第11章 殺毒軟件及解決方案

1、常用殺毒軟件及其解決方案常用殺毒軟件及其解決方案本章學(xué)習(xí)目標(biāo)本章學(xué)習(xí)目標(biāo)了解國(guó)內(nèi)外著名殺毒軟件掌握病毒防治解決方案 內(nèi)容內(nèi)容常用殺毒軟件解決方案國(guó)內(nèi)外著名殺毒軟件殺毒軟件概述殺毒軟件概述殺毒軟件必備功能殺毒軟件必備功能六款流行企業(yè)版殺毒產(chǎn)品比較六款流行企業(yè)版殺毒產(chǎn)品比較產(chǎn)品比較評(píng)論產(chǎn)品比較評(píng)論反病毒產(chǎn)品的地緣性反病毒產(chǎn)品的地緣性國(guó)內(nèi)殺毒工具發(fā)展歷史國(guó)內(nèi)殺毒工具發(fā)展歷史國(guó)際名人： 俄羅斯的Eugene Kaspersky。1989年，Eugene Kaspersky開始研究計(jì)算機(jī)病毒現(xiàn)象。從1991年到1997年，他在俄羅斯大型計(jì)算機(jī)公司KAMI的信息技術(shù)中心，帶領(lǐng)一批助手研發(fā)出了AVP（Ant

2、iViral Toolkit Pro）反病毒程序。Kaspersky Lab于1997年成立，Eugene Kaspersky是創(chuàng)始人之一。2000年11月，AVP更名為Kaspersky Anti-Virus。 第二位是Doctor Soloman。他創(chuàng)建的Doctor Soloman公司曾經(jīng)是歐洲最大的反病毒企業(yè)，后來被McAfee兼并，成為最為龐大的安全托拉斯NAI的一部分。 還有兩位是Peter Norton和Mcafee。Symmantac和McAfee兩個(gè)殺毒公司的創(chuàng)始人。1989年7月，中國(guó)公安部計(jì)算機(jī)管理監(jiān)察局監(jiān)察處病毒研究小組編制出了中國(guó)最早的殺毒軟件Kill 6.0。這一版

3、本可以檢測(cè)和清除當(dāng)時(shí)在國(guó)內(nèi)出現(xiàn)的6種病毒。Kill殺毒軟件在隨后的很長(zhǎng)一段時(shí)間內(nèi)一直由公安部免費(fèi)發(fā)放。1990年，中國(guó)廣東省深圳市，一家名為北京華星的公司推出了一種硬件的反病毒工具，即華星防病毒卡。 1991年11月，北京瑞星公司成立，并推出硬件防病毒毒系統(tǒng)，即瑞星防病毒卡。1993年上半年，微軟發(fā)行了自己的反病毒軟件微軟反病毒軟件（MSAV），這是微軟購(gòu)買了另一家公司的CPAV殺毒軟件后推出的，但不久后就放棄了。 同年6月，中國(guó)公安部正式?jīng)Q定將Kill的資產(chǎn)和開發(fā)人員移交公安部下屬的中國(guó)金辰安全技術(shù)實(shí)業(yè)公司進(jìn)行商品化推廣。 1994年，山東省的王江民編制了一個(gè)殺毒軟件取名“KV100”，在中

4、關(guān)村以20000元的價(jià)格轉(zhuǎn)讓了銷售許可，推廣名為“超級(jí)巡警”。 1997年，南京信源公司首次推出具有實(shí)時(shí)監(jiān)控功能的病毒防火墻。同年，華美星際推出了“病毒克星”。1998年，瑞星公司依靠OEM策略，先后與方正、聯(lián)想、同創(chuàng)、浪潮、實(shí)達(dá)、和光、COPAQ等計(jì)算機(jī)生產(chǎn)商達(dá)成合作協(xié)議，捆綁銷售其殺毒軟件，獲得了市場(chǎng)成功。 1998年南北信源反目為仇，先是劃江而治，即劃分成北方市場(chǎng)和南方市場(chǎng)，然后由于市場(chǎng)和經(jīng)營(yíng)觀念的沖突以及公司內(nèi)部的矛盾開始相互起訴和爭(zhēng)斗，兩家公司部因此元?dú)獯髠?，市?chǎng)份額和影響力急劇下降。1998年5月，中國(guó)金辰安全技術(shù)實(shí)業(yè)公司和世界第二大軟件公司（美國(guó)CA公司）共同合資成立北京冠群金辰

