社科网首页
您现在的位置是: 首页 > 研究成果
防病毒产品的选型
作者:李晖 来源:网管员世界杂志 时间:2004-02-01
原始链接 防病毒产品的选型 中国社会科学院计算机网络除骨干网之外,又根据地理环境和学科划分的不同,下设八个局域网,我们称之为“片网”。我所在的“国际学科片网”即是这样一个拥有320个节点的局域网。为了提高网管员的管理水平,除了“走出去、请进来”的传统办法外,我们特别制定了《管理交流例会》制度,即定期请各片网管员来讲他们成功的经验和失败的教训。由于我所在的“国际片网”在防病毒方面相对来说颇有些特色,一度成为我们交流例会的热门话题。应《网管员世界》编辑部之邀,现将当时的发言整理成文,分《防病毒产品的选型》、《防病毒产品的日常维护》和《病毒动态报告的制作》三部分介绍给读者。 一、防病毒产品选型中的“三要、三不要” 1.要关注产品研发队伍的水平,不要片面追求产品查毒的绝对数量。 据多家防毒产品厂家的统计,目前计算机病毒的总数已超过8万种。而根据最新《流行病毒统计表》(The WildList)统计,目前世界范围内流行的病毒是255个,地区性流行的病毒是638个,两数相加再除8万得出的结论是:由防毒产品厂家统计出来的计算机病毒总数中的近99%,是根本流行不起来也无法造成大面积危害的“实验室病毒”。 《流行病毒统计表》出自当今业界75个专家和机构的缜密统计报告,《统计表》的网址在http://www.wildlist.org/。该网站除按月发布“世界范围流行病毒表”和“地区性流行病毒表”外,还详细介绍了75个相关专家、机构的信息,遗憾的是在这份专家、机构表中还没有中国人的身影。 权威的“VB100%奖”的主要检测依据就是这个《流行病毒统计表》。“VB100%奖”不分名次,更像是民间的业行准入证,产品包装打上VB100%的标记就会身价倍增。“VB100%奖”的网址在http://www.virusbtn.com/,从该网站上可以按卖方、系统平台等检索条件查阅最新的评测结果。 上面谈到的多为产品的外在因素,用户最应关注的还应该是产品的研发队伍。美国网盟公司的“反病毒紧急响应实验室”(Anti-Virus Emergency Response Team , AVERT)就是这样一支队伍。它们为自己制定了一个极具挑战性的“逐日策略”(follow the sun),该策略对中国人不用解释,肯定出自我们的“夸父逐日”。实验室的工作方式用一个数字串来表达“24/7/365”,即每天24小、每周7天、每年365天连轴转。它们追求的目标是在用户遭遇病毒的第一时间——甚至之前——将病毒定义文件交到其手中。在2003年“冲击波”和“大无极”病毒大范围爆发之际,AVERT副主席文森特•古洛托(Vincent Gullotto)应邀在美国国会相关小组委员会听证会上作证时,阐述了他针对计算机病毒的“安全文化(a culture of security)”概念,他的这个概念包含了长期研发计划、企业安全预案和终极用户培训等内容。正是由于AVERT的成功运作,致使美国网盟公司的McAfee系列产品长期占据企业用户市场的首位,其市场份额一度超过40%。 2.要关注产品对病毒的监控深度,不要片面追求产品升级的绝对时间间隔。 根据病毒的发展速度和流行状况,盲目追求病毒定义库升级的绝对时间间隔毫无实际意义,而只能是徒增用户、特别是网管员的工作负担,降低他们的工作效率,这一点我深有体会。我曾经一度终日忙于防病毒服务器的升级和客户端是否升级到位的检测,忽略了对流行病毒信息的采集,当恶性病毒到来时,工作效率恰恰是事倍功半。以当年的SirCam病毒为例,SirCam自身携带SMTP引擎,感染者疯狂对外发送大量垃圾邮件,当时只是两三个感染者就造成了我们局域网自身邮件服务器的阻塞。