企业网络中病毒的防治

1、企业网络中病毒的防治【摘 要】本文主要从计算机网络的结构、应用、病毒在网络中传播的特征等几方面阐述了计算机网络中病毒的传播方法、途径及计算机网络中病毒的防治方法。【关键词】网络 病毒 防治随着数字技术及internet技术的日益发展，病毒技术也在不断发展提高。它们的传播途径越来越广，传播速度越来越快，造成的危害越来越大，几乎到了令人防不胜防的地步。很多企业在建立了网络平台之后，急需一个切实可行的防病毒解决方案，来确保整个企业的网络不受到病毒的破坏，日常工作不受病毒的侵扰。那么，什么是企业网络的管理者在设计网络防病毒方案时需要考虑的呢？企业网络防病毒工作与个人用户病毒防治有哪些区别？本文将从企业

2、网络的典型结构、典型应用以及病毒利用网络进行传播的特征来回答这些问题。 1 企业网络的典型结构企业计算机网络是在一定的硬件设备系统构架下对各种信息数据进行收集、处理、加工和汇总的综合应用体系。目前大多数的企业网络都具有大致相似的体系结构，这种体系结构的相似性表现在网络的底层基本协议构架、操作系统、通讯协议以及高层企业业务应用上，这就为通用的企业网络防病毒软件提供了某种程度的可以利用的共性。从网络底层基本构架上，尽管不同的企业可能选择千差万别的联网设备，网络结构的复杂程度从简单的对等节点网络到三层交换复杂网络，但差不多全都是以太网结构，及基于ieee 802.2和iee 802.3规范。事实已经

3、证明，这是一种成熟、经济的桌面应用网络方案。目前应用最多的是一种交换到桌面的10m/100m快速以太网。我公司所应用的也是这种网络结构。从网络的应用模式上看，企业网络都是基于一种叫做服务器/客户端的工作模式，及由服务器来处理关键性的业务和企业核心业务数据，客户端机器处理用户界面以及与用户的直接交互。服务器是网络的中枢和信息化核心，具有高性能、高可靠性、高可用性、i/o吞吐能力强、存储容量大、连网和网络管理能力强等特点。客户端机器从硬件上没有特殊的要求，一般普通pc机就可以胜任。企业网络往往有一台或多台主要的业务服务器，在此之下分布着众多客户机或工作站，以及不同的应用服务器。根据不同的任务和功能

4、服务，典型的服务器应用类型有：文件服务器、邮件服务器、web服务器、数据库服务器和应用程序服务器等。从操作系统上看，企业网络的客户端基本上都是windows平台，中小企业服务器一般采用windows nt/2000系统，部分行业用户或大型企业的关键业务应用服务器采用unix操作系统。windows平台的特点是价格比较便宜，具有良好的图形用户界面；而unix系统的稳定性和大数据量可靠处理能力使得它更适合与关键性业务应用。从通讯协议上看，目前企业网络绝大部分采用tcp/ip协议。tcp/ip本来是一种internet的通讯协议，但是主流操作系统和绝大部分应用软件的支持以及它本身的发展，已经使得它足

5、以承担从企业内网到internet的主要通讯协议重任。当然，为了管理的方便或某些特殊的需求，在企业内网上常见的协议也包括netbios、ipx/spx等。 2 企业网络的典型应用 当前，企业网络主要应用于文件和打印服务共享、办公自动化系统、企业业务（mis）系统、internet应用等领域。文件和打印共享是计算机网络的最基本应用。有了网络，文件再也不用通过软盘拷来拷去，同时大文件的交换、应用程序共享等也变得方便，工作组的全体成员可以在自己的计算机上使用共享的打印机。办公自动化（oa）应用：是能够将所有的办公文档汇集在一起，方便地进行统计和查找，按照不同的权限设置在企业成员之间实现共享。基于这些

6、需求建立起来的应用系统，就是企业的办公自动化（oa）应用。目前的oa应用系统大都建立在一种叫做群件的软件平台上，最流行的群件软件有lotus公司的domino/notes系统以及微软的exchange/outlook系统。企业管理信息系统（mis）：企业管理信息系统是能对企业管理的各种信息进行收集、分析、储存、传输、维护，为企业管理提供决策信息，是一个利用现代计算机信息及网络技术进行企业综合管理的系统工程。mis与oa的区别在于mis系统管理的是高度结构化，数据量、信息量相对比较小的业务处理，比如财务数据，它的长项在于数据实时的统计查询和灵活的报表生成；而oa管理的是非结构化的数据，包括大规模

