基于校園網(wǎng)的網(wǎng)絡(luò)病毒防護(hù)體系的構(gòu)建

吳以茵

（華僑大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，福建 泉州 362021）

基于校園網(wǎng)的網(wǎng)絡(luò)病毒防護(hù)體系的構(gòu)建

吳以茵

（華僑大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，福建 泉州 362021）

目前網(wǎng)絡(luò)環(huán)境下的計(jì)算機(jī)病毒越來越向“多樣化”發(fā)展，多樣化表現(xiàn)在傳播途徑的多樣化、功能的多樣化、危害的多樣化.本文對(duì)校園網(wǎng)計(jì)算機(jī)病毒的入侵等途徑進(jìn)行了分析，并通過對(duì)校園網(wǎng)己采取的安全措施的分析，提出了校園網(wǎng)具體的防毒需求.該解決方案的實(shí)施會(huì)為大學(xué)校園網(wǎng)提供了全面的病毒防護(hù)，保障了校園網(wǎng)的高效、穩(wěn)定、安全運(yùn)行.

網(wǎng)絡(luò)病毒；校園網(wǎng)；防病毒

計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼.網(wǎng)絡(luò)環(huán)境下病毒除了具有可傳播性、可執(zhí)行性、隱蔽性、破壞性等計(jì)算機(jī)病毒的共性外，還具有，如主動(dòng)通過網(wǎng)絡(luò)和郵件系統(tǒng)傳播、傳播速度極快、危害性極大、變種多、難于控制等特征.

自上世紀(jì)80年代末90年初反病毒產(chǎn)品市場初步形成以來,反病毒技術(shù)在我國已經(jīng)走過了二十多年的發(fā)展歷程.病毒與反病毒技術(shù)不斷發(fā)展、變化、斗爭,推動(dòng)著反病毒技術(shù)隨之也不斷地向前發(fā)展.經(jīng)過這些年的發(fā)展,我國的反病毒研究也取得了長足發(fā)展,涌現(xiàn)出不少品牌廠商,初步形成一大產(chǎn)業(yè),為國家的信息化建設(shè)做出了貢獻(xiàn).隨著個(gè)人電腦用戶反病毒意識(shí)的增強(qiáng)、反病毒技術(shù)的深入研究、我國信息安全基礎(chǔ)建設(shè)的不斷完善,病毒防治能力也將日益強(qiáng)大.

1 基于校園網(wǎng)的網(wǎng)絡(luò)病毒防護(hù)需求分析

1.1 校園網(wǎng)網(wǎng)絡(luò)病毒入侵分析

由于校園網(wǎng)通過CERNET,CHINANET與外網(wǎng)相連，很可能會(huì)受到外網(wǎng)中的不安全因素的影響，產(chǎn)生病毒傳播、黑客攻擊、網(wǎng)絡(luò)非法訪問等安全問題.同時(shí)，校園網(wǎng)連接的除了學(xué)校的各學(xué)院、系等教學(xué)行政單位網(wǎng)絡(luò)，還連接校內(nèi)的學(xué)生機(jī)器，也面臨著來自內(nèi)部的病毒破壞與一些內(nèi)部用戶的非法訪問等.

想對(duì)病毒進(jìn)行防御應(yīng)首先分析它的特點(diǎn)以及它是使用那些方式進(jìn)行入侵，針對(duì)這些特點(diǎn)及入侵途徑再采取相關(guān)的防御措施才能有效的保護(hù)相關(guān)資源.

1.2 校園網(wǎng)網(wǎng)絡(luò)病毒防護(hù)需求

1.2.1 已采取的安全措施一防火墻

防火墻是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的防御系統(tǒng).在互聯(lián)網(wǎng)上防火墻是一種非常有效的網(wǎng)絡(luò)安全模型，通過它可以隔離風(fēng)險(xiǎn)區(qū)域與安全區(qū)域的連接，同時(shí)不會(huì)妨礙用戶對(duì)風(fēng)險(xiǎn)區(qū)域的訪問.防火墻可以監(jiān)控進(jìn)出網(wǎng)絡(luò)的通信量.它只讓安全、核準(zhǔn)的信息進(jìn)入，同時(shí)抵制對(duì)企業(yè)有威脅的數(shù)據(jù).由于對(duì)網(wǎng)絡(luò)的入侵不僅來自高超的攻擊手段，也可能來自配置上的低級(jí)錯(cuò)誤或不合適的密碼選擇.因此，防火墻可以防止不希望的、未授權(quán)的通信進(jìn)出被保護(hù)的網(wǎng)絡(luò)，使得單位可以加強(qiáng)自己的網(wǎng)絡(luò)安全.

