網絡環(huán)境下公用計算機病毒防護方案設計研究

張媛

（南京金州城北污水處理有限公司，江蘇 南京 210015）

1 引言

計算機網絡的發(fā)展很大程度上改變了人們工作、學習、生活的方方面面，并且在各行各業(yè)中發(fā)揮著舉足輕重的作用。與此同時，威脅計算機網絡信息安全的因素也日益增多。無論個人還是公用的計算機在使用過程中常常因為計算機病毒侵擾而導致計算機系統(tǒng)運行故障、硬件損壞、重要數據丟失，甚至造成經濟損失，相關工作及其他業(yè)務受此影響無法正常開展[1]。目前絕大多數計算機都是聯(lián)網用戶，病毒依靠網絡迅速廣泛傳播，使技術維護人員陷入大量的系統(tǒng)修復與數據還原的工作之中。針對這些威脅計算機網絡的安全隱患，病毒防護已成為當前用戶所面臨的最大問題。因此，結合當前網絡環(huán)境特點有針對性地開發(fā)一套系統(tǒng)性的病毒防護方案，對于降低病毒破壞作用、消滅各類病毒引發(fā)的計算機故障、減輕技術人員勞動強度、提高計算機安全運行質量有著積極的意義。

2 病毒防護方案設計的初衷和立足點

2.1 設計初衷

首先，病毒防護方案需要適應當前網絡環(huán)境，在深入了解了各類病毒特點、傳播方式和殺毒技術的優(yōu)缺點的基礎之上，制定有針對性的不同措施的組合；其次，防護方案要求成本低廉、占用系統(tǒng)資源少、效果穩(wěn)定、部署簡單快捷，盡力保證計算機處理工作的效率，否則難以取得大規(guī)模普及和推廣應用；第三，所采用的各項防護措施應統(tǒng)一和相互配合，如果不同病毒防護措施相互沖突，反而削弱了整體防護效果[2]。

2.2 立足點

病毒防護方案的設計至少要解決兩方面的問題：第一，在較短時間內徹底清除公用計算機病毒，最大限度降低病毒的危害；第二，阻止病毒在網絡環(huán)境下傳播擴散，避免造成其他計算機的故障和破壞。

當前計算機采用的反病毒技術很多，比較常見的有殺毒軟件技術和還原保護技術兩大類，而還原保護技術中又有鏡像系統(tǒng)、軟件虛擬還原和硬件保護卡三種具體形式。在這些技術中，用戶可以從自身需求出發(fā)，對軟件特點、保護方式、復雜程度等方面進行對比研究，選擇適合自己的方案。

對病毒的防護工作必須先分析病毒屬性、入侵方式、傳播途徑等特點[3]，然后才能制定有針對性的解決方案。在網絡環(huán)境下常見的流行病毒中，既有因用戶不規(guī)范操作而進行傳播的，也有借助網絡進行傳播的。需要特別指出的是，有些計算機感染病毒，并不能直接刪除感染文件或者禁用某種媒體，必須轉換思路，找到病毒特點，再選擇如何殺毒。例如autorun病毒是依賴于不規(guī)范的U盤操作行為進行傳播的[4]，但并不主張用戶通過禁止使用U盤或者限制用戶某些正常操作的方式來阻止此類病毒的擴散，因為這么做很可能會影響用戶的正常使用，造成某些工作無法完成。正確的方法是研究此類病毒的傳播機制，借助具體的殺毒軟件或者防毒技術進行相應的設置操作，才能間接控制病毒的危害和傳播。有的計算機病毒為了保證自身的安全，設計了頑強的復制規(guī)則和自我保護機制——將病毒源放在網絡上，借助ARP病毒的攻擊方式，利用網絡便利性為維持自身數量提供補充。針對此類病毒，也只能盡量優(yōu)化現有網絡拓撲結構設計，增加防火墻，并對重要網絡節(jié)點進行保護。

3 病毒防護方案的設計過程與具體措施

3.1 采用最合適的技術方案及注意要點

最簡單的反病毒技術形式就是免費殺毒軟件。該技術形式涵蓋了病毒預防、病毒檢測和病毒清除多個方面，現階段廠商還提供有相應的網絡版本，保證病毒庫的及時更新。與殺毒軟件相比，還原保護技術還具備了病毒破壞后的數據恢復功能，間接實現了清除病毒的效果。由于還原保護技術采用完全不同的工作機制，使其在病毒清除效率和數據恢復效果上遠遠超過了殺毒軟件，計算機操作系統(tǒng)如果感染了病毒，只需要找到原來設置的還原點或者鏡像，就可以輕松地恢復到感染病毒前的狀態(tài)。還原技術更是具備投入成本低、系統(tǒng)資源占用少功能穩(wěn)定、部署簡單等特點。兩類技術原理的不同，使得殺毒軟件升級所帶來的病毒庫文件變化與還原保護技術對硬盤數據的保護存在著不小的沖突，各自具有獨占性和排他性。殺毒軟件對計算機系統(tǒng)資源占用較大[5]，相對而言，還原保護技術更適宜在單位和辦公場所的公用計算機大規(guī)模應用。針對還原保護技術在病毒預防和檢測上的不足，可以通過其他后繼措施的補充來進行完善。