7、的文本、图像、声音等，它的长项在于规范工作成员之间的工作流程和促进交流与协作。企业应用mis和oa系统进行业务数据管理和工作流程管理，这些系统都充分地利用了网络的数据交换特征，大量的文档、结构化或非结构化的业务数据通过网络来传输和处理。这种频繁和大规模的文件、数据交换也为病毒通过网络传播大开了便利之门。企业internet应用：企业需要收发internet邮件，浏览外部网页，发布自己的企业信息。所有这些都需要企业内部网络与internet之间连接的畅通无阻。畅通的internet连接使得企业方便地获取和发布信息的同时，也为病毒的乘虚而入创造了条件。总之，企业需要应用网络的便利信息交换特性，病毒

8、也可以充分利用网络的特性来达到它的传播目的。企业在充分地利用网络进行业务处理时，就不得不考虑企业的病毒防范问题，以保证关系企业命运的业务数据保持完整不被破坏。 3 病毒在企业网内部的传播过程 目前，互联网已经成为病毒传播的最大来源，电子邮件和网络信息传递为病毒传播打开了高速的通道。企业网络化的发展也有助于病毒的传播速度大大提高，感染的范围也越来越广。可以说，网络化为网络用户提供了广泛的信息来源，同时也为病毒的传染打开了方便之门。 近一、二年，全球的企业网络经历了网络病毒的不断侵袭。许多病毒几乎一夜之间让世界为之震惊，唤醒了人们对于网络防毒的重视。下面的几种情况就说明了网络病毒如何在通过inte

9、rnet进入企业网络并在内部快速传播。病毒通过盗取windows nt 域管理员的帐号进行传播。如果一个用户执行了染毒的程序，该病毒便驻留内存，当病毒被激活后，它便在共享的网络驱动器上随机选择一个文件夹，感染除.dll 或.tmp扩展名的文件外的所有其他文件。 病毒具有网络蠕虫的特性，即利用internet和局域网进行传播。这种病毒以邮件附件的形式传播。当接收者打开附件时，病毒就开始进行传播，因为附件即为蠕虫的副本。此外，病毒还能对网上邻居中的所有可用资源（映像驱动器）进行搜索，以便能够同本机进行文件传输，从而达到感染网络中其它机器的目的。从上面典型病毒传播方式可以看出，现代病毒在企业网络内部

10、之所以能够快速而广泛传播，是因为它们充分利用了网络的特点。一般来说，计算机网络的基本构成包括网络服务器和网络节点（包括有盘工作站，无盘工作站和远程工作站）。计算机病毒一般首先通过软盘、光盘、互联网传播到有盘工作站，然后进入网络，进一步在网上的传播。3.1 病毒的传播方式 病毒直接从有盘站拷贝到服务器中； 病毒先传染工作站，在工作站内存驻留,等运行网络盘内程序时再传染给服务器；或在运行时直接通过映像路径传染到服务器如果远程工作站被病毒侵入，病毒也可以通过远程访问直接进入网络服务器中。 病毒通过电子邮件在网络中传播。3.2 病毒传播的新特点 由以上病毒在网络上传播方式可以看出，在网络环境下，网络病

11、毒除了具有可传播性、可执行性、破坏性、可触发性等计算机病毒的共性外，还具有一些新的特点。 感染速度快。在单机环境下，病毒只能通过软盘从一台计算机带到另一台，而在网络中则可以通过网络通讯机制进行迅速扩散。 扩散面广。由于病毒在网络中扩散非常快，扩散范围很大，不但能迅速传染局域网内所有计算机，还能在瞬间通过远程工作站将病毒传播到千里之外。 传播的形式复杂多样。计算机病毒在网络上一般是通过“工作站-服务器-工作站”的途径进行传播的，但传播的形式复杂多样。 难于彻底清除。单机上的计算机病毒有时可通过删除带毒文件、低级格式化硬盘等措施将病毒彻底清除。而企业网络中，只要有一台工作站未能消毒干净，就可能使整