在邏輯上，防火墻是一個(gè)分離器、一個(gè)限制器，同時(shí)也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，確保了內(nèi)部網(wǎng)絡(luò)的安全.

校園網(wǎng)中防火墻的部署示意圖如圖1：

圖1 防火墻部署示意圖

防火墻一般將大學(xué)內(nèi)部網(wǎng)絡(luò)與Internet隔離成三個(gè)區(qū)域，即公共網(wǎng)區(qū)域、DMZ區(qū)域（即主干交換機(jī)和服務(wù)器區(qū)域）、大學(xué)內(nèi)部網(wǎng)絡(luò)區(qū)域.

1.2.2 防火墻的作用與不足

防火墻就是保護(hù)網(wǎng)絡(luò)安全最主要的手段之一，它是設(shè)置在被保護(hù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的一道屏障，以防止不可預(yù)測的、潛在破壞的非法入侵.它通過監(jiān)測、限制、修改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外屏蔽網(wǎng)絡(luò)內(nèi)部的結(jié)構(gòu)、信息和運(yùn)行情況，以此來實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的安全保護(hù).

盡管事實(shí)上防火墻根據(jù)定義都可以檢查應(yīng)用層的通信，但它們事實(shí)上存在一些漏洞.對(duì)應(yīng)用檢查存在的主要問題是，采取了簡化方式的檢查，并且這種檢查缺乏徹底性.

1.2.3 目前彌補(bǔ)措施主要有以下幾種

1.2.3.1 為了彌補(bǔ)路由器防火墻的不足，很多大型用戶紛紛要求以專門開發(fā)的防火墻系統(tǒng)來保護(hù)自己的網(wǎng)絡(luò)，從而推動(dòng)了用戶防火墻工具套的出現(xiàn).作為第二代防火墻產(chǎn)品，用戶化的防火墻工具套具有以下特征：

（1）將過濾功能從路由器中獨(dú)立出來，并加上審計(jì)和告警功能；

（2）針對(duì)用戶需求，提供模塊化的軟件包；

（3）軟件可以通過網(wǎng)絡(luò)發(fā)送，用戶可以自己動(dòng)手構(gòu)造防火墻；

（4）與第一代防火墻相比，安全性提高了，價(jià)格也降低了.

由于是純軟件產(chǎn)品，第二代防火墻產(chǎn)品無論在實(shí)現(xiàn)上還是在維護(hù)上都對(duì)系統(tǒng)管理員提出了相當(dāng)復(fù)雜的要求，并帶來以下問題：配置和維護(hù)過程復(fù)雜、費(fèi)時(shí)；對(duì)用戶的技術(shù)要求高；全軟件實(shí)現(xiàn)，使用中出現(xiàn)差錯(cuò)的情況很多.

1.2.3.2 基于軟件的防火墻在銷售、使用和維護(hù)上的問題迫使防火墻開發(fā)商很快推出了建立在通用操作系統(tǒng)上的商用防火墻產(chǎn)品.近年來市場上廣泛使用的就是這一代產(chǎn)品，它們具有如下一些特點(diǎn)：

（1）是批量上市的專用防火墻產(chǎn)品；

（2）包括分組過濾或者借用路由器的分組過濾功能；

（3）裝有專用的代理系統(tǒng)，監(jiān)控所有協(xié)議的數(shù)據(jù)和指令；

（4）保護(hù)用戶編程空間和用戶可配置內(nèi)核參數(shù)的設(shè)置；

（5）安全性和速度大大提高.

第三代防火墻有以純軟件實(shí)現(xiàn)的,也有以硬件方式實(shí)現(xiàn)的,它們已經(jīng)得到了廣大用戶的認(rèn)同.但隨著安全需求的變化和使用時(shí)間的推延，仍表現(xiàn)出不少問題.

1.2.3.3 防火墻技術(shù)和產(chǎn)品隨著網(wǎng)絡(luò)攻擊和安全手段的發(fā)展而演進(jìn)，到1997年初，具有安全操作系統(tǒng)的防火墻產(chǎn)品面市，使防火墻產(chǎn)品步入了第四個(gè)發(fā)展階段.