5、軟件有限公司。1998年7月，冠群金辰公司發(fā)布KILL認(rèn)證版。產(chǎn)品雖然還叫做KILL，但核心技術(shù)己經(jīng)完全轉(zhuǎn)換為CA公司的技術(shù)。1999年6月，金山公司首次發(fā)布金山毒霸的測(cè)試版，開始嘗試進(jìn)入殺毒軟件市場(chǎng)。次年11月，金山毒霸正式上市，從此正式進(jìn)入反病毒軟件市場(chǎng)。 交大銘泰公司推出的東方衛(wèi)士也曾經(jīng)在殺毒市場(chǎng)上風(fēng)光一時(shí)，但在登錄香港創(chuàng)業(yè)板后，逐漸退出了殺毒市場(chǎng)。奇虎360創(chuàng)立于2005年9月，并于2006年7月推出了專門查殺流氓軟件的360安全衛(wèi)士（）。 殺毒軟件必備功能病毒查殺能力漏報(bào)率誤報(bào)率清除能力自我保護(hù)能力對(duì)新病毒的反應(yīng)能力軟件供應(yīng)商的病毒信息收集網(wǎng)絡(luò)病毒代碼的更新周期供應(yīng)商對(duì)用戶發(fā)現(xiàn)的新病

6、毒的反應(yīng)周期。 對(duì)文件的備份和恢復(fù)能力實(shí)時(shí)監(jiān)控功能及時(shí)有效的升級(jí)功能智能安裝、遠(yuǎn)程識(shí)別功能界面友好、易于操作對(duì)現(xiàn)有資源的占用情況系統(tǒng)兼容性軟件的價(jià)格軟件商的實(shí)力國(guó)內(nèi)外殺毒軟件及市場(chǎng)金山毒霸、瑞星殺毒、KV3000、PC-Cillin VirusBuster、Norton AntiVirus、Mcafee Virus Scan、Kaspersky Antivirus、F-Secure Antivirus,Nod32,小紅傘等。國(guó)內(nèi)外病毒檢測(cè)機(jī)構(gòu)國(guó)內(nèi)外病毒檢測(cè)機(jī)構(gòu)WildList 國(guó)外機(jī)構(gòu) AV-test Virus Bulletin （VB100） AV-Comparatives ICSA（In

7、ternational Computer Security Association） WestCoastLabs（Checkmark） 國(guó)內(nèi)機(jī)構(gòu) 公安部 其他媒體，如計(jì)算機(jī)世界報(bào)等AV-Test AV-Test是全球最大的反病毒產(chǎn)品測(cè)試中心 馬德堡大學(xué)和AV-Test GmbH共同合作的研究計(jì)劃AV-Test測(cè)試是國(guó)際權(quán)威的第三方獨(dú)立測(cè)試之一，采用大病毒庫的樣本庫（大于100萬種的病毒樣本庫）進(jìn)行自動(dòng)測(cè)試 Virus B國(guó)際間最有名、歷史最悠久的病毒測(cè)試機(jī)構(gòu)之一，1989 年成立于英國(guó)認(rèn)證標(biāo)示為VB100AV-Comparativeswww.av-comparat

8、AV-Comparatives 同樣是國(guó)際性的獨(dú)立測(cè)試機(jī)構(gòu)，測(cè)試由奧地利 人 Andreas Rechengasse 主持對(duì)未知病毒測(cè)試則要參考另一國(guó)際權(quán)威測(cè)試機(jī)構(gòu) AV-ComparativesICSAhttp:/基于WildList的測(cè)試美國(guó)的第三方測(cè)試機(jī)構(gòu)ICSA有如下幾類安全產(chǎn)品的評(píng)測(cè)： firewall（防火墻）、Secure Internet filtering（互聯(lián)網(wǎng)安全過濾）、PC firewall（個(gè)人防火墻）、（5） Cryptography（密碼防護(hù)）、Intrusion detection（入侵檢測(cè)）、IP sec（網(wǎng)絡(luò)安全協(xié)議）、Web applica

9、tions（WEB應(yīng)用）、WLAN security（無線網(wǎng)絡(luò)安全）等 WestCoastLabshttp:/ 西海岸實(shí)驗(yàn)室位于英國(guó)Checkmark認(rèn)證標(biāo)志中國(guó)的測(cè)試機(jī)構(gòu)中國(guó)的測(cè)試機(jī)構(gòu)國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心（www.antivirus-）下屬的計(jì)算機(jī)病毒防治產(chǎn)品檢驗(yàn)中心 檢驗(yàn)中心共收集各種病毒幾萬種進(jìn)入中國(guó)市場(chǎng)的準(zhǔn)人證電腦報(bào)電腦報(bào)2008評(píng)測(cè)結(jié)果評(píng)測(cè)結(jié)果AV-Test 2007年年5月排名月排名反病毒產(chǎn)品的地緣性病毒編制者的生活空間病毒的傳播以病毒編制者初始的地點(diǎn)為中心，逐漸向周圍擴(kuò)散。特定的操作系統(tǒng)或者流行軟件環(huán)境操作系統(tǒng)相關(guān)的病毒軟件即時(shí)消息 宏病毒定向性攻擊和條件傳播蠕蟲病毒掃描范

