您好, 访客   登录/注册

浅谈互联网背景下的病毒防治

来源:用户上传      作者: 李 丹 王 微

  [摘 要]随着互联网的迅猛发展,计算机病毒对信息安全的威胁日益增加。特别是在网络环境下,传播途径和应用环境的多样化使得网络计算机病毒的发生频率较普通计算机病毒更高、潜伏性更强、影响面更广,破坏性更大。网络病毒的防治和信息安全问题已成为计算机领域的重点研究对象。
   [关键词]互联网;病毒;防治
  
  一、计算机病毒的定义
  
  国内通常用1994年颁布的《中华人民共和国计算机信息系统安全保护条例》第一十条中的定义,即“计算机病毒,是指编制或者在计算程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能够自我复制或者在计算程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能够自我复制的一组计算机指令或者程序代码”。
  
  二、互联网病毒的特点
  
  随着互联网的风靡,给病毒的传播又增加了新的途径,它的发展使病毒可能成为灾难,病毒的传播更迅速,反病毒的任务更加艰巨。Internet带来两种不同的安全威胁,一种威胁来自文件下载,这些被浏览的或是被下载的文件可能存在病毒。另一种威胁来自电子邮件。大多数互联网邮件系统提供了在网络间传送附带格式化文档邮件的功能,因此,遭受病毒的文档或文件就可能通过网关和邮件服务器涌入企业网络。网络使用的简易性和开放性使得这种威胁越来越严重。网络环境下的计算机病毒不仅包括传统的病毒程序,还包括网络蠕虫和木马程序。网络病毒的发展呈现出新的特点和趋势:
  1.病毒表现形式多样化。在网络环境下,可执行程序、脚本文件、HTML页面、电子邮件、网上贺卡、卡通图片、ICQ,OICQ等都有可能携带计算机病毒。
  2.破坏性更大更强。网络病毒的破坏性日益增强,它们可以造成网络的拥塞、瘫痪,网络终端的数据丢失,机密信息失窃,甚至通过病毒控制计算机终端和网络。越来越多的网络病毒兼有病毒、蠕虫和后门黑客程序的功能,破坏性更大。如2001年流行的“尼姆达”病毒就兼具三者的功能。
  3.病毒清除的难度日益增大。在网络中,只要有一台计算机感染病毒,就可迅速通过内部网络很快使整个网络上的终端受到影响,使网络拥堵,严重的甚至引起网络瘫痪或终端的崩溃。
  4.传播介质与攻击对象多元化,传播速度更快,覆盖面更广。网络病毒利用网络上的各种通信端口和邮件等迅速传播。攻击对象由传统的个人电脑变为所有具备通信机制的工作站、服务器乃至掌上型移动通信工具PDA和手机。
  三、网络病毒的防治
  病毒防治的根本目的是保护用户的数据安全,因此网络病毒的防治可以从以下3个方面入手:(1)数据备份;(2)封堵漏洞,查杀病毒;(3)灾难恢复。数据备份是降低病毒破坏性的最有效方法。定期进行数据备份,这样即使遭受病毒攻击,也可以恢复关键数据。对付病毒一方面要封堵系统及应用程序漏洞,另一方面还要定期地更新病毒库和查杀病毒。由于在网络环境下不存在完全的抗病毒方案和产品,因此,灾难恢复是防治病毒的一个重要措施。用户系统发生意外、数据遭受破坏后,应立即关闭系统,以防止更多的数据遭受破坏,然后根据具体情况选择合适的方案进行数据恢复。
  (一)构建基于网络的多层次的病毒防护
  多层防御的网络防毒体系应该由用户桌面、服务器、网关和病毒防火墙组成,具有层次性、集成性和自动化的特点。
  1.要保证账号与密码的安全,特别要注意安全权限等关键配置,防止因配置疏忽留下漏洞而给病毒可乘之机,保证文件系统的安全。
  2.及时升级系统最新系统平台,对BUG进行修补,要经常从相关的网站下载补丁程序,及时完善系统和应用程序,尽量减少系统和应用程序漏洞。无论是系统软件还是应用软件,它们本身的安全都是至关重要的。操作系统是计算机必备的软件,所以操作系统的安全是计算机安全的核心。由于各种原因,Windows9X和NT本身都存在着一些错误(即Bug),这些Bug使得非法用户可以从“后门”侵入系统,应用软件本身也可能因为开发的疏漏而产生“后门”。有些开发人员在编制软件时,为了方便调试和观察注册表安全,留下“后门”。
  3.禁用不必要的服务,对不需要或不安全的功能性应用程序尽量不安装或者关闭,重要服务器要专机专用,通过服务管理器或注册表禁用不需要的服务。
  (二)定期进行病毒扫描
  采用防毒软件定期进行扫描是最常用的防范方法。病毒扫描程序一般使用特征文件在被传染的文件中查找病毒,用户通过更新特征文件来更新软件,以查找最新病毒。多数扫描程序在发现病毒后会执行一个独立的进程,对病毒进行清除或隔离。但目前已有一些病毒扫描程序不再局限于特征码匹配。例如,目前在瑞星杀毒软件中就采用了一种叫“病毒行为分析判断”的技术,它从病毒的行为而不是特征码入手来判断并查杀病毒,即使对于未知病毒也可以有效查杀。
  病毒扫描程序的形式目前主要有以下几类:
  1.手动扫描型。需手工启动或由一个自动进程启动运行。这种程序启动后,一般会在整个驱动器或系统中查毒,包括RAM内存、硬盘、软盘等,用户也可选择查毒范围。这种查毒方式一般是在事后工作,即系统先被感染了病毒之后,然后才能被发现,此方式适合定期对系统驱动器的杀毒。
  2.内存驻留型。它是一种在后台运行的程序。一般在系统初始化时启动,然后一直在内存中保持激活状态。一旦有文件访问活动,内存驻留的扫描程序就会拦截对文件的调用,查看文件中是否有病毒,然后再决定是否允许文件装入内存。内存驻留型病毒扫描程序能够在病毒感染系统之前就发现病毒,但会引起系统的性能下降,降低系统的响应速度。
  3.启发式扫描程序。此类型的防毒软件会进行统计分析以确定程序代码中存在病毒的可能性。这种扫描程序不像病毒扫描程序那样比较程序代码和特征文件,而是使用分级系统决定所分析的程序代码是否有病毒程序的概率。若分析某程序代码携带病毒的可能性足够大,启发式扫描程序就会报警。目前的多数病毒扫描程序都有启发式扫描功能。其优点是不需升级,就可能发现新病毒,缺点是可能误报。
  4.应用程序级病毒扫描程序。不负责保护指定的系统免受病毒侵袭,而是保护整个机构中的特定服务。在较大系统的防火墙中通常包含病毒扫描功能。
  网络病毒防御是一个长期的过程,一方面要掌握对当前计算机病毒的防范措施,合理的应用防范技术组建安全的防范系统,采取应对措施,做到防患于未然。
  (编辑/李舶)


转载注明来源:https://www.xzbu.com/2/view-474806.htm