具有安全操作系統(tǒng)的防火墻本身就是一個(gè)操作系統(tǒng)，因而在安全性上較之第三代防火墻有質(zhì)的提高.獲得安全操作系統(tǒng)的辦法有兩種：一種是通過許可證方式獲得操作系統(tǒng)的源碼；另一種是通過固化操作系統(tǒng)內(nèi)核來提高可靠性，由此建立的防火墻系統(tǒng)具有以下特點(diǎn)：

（1）防火墻廠商具有操作系統(tǒng)的源代碼，并可實(shí)現(xiàn)安全內(nèi)核；

（2）對(duì)安全內(nèi)核實(shí)現(xiàn)加固處理：即去掉不必要的系統(tǒng)特性，加上內(nèi)核特性，強(qiáng)化安全保護(hù)；

（3）對(duì)每個(gè)服務(wù)器、子系統(tǒng)都作了安全處理，一旦黑客攻破了一個(gè)服務(wù)器，它將會(huì)被隔離在此服務(wù)器內(nèi)，不會(huì)對(duì)網(wǎng)絡(luò)其它部分構(gòu)成構(gòu)成威脅；

（4）在功能上包括了分組過濾、應(yīng)用網(wǎng)關(guān)，且具有加密與鑒別功能；

（5）透明性好，易于使用.

2 校園網(wǎng)防病毒系統(tǒng)的設(shè)計(jì)

大學(xué)校園網(wǎng)絡(luò)是一個(gè)跨區(qū)域，跨操作系統(tǒng)，多服務(wù)器，多用戶，多業(yè)務(wù)，多數(shù)據(jù)的；另一方面是同時(shí)運(yùn)行多程序，多數(shù)據(jù)流向，和各種數(shù)據(jù)業(yè)務(wù)的服務(wù).為了確保整個(gè)網(wǎng)絡(luò)的病毒防御能力，必須要以網(wǎng)絡(luò)系統(tǒng)的角度考慮禁毒解決方案.

為了在整個(gè)系統(tǒng)的實(shí)施過程中保持流暢和平穩(wěn)，做到盡量不影響既有網(wǎng)絡(luò)系統(tǒng)的正常工作，防病毒系統(tǒng)必須有很好的系統(tǒng)兼容性和穩(wěn)定性.防病毒系統(tǒng)的升級(jí)和部署功能應(yīng)做到完全自動(dòng)化，整個(gè)系統(tǒng)應(yīng)具有每日更新的能力、也應(yīng)做到能夠?qū)φ麄€(gè)系統(tǒng)進(jìn)行管理和監(jiān)控，并能集中生成日志報(bào)告與統(tǒng)計(jì)信息.這是我們在設(shè)計(jì)防病毒系統(tǒng)時(shí)首先要考慮的原則.

從網(wǎng)絡(luò)病毒的特點(diǎn)和傳播途徑的分析中可以看出，網(wǎng)絡(luò)環(huán)境下病毒越來越向“多樣化”發(fā)展，多樣化表現(xiàn)在傳播途徑的多樣化、功能的多樣化、危害的多樣化.病毒的這種新特點(diǎn)和發(fā)展趨勢決定了校園網(wǎng)的防病毒解決方案必須是一個(gè)綜合性的多層次的安全解決方案.

基于以上考慮，我們提出了“層層設(shè)防，集中控管，以防為主、防治結(jié)合”的立體的校園網(wǎng)防毒策略.在校園網(wǎng)網(wǎng)絡(luò)安全防護(hù)范圍內(nèi)，首先要考慮，數(shù)據(jù)或編碼所經(jīng)過的每一點(diǎn)和每一個(gè)可能的目的地都需要保護(hù).校園網(wǎng)中的防護(hù)對(duì)象包括郵件服務(wù)器、文件/應(yīng)用服務(wù)器和桌面PC和筆記本電腦，并對(duì)這些對(duì)象逐一進(jìn)行加固.郵件服務(wù)器的防護(hù)、文件/應(yīng)用服務(wù)器的防護(hù)、桌面PC和筆記本電腦的防護(hù)，這三道防線和防火墻構(gòu)成立體的跨平臺(tái)的病毒防護(hù)體系，進(jìn)而實(shí)現(xiàn)校園網(wǎng)絡(luò)每一個(gè)層次上的有效病毒防護(hù).如下圖2.

