1、1896192019872006常用杀毒软件及解决方案常用杀毒软件及解决方案刘功申上海交通大学信息安全工程学院信息安全工程学院信息安全工程学院School of Information Security Engineering本章学习目标本章学习目标了解国内外恶意代码防范产业发展历史了解国内外反病毒软件评测机构了解国内外著名杀毒软件掌握恶意代码防治解决方案 信息安全工程学院信息安全工程学院School of Information Security Engineering本章内容本章内容恶意代码防范产业的发展国内外反病毒软件评测机构国内外著名杀毒软件比较企业级病毒防治方案信息安全工程学院信息安
2、全工程学院School of Information Security Engineering信息安全工程学院信息安全工程学院School of Information Security Engineering信息安全工程学院信息安全工程学院School of Information Security Engineering1989年7月,中国公安部计算机管理监察局监察处病毒研究小组编制出了中国最早的杀毒软件Kill 6.0。这一版本可以检测和清除当时在国内出现的6种病毒。Kill杀毒软件在随后的很长一段时间内一直由公安部免费发放。1990年,中国广东省深圳市,一家名为北京华星的公司推出了一种
3、硬件的反病毒工具,即华星防病毒卡。1991年11月,北京瑞星公司成立,并推出硬件防病毒毒系统,即瑞星防病毒卡。信息安全工程学院信息安全工程学院School of Information Security Engineering1993年上半年,微软发行了自己的反病毒软件微软反病毒软件(MSAV),这是微软购买了另一家公司的CPAV杀毒软件后推出的,但不久后就放弃了。同年6月,中国公安部正式决定将Kill的资产和开发人员移交公安部下属的中国金辰安全技术实业公司进行商品化推广。1994年,山东省的王江民编制了一个杀毒软件取名“KV100”,在中关村以20000元的价格转让了销售许可,推广名为“超级
4、巡警”。信息安全工程学院信息安全工程学院School of Information Security Engineering1997年,南京信源公司首次推出具有实时监控功能的病毒防火墙。同年,华美星际推出了“病毒克星”。1998年,瑞星公司依靠OEM策略,先后与方正、联想、同创、浪潮、实达、和光、COPAQ等计算机生产商达成合作协议,捆绑销售其杀毒软件,获得了市场成功。1998年南北信源反目为仇,先是划江而治,即划分成北方市场和南方市场,然后由于市场和经营观念的冲突以及公司内部的矛盾开始相互起诉和争斗,两家公司部因此元气大伤,市场份额和影响力急剧下降。信息安全工程学院信息安全工程学院Schoo
5、l of Information Security Engineering1998年5月,中国金辰安全技术实业公司和世界第二大软件公司(美国CA公司)共同合资成立北京冠群金辰软件有限公司。1998年7月,冠群金辰公司发布KILL认证版。产品虽然还叫做KILL,但核心技术己经完全转换为CA公司的技术。1999年6月,金山公司首次发布金山毒霸的测试版,开始尝试进入杀毒软件市场。次年11月,金山毒霸正式上市,从此正式进入反病毒软件市场。信息安全工程学院信息安全工程学院School of Information Security Engineering交大铭泰公司推出的东方卫士也曾经在杀毒市场上风光一
6、时,但在登录香港创业板后,逐渐退出了杀毒市场。奇虎360创立于2005年9月,并于2006年7月推出了专门查杀流氓软件的360安全卫士()。信息安全工程学院信息安全工程学院School of Information Security Engineering杀毒软件必备功能病毒查杀能力漏报率误报率清除能力自我保护能力对新病毒的反应能力软件供应商的病毒信息收集网络病毒代码的更新周期供应商对用户发现的新病毒的反应周期。信息安全工程学院信息安全工程学院School of Information Security Engineering对文件的备份和恢复能力实时监控功能及时有效的升级功能智能安装、远程识
7、别功能界面友好、易于操作对现有资源的占用情况信息安全工程学院信息安全工程学院School of Information Security Engineering系统兼容性软件的价格软件商的实力信息安全工程学院信息安全工程学院School of Information Security Engineering国内外杀毒软件及市场金山毒霸、瑞星杀毒、KV3000、PC-Cillin VirusBuster、Norton AntiVirus、Mcafee Virus Scan、Kaspersky Antivirus、F-Secure Antivirus,Nod32,小红伞等。信息安全工程学院信息安全
