第11章 杀毒软件及解决方案

1、常用杀毒软件及其解决方案常用杀毒软件及其解决方案本章学习目标本章学习目标了解国内外著名杀毒软件掌握病毒防治解决方案 内容内容常用杀毒软件解决方案国内外著名杀毒软件杀毒软件概述杀毒软件概述杀毒软件必备功能杀毒软件必备功能六款流行企业版杀毒产品比较六款流行企业版杀毒产品比较产品比较评论产品比较评论反病毒产品的地缘性反病毒产品的地缘性国内杀毒工具发展历史国内杀毒工具发展历史国际名人： 俄罗斯的Eugene Kaspersky。1989年，Eugene Kaspersky开始研究计算机病毒现象。从1991年到1997年，他在俄罗斯大型计算机公司KAMI的信息技术中心，带领一批助手研发出了AVP（Ant

2、iViral Toolkit Pro）反病毒程序。Kaspersky Lab于1997年成立，Eugene Kaspersky是创始人之一。2000年11月，AVP更名为Kaspersky Anti-Virus。 第二位是Doctor Soloman。他创建的Doctor Soloman公司曾经是欧洲最大的反病毒企业，后来被McAfee兼并，成为最为庞大的安全托拉斯NAI的一部分。 还有两位是Peter Norton和Mcafee。Symmantac和McAfee两个杀毒公司的创始人。1989年7月，中国公安部计算机管理监察局监察处病毒研究小组编制出了中国最早的杀毒软件Kill 6.0。这一版

3、本可以检测和清除当时在国内出现的6种病毒。Kill杀毒软件在随后的很长一段时间内一直由公安部免费发放。1990年，中国广东省深圳市，一家名为北京华星的公司推出了一种硬件的反病毒工具，即华星防病毒卡。 1991年11月，北京瑞星公司成立，并推出硬件防病毒毒系统，即瑞星防病毒卡。1993年上半年，微软发行了自己的反病毒软件微软反病毒软件（MSAV），这是微软购买了另一家公司的CPAV杀毒软件后推出的，但不久后就放弃了。 同年6月，中国公安部正式决定将Kill的资产和开发人员移交公安部下属的中国金辰安全技术实业公司进行商品化推广。 1994年，山东省的王江民编制了一个杀毒软件取名“KV100”，在中

4、关村以20000元的价格转让了销售许可，推广名为“超级巡警”。 1997年，南京信源公司首次推出具有实时监控功能的病毒防火墙。同年，华美星际推出了“病毒克星”。1998年，瑞星公司依靠OEM策略，先后与方正、联想、同创、浪潮、实达、和光、COPAQ等计算机生产商达成合作协议，捆绑销售其杀毒软件，获得了市场成功。 1998年南北信源反目为仇，先是划江而治，即划分成北方市场和南方市场，然后由于市场和经营观念的冲突以及公司内部的矛盾开始相互起诉和争斗，两家公司部因此元气大伤，市场份额和影响力急剧下降。1998年5月，中国金辰安全技术实业公司和世界第二大软件公司（美国CA公司）共同合资成立北京冠群金辰

5、软件有限公司。1998年7月，冠群金辰公司发布KILL认证版。产品虽然还叫做KILL，但核心技术己经完全转换为CA公司的技术。1999年6月，金山公司首次发布金山毒霸的测试版，开始尝试进入杀毒软件市场。次年11月，金山毒霸正式上市，从此正式进入反病毒软件市场。 交大铭泰公司推出的东方卫士也曾经在杀毒市场上风光一时，但在登录香港创业板后，逐渐退出了杀毒市场。奇虎360创立于2005年9月，并于2006年7月推出了专门查杀流氓软件的360安全卫士（）。 杀毒软件必备功能病毒查杀能力漏报率误报率清除能力自我保护能力对新病毒的反应能力软件供应商的病毒信息收集网络病毒代码的更新周期供应商对用户发现的新病

6、毒的反应周期。 对文件的备份和恢复能力实时监控功能及时有效的升级功能智能安装、远程识别功能界面友好、易于操作对现有资源的占用情况系统兼容性软件的价格软件商的实力国内外杀毒软件及市场金山毒霸、瑞星杀毒、KV3000、PC-Cillin VirusBuster、Norton AntiVirus、Mcafee Virus Scan、Kaspersky Antivirus、F-Secure Antivirus,Nod32,小红伞等。国内外病毒检测机构国内外病毒检测机构WildList 国外机构 AV-test Virus Bulletin （VB100） AV-Comparatives ICSA（In

7、ternational Computer Security Association） WestCoastLabs（Checkmark） 国内机构 公安部 其他媒体，如计算机世界报等AV-Test AV-Test是全球最大的反病毒产品测试中心 马德堡大学和AV-Test GmbH共同合作的研究计划AV-Test测试是国际权威的第三方独立测试之一，采用大病毒库的样本库（大于100万种的病毒样本库）进行自动测试 Virus B国际间最有名、历史最悠久的病毒测试机构之一，1989 年成立于英国认证标示为VB100AV-Comparativeswww.av-comparat

8、AV-Comparatives 同样是国际性的独立测试机构，测试由奥地利 人 Andreas Rechengasse 主持对未知病毒测试则要参考另一国际权威测试机构 AV-ComparativesICSAhttp:/基于WildList的测试美国的第三方测试机构ICSA有如下几类安全产品的评测： firewall（防火墙）、Secure Internet filtering（互联网安全过滤）、PC firewall（个人防火墙）、（5） Cryptography（密码防护）、Intrusion detection（入侵检测）、IP sec（网络安全协议）、Web applica

