第11章 殺毒軟件及解決方案

1、常用殺毒軟件及其解決方案常用殺毒軟件及其解決方案本章學(xué)習(xí)目標(biāo)本章學(xué)習(xí)目標(biāo)了解國內(nèi)外著名殺毒軟件掌握病毒防治解決方案 內(nèi)容內(nèi)容常用殺毒軟件解決方案國內(nèi)外著名殺毒軟件殺毒軟件概述殺毒軟件概述殺毒軟件必備功能殺毒軟件必備功能六款流行企業(yè)版殺毒產(chǎn)品比較六款流行企業(yè)版殺毒產(chǎn)品比較產(chǎn)品比較評論產(chǎn)品比較評論反病毒產(chǎn)品的地緣性反病毒產(chǎn)品的地緣性國內(nèi)殺毒工具發(fā)展歷史國內(nèi)殺毒工具發(fā)展歷史國際名人： 俄羅斯的Eugene Kaspersky。1989年，Eugene Kaspersky開始研究計算機病毒現(xiàn)象。從1991年到1997年，他在俄羅斯大型計算機公司KAMI的信息技術(shù)中心，帶領(lǐng)一批助手研發(fā)出了AVP（Ant

2、iViral Toolkit Pro）反病毒程序。Kaspersky Lab于1997年成立，Eugene Kaspersky是創(chuàng)始人之一。2000年11月，AVP更名為Kaspersky Anti-Virus。 第二位是Doctor Soloman。他創(chuàng)建的Doctor Soloman公司曾經(jīng)是歐洲最大的反病毒企業(yè)，后來被McAfee兼并，成為最為龐大的安全托拉斯NAI的一部分。 還有兩位是Peter Norton和Mcafee。Symmantac和McAfee兩個殺毒公司的創(chuàng)始人。1989年7月，中國公安部計算機管理監(jiān)察局監(jiān)察處病毒研究小組編制出了中國最早的殺毒軟件Kill 6.0。這一版

3、本可以檢測和清除當(dāng)時在國內(nèi)出現(xiàn)的6種病毒。Kill殺毒軟件在隨后的很長一段時間內(nèi)一直由公安部免費發(fā)放。1990年，中國廣東省深圳市，一家名為北京華星的公司推出了一種硬件的反病毒工具，即華星防病毒卡。 1991年11月，北京瑞星公司成立，并推出硬件防病毒毒系統(tǒng)，即瑞星防病毒卡。1993年上半年，微軟發(fā)行了自己的反病毒軟件微軟反病毒軟件（MSAV），這是微軟購買了另一家公司的CPAV殺毒軟件后推出的，但不久后就放棄了。 同年6月，中國公安部正式?jīng)Q定將Kill的資產(chǎn)和開發(fā)人員移交公安部下屬的中國金辰安全技術(shù)實業(yè)公司進行商品化推廣。 1994年，山東省的王江民編制了一個殺毒軟件取名“KV100”，在中

4、關(guān)村以20000元的價格轉(zhuǎn)讓了銷售許可，推廣名為“超級巡警”。 1997年，南京信源公司首次推出具有實時監(jiān)控功能的病毒防火墻。同年，華美星際推出了“病毒克星”。1998年，瑞星公司依靠OEM策略，先后與方正、聯(lián)想、同創(chuàng)、浪潮、實達、和光、COPAQ等計算機生產(chǎn)商達成合作協(xié)議，捆綁銷售其殺毒軟件，獲得了市場成功。 1998年南北信源反目為仇，先是劃江而治，即劃分成北方市場和南方市場，然后由于市場和經(jīng)營觀念的沖突以及公司內(nèi)部的矛盾開始相互起訴和爭斗，兩家公司部因此元氣大傷，市場份額和影響力急劇下降。1998年5月，中國金辰安全技術(shù)實業(yè)公司和世界第二大軟件公司（美國CA公司）共同合資成立北京冠群金辰

5、軟件有限公司。1998年7月，冠群金辰公司發(fā)布KILL認證版。產(chǎn)品雖然還叫做KILL，但核心技術(shù)己經(jīng)完全轉(zhuǎn)換為CA公司的技術(shù)。1999年6月，金山公司首次發(fā)布金山毒霸的測試版，開始嘗試進入殺毒軟件市場。次年11月，金山毒霸正式上市，從此正式進入反病毒軟件市場。 交大銘泰公司推出的東方衛(wèi)士也曾經(jīng)在殺毒市場上風(fēng)光一時，但在登錄香港創(chuàng)業(yè)板后，逐漸退出了殺毒市場。奇虎360創(chuàng)立于2005年9月，并于2006年7月推出了專門查殺流氓軟件的360安全衛(wèi)士（）。 殺毒軟件必備功能病毒查殺能力漏報率誤報率清除能力自我保護能力對新病毒的反應(yīng)能力軟件供應(yīng)商的病毒信息收集網(wǎng)絡(luò)病毒代碼的更新周期供應(yīng)商對用戶發(fā)現(xiàn)的新病