8、工程学院School of Information Security Engineering国内外病毒检测机构国内外病毒检测机构WildList 国外机构 AV-test Virus Bulletin(VB100)AV-Comparatives ICSA(International Computer Security Association)WestCoastLabs(Checkmark)国内机构 公安部 其他媒体,如计算机世界报等信息安全工程学院信息安全工程学院School of Information Security EngineeringAV-Test AV-Test www.av-t
9、est.orgAV-Test是全球最大的反病毒产品测试中心 马德堡大学和AV-Test GmbH共同合作的研究计划AV-Test测试是国际权威的第三方独立测试之一,采用大病毒库的样本库(大于100万种的病毒样本库)进行自动测试 信息安全工程学院信息安全工程学院School of Information Security EngineeringVirusVirus BulletinB国际间最有名、历史最悠久的病毒测试机构之一,1989 年成立于英国认证标示为VB100信息安全工程学院信息安全工程学院School of Information Security EngineeringAV-Comp
10、arativesAV-Comparativeswww.av-comparatives.orgAV-Comparatives 同样是国际性的独立测试机构,测试由奥地利 人 Andreas Rechengasse 主持对未知病毒测试则要参考另一国际权威测试机构 AV-Comparatives信息安全工程学院信息安全工程学院School of Information Security EngineeringICSAICSAhttp:/基于WildList的测试美国的第三方测试机构ICSA有如下几类安全产品的评测:firewall(防火墙)、Secure Internet filtering(互联网安
11、全过滤)、PC firewall(个人防火墙)、(5)Cryptography(密码防护)、Intrusion detection(入侵检测)、IP sec(网络安全协议)、Web applications(WEB应用)、WLAN security(无线网络安全)等 信息安全工程学院信息安全工程学院School of Information Security EngineeringWestCoastLabsWestCoastLabshttp:/ of Information Security Engineering中国的测试机构中国的测试机构国家计算机病毒应急处理中心(www.antiviru
12、s-)下属的计算机病毒防治产品检验中心 检验中心共收集各种病毒几万种进入中国市场的准人证信息安全工程学院信息安全工程学院School of Information Security Engineering电脑报电脑报20082008评测结果评测结果信息安全工程学院信息安全工程学院School of Information Security EngineeringAV-Test 2007AV-Test 2007年年5 5月排名月排名信息安全工程学院信息安全工程学院School of Information Security Engineering反病毒产品的地缘性病毒编制者的生活空间病毒的传播以
13、病毒编制者初始的地点为中心,逐渐向周围扩散。特定的操作系统或者流行软件环境操作系统相关的病毒软件即时消息 宏病毒定向性攻击和条件传播蠕虫病毒扫描范围,条件判断信息安全工程学院信息安全工程学院School of Information Security Engineering地缘性对反病毒产品的影响Internet非常落后的时代地缘性最严重宏病毒流行时期技术壁垒加重了地缘性Internet普及的今天地缘性差距又缩减的趋势 病毒样本网上流通信息安全工程学院信息安全工程学院School of Information Security Engineering地缘性对国外主流产品的新挑战几个典型蠕虫表明
14、中国已经成为中国全球病毒扩散的中心节点之一国产蠕虫Worm.Solaris.Sadmind造成微软源码失窃的Worm.Qaz也被怀疑出自国人之手木马病毒大量出现冰河、广外女生、网络神偷针对OICQ、国内网络工具等的专用木马大量出现OICQ、边锋、联众、传奇信息安全工程学院信息安全工程学院School of Information Security Engineering国外主流产品的本土化改造国外产品需要改造的地方 1、如何有效的对抗本土病毒的新技术点;2、如何更迅速的采集并响应本土病毒样本;3、如何并非简单汉化而使产品逐步符合中国用户的习惯;4、如何推广企业级的反病毒思路;5、如何让国内用户