10、圍，條件判斷地緣性對(duì)反病毒產(chǎn)品的影響Internet非常落后的時(shí)代地緣性最嚴(yán)重宏病毒流行時(shí)期技術(shù)壁壘加重了地緣性Internet普及的今天地緣性差距又縮減的趨勢(shì) 病毒樣本網(wǎng)上流通地緣性對(duì)國(guó)外主流產(chǎn)品的新挑戰(zhàn)幾個(gè)典型蠕蟲表明中國(guó)已經(jīng)成為中國(guó)全球病毒擴(kuò)散的中心節(jié)點(diǎn)之一國(guó)產(chǎn)蠕蟲Worm.Solaris.Sadmind造成微軟源碼失竊的Worm.Qaz也被懷疑出自國(guó)人之手木馬病毒大量出現(xiàn)冰河、廣外女生、網(wǎng)絡(luò)神偷針對(duì)OICQ、國(guó)內(nèi)網(wǎng)絡(luò)工具等的專用木馬大量出現(xiàn)OICQ、邊鋒、聯(lián)眾、傳奇國(guó)外主流產(chǎn)品的本土化改造國(guó)外產(chǎn)品需要改造的地方 1、如何有效的對(duì)抗本土病毒的新技術(shù)點(diǎn)； 2、如何更迅速的采集并響應(yīng)本土病毒

11、樣本； 3、如何并非簡(jiǎn)單漢化而使產(chǎn)品逐步符合中國(guó)用戶的習(xí)慣； 4、如何推廣企業(yè)級(jí)的反病毒思路； 5、如何讓國(guó)內(nèi)用戶認(rèn)識(shí)到國(guó)際產(chǎn)品的技術(shù)優(yōu)勢(shì)。 國(guó)外企業(yè)進(jìn)軍中國(guó)的途徑 第一類是在中國(guó)建立分支機(jī)構(gòu)，不設(shè)立研發(fā)部門，通過用戶渠道解決相關(guān)問題，這種方式成本低，但是很多方面都受到一定限制。 第二類是逐步在國(guó)內(nèi)建立獨(dú)立研發(fā)中心。完成漢化和本土病毒處理，這種方式效果好，但是成本比較高。 第三類是與國(guó)內(nèi)反病毒企業(yè)合資，使國(guó)內(nèi)現(xiàn)有品牌換裝國(guó)外先進(jìn)的引擎，利用原有企業(yè)力量完成漢化和本土病毒處理，這種方式需要一定的機(jī)遇。 第四類是選擇一個(gè)非商用反病毒的本土技術(shù)型企業(yè)合作，開展全新的模式，既降低成本，也保證效果。企業(yè)

12、級(jí)病毒防治方案重要性需求分析需求分析典型分析典型應(yīng)用病毒在網(wǎng)絡(luò)上傳播的過程病毒在網(wǎng)絡(luò)上傳播的過程企業(yè)網(wǎng)絡(luò)防病毒方案企業(yè)網(wǎng)絡(luò)防病毒方案企業(yè)防病毒的需求企業(yè)自身評(píng)估 1.哪些計(jì)算機(jī)正在運(yùn)行實(shí)時(shí)性的防毒軟件？2.如何更新病毒的定義碼？3.哪些計(jì)算機(jī)沒有運(yùn)行防病毒軟件，為什么沒有？4.現(xiàn)有的防病毒軟件效果和功能是否能保證系統(tǒng)的安全？5.過去是否曾遭受病毒的侵害？6.誰負(fù)責(zé)處理用戶病毒問題？7.用人工處理一次病毒危機(jī)的花費(fèi)多少？8.如果企業(yè)計(jì)算機(jī)系統(tǒng)一天不能運(yùn)行，損失有多少？9.如果病毒發(fā)作，信息系統(tǒng)是否會(huì)癱瘓？10.如果系統(tǒng)癱瘓或重要數(shù)據(jù)丟失，恢復(fù)的難度有多大，費(fèi)用有多高？企業(yè)防病毒的需求考慮因素1.