6、毒的反應(yīng)周期。 對文件的備份和恢復(fù)能力實時監(jiān)控功能及時有效的升級功能智能安裝、遠程識別功能界面友好、易于操作對現(xiàn)有資源的占用情況系統(tǒng)兼容性軟件的價格軟件商的實力國內(nèi)外殺毒軟件及市場金山毒霸、瑞星殺毒、KV3000、PC-Cillin VirusBuster、Norton AntiVirus、Mcafee Virus Scan、Kaspersky Antivirus、F-Secure Antivirus,Nod32,小紅傘等。國內(nèi)外病毒檢測機構(gòu)國內(nèi)外病毒檢測機構(gòu)WildList 國外機構(gòu) AV-test Virus Bulletin （VB100） AV-Comparatives ICSA（In

7、ternational Computer Security Association） WestCoastLabs（Checkmark） 國內(nèi)機構(gòu) 公安部 其他媒體，如計算機世界報等AV-Test AV-Test是全球最大的反病毒產(chǎn)品測試中心 馬德堡大學(xué)和AV-Test GmbH共同合作的研究計劃AV-Test測試是國際權(quán)威的第三方獨立測試之一，采用大病毒庫的樣本庫（大于100萬種的病毒樣本庫）進行自動測試 Virus B國際間最有名、歷史最悠久的病毒測試機構(gòu)之一，1989 年成立于英國認證標(biāo)示為VB100AV-Comparativeswww.av-comparat

8、AV-Comparatives 同樣是國際性的獨立測試機構(gòu)，測試由奧地利 人 Andreas Rechengasse 主持對未知病毒測試則要參考另一國際權(quán)威測試機構(gòu) AV-ComparativesICSAhttp:/基于WildList的測試美國的第三方測試機構(gòu)ICSA有如下幾類安全產(chǎn)品的評測： firewall（防火墻）、Secure Internet filtering（互聯(lián)網(wǎng)安全過濾）、PC firewall（個人防火墻）、（5） Cryptography（密碼防護）、Intrusion detection（入侵檢測）、IP sec（網(wǎng)絡(luò)安全協(xié)議）、Web applica

9、tions（WEB應(yīng)用）、WLAN security（無線網(wǎng)絡(luò)安全）等 WestCoastLabshttp:/ 西海岸實驗室位于英國Checkmark認證標(biāo)志中國的測試機構(gòu)中國的測試機構(gòu)國家計算機病毒應(yīng)急處理中心（www.antivirus-）下屬的計算機病毒防治產(chǎn)品檢驗中心 檢驗中心共收集各種病毒幾萬種進入中國市場的準(zhǔn)人證電腦報電腦報2008評測結(jié)果評測結(jié)果AV-Test 2007年年5月排名月排名反病毒產(chǎn)品的地緣性病毒編制者的生活空間病毒的傳播以病毒編制者初始的地點為中心，逐漸向周圍擴散。特定的操作系統(tǒng)或者流行軟件環(huán)境操作系統(tǒng)相關(guān)的病毒軟件即時消息 宏病毒定向性攻擊和條件傳播蠕蟲病毒掃描范

10、圍，條件判斷地緣性對反病毒產(chǎn)品的影響Internet非常落后的時代地緣性最嚴重宏病毒流行時期技術(shù)壁壘加重了地緣性Internet普及的今天地緣性差距又縮減的趨勢 病毒樣本網(wǎng)上流通地緣性對國外主流產(chǎn)品的新挑戰(zhàn)幾個典型蠕蟲表明中國已經(jīng)成為中國全球病毒擴散的中心節(jié)點之一國產(chǎn)蠕蟲Worm.Solaris.Sadmind造成微軟源碼失竊的Worm.Qaz也被懷疑出自國人之手木馬病毒大量出現(xiàn)冰河、廣外女生、網(wǎng)絡(luò)神偷針對OICQ、國內(nèi)網(wǎng)絡(luò)工具等的專用木馬大量出現(xiàn)OICQ、邊鋒、聯(lián)眾、傳奇國外主流產(chǎn)品的本土化改造國外產(chǎn)品需要改造的地方 1、如何有效的對抗本土病毒的新技術(shù)點； 2、如何更迅速的采集并響應(yīng)本土病毒

11、樣本； 3、如何并非簡單漢化而使產(chǎn)品逐步符合中國用戶的習(xí)慣； 4、如何推廣企業(yè)級的反病毒思路； 5、如何讓國內(nèi)用戶認識到國際產(chǎn)品的技術(shù)優(yōu)勢。 國外企業(yè)進軍中國的途徑 第一類是在中國建立分支機構(gòu)，不設(shè)立研發(fā)部門，通過用戶渠道解決相關(guān)問題，這種方式成本低，但是很多方面都受到一定限制。 第二類是逐步在國內(nèi)建立獨立研發(fā)中心。完成漢化和本土病毒處理，這種方式效果好，但是成本比較高。 第三類是與國內(nèi)反病毒企業(yè)合資，使國內(nèi)現(xiàn)有品牌換裝國外先進的引擎，利用原有企業(yè)力量完成漢化和本土病毒處理，這種方式需要一定的機遇。 第四類是選擇一個非商用反病毒的本土技術(shù)型企業(yè)合作，開展全新的模式，既降低成本，也保證效果。企業(yè)