更可怕的是SirCam垃圾邮件对外造成极坏影响,我们的邮件服务器甚至被列入黑名单。由于局域网内的地理环境限制、员工作息时间的限制、管理制度不完善,就是我终日忙于防毒产品升级检测也无法做到万无一失。之后还是通过对SirCam的深入了解,对症下药,为邮件服务器添加必要的过滤条件,阻止了SirCam垃圾邮件的传播,以良好的自律形象使一度中断邮路重新开通。 防毒产品真正见功底的是的其病毒报告,下面就来分析一下美国赛门铁克公司反病毒中心关于“大无极”(Sobig.F)病毒的报告。该报告比较有代表性,读者可以举一反三。该报告网址在http://securityresponse.symantec.com/avcenter/tools.list.html。报告分概况、危险评估、技术细节、建议和清毒指导五部分。 概况部分像多数病毒报告一样表述了Sobig.F病毒的主要特征和感染对象,因为该病毒的传播途径是通过身自SMTP引擎群发带毒邮件,报告特别罗列了带毒邮件在主题词、信体和附件中的详尽表征,以便网管员在邮件服务器上做过滤。同时指出该病毒具有地址欺骗性,即甲方用乙方的地址给丙方发信。概况的末尾部分特别提请网管员注意,该病毒虽然已于2003年9月10日停止发作,但仍可通过黑名单上的恶性服务器升级变种。 危险评估部分则是一张表现不同危害层次的图表。 技术细节详尽到病毒文件的物理位置,注册表中被病毒恶意篡改的字段和键值,以及20个可供Sobig.F升级变种的可疑IP。判定Sobig.F能够通过Windows标准应用程序接口在局域网内迅速漫延,提醒网管员及时阻断8990/UDP端口,及时侦听123/UDP端口。 建议部分就像是网管员的安全守则,如果您的机房尚无成文的安全守则,不妨以此作蓝本。 清毒指导部分也是一个操作范本,即使多年从事防毒工作,仍然会有疏漏,有违反操作规程的地方,不信你可以按该报告实际操作一回。 通过这份报告,我对“大无极”病毒有了一个从感性到理性的全面认识,而且触类旁通,帮我打开了眼界,促请我更新现有知识,补足我现在不具备而网管员应必备的知识。 3.要关注防毒产品的稳定、实用和高效性,不要盲目追求“高、大、全”。 防病毒的目的是保障工作环境,提高工作效率,盲目追求防毒产品的“高、大、全”往往适得其反,违背了我们的初衷。我所在的国际片局域网中的,多一半的终端硬件配置还比较低,员工们多数还在使用Windows 9x系统平台,如果从我这里一味地为他们配送高新版本的防毒产品,势必耗尽他们已经枯竭的系统资源,降低他们的工作效率。举例来说,McAfee套件中的瘦客户端VTC 6.0大小只有几兆,安装在Windows 95中效果就非常好,系统资源占用少,同样能够升级,起到实时监控作用。再比如Norton企业版的客户端从7.6升级到8.0后,功能的提高有限,但Windows 9x系统中大量出现“缺省IME错误”,导致无法正常关机。 还有个别员工由于认识上的误区,在一台终端上重复安装多个防毒产品,自认为是在加双保险、三保险,结果导致甲产品将乙产品的病毒定义库当作病毒来查杀。我最近遇到一个特例,我认为有必要讲出来让其他网管员能够引以为戒。McAfee的全新VirusScan 7.10企业版在安装过程中有自动卸载其它防毒产品的功能,我们权当编程者的初衷是为了避免用户重复安装多个防毒产品,但麻烦也随之出现。当我用ePO为我们局域网内某个域推送VirusScan 7.10时,VirusScan 7.10同时干净彻底地将该域中的Norton服务器也删除了。虽然我很佩服VirusScan 7.10完美的删除功能,但它毕竟给我带来了麻烦,使我的Norton客户端成了孤儿。所以今后在定制ePO策略时,务必根据ePO代理的反馈信息,有选择地推送VirusScan 7.10。 二、作为网管员,防毒产品的选型还须特别关注其网络功能和售后服务 1.防毒产品的网络功能。   