張媛

（南京金州城北污水處理有限公司，江蘇 南京 210015）

1 引言

計算機網(wǎng)絡(luò)的發(fā)展很大程度上改變了人們工作、學(xué)習(xí)、生活的方方面面，并且在各行各業(yè)中發(fā)揮著舉足輕重的作用。與此同時，威脅計算機網(wǎng)絡(luò)信息安全的因素也日益增多。無論個人還是公用的計算機在使用過程中常常因為計算機病毒侵?jǐn)_而導(dǎo)致計算機系統(tǒng)運行故障、硬件損壞、重要數(shù)據(jù)丟失，甚至造成經(jīng)濟損失，相關(guān)工作及其他業(yè)務(wù)受此影響無法正常開展[1]。目前絕大多數(shù)計算機都是聯(lián)網(wǎng)用戶，病毒依靠網(wǎng)絡(luò)迅速廣泛傳播，使技術(shù)維護人員陷入大量的系統(tǒng)修復(fù)與數(shù)據(jù)還原的工作之中。針對這些威脅計算機網(wǎng)絡(luò)的安全隱患，病毒防護已成為當(dāng)前用戶所面臨的最大問題。因此，結(jié)合當(dāng)前網(wǎng)絡(luò)環(huán)境特點有針對性地開發(fā)一套系統(tǒng)性的病毒防護方案，對于降低病毒破壞作用、消滅各類病毒引發(fā)的計算機故障、減輕技術(shù)人員勞動強度、提高計算機安全運行質(zhì)量有著積極的意義。

2 病毒防護方案設(shè)計的初衷和立足點

2.1 設(shè)計初衷

首先，病毒防護方案需要適應(yīng)當(dāng)前網(wǎng)絡(luò)環(huán)境，在深入了解了各類病毒特點、傳播方式和殺毒技術(shù)的優(yōu)缺點的基礎(chǔ)之上，制定有針對性的不同措施的組合；其次，防護方案要求成本低廉、占用系統(tǒng)資源少、效果穩(wěn)定、部署簡單快捷，盡力保證計算機處理工作的效率，否則難以取得大規(guī)模普及和推廣應(yīng)用；第三，所采用的各項防護措施應(yīng)統(tǒng)一和相互配合，如果不同病毒防護措施相互沖突，反而削弱了整體防護效果[2]。

2.2 立足點

病毒防護方案的設(shè)計至少要解決兩方面的問題：第一，在較短時間內(nèi)徹底清除公用計算機病毒，最大限度降低病毒的危害；第二，阻止病毒在網(wǎng)絡(luò)環(huán)境下傳播擴散，避免造成其他計算機的故障和破壞。

當(dāng)前計算機采用的反病毒技術(shù)很多，比較常見的有殺毒軟件技術(shù)和還原保護技術(shù)兩大類，而還原保護技術(shù)中又有鏡像系統(tǒng)、軟件虛擬還原和硬件保護卡三種具體形式。在這些技術(shù)中，用戶可以從自身需求出發(fā)，對軟件特點、保護方式、復(fù)雜程度等方面進行對比研究，選擇適合自己的方案。

對病毒的防護工作必須先分析病毒屬性、入侵方式、傳播途徑等特點[3]，然后才能制定有針對性的解決方案。在網(wǎng)絡(luò)環(huán)境下常見的流行病毒中，既有因用戶不規(guī)范操作而進行傳播的，也有借助網(wǎng)絡(luò)進行傳播的。需要特別指出的是，有些計算機感染病毒，并不能直接刪除感染文件或者禁用某種媒體，必須轉(zhuǎn)換思路，找到病毒特點，再選擇如何殺毒。例如autorun病毒是依賴于不規(guī)范的U盤操作行為進行傳播的[4]，但并不主張用戶通過禁止使用U盤或者限制用戶某些正常操作的方式來阻止此類病毒的擴散，因為這么做很可能會影響用戶的正常使用，造成某些工作無法完成。正確的方法是研究此類病毒的傳播機制，借助具體的殺毒軟件或者防毒技術(shù)進行相應(yīng)的設(shè)置操作，才能間接控制病毒的危害和傳播。有的計算機病毒為了保證自身的安全，設(shè)計了頑強的復(fù)制規(guī)則和自我保護機制——將病毒源放在網(wǎng)絡(luò)上，借助ARP病毒的攻擊方式，利用網(wǎng)絡(luò)便利性為維持自身數(shù)量提供補充。針對此類病毒，也只能盡量優(yōu)化現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計，增加防火墻，并對重要網(wǎng)絡(luò)節(jié)點進行保護。