圖2 整體防網(wǎng)絡(luò)病毒方案

據(jù)有關(guān)數(shù)據(jù)顯示，在網(wǎng)絡(luò)中傳播的每10個(gè)病毒中有8個(gè)是通過電子郵件傳播的，郵件服務(wù)器成為了病毒的擴(kuò)散源頭.所以必須對(duì)郵件服務(wù)器進(jìn)行有效的防護(hù).

郵件服務(wù)器的防護(hù)還應(yīng)包括防止垃圾郵件的隨意傳播.根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的第14次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示，網(wǎng)民每周收到的垃圾郵件數(shù)為非垃圾郵件數(shù)的兩倍，而且還有繼續(xù)上升的勢頭.垃圾郵件，幾乎毀掉電子郵件服務(wù).與此同時(shí)，企業(yè)也不得不面對(duì)接踵而至的安全威脅，郵件服務(wù)器所遭受的攻擊在各類攻擊中占據(jù)很大的比例，在很多企業(yè)里，垃圾郵件消耗掉超過1/3的郵件服務(wù)器的資源，導(dǎo)致網(wǎng)絡(luò)資源的浪費(fèi)，給企業(yè)帶來經(jīng)濟(jì)上的巨大損失.遏制垃圾郵件乃是當(dāng)務(wù)之急.

服務(wù)器是網(wǎng)絡(luò)中的核心設(shè)備，它支撐校園網(wǎng)中的各種應(yīng)用服務(wù)正常運(yùn)行，并保存有大量重要的用戶數(shù)據(jù).大學(xué)現(xiàn)有的應(yīng)用服務(wù)器有WWW服務(wù)器、FTP服務(wù)器、電影服務(wù)器等.由于這些服務(wù)器為網(wǎng)絡(luò)中所有的工作站提供服務(wù)，因而也成為病毒理想的隱身寄居場所，進(jìn)而通過服務(wù)器一工作站的模式將病毒輕易擴(kuò)散到網(wǎng)絡(luò)中所有工作站上.因此需要保護(hù)所有的服務(wù)器.

大量的桌面PC和筆記本電腦是最終用戶直接進(jìn)行操作的節(jié)點(diǎn)，網(wǎng)絡(luò)特征決定了連接在網(wǎng)絡(luò)上的每一臺(tái)機(jī)器都是一個(gè)安全整體，每一臺(tái)機(jī)器的病毒防護(hù)能力決定了整體的防護(hù)能力，“木桶原理”在這里是適用的，網(wǎng)絡(luò)的整體安全特性決定于安全防護(hù)最差的那臺(tái)機(jī)器.這就需要要對(duì)網(wǎng)絡(luò)中的每一臺(tái)桌面PC和筆記本電腦進(jìn)行保護(hù).

下面分別就每一道防線，詳細(xì)說明它的必要性和具體設(shè)計(jì)思想.

2.1 第一道防線一郵件服務(wù)器防護(hù)

2.1.1 郵件服務(wù)器的安全性分析

2.1.1.1 郵件服務(wù)器的工作原理

郵件服務(wù)器是用來接收和發(fā)送電子郵件用的，一般由若干協(xié)同工作的小程序組成，在Unix/Linx下郵件服務(wù)器通常被分成3個(gè)模塊：郵件分發(fā)代理MDA（Mail Deliver A-gent）；郵件傳送代理MTA（Mail Transfer Agent）；郵件用戶代理MUX(Mail User Agent)，其工作原理如圖3-2所示.

圖3 郵件用戶代理MUX(Mail User Agent)工作原理如圖

2.1.1.2 郵件服務(wù)器的安全性分析

電子郵件協(xié)議是電子郵件系統(tǒng)的重要組成部分，通過這些協(xié)議，可以在郵件服務(wù)器間傳遞郵件，用戶也可以從郵件服務(wù)器上讀取郵件.目前常用的郵件協(xié)議有SMTP、POP3、IMAP、MIME.由于這些協(xié)議本身存在很多漏洞，使得傳輸電子郵件具有很大的不安全性.黑客可以利用這些漏洞攻擊郵件服務(wù)器.

2.1.1.3 郵件內(nèi)容的安全問題

郵件內(nèi)容的安全問題主要包含監(jiān)聽問題、木馬問題、緩存的危險(xiǎn)、冒名頂替等安全問題.