13、防毒軟件每臺(tái)機(jī)器都要安裝，很麻煩且費(fèi)時(shí)費(fèi)力！2. 面對(duì)上千臺(tái)機(jī)器的病毒定義碼更新，防毒軟件要持續(xù)同步、實(shí)時(shí)、有效更新，這些由誰來做？需要多少專人管理？3.一般行政人員或不太了解計(jì)算機(jī)的人員是否可以輕松使用，簡(jiǎn)捷更新和升級(jí)。4. 是否可以透過某種輕松的方式一次性設(shè)定，也就是說，能否使軟件的安裝、防病毒策略的定義、實(shí)施以及病毒定義碼和掃描引擎的更新和升級(jí)變得非常簡(jiǎn)單，甚至完全自動(dòng)化？5.標(biāo)準(zhǔn)預(yù)設(shè)的防毒選項(xiàng)設(shè)置不一定適用所有的工作站。6.很難分析統(tǒng)計(jì)病毒攻擊事件的次數(shù)、原因以及來源。 7.用戶隨意更改防病毒策略和選項(xiàng)設(shè)置或忘記更新最新的病毒定義碼和掃描引擎，甚至卸載防病毒軟件，這樣即使裝了防毒軟件，

14、仍然不到防病毒的效果。8.移動(dòng)用戶太多，無法有效、及時(shí)的掌握和把最新的病毒定義碼送到移動(dòng)用戶手中。9.是否能夠很方便地在多種平臺(tái)下進(jìn)行安裝、維護(hù)升級(jí)等工作。10.是否可以對(duì)網(wǎng)絡(luò)進(jìn)行全方位、多層次地預(yù)防和過濾病毒。 企業(yè)防病毒的需求對(duì)產(chǎn)品的要求多層次、全方位的防病毒保護(hù)工作環(huán)境-跨平臺(tái)的技術(shù)及強(qiáng)大功能先進(jìn)的防病毒技術(shù)簡(jiǎn)易快速的網(wǎng)絡(luò)防病毒軟件安裝和維護(hù)集中和方便地進(jìn)行病毒定義碼和掃描引擎的更新方便、全面、友好的病毒警報(bào)和報(bào)表系統(tǒng)管理機(jī)制病毒防護(hù)自動(dòng)化服務(wù)機(jī)制客戶端防病毒策略的強(qiáng)制定義和執(zhí)行快速、有效地處理未知病毒合理的預(yù)算規(guī)劃和低廉的總擁有成本良好的服務(wù)與強(qiáng)大支持企業(yè)網(wǎng)絡(luò)的典型結(jié)構(gòu)從網(wǎng)絡(luò)基本結(jié)構(gòu)上

15、看，一個(gè)典型的企業(yè)網(wǎng)絡(luò)包括網(wǎng)關(guān)（Gateway）、服務(wù)器（文件服務(wù)器、郵件服務(wù)器等）和客戶端。從網(wǎng)絡(luò)的應(yīng)用模式上看，現(xiàn)代企業(yè)網(wǎng)絡(luò)都是基于服務(wù)器/客戶端的計(jì)算模式。從操作系統(tǒng)上看，企業(yè)網(wǎng)絡(luò)的客戶端基本上都是Windows平臺(tái)，中小企業(yè)服務(wù)器一般采用Win NT/2000系統(tǒng)，部分行業(yè)用戶或大型企業(yè)的關(guān)鍵業(yè)務(wù)應(yīng)用服務(wù)器采用Unix操作系統(tǒng)。從通訊協(xié)議上看，目前企業(yè)網(wǎng)絡(luò)絕大部分采用TCP/IP協(xié)議。企業(yè)網(wǎng)絡(luò)的典型應(yīng)用文件和打印服務(wù)共享辦公自動(dòng)化系統(tǒng)企業(yè)信息管理系統(tǒng)（MIS）Internet應(yīng)用等領(lǐng)域病毒在網(wǎng)絡(luò)上傳播的過程病毒在企業(yè)網(wǎng)中的幾種傳播途徑：第一種是來自互聯(lián)網(wǎng)。網(wǎng)絡(luò)上有些計(jì)算機(jī)具有連接互聯(lián)網(wǎng)的功能，而互聯(lián)網(wǎng)上有許多可供下載的程序、文件、信息。另外，收發(fā)Email也必須通過互聯(lián)網(wǎng)。這些都是病毒進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)的入口。第二種是使用網(wǎng)絡(luò)上帶病毒共