零管理是微软1996年针对其竞争对手Sun等公司的网络计算机(NC)而提出的新概念。其目的是降低大企业内部IT部门的总拥有成本(TCO),最小化计算机的日常维护,以抗衡NC。目前,零管理概念似乎已成为管理类软件的标志。 为实现企业级防毒,网管员首先必须解决好3个问题,否则管理成本将无法估量。 (1)必须保证将防毒客户端软件安装到每一台终端; (2)必须保证安装到位的客户端软件在第一时间获得病毒定义库的升级; (3)及时获取客户端的信息反馈,验证防疫效果。   Norton企业版(Norton Antivirus Corporate Edition,NAVCE)和McAfee的ePO(ePolicy Orchestrator)都比较好地解决了上述3个问题。真正的“零管理”对网管员来说,一直是可望不可及的理想境界,上述两产品可以说向该境界迈出了一大步。相比较而言,Norton的易用性更好,离“零管理”境界更近;ePO的透明性更高,为中高级用户提供了更多的扩展空间。 NAVCE和ePO的操作界面虽然略有不同,但其后台都是微软的管理控制台(MMC)和组策略。下面简单介绍一下二者的工作流程。 NAVCE的AntiVirus服务器兼顾局域网内部的升级服务,AntiVirus客户端兼顾代理功能,隔离服务器Quarantine负责采集客户端信息反馈,检验防疫效果。AntiVirus服务器安装成功后,可通过现成的域登录脚本文件向域内所有终端推送AntiVirus客户端;AntiVirus客户端就位后,自动寻找其父服务器进行病毒定义库的同步升级;客户端如发现病毒感染,自动将病毒副本提交本地隔离服务器Quarantine。   ePO是典型是服务器/代理+控制台(ePO Server/ePO Agent+ ePO Console)模式。服务器通过控制台先将代理推送到网内的所有节点;再通过代理将VirusScan、VirusThinClient等客户端推送到代理所在节点;通定制策略和计划任务为所有节点上的VirusScan、VirusThinClient实施实时查毒和定时升级;代理反过来将从各节点搜集到的相关信息实时反馈给服务器,为管理员出台新策略、新计划任务提供参考。   McAfee总裁吉恩?霍奇斯先生在2001年7月访华期间,曾对记者谈及McAfee今后的目标:“我们的愿望就是,能让客户的网络管理经理们睡好。因为我们知道,网管的工作很辛苦,我们不想让他们再由于病毒的原因而通宵达旦。我希望我的用户都是幸福的,我们的目标是让网络平平安安。”   2.防毒产品的售后服务。   按目前流行病毒的爆发频率和传播范围,奢求厂家频繁地上门技术支持和不分作息时间的热线服务都是不现实的,关注相关产品的网上自助环境才最有实效。   首先看厂家的WEB服务,比如前面提到的美国赛门铁克公司的反病毒中心(AVCENTER)网站(http://securityresponse.symantec.com/)、美国网盟公司的反病毒紧急响应实验室(AVERT)网站(http://vil.nai.com)就是很好的去处。   另一类获取网上自助的途径是从Google、Yahoo中检索相关产品,这类信息也很有价值,一来它们多出自用户的亲身体验,二来也可以从则面验证该产品的市场份额。   最后向大家介绍一个检索技巧,即在检索栏中输入“产品名称+FAQ”,检索结果多为该产品的经典信息,看后常常会使你联想到辛弃疾《青玉案•元夕》中的词句:“众里寻她千百度,蓦然回首,那人却在灯火阑珊处。”    作者简介: 李晖,男,1956年11月出生,1978年就读于杭州师范学院物理系,1986年接触计算机,1996年起从事网管员工作,现为中国社会科学院国际学科片局域网网管员。
返回列表

中国社科院美国研究所 版权所有@2010 京ICP备05036911号