2.1.1.4 垃圾郵件問題

垃圾郵件（spam）現(xiàn)在還沒有一個(gè)非常嚴(yán)格的定義.一般來說，凡是未經(jīng)用戶許可就強(qiáng)行發(fā)送到用戶的郵箱中的任何電子郵件.

垃圾郵件一般具有批量發(fā)送的特征.見內(nèi)容包括賺錢信息、成人廣告、商業(yè)或個(gè)人網(wǎng)站廣告、電子雜志、連環(huán)信等.垃圾郵件可以分為良性和惡性的.良性垃圾郵件是各種宣傳廣告等對(duì)收件人影響不大的信息郵件.惡性垃圾郵件是指具有破壞性的電子郵件.

2.1.2 解決方案

針對(duì)郵件傳播的病毒，可以部署郵件網(wǎng)關(guān)防毒產(chǎn)品，它在邏輯上位于郵件服務(wù)器的前面，郵件防毒網(wǎng)關(guān)針對(duì)別評(píng)協(xié)議進(jìn)行郵件過濾，與具體的郵件服務(wù)器系統(tǒng)無關(guān)，具有通用性，這種方式既保護(hù)了郵件服務(wù)器，又比直接在郵件服務(wù)器上安裝殺毒軟件具有更高的效率.

接收郵件時(shí)，根據(jù)別評(píng)協(xié)議的規(guī)則，郵件總是先試圖傳遞給由DNS的HK記錄定義的優(yōu)先級(jí)最高的郵件主機(jī)，如果失敗則通過傳遞給優(yōu)先級(jí)次高的郵件主機(jī)；在同一優(yōu)先級(jí)的郵件主機(jī)都嘗試失敗后，才試圖傳遞給優(yōu)先級(jí)稍低的郵件主機(jī)，也就是到來的郵件由高優(yōu)先級(jí)的郵件主機(jī)先進(jìn)行處理，如果該服務(wù)器出現(xiàn)故障，郵件自動(dòng)發(fā)給第二優(yōu)先級(jí)服務(wù)器，依次直到最低優(yōu)先級(jí)服務(wù)器，郵件防毒網(wǎng)關(guān)本身也是一個(gè)SARIP服務(wù)器，給它指定最高的優(yōu)先級(jí)，就使得所有郵件及附件先發(fā)給它進(jìn)行掃描殺毒處理，然后再送給實(shí)際的郵件服務(wù)器.

發(fā)送郵件時(shí)，客戶機(jī)端可把別評(píng)服務(wù)器設(shè)置為郵件防毒網(wǎng)關(guān)的BP地址，這樣用戶郵件由該服務(wù)器直接發(fā)出；或者把別評(píng)服務(wù)器指定為郵件服務(wù)器，它接受到用戶外發(fā)的郵件后再把其送往郵件防毒網(wǎng)關(guān)，再那里查殺網(wǎng)絡(luò)病毒后再轉(zhuǎn)發(fā)到目的地.

郵件網(wǎng)關(guān)防毒產(chǎn)品分軟硬兩種，軟件產(chǎn)品一般部署在服務(wù)器上，工作時(shí)要消耗系統(tǒng)資源，其性能受硬件配置和操作系統(tǒng)的影響，總體穩(wěn)定性差些，與之相比，硬件網(wǎng)關(guān)防毒產(chǎn)品總體性能更好.

除了防毒之外，利用郵件防毒網(wǎng)關(guān)也能夠阻止垃圾郵件，攔截與業(yè)務(wù)無關(guān)的細(xì)心.

2.2 第二道防線—文件/應(yīng)用服務(wù)器防網(wǎng)絡(luò)病毒

2.2.1 服務(wù)器的安全性分析

服務(wù)器是網(wǎng)絡(luò)中的核心設(shè)備，它支撐校園網(wǎng)中的各種應(yīng)用正常運(yùn)行，并保存有大量的重要的用戶數(shù)據(jù).大學(xué)中所有的應(yīng)用服務(wù)器一般有WWW服務(wù)器、FTP服務(wù)器、電影服務(wù)器.大多采用的是Windows平臺(tái).