上述提到的三種還原保護具體形式中，硬件保護卡的還原軟件是寫在硬件芯片上的，病毒難以侵蝕和破壞，且對系統(tǒng)資源占用微乎其微[6]，因此可以確定硬件還原卡形式較為適合單位和公用電腦。

值得注意的是，硬件還原卡在使用較長時間后，插槽部分容易氧化，從而與主板接口接觸不良導致保護功能失效。因此在采購計算機設備的時候，應選擇能把還原卡集成于主板上的設備型號，這樣才能保證還原功能的長效穩(wěn)定發(fā)揮。單位辦公計算機一般是批量集中購買，統(tǒng)一批次的產品還原卡和系統(tǒng)之間兼容性和協(xié)作性最好，使用過程中病毒防護工作也能高效開展。

至此，可將公用計算機病毒防護方案中所采用的最終技術設備確定為集成了硬件還原卡的計算機設備。

3.2 阻止病毒流行的應對措施

病毒的種類繁多，侵犯和處理方式各不相同，需要針對病毒特點，采取直接應對和間接應對相結合的措施進行防護。

通過檢索相關殺毒軟件和還原保護系統(tǒng)技術資料發(fā)現，目前已知的公用計算機病毒傳播破壞機制主要包含以下幾種類型：① 利用U盤、移動硬盤等便攜式存儲設備進行傳播；② 利用操作系統(tǒng)漏洞傳播；③ 利用ARP欺騙發(fā)起攻擊傳播；④ 通過默認共享權限傳播。

針對病毒傳播特點可采取如下對應措施：① 關閉系統(tǒng)“自動運行”、“自動播放”功能；② 利用殺毒軟件定期掃描安裝各類漏洞補丁[7]；③ 關閉操作系統(tǒng)的默認管理共享通道；④ 關閉不必要的系統(tǒng)服務和第三方服務程序[8]。以上四條措施都是直接破壞了病毒運行和傳播的必要條件，能夠起到相應的防御作用。在間接措施方面，病毒的不斷更新會采用新的運行機制和傳播方式，必須認真研究這些新病毒的傳播特點和自我保護機制，通過切斷傳播途徑來達到防御目的。以下兩類病毒傳播行為需要我們通過間接措施來應對：

① 通過便攜式存儲設備傳播的病毒。當感染了該類病毒的存儲設備在公用計算機上使用后，計算機分區(qū)目錄下會自動生成類似autorun.exe名稱特征的程序快捷方式和配置文件。考慮到工作中便攜式存儲設備的廣泛應用，無法禁止使用這類設備，只能對系統(tǒng)分區(qū)數據開啟還原保護功能，而其他分區(qū)是并未開啟該功能的。當計算機重新啟動后，受保護的系統(tǒng)分區(qū)會恢復至染毒前的安全狀態(tài)，未受保護的分區(qū)根目錄卻仍然保存有病毒程序寄生文件。一旦操作不慎，有可能會激活這些病毒程序，并借助便攜存儲設備開始在其他機器上傳播。

要解決此類病毒的傳播，最好的方法是通過還原保護系統(tǒng)對硬盤分區(qū)的“顯示/隱藏”屬性進行合理設置。在日常辦公應用中，應將系統(tǒng)分區(qū)設置為可見，保護狀態(tài)，剩余分區(qū)全部隱藏，不提供開放使用。或者僅僅提供一個獨立數據分區(qū)，將該分區(qū)防護指令設置為每日或者每兩天自動清除數據。這樣，雖然病毒有可能短時間感染正在使用的計算機和連接的設備，但是每天或者隔天清除數據就會大大降低病毒傳播的頻率。

② 利用互聯(lián)網實現自我復制和保護的病毒。此類病毒借鑒了ARP病毒的攻擊方式，誘導中毒計算機在聯(lián)網狀態(tài)下在后臺自動從指定網址下載病毒來保證必要的病毒存活率。因此，必須首先對公用計算機的網絡拓撲結構進行優(yōu)化設計，以減輕ARP方式攻擊的范圍和減少染毒計算機的數量，確定重點防護對象。

在單位網絡環(huán)境下，推薦采用一臺管理機對應多臺客戶機的上下級級聯(lián)組織拓撲結構，由管理機充當內部網絡訪問外部網絡數據的網關。因為ARP式攻擊的主要機制是偽造IP地址與MAC地址的對應關系實現網絡欺騙[9]，主要的攻擊對象是網關，因此只需將ARP攻擊的防護重點放在管理機上。這種拓撲結構下，在管理機上安裝相應的ARP防火墻即可實現防護目的。