12、个网络重新被病毒感染，甚至刚刚完成清除工作的一台工作站就有可能被网上另一台带毒工作站所感染。 破坏性大。网络上病毒将直接影响网络的工作，轻则降低速度，影响工作效率，重则使网络崩溃， 破坏服务器信息，使多年工作毁于一旦。 4 企业网络管理者应制定详细的防毒方案企业信息系统管理者在制定防毒方案时，首先要考虑到方案的整体性。企业级防病毒解决方案针对一个特定的网络环境，涉及不同的软硬件设备。与此同时，病毒的来源也远比单机环境复杂得多。因此，所制定的企业防毒方案不仅要能保护文件服务，同时也要对邮件服务器、员工用pc等所有计算机设备进行保护。而且，它必须能从邮件、ftp文件、网页、软盘、光盘等所有可能带来

13、病毒的信息源进行监控和病毒拦截。4.1系统防毒 在邮件病毒出现之前，人们并未意识到为电子邮件系统提供专门的防病毒保护的重要性。如今，电子邮件系统已从简单的信息发布发展到可提供协作存储器、基于web的用户界面等方面。因此，要从系统角度设计一套全面的防毒计划。 4.1.1 制定系统的防病毒策略。4.1.2 为了正确选择、配置和维护病毒防护解决方案，您的系统必须明确地规定保护的级别和所需采取的对策。 4.1.3 部署多层防御。伴随着网络的发展，病毒可从多种渠道进入系统，因此在尽可能多的方面采取病毒防护措施是至关重要的。其中包括服务器及群件防病毒、客户端计算机防病毒（包括软盘、硬盘、光盘），以及所有防

14、病毒产品的统一管理等。 4.1.4 定期备份文件。一旦病毒破坏了您的数据，您可以利用备份数据恢复相关文件。4.1.5 为全体职员提供全面的防病毒培训。如果全体职员都了解容易遭受病毒攻击的风险、防护措施以及遇到病毒时应该采取的措施等，就可以最大程度地降低系统内大多数病毒的发作。 4.2 客户端防毒 4.2.1 避免使用外来软盘、光盘，如果必须使用则应该首先进行查毒。4.2.2 发现异常情况或收到可疑邮件时应及时与网络管理员联系。4.2.3 与外部网络连接的计算机应在与外部网络断开连接时及时进行病毒检查。4.3 服务器防毒 4.3.1 经常进行病毒检查4.3.2 在对网络运行速度影响不大的情况下，

15、安装杀毒软件。4.3.3 增加病毒预防措施，禁止带毒文件进入服务器。4.3.4 重要数据定期存档。并非所有病毒都立即显示出自己的特征，根据感染位置以及系统的设置情况，有些病毒可能要潜伏一段时间才能被发现。最好是至少每月进行一次数据存档，这样，在遭到病毒破坏时，就可以利用存档文件，成功地恢复被损坏的文件。4.4 杀毒软件的选择4.4.1 病毒查杀能力 病毒查杀能力是最容易引起用户注意的产品参数。可查杀病毒的种类固然是多多益善，但也要关注它对实际流行病毒的查杀能力。因为用户是要用它查杀可能染上的病毒，有些病毒虽然曾流行过，但却是我们今后不会再遇上的。4.4.2 对新病毒的反应能力 对新病毒的反应能

16、力是考察一个防病毒软件好坏的重要方面。这一点主要从三个方面衡量：软件供应商的病毒信息搜集网络、病毒代码的更新周期和供应商对用户发现的新病毒的反应周期。 通常，防病毒软件供应商都会在全国甚至全世界各地建立一个病毒信息的收集、分析和预测网络，使其软件能更加及时、有效地查杀新出现的病毒。因此，这一搜集网络多少反映了软件商对新病毒的反应能力。4.4.3 病毒实时监测能力 按照统计，目前的病毒中最常见的是通过邮件系统来传输，另外还有一些病毒通过网页传播。这些传播途径都有一定的实时性，用户无法人为地了解可能感染的时间。因此，防病毒软件的实时监测能力显得相当重要。4.4.4 快速、方便的升级 企业级防病毒软件对更新的及时性需求尤其突出。多数反病毒软件采用了internet进行病毒代码和病毒查杀引擎的更新。 4.4.5 对现有资源的占用情况 防病毒程序进行实时监控都或多或少地要占用部分系统资源，这就不可避免地要带来系统性能的降低。尤其是对邮件、网页和ftp文件的监控扫描，由