一般專職的服務(wù)器不會(huì)通過瀏覽網(wǎng)頁或通過電子郵件感染網(wǎng)絡(luò)病毒，但是網(wǎng)絡(luò)病毒一般通過漏洞入侵服務(wù)器，漏洞是網(wǎng)絡(luò)病毒入侵各種網(wǎng)絡(luò)服務(wù)器最常見而且最有效的方式.其中可分為操作系統(tǒng)本身的漏洞（如：Windows、Linux）、網(wǎng)絡(luò)系統(tǒng)漏洞（如IIS、FTP服務(wù)器）、后端數(shù)據(jù)庫系統(tǒng)漏洞（如;SQL服務(wù)器、MySQL）等.

拒絕服務(wù)攻擊(Denial of Service)

所謂的拒絕服務(wù)攻擊就是對(duì)Web服務(wù)器、FTP服務(wù)器、Telnet服務(wù)器等收到攻擊后無法提供服務(wù)或很難提供服務(wù).拒絕服務(wù)攻擊主要可分為數(shù)據(jù)包攻擊、漏洞攻擊與分布式攻擊等.

此外對(duì)與一般電腦的攻擊方式也都可以攻擊服務(wù)器.

病毒攻擊服務(wù)器后會(huì)偷取或刪除文件、偷取重要數(shù)據(jù)庫文件、創(chuàng)建后門等.不管是WWW服務(wù)器還是數(shù)據(jù)庫服務(wù)器一旦染上病毒而數(shù)據(jù)受到破壞對(duì)學(xué)校來說都是個(gè)很大的損失.而且服務(wù)器染上病毒后會(huì)通過服務(wù)器一工作站的模式將病毒輕易擴(kuò)散到整個(gè)絡(luò)中所有工作站上.

2.2.2 解決方案

想有效的保護(hù)服務(wù)器，必須要做到防止病毒通過漏洞入侵服務(wù)器、防止拒絕服務(wù)攻擊，而且要提供實(shí)時(shí)的病毒防護(hù).

對(duì)于服務(wù)器本身來說，應(yīng)該及時(shí)查找和修補(bǔ)漏洞來防止病毒的漏洞服務(wù)攻擊，并且要借助第三方針對(duì)服務(wù)器的防病毒軟件來獲得實(shí)時(shí)的病毒防護(hù).

為了實(shí)現(xiàn)上述功能我們在文件/應(yīng)用服務(wù)器上安裝基于服務(wù)器的殺毒軟件.服務(wù)器版殺毒軟件具有實(shí)時(shí)病毒監(jiān)控功能，遠(yuǎn)程安裝、遠(yuǎn)程調(diào)用功能，病毒碼自動(dòng)更新功能以及病毒活動(dòng)日志、多種報(bào)警通知方式等，對(duì)校園網(wǎng)內(nèi)文件服務(wù)器提供24小時(shí)自動(dòng)病毒防護(hù).

2.3 第三道防線一網(wǎng)絡(luò)客戶端防毒

2.3.1 桌面PC和筆記本電腦的安全性分析

大量的桌面PC和筆記本電腦，也就是工作站，是最終用戶直接進(jìn)行操作的節(jié)點(diǎn)，也是學(xué)校的各行政部門和學(xué)院辦公的主要手段.隨著網(wǎng)絡(luò)基礎(chǔ)設(shè)施的完善，人們越來越依賴網(wǎng)絡(luò)，現(xiàn)在的辦公和學(xué)習(xí)越來越離不開電腦和網(wǎng)絡(luò).

校園網(wǎng)用戶在享受網(wǎng)絡(luò)帶來的便捷的同時(shí)也面臨著網(wǎng)絡(luò)中的各種威脅，主要是來自內(nèi)部和外部的病毒的威脅.

病毒入侵網(wǎng)絡(luò)中工作站的方式除了通過移動(dòng)的存儲(chǔ)介質(zhì)傳播等一般電腦的入侵途徑外，還有以下幾種主要的入侵途徑:IP入侵、E-mail入侵、借助文件下載入侵、通過瀏覽網(wǎng)頁入侵等.其中IP入侵途徑己經(jīng)通過防火墻的NET轉(zhuǎn)換來解決、E-mail入侵己通過郵件網(wǎng)關(guān)來解決，我們主要解決防止病毒通過借助文件下載和通過瀏覽網(wǎng)頁入侵等.

由于存在各種不同的操作平臺(tái)、不同的使用習(xí)慣、不同的使用目的，對(duì)工作站的防護(hù)是校園網(wǎng)中最難完成的任務(wù).桌面PC和筆記本電腦的防護(hù)對(duì)于校園網(wǎng)用戶而言，是殺毒的要塞.

