局域网络的病毒防护—保护策略和安全级别

显示全部楼层 · 2005-10-30 17:05:33

--- 网络安全 ---
--------------------------------------------------------------------------------
局域网络的病毒防护—保护策略和安全级别

　　当今社会，电脑科技已相当普及，国内不少企事业单位已不仅仅将电脑应用停留在简单的文字处理和表单制作。他们需要更深层次的电脑应用，例如将电脑连成网络，采取集中管理的方式来协调工作进程，或者在网络上建立企业内部应用数据库和通讯机制等等。这些措施无疑对提高企业生产力和工作效率有着积极的帮助。但是与此同时，来自电脑病毒的威胁却随着网络的建立大大的增强了。因此，系统管理员必须掌握一定的安全知识和采取一定的保护措施以防止病毒的入侵。本文旨在向网络管理员介绍病毒的基本特点、它们感染文件和在网络上传播的机制以及可行的防毒策略。
　　病毒的基本特点
　　了解病毒的基本特点是网络管理员防止病毒感染系统的基础。第一个必须明了的概念是病毒其实是一个程序。像其它程序一样，唯有通过执行它，才能影响我们的电脑（复制自己、非法操作电脑或毁坏数据）。反过来说，如果我们不运行它，病毒无非是一些存储在磁介质上的程序代码，不能起任何破坏作用。
　　一般来说，病毒通过以下步骤达到影响和破坏电脑的目的：
　　1.一些人编制病毒并把它放到公共区域。
　　2.某个电脑用户执行了带有病毒的文件。
　　3.病毒将自己复制到电脑存储器上。
　　4.病毒将花费一些时间深入系统并适时进行传染。
　　5.某一时刻，病毒开始发作，改变电脑的正常运行，摧毁数据。
　　值得注意的是：大多数病毒并不是直接发作，而是在经过一段时间后发作，以增加在被发现并杀灭前感染其它电脑的机会。
　　要解释电脑病毒的基本工作原理，我们必须将病毒分门别类以研究不同病毒的各自特性。在这里我们简单的将电脑病毒分为两类：文件病毒和引导病毒。
　　*文件病毒：以文件为主要感染对象的病毒。
　　*引导病毒：感染引导扇区的病毒。
　　还有另一类病毒是混合型病毒，它们既是文件病毒，同时也是引导病毒。这里，我们不详细讨论该类病毒，因为它们同时拥有上述两类病毒的特点。
　　文件病毒：

　　典型的文件病毒通过以下的方式载入并复制自己：
　　1. 当一个受染程序被运行后，病毒控制后台及后续操作；如果该病毒是一个宏病毒，那么当打开一个带有受染宏程序的文档时（WORD,EXCEL），病毒开始控制系统。
　　2. 如果这个病毒是常驻内存型的，它将自己载入内存，控制文件运行和打开服务的调用。当系统调用该类操作时，病毒将入侵新的文件。
　　3. 如果该病毒不是常驻内存型的，它会立刻找寻一个新的感染对象：可能是当前目录中的第一个文件、一个固定的DOS目录文件或者是设计病毒的人预先定义的某个文件，然后取得这个原始文件的控制权。
　　引导病毒：
　　典型的引导病毒通过以下的方式载入并复制自己：
　　1. 电脑由一张受染磁盘引导而受到感染。
　　2. 电脑再次引导时，受到病毒的控制。
　　3. 病毒控制文件运行和打开服务的调用，使自己常驻内存。
　　4. 当电脑启动时，病毒使引导过程和以前看上去并无异样。
　　5. 最后，当有别的磁盘或硬盘访问系统时，病毒将自己复制到新的媒介上完成传染。
　　有两点必须注意的是：
　　1．即使我们未使用受染磁盘引导系统，病毒仍然可能感染电脑的引导扇区。
　　2．有的病毒既是引导病毒，同时也是文件病毒。电脑可能在执行此类受染文件后，引导扇区受到病毒感染。
　　病毒在网络环境中的传播
　　普通的病毒来源是：
　　*可移动媒介（软磁盘、CD-ROM、ZIP、Bernoulli等等）。
　　*通讯端口（互联网、BBS、电子邮件等）。
　　所有配备上述设备和通讯机制的工作站或服务器都是病毒潜在的攻击对象。
　　网络环境中最基本的问题是服务器实际上扮演着病毒中转站的角色。服务器中只要有一个共享程序或文件受到感染，那么连接到这个共享资源的用户势必受到感染。这一问题在宏病毒出现后变得更加严峻。因为宏病毒的感染对象是文档，而文档是普通公司中使用最广泛的文件类型。
　　受染文件存在服务器有以下原因：
　　受染文件直接由工作站拷贝至服务器。
　　由服务器自己的可移动媒介复制到硬盘上。
　　一个带有受染文件的备份被恢复至系统。
　　病毒由服务器的通讯端口传入系统。
　　一个工作站上被激活的引导型病毒不能影响服务器，因为它没有通过网卡控制远程读、写服务的能力。
　　总的来说，一个专职的服务器将不会直接受到病毒的感染。因为服务器的CPU不会直接激活某个病毒。但是，如果工作站拥有管理员权限，那么服务器仍然有可能受到病毒攻击。