3 病毒防護方案的設(shè)計過程與具體措施

3.1 采用最合適的技術(shù)方案及注意要點

最簡單的反病毒技術(shù)形式就是免費殺毒軟件。該技術(shù)形式涵蓋了病毒預(yù)防、病毒檢測和病毒清除多個方面，現(xiàn)階段廠商還提供有相應(yīng)的網(wǎng)絡(luò)版本，保證病毒庫的及時更新。與殺毒軟件相比，還原保護技術(shù)還具備了病毒破壞后的數(shù)據(jù)恢復(fù)功能，間接實現(xiàn)了清除病毒的效果。由于還原保護技術(shù)采用完全不同的工作機制，使其在病毒清除效率和數(shù)據(jù)恢復(fù)效果上遠(yuǎn)遠(yuǎn)超過了殺毒軟件，計算機操作系統(tǒng)如果感染了病毒，只需要找到原來設(shè)置的還原點或者鏡像，就可以輕松地恢復(fù)到感染病毒前的狀態(tài)。還原技術(shù)更是具備投入成本低、系統(tǒng)資源占用少功能穩(wěn)定、部署簡單等特點。兩類技術(shù)原理的不同，使得殺毒軟件升級所帶來的病毒庫文件變化與還原保護技術(shù)對硬盤數(shù)據(jù)的保護存在著不小的沖突，各自具有獨占性和排他性。殺毒軟件對計算機系統(tǒng)資源占用較大[5]，相對而言，還原保護技術(shù)更適宜在單位和辦公場所的公用計算機大規(guī)模應(yīng)用。針對還原保護技術(shù)在病毒預(yù)防和檢測上的不足，可以通過其他后繼措施的補充來進行完善。

上述提到的三種還原保護具體形式中，硬件保護卡的還原軟件是寫在硬件芯片上的，病毒難以侵蝕和破壞，且對系統(tǒng)資源占用微乎其微[6]，因此可以確定硬件還原卡形式較為適合單位和公用電腦。

值得注意的是，硬件還原卡在使用較長時間后，插槽部分容易氧化，從而與主板接口接觸不良導(dǎo)致保護功能失效。因此在采購計算機設(shè)備的時候，應(yīng)選擇能把還原卡集成于主板上的設(shè)備型號，這樣才能保證還原功能的長效穩(wěn)定發(fā)揮。單位辦公計算機一般是批量集中購買，統(tǒng)一批次的產(chǎn)品還原卡和系統(tǒng)之間兼容性和協(xié)作性最好，使用過程中病毒防護工作也能高效開展。

至此，可將公用計算機病毒防護方案中所采用的最終技術(shù)設(shè)備確定為集成了硬件還原卡的計算機設(shè)備。

3.2 阻止病毒流行的應(yīng)對措施

病毒的種類繁多，侵犯和處理方式各不相同，需要針對病毒特點，采取直接應(yīng)對和間接應(yīng)對相結(jié)合的措施進行防護。

通過檢索相關(guān)殺毒軟件和還原保護系統(tǒng)技術(shù)資料發(fā)現(xiàn)，目前已知的公用計算機病毒傳播破壞機制主要包含以下幾種類型：① 利用U盤、移動硬盤等便攜式存儲設(shè)備進行傳播；② 利用操作系統(tǒng)漏洞傳播；③ 利用ARP欺騙發(fā)起攻擊傳播；④ 通過默認(rèn)共享權(quán)限傳播。

針對病毒傳播特點可采取如下對應(yīng)措施：① 關(guān)閉系統(tǒng)“自動運行”、“自動播放”功能；② 利用殺毒軟件定期掃描安裝各類漏洞補丁[7]；③ 關(guān)閉操作系統(tǒng)的默認(rèn)管理共享通道；④ 關(guān)閉不必要的系統(tǒng)服務(wù)和第三方服務(wù)程序[8]。以上四條措施都是直接破壞了病毒運行和傳播的必要條件，能夠起到相應(yīng)的防御作用。在間接措施方面，病毒的不斷更新會采用新的運行機制和傳播方式，必須認(rèn)真研究這些新病毒的傳播特點和自我保護機制，通過切斷傳播途徑來達(dá)到防御目的。以下兩類病毒傳播行為需要我們通過間接措施來應(yīng)對：