至此，可將抑制此類攻擊方式的變通應對措施明確為：在網絡拓撲結構中將管理機設置為整個內部網絡的網關，并在管理機上安裝ARP防火墻軟件。

4 部署防毒軟件和還原保護系統(tǒng)之后的設置與完善

參考病毒防護方案的設計初衷，結合上述直接防護措施和間接防護措施的相互關系，有必要對在部署防毒軟件和還原系統(tǒng)后對部分項目內容進行適當調整和優(yōu)化設置，提高內部網絡公用計算機的運行效率，為鞏固防護效果也有必要采取措施進行補償完善。

4.1 安裝系統(tǒng)補丁與系統(tǒng)運行速度變慢的矛盾

有過計算機維護經驗的人員都知道，操作系統(tǒng)加載的服務和補丁越多，則機器運算資源占用越大，導致系統(tǒng)運行的速度越慢，兩者呈現一種相對矛盾的限制關系。但從病毒防護效果的角度出發(fā)，又不能不安裝系統(tǒng)補丁。因此，可以將這一措施調整為“及時安裝系統(tǒng)廠商提供的專門針對病毒傳播的漏洞補丁”。

4.2 廠商提供的特定防毒程序及更新保護

還原保護技術在病毒防護方案中起主導作用，還原保護功能的發(fā)揮狀態(tài)直接影響到最終的防護效果，保證功能的穩(wěn)定發(fā)揮是公用計算機防毒工作的重點監(jiān)控及檢查內容。極少部分病毒能穿透保護層入侵系統(tǒng)。因此，技術人員要經常關注此類病毒的傳播情況，并及時更新硬盤保護卡廠商提供的防毒補丁和更新程序。

4.3 管理機的強化設置和系統(tǒng)備份

在單位公用計算機的使用過程中，管理機負責整個內外網絡的網關互通，因此要對管理機加強病毒防護。為了系統(tǒng)安全，在管理機硬盤分區(qū)屬性設置上，僅保留一個不啟用還原的分區(qū)以方便重要數據的存儲。該分區(qū)的存在有可能受到病毒的影響，所以要安裝單機版殺毒軟件來配合還原保護系統(tǒng)使用，既保證了殺毒軟件的病毒庫升級與還原保護功能不產生沖突，也杜絕了各種便攜存儲設備病毒的傳播。此外，還要將ARP防護墻安裝到管理機的該分區(qū)，有利于防火墻數據實時更新。

防護方案的設計雖然已經盡量考慮了數據保護所面臨的各種情況，但是具體使用過程中，難免會有不可控的情況發(fā)生，導致系統(tǒng)數據損壞或者丟失。為避免這種情況，應在方案最后實施階段使用ghost軟件制作一個干凈的系統(tǒng)鏡像文件，并將此文件復制多份單獨另外存放。已備份好的系統(tǒng)數據是整個防護方案的最后一道防線，雖然大多數情況下不會用到，但在危急時刻卻能讓系統(tǒng)“起死回生”。

5 最終病毒防護方案的確定

5.1 主要技術形式

計算機還原保護技術是病毒單位公用計算機防護方案的主要依靠技術，硬盤還原卡是其具體應用形式，該硬件設備必須集成到計算機主板。殺毒軟件技術是該方案的輔助技術，主要應用于管理機。

5.2 應采取的各項措施

①在單位公用計算機整體網絡拓撲結構中，保證管理機的網關地位。②在計算機系統(tǒng)的分區(qū)設定上，以還原保護技術為依托，對客戶機和管理機進行不同設置。在客戶機上，僅開放啟用了還原保護功能的系統(tǒng)分區(qū)；在管理機上，除了開放受保護的系統(tǒng)分區(qū)之外，還可以開放一個不保護的分區(qū)存儲數據，但該分區(qū)必須安裝正版殺毒軟件和ARP防火墻。③關閉不必要的“自動運行”、“自動播放”功能。④關閉操作系統(tǒng)的默認管理共享通道。⑤安裝系統(tǒng)漏洞補丁和廠商提供的更新程序。⑥制作系統(tǒng)備份鏡像單獨存放。

6 結束語

該防護方案采取以還原保護技術為主，結合其他輔助措施共同作用的方式來抵御病毒侵害。由于還原保護技術在數據的恢復成功率和數據的完整性上有相當大的優(yōu)勢，本身就在很大程度上降低了病毒帶來的損失；而其他補充措施的制定，更是以盡量消除支持病毒傳播和頑強生存的各類外界因素為指導原則，各項措施之間兼容性好，注意了方案的整體性和系統(tǒng)性，整個防護方案能夠達到系統(tǒng)和數據的快速恢復，最大程度減少公用計算機中毒造成的系統(tǒng)和數據損失。