9、tions（WEB应用）、WLAN security（无线网络安全）等 WestCoastLabshttp:/ 西海岸实验室位于英国Checkmark认证标志中国的测试机构中国的测试机构国家计算机病毒应急处理中心（www.antivirus-）下属的计算机病毒防治产品检验中心 检验中心共收集各种病毒几万种进入中国市场的准人证电脑报电脑报2008评测结果评测结果AV-Test 2007年年5月排名月排名反病毒产品的地缘性病毒编制者的生活空间病毒的传播以病毒编制者初始的地点为中心，逐渐向周围扩散。特定的操作系统或者流行软件环境操作系统相关的病毒软件即时消息 宏病毒定向性攻击和条件传播蠕虫病毒扫描范

10、围，条件判断地缘性对反病毒产品的影响Internet非常落后的时代地缘性最严重宏病毒流行时期技术壁垒加重了地缘性Internet普及的今天地缘性差距又缩减的趋势 病毒样本网上流通地缘性对国外主流产品的新挑战几个典型蠕虫表明中国已经成为中国全球病毒扩散的中心节点之一国产蠕虫Worm.Solaris.Sadmind造成微软源码失窃的Worm.Qaz也被怀疑出自国人之手木马病毒大量出现冰河、广外女生、网络神偷针对OICQ、国内网络工具等的专用木马大量出现OICQ、边锋、联众、传奇国外主流产品的本土化改造国外产品需要改造的地方 1、如何有效的对抗本土病毒的新技术点； 2、如何更迅速的采集并响应本土病毒

11、样本； 3、如何并非简单汉化而使产品逐步符合中国用户的习惯； 4、如何推广企业级的反病毒思路； 5、如何让国内用户认识到国际产品的技术优势。 国外企业进军中国的途径 第一类是在中国建立分支机构，不设立研发部门，通过用户渠道解决相关问题，这种方式成本低，但是很多方面都受到一定限制。 第二类是逐步在国内建立独立研发中心。完成汉化和本土病毒处理，这种方式效果好，但是成本比较高。 第三类是与国内反病毒企业合资，使国内现有品牌换装国外先进的引擎，利用原有企业力量完成汉化和本土病毒处理，这种方式需要一定的机遇。 第四类是选择一个非商用反病毒的本土技术型企业合作，开展全新的模式，既降低成本，也保证效果。企业

12、级病毒防治方案重要性需求分析需求分析典型分析典型应用病毒在网络上传播的过程病毒在网络上传播的过程企业网络防病毒方案企业网络防病毒方案企业防病毒的需求企业自身评估 1.哪些计算机正在运行实时性的防毒软件？2.如何更新病毒的定义码？3.哪些计算机没有运行防病毒软件，为什么没有？4.现有的防病毒软件效果和功能是否能保证系统的安全？5.过去是否曾遭受病毒的侵害？6.谁负责处理用户病毒问题？7.用人工处理一次病毒危机的花费多少？8.如果企业计算机系统一天不能运行，损失有多少？9.如果病毒发作，信息系统是否会瘫痪？10.如果系统瘫痪或重要数据丢失，恢复的难度有多大，费用有多高？企业防病毒的需求考虑因素1.

13、防毒软件每台机器都要安装，很麻烦且费时费力！2. 面对上千台机器的病毒定义码更新，防毒软件要持续同步、实时、有效更新，这些由谁来做？需要多少专人管理？3.一般行政人员或不太了解计算机的人员是否可以轻松使用，简捷更新和升级。4. 是否可以透过某种轻松的方式一次性设定，也就是说，能否使软件的安装、防病毒策略的定义、实施以及病毒定义码和扫描引擎的更新和升级变得非常简单，甚至完全自动化？5.标准预设的防毒选项设置不一定适用所有的工作站。6.很难分析统计病毒攻击事件的次数、原因以及来源。 7.用户随意更改防病毒策略和选项设置或忘记更新最新的病毒定义码和扫描引擎，甚至卸载防病毒软件，这样即使装了防毒软件，

14、仍然不到防病毒的效果。8.移动用户太多，无法有效、及时的掌握和把最新的病毒定义码送到移动用户手中。9.是否能够很方便地在多种平台下进行安装、维护升级等工作。10.是否可以对网络进行全方位、多层次地预防和过滤病毒。 企业防病毒的需求对产品的要求多层次、全方位的防病毒保护工作环境-跨平台的技术及强大功能先进的防病毒技术简易快速的网络防病毒软件安装和维护集中和方便地进行病毒定义码和扫描引擎的更新方便、全面、友好的病毒警报和报表系统管理机制病毒防护自动化服务机制客户端防病毒策略的强制定义和执行快速、有效地处理未知病毒合理的预算规划和低廉的总拥有成本良好的服务与强大支持企业网络的典型结构从网络基本结构上

15、看，一个典型的企业网络包括网关（Gateway）、服务器（文件服务器、邮件服务器等）和客户端。从网络的应用模式上看，现代企业网络都是基于服务器/客户端的计算模式。从操作系统上看，企业网络的客户端基本上都是Windows平台，中小企业服务器一般采用Win NT/2000系统，部分行业用户或大型企业的关键业务应用服务器采用Unix操作系统。从通讯协议上看，目前企业网络绝大部分采用TCP/IP协议。企业网络的典型应用文件和打印服务共享办公自动化系统企业信息管理系统（MIS）Internet应用等领域病毒在网络上传播的过程病毒在企业网中的几种传播途径：第一种是来自互联网。网络上有些计算机具有连接互联网的功能，而互联网上有许多可供下载的程序、文件、信息。另外，收发Email也必须通过互联网。这些都是病毒进入企业内部网络的入口。第二种是使用网络上带病毒共