① 通過便攜式存儲設(shè)備傳播的病毒。當(dāng)感染了該類病毒的存儲設(shè)備在公用計算機上使用后，計算機分區(qū)目錄下會自動生成類似autorun.exe名稱特征的程序快捷方式和配置文件?？紤]到工作中便攜式存儲設(shè)備的廣泛應(yīng)用，無法禁止使用這類設(shè)備，只能對系統(tǒng)分區(qū)數(shù)據(jù)開啟還原保護功能，而其他分區(qū)是并未開啟該功能的。當(dāng)計算機重新啟動后，受保護的系統(tǒng)分區(qū)會恢復(fù)至染毒前的安全狀態(tài)，未受保護的分區(qū)根目錄卻仍然保存有病毒程序寄生文件。一旦操作不慎，有可能會激活這些病毒程序，并借助便攜存儲設(shè)備開始在其他機器上傳播。

要解決此類病毒的傳播，最好的方法是通過還原保護系統(tǒng)對硬盤分區(qū)的“顯示/隱藏”屬性進行合理設(shè)置。在日常辦公應(yīng)用中，應(yīng)將系統(tǒng)分區(qū)設(shè)置為可見，保護狀態(tài)，剩余分區(qū)全部隱藏，不提供開放使用?；蛘邇H僅提供一個獨立數(shù)據(jù)分區(qū)，將該分區(qū)防護指令設(shè)置為每日或者每兩天自動清除數(shù)據(jù)。這樣，雖然病毒有可能短時間感染正在使用的計算機和連接的設(shè)備，但是每天或者隔天清除數(shù)據(jù)就會大大降低病毒傳播的頻率。

② 利用互聯(lián)網(wǎng)實現(xiàn)自我復(fù)制和保護的病毒。此類病毒借鑒了ARP病毒的攻擊方式，誘導(dǎo)中毒計算機在聯(lián)網(wǎng)狀態(tài)下在后臺自動從指定網(wǎng)址下載病毒來保證必要的病毒存活率。因此，必須首先對公用計算機的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進行優(yōu)化設(shè)計，以減輕ARP方式攻擊的范圍和減少染毒計算機的數(shù)量，確定重點防護對象。

在單位網(wǎng)絡(luò)環(huán)境下，推薦采用一臺管理機對應(yīng)多臺客戶機的上下級級聯(lián)組織拓?fù)浣Y(jié)構(gòu)，由管理機充當(dāng)內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)數(shù)據(jù)的網(wǎng)關(guān)。因為ARP式攻擊的主要機制是偽造IP地址與MAC地址的對應(yīng)關(guān)系實現(xiàn)網(wǎng)絡(luò)欺騙[9]，主要的攻擊對象是網(wǎng)關(guān)，因此只需將ARP攻擊的防護重點放在管理機上。這種拓?fù)浣Y(jié)構(gòu)下，在管理機上安裝相應(yīng)的ARP防火墻即可實現(xiàn)防護目的。

至此，可將抑制此類攻擊方式的變通應(yīng)對措施明確為：在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中將管理機設(shè)置為整個內(nèi)部網(wǎng)絡(luò)的網(wǎng)關(guān)，并在管理機上安裝ARP防火墻軟件。

4 部署防毒軟件和還原保護系統(tǒng)之后的設(shè)置與完善

參考病毒防護方案的設(shè)計初衷，結(jié)合上述直接防護措施和間接防護措施的相互關(guān)系，有必要對在部署防毒軟件和還原系統(tǒng)后對部分項目內(nèi)容進行適當(dāng)調(diào)整和優(yōu)化設(shè)置，提高內(nèi)部網(wǎng)絡(luò)公用計算機的運行效率，為鞏固防護效果也有必要采取措施進行補償完善。

4.1 安裝系統(tǒng)補丁與系統(tǒng)運行速度變慢的矛盾

有過計算機維護經(jīng)驗的人員都知道，操作系統(tǒng)加載的服務(wù)和補丁越多，則機器運算資源占用越大，導(dǎo)致系統(tǒng)運行的速度越慢，兩者呈現(xiàn)一種相對矛盾的限制關(guān)系。但從病毒防護效果的角度出發(fā)，又不能不安裝系統(tǒng)補丁。因此，可以將這一措施調(diào)整為“及時安裝系統(tǒng)廠商提供的專門針對病毒傳播的漏洞補丁”。