　　保护服务器的一些忠告：
　　1．经常备份系统。
　　2．为不同的用户分配各自相应的权限。
　　3．不要将服务器用作工作站。
　　4．不要在服务器上运行应用程序。
　　5．仅安装正版程序。
　　6．禁止软盘启动。
　　杀毒保护策略
　　*仅保护工作站。
　　*仅保护服务器。
　　*全面保护工作站和服务器。
　　为有效保护计算机免遭病毒的攻击，避免执行已被病毒感染的文件非常必要。比如防止宏病毒，防毒安全系统必须能及时侦测到受染文件。要做到及时的唯一方法是使用常驻内存保护程序，持续监视文件的打开和执行等操作，发现病毒后采取相应的措施。
　　在网络环境中，我们有不同的病毒保护策略。可以仅保护工作站、仅保护服务器或对两者都进行保护。各种保护策略需视情况而定，下面笔者将分析以上各个策略的优缺点。
　　仅保护工作站
　　不管病毒的来源如何(软盘、局域网、因特网、电子邮件等)，在一个网络的所有工作站上安装常驻内存杀毒软件就可以使它们免受感染。因为常驻程序将监测所有文件打开操作，无论你在什么地方执行程序，它们都要在被运行前接受杀毒软件的实时分析。
　　这种保护策略是很必要的。能够避免很多与病毒有关的问题(计算机工作紊乱、文件丢失等)，从而减少对技术支持部门的依赖和系统管理员的工作强度。
　　间接地，这种策略也使服务器硬盘存在染毒文件所带来的风险减至最低。这是因为，当用户试图执行染毒文件时，杀毒程序就会侦测到，从而不会感染处于保护状态的计算机。同时也避免了工作站上的活跃病毒感染服务器共享信息的威胁。
　　有时，我们会听到网络管理员说保护工作站是用户自己的事。我并不这样认为。管理员应该知道，如果允许病毒在计算机系统里任意传播，总会有一天，你的客户也会收到一个病毒。但是，仅保护工作站这一策略有三个主要缺点：占用工作站的资源(要知道，有许多公司的老计算机上仍有内存、磁盘空间的问题)；不能直接保护服务器(在Windows NT服务器上，有可能从服务器本身直接执行染毒文件；在NetWare服务器上则不存在这个问题)；不能控制服务器之间的文件传输(染毒文件可能被传到工作站不被保护的其它网络中)。
　　优点：
　　*不占用服务器的资源
　　*保护工作站信息
　　*减少技术支持电话的数量
　　*减少维护费用
　　*避免在电脑安装过程中感染病毒
　　*减少病毒传至公司外部的危险
　　缺点：

　　*占用工作站的资源
　　*较复杂的安装和维护过程
　　*不能直接对服务器提供保护
　　*不能控制服务器间的文件堵塞
　　仅保护服务器
　　这一策略将防毒程序安装在服务器上，如同安装在工作站一样，防毒程序能监测通过服务器的所有文件，同时对服务器自身提供保护。
仅对服务器提供保护并不能全面保护整个网络，因为它不能保护网络的另一个重要组成部分--工作站。一般当服务器在网络中是唯一的信息传入点时，我们使用这一策略。例如所有的工作站缺少磁盘驱动器，调制解调器或其它输入设备时。
　　仅保护服务器这一策略的最大不足是，在服务器上安装了防毒程序后，程序将占用较多的系统资源。
　　优点：
　不占用工作站的系统资源
　　*简化安装和维护过程
　　*直接保护服务器
　　缺点：
　　*占用服务器系统资源
　　*不对工作站提供保护
　　*不能减少病毒传至公司外部的危险
　　完全保护工作站和服务器
　　团结就是力量。这是最理想的全方位保护病毒入侵系统的策略。它能全面的保护网络中的所有电脑。但是，所选防毒软件必须能简化管理，否则采取这一策略无疑将增大网络管理员的工作量。
　　优点：
　　*保护工作站信息
　　*减少对技术支持的依赖
　　*减少维护成本
　　*避免病毒扩散到整个计算机系统
　　*减少将病毒"出口"到公司以外的风险
　　*控制服务器之间的文件传输
　　*直接保护服务器
　　缺点：

　　*占用工作站资源
　　*占用服务器资源
　　*安装维护复杂
　　网络环境下的病毒防护
　　安装和维护整个PC系统的防毒软件是一项昂贵和复杂的工作。因此，所有针对网络环境的防毒方案都应该提供从一个网络工作站对防毒软件进行安装和维护的设施。我们应该可以对所有网络元素的防毒软件进行安装、升级、设置以及监视它们的防毒情况。
　　一个好的网络防毒软件，除了能有效杀除病毒外。笔者认为它还必须有以下特点：
　　*自动为Windows NT和Netware服务器安装防毒软件：你只需在服务器列表中选择需要保护的服务器，防毒软件就会自动安装常驻内存病毒保护软件。
　　*自动为网络工作站安装防毒软件：选择一个服务器，那么所有与这个服务器相连的工作站都会马上完成安装。防毒软件会确保所有工作站都有常驻内存保护，既使某些工作站在安装过程中没有连到网络上。
　　*自动更新服务器和工作站上的防毒软件：防毒程序必须能自动进行更新，并将最新的升级文件自动分发到网络上的每个工作站。
　　*设置服务器和工作站上的防毒软件：可以设置定期分析、扫描某种扩展名的文件、CPU占用等级、报警信息的接收者等等。
　　*监视整个网络的防毒动向：防毒软件还必须可以显示所有服务器和工作站的防毒情况报告。
　　