12、級病毒防治方案重要性需求分析需求分析典型分析典型應(yīng)用病毒在網(wǎng)絡(luò)上傳播的過程病毒在網(wǎng)絡(luò)上傳播的過程企業(yè)網(wǎng)絡(luò)防病毒方案企業(yè)網(wǎng)絡(luò)防病毒方案企業(yè)防病毒的需求企業(yè)自身評估 1.哪些計算機正在運行實時性的防毒軟件？2.如何更新病毒的定義碼？3.哪些計算機沒有運行防病毒軟件，為什么沒有？4.現(xiàn)有的防病毒軟件效果和功能是否能保證系統(tǒng)的安全？5.過去是否曾遭受病毒的侵害？6.誰負責(zé)處理用戶病毒問題？7.用人工處理一次病毒危機的花費多少？8.如果企業(yè)計算機系統(tǒng)一天不能運行，損失有多少？9.如果病毒發(fā)作，信息系統(tǒng)是否會癱瘓？10.如果系統(tǒng)癱瘓或重要數(shù)據(jù)丟失，恢復(fù)的難度有多大，費用有多高？企業(yè)防病毒的需求考慮因素1.

13、防毒軟件每臺機器都要安裝，很麻煩且費時費力！2. 面對上千臺機器的病毒定義碼更新，防毒軟件要持續(xù)同步、實時、有效更新，這些由誰來做？需要多少專人管理？3.一般行政人員或不太了解計算機的人員是否可以輕松使用，簡捷更新和升級。4. 是否可以透過某種輕松的方式一次性設(shè)定，也就是說，能否使軟件的安裝、防病毒策略的定義、實施以及病毒定義碼和掃描引擎的更新和升級變得非常簡單，甚至完全自動化？5.標(biāo)準(zhǔn)預(yù)設(shè)的防毒選項設(shè)置不一定適用所有的工作站。6.很難分析統(tǒng)計病毒攻擊事件的次數(shù)、原因以及來源。 7.用戶隨意更改防病毒策略和選項設(shè)置或忘記更新最新的病毒定義碼和掃描引擎，甚至卸載防病毒軟件，這樣即使裝了防毒軟件，

14、仍然不到防病毒的效果。8.移動用戶太多，無法有效、及時的掌握和把最新的病毒定義碼送到移動用戶手中。9.是否能夠很方便地在多種平臺下進行安裝、維護升級等工作。10.是否可以對網(wǎng)絡(luò)進行全方位、多層次地預(yù)防和過濾病毒。 企業(yè)防病毒的需求對產(chǎn)品的要求多層次、全方位的防病毒保護工作環(huán)境-跨平臺的技術(shù)及強大功能先進的防病毒技術(shù)簡易快速的網(wǎng)絡(luò)防病毒軟件安裝和維護集中和方便地進行病毒定義碼和掃描引擎的更新方便、全面、友好的病毒警報和報表系統(tǒng)管理機制病毒防護自動化服務(wù)機制客戶端防病毒策略的強制定義和執(zhí)行快速、有效地處理未知病毒合理的預(yù)算規(guī)劃和低廉的總擁有成本良好的服務(wù)與強大支持企業(yè)網(wǎng)絡(luò)的典型結(jié)構(gòu)從網(wǎng)絡(luò)基本結(jié)構(gòu)上

15、看，一個典型的企業(yè)網(wǎng)絡(luò)包括網(wǎng)關(guān)（Gateway）、服務(wù)器（文件服務(wù)器、郵件服務(wù)器等）和客戶端。從網(wǎng)絡(luò)的應(yīng)用模式上看，現(xiàn)代企業(yè)網(wǎng)絡(luò)都是基于服務(wù)器/客戶端的計算模式。從操作系統(tǒng)上看，企業(yè)網(wǎng)絡(luò)的客戶端基本上都是Windows平臺，中小企業(yè)服務(wù)器一般采用Win NT/2000系統(tǒng)，部分行業(yè)用戶或大型企業(yè)的關(guān)鍵業(yè)務(wù)應(yīng)用服務(wù)器采用Unix操作系統(tǒng)。從通訊協(xié)議上看，目前企業(yè)網(wǎng)絡(luò)絕大部分采用TCP/IP協(xié)議。企業(yè)網(wǎng)絡(luò)的典型應(yīng)用文件和打印服務(wù)共享辦公自動化系統(tǒng)企業(yè)信息管理系統(tǒng)（MIS）Internet應(yīng)用等領(lǐng)域病毒在網(wǎng)絡(luò)上傳播的過程病毒在企業(yè)網(wǎng)中的幾種傳播途徑：第一種是來自互聯(lián)網(wǎng)。網(wǎng)絡(luò)上有些計算機具有連接互聯(lián)網(wǎng)的功能，而互聯(lián)網(wǎng)上有許多可供下載的程序、文件、信息。另外，收發(fā)Email也必須通過互聯(lián)網(wǎng)。這些都是病毒進入企業(yè)內(nèi)部網(wǎng)絡(luò)的入口。第二種是使用網(wǎng)絡(luò)上帶病毒共