2.3.2 解決方案

網(wǎng)絡(luò)環(huán)境下防病毒工作己經(jīng)是一個(gè)整體的全局性的工作，不再像單機(jī)時(shí)代那樣，發(fā)一套殺毒軟件，大家在需要時(shí)各自查殺一下，只要不用來歷不明的軟盤和光盤，機(jī)器就不會(huì)感染病毒.

網(wǎng)絡(luò)特征決定了連接在網(wǎng)絡(luò)上的每一臺(tái)機(jī)器都是一個(gè)安全整體，每一臺(tái)機(jī)器的病毒防護(hù)能力決定了整體的防護(hù)能力，“木桶原理”在這里是適用的，網(wǎng)絡(luò)的整體安全特性決定于安全防護(hù)最差的那臺(tái)機(jī)器.這就需要在保護(hù)網(wǎng)絡(luò)中的每一臺(tái)機(jī)器.

舉個(gè)例子，網(wǎng)絡(luò)中如果有一臺(tái)機(jī)器沒有保護(hù)，無孔不入的網(wǎng)絡(luò)病毒就可能在這臺(tái)機(jī)器上安家生根，并潛伏在這臺(tái)機(jī)器上隨時(shí)向其他有防護(hù)弱點(diǎn)的機(jī)器發(fā)起進(jìn)攻.更可怕的是，有惡意的外部攻擊者可能通過這臺(tái)被感染的機(jī)器竊取或破壞網(wǎng)絡(luò)中其他機(jī)器的數(shù)據(jù).

考慮到網(wǎng)絡(luò)終端的分布范圍非常大，而且使用人員的計(jì)算機(jī)技術(shù)素質(zhì)與安全意識(shí)也參差不齊，所以我們選擇了網(wǎng)絡(luò)版的殺毒軟件.

網(wǎng)絡(luò)版殺毒軟件相對(duì)單機(jī)版而言有全網(wǎng)清查不留死角、安裝升級(jí)方便快速、可以實(shí)現(xiàn)全網(wǎng)集中管理等優(yōu)勢.

3 結(jié)束語

本文主要討論了基于校園網(wǎng)的網(wǎng)絡(luò)病毒防護(hù)體系的需求分析和設(shè)計(jì).網(wǎng)絡(luò)病毒防護(hù)工作是一項(xiàng)復(fù)雜、長期的任務(wù)，只有運(yùn)用先進(jìn)的防護(hù)技術(shù)，部署合理的方案，提高用戶的防范意識(shí)，制定完善的管理制度，才能構(gòu)架安全可靠的防護(hù)體系，使網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)真正起效，使校園網(wǎng)的運(yùn)行更可靠、安全.

〔1〕徐寧.朱連津.黃大剛.高校計(jì)算機(jī)機(jī)房的病毒防護(hù).實(shí)驗(yàn)室科學(xué)，2007（04）：168-169.

〔2〕褚建立.馬雪松.基于七級(jí)防護(hù)安全模型的校園網(wǎng)防護(hù)措施.網(wǎng)絡(luò)安全與應(yīng)用，2007（6），56-58.

〔3〕石云輝.基于校園網(wǎng)整體病毒解決方案的思考.通信技術(shù)，2009(04).

〔4〕陳譜欣.企業(yè)局域網(wǎng)病毒防護(hù)體系探討.電腦編程技巧與維護(hù)，2009（10）：117-119.

〔5〕李正華.如何建立企業(yè)防病毒系統(tǒng).網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2003(6)：70-72.

〔6〕國家減災(zāi)中心信息技術(shù)部.網(wǎng)絡(luò)病毒及防治.中國減災(zāi)，2003（3）.

〔7〕趙樹升.計(jì)算機(jī)病毒分析與防治簡明教程.清華大學(xué)出版社，2007.

〔8〕陳明.網(wǎng)絡(luò)安全教程.清華大學(xué)出版社，2004.

〔9〕胡英.計(jì)算機(jī)病毒難題.計(jì)算機(jī)世界報(bào)，2001（26）.

〔10〕郝文化.防黑防病毒技術(shù)指南.機(jī)械工業(yè)出版社，2004.

TP393.08

A

1673-260X（2010）09-0041-04