4.2 廠商提供的特定防毒程序及更新保護

還原保護技術(shù)在病毒防護方案中起主導(dǎo)作用，還原保護功能的發(fā)揮狀態(tài)直接影響到最終的防護效果，保證功能的穩(wěn)定發(fā)揮是公用計算機防毒工作的重點監(jiān)控及檢查內(nèi)容。極少部分病毒能穿透保護層入侵系統(tǒng)。因此，技術(shù)人員要經(jīng)常關(guān)注此類病毒的傳播情況，并及時更新硬盤保護卡廠商提供的防毒補丁和更新程序。

4.3 管理機的強化設(shè)置和系統(tǒng)備份

在單位公用計算機的使用過程中，管理機負(fù)責(zé)整個內(nèi)外網(wǎng)絡(luò)的網(wǎng)關(guān)互通，因此要對管理機加強病毒防護。為了系統(tǒng)安全，在管理機硬盤分區(qū)屬性設(shè)置上，僅保留一個不啟用還原的分區(qū)以方便重要數(shù)據(jù)的存儲。該分區(qū)的存在有可能受到病毒的影響，所以要安裝單機版殺毒軟件來配合還原保護系統(tǒng)使用，既保證了殺毒軟件的病毒庫升級與還原保護功能不產(chǎn)生沖突，也杜絕了各種便攜存儲設(shè)備病毒的傳播。此外，還要將ARP防護墻安裝到管理機的該分區(qū)，有利于防火墻數(shù)據(jù)實時更新。

防護方案的設(shè)計雖然已經(jīng)盡量考慮了數(shù)據(jù)保護所面臨的各種情況，但是具體使用過程中，難免會有不可控的情況發(fā)生，導(dǎo)致系統(tǒng)數(shù)據(jù)損壞或者丟失。為避免這種情況，應(yīng)在方案最后實施階段使用ghost軟件制作一個干凈的系統(tǒng)鏡像文件，并將此文件復(fù)制多份單獨另外存放。已備份好的系統(tǒng)數(shù)據(jù)是整個防護方案的最后一道防線，雖然大多數(shù)情況下不會用到，但在危急時刻卻能讓系統(tǒng)“起死回生”。

5 最終病毒防護方案的確定

5.1 主要技術(shù)形式

計算機還原保護技術(shù)是病毒單位公用計算機防護方案的主要依靠技術(shù)，硬盤還原卡是其具體應(yīng)用形式，該硬件設(shè)備必須集成到計算機主板。殺毒軟件技術(shù)是該方案的輔助技術(shù)，主要應(yīng)用于管理機。

5.2 應(yīng)采取的各項措施

①在單位公用計算機整體網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中，保證管理機的網(wǎng)關(guān)地位。②在計算機系統(tǒng)的分區(qū)設(shè)定上，以還原保護技術(shù)為依托，對客戶機和管理機進行不同設(shè)置。在客戶機上，僅開放啟用了還原保護功能的系統(tǒng)分區(qū)；在管理機上，除了開放受保護的系統(tǒng)分區(qū)之外，還可以開放一個不保護的分區(qū)存儲數(shù)據(jù)，但該分區(qū)必須安裝正版殺毒軟件和ARP防火墻。③關(guān)閉不必要的“自動運行”、“自動播放”功能。④關(guān)閉操作系統(tǒng)的默認(rèn)管理共享通道。⑤安裝系統(tǒng)漏洞補丁和廠商提供的更新程序。⑥制作系統(tǒng)備份鏡像單獨存放。

6 結(jié)束語

該防護方案采取以還原保護技術(shù)為主，結(jié)合其他輔助措施共同作用的方式來抵御病毒侵害。由于還原保護技術(shù)在數(shù)據(jù)的恢復(fù)成功率和數(shù)據(jù)的完整性上有相當(dāng)大的優(yōu)勢，本身就在很大程度上降低了病毒帶來的損失；而其他補充措施的制定，更是以盡量消除支持病毒傳播和頑強生存的各類外界因素為指導(dǎo)原則，各項措施之間兼容性好，注意了方案的整體性和系統(tǒng)性，整個防護方案能夠達(dá)到系統(tǒng)和數(shù)據(jù)的快速恢復(fù)，最大程度減少公用計算機中毒造成的系統(tǒng)和數(shù)據(jù)損失。