样即使装了防毒软件，仍然不到防病毒的效果。 法有效、及时的掌握和把最新的病毒定义码送到移动用户手中。 护升级等工作。 层次地预防和过滤病毒。 信息安全工程学院 企业防病毒的需求 对产品的要求 多层次、全方位的防病毒保护工作环境 先进的防病毒技术 简易快速的网络防病毒软件安装和维护 集中和方便地进行病毒定义码和扫描引擎的更新 方便、全面、友好的病毒警报和报表系统管理机制 病毒防护自动化服务机制 客户端防病毒策略的强制定义和执行 快速、有效地处理未知病毒 合理的预算规划和低廉的总拥有成本 良好的服务与强大支持 信息安全工程学院 企业网络的典型结构 文 件 服 务 器I D 服 务 器I n t e r n e 墙网 关信息安全工程学院 从网络基本结构上看，一个典型的企业网络包括网关（ 服务器（文件服务器、邮件服务器等）和客户端。 从网络的应用模式上看，现代企业网络都是基于服务器 /客户端的计算模式。 从操作系统上看，企业网络的客户端基本上都是小企业服务器一般采用 T/2000系统，部分行业用户或大型企业的关键业务应用服务器采用 从通讯协议上看，目前企业网络绝大部分采用 信息安全工程学院 企业网络的典型应用 文件和打印服务共享 办公自动化系统 企业信息管理系统（ 信息安全工程学院 病毒在网络上传播的过程 文 件 服 务 器I D 服 务 器I n t e r n e 墙网 关12345信息安全工程学院 病毒在企业网中的几种传播途径： 第一种是来自互联网。网络上有些计算机具有连接互联网的功能，而互联网上有许多可供下载的程序、文件、信息。另外，收发 些都是病毒进入企业内部网络的入口。 第二种是使用网络上带病毒共享文件。当使用网上服务器或其他计算机上的带病毒共享文件或开机时使用了服务器中带毒的引导文件时，网络用户计算机系统就可能被感染病毒，也可能将病毒感染到其他计算机中共享目录下的文件。如果服务器本身已感染了计算机