15、认识到国际产品的技术优势。信息安全工程学院信息安全工程学院School of Information Security Engineering国外企业进军中国的途径 第一类是在中国建立分支机构,不设立研发部门,通过用户渠道解决相关问题,这种方式成本低,但是很多方面都受到一定限制。第二类是逐步在国内建立独立研发中心。完成汉化和本土病毒处理,这种方式效果好,但是成本比较高。第三类是与国内反病毒企业合资,使国内现有品牌换装国外先进的引擎,利用原有企业力量完成汉化和本土病毒处理,这种方式需要一定的机遇。第四类是选择一个非商用反病毒的本土技术型企业合作,开展全新的模式,既降低成本,也保证效果。信息安全工
16、程学院信息安全工程学院School of Information Security Engineering企业级病毒防治方案重要性需求分析需求分析典型分析典型应用病毒在网络上传播的过程病毒在网络上传播的过程企业网络防病毒方案企业网络防病毒方案信息安全工程学院信息安全工程学院School of Information Security Engineering企业防病毒的需求企业自身评估 1.哪些计算机正在运行实时性的防毒软件?2.如何更新病毒的定义码?3.哪些计算机没有运行防病毒软件,为什么没有?4.现有的防病毒软件效果和功能是否能保证系统的安全?5.过去是否曾遭受病毒的侵害?6.谁负责处理用户
17、病毒问题?7.用人工处理一次病毒危机的花费多少?8.如果企业计算机系统一天不能运行,损失有多少?9.如果病毒发作,信息系统是否会瘫痪?10.如果系统瘫痪或重要数据丢失,恢复的难度有多大,费用有多高?信息安全工程学院信息安全工程学院School of Information Security Engineering企业防病毒的需求考虑因素1.防毒软件每台机器都要安装,很麻烦且费时费力!2.面对上千台机器的病毒定义码更新,防毒软件要持续同步、实时、有效更新,这些由谁来做?需要多少专人管理?3.一般行政人员或不太了解计算机的人员是否可以轻松使用,简捷更新和升级。4.是否可以透过某种轻松的方式一次性设
18、定,也就是说,能否使软件的安装、防病毒策略的定义、实施以及病毒定义码和扫描引擎的更新和升级变得非常简单,甚至完全自动化?5.标准预设的防毒选项设置不一定适用所有的工作站。6.很难分析统计病毒攻击事件的次数、原因以及来源。信息安全工程学院信息安全工程学院School of Information Security Engineering7.用户随意更改防病毒策略和选项设置或忘记更新最新的病毒定义码和扫描引擎,甚至卸载防病毒软件,这样即使装了防毒软件,仍然不到防病毒的效果。8.移动用户太多,无法有效、及时的掌握和把最新的病毒定义码送到移动用户手中。9.是否能够很方便地在多种平台下进行安装、维护升级
19、等工作。10.是否可以对网络进行全方位、多层次地预防和过滤病毒。信息安全工程学院信息安全工程学院School of Information Security Engineering企业防病毒的需求对产品的要求多层次、全方位的防病毒保护工作环境-跨平台的技术及强大功能先进的防病毒技术简易快速的网络防病毒软件安装和维护集中和方便地进行病毒定义码和扫描引擎的更新方便、全面、友好的病毒警报和报表系统管理机制病毒防护自动化服务机制客户端防病毒策略的强制定义和执行快速、有效地处理未知病毒合理的预算规划和低廉的总拥有成本良好的服务与强大支持信息安全工程学院信息安全工程学院School of Informat
20、ion Security Engineering企业网络的典型结构信息安全工程学院信息安全工程学院School of Information Security Engineering从网络基本结构上看,一个典型的企业网络包括网关(Gateway)、服务器(文件服务器、邮件服务器等)和客户端。从网络的应用模式上看,现代企业网络都是基于服务器/客户端的计算模式。从操作系统上看,企业网络的客户端基本上都是Windows平台,中小企业服务器一般采用Win NT/2000系统,部分行业用户或大型企业的关键业务应用服务器采用Unix操作系统。从通讯协议上看,目前企业网络绝大部分采用TCP/IP协议。信息安
21、全工程学院信息安全工程学院School of Information Security Engineering企业网络的典型应用文件和打印服务共享办公自动化系统企业信息管理系统(MIS)Internet应用等领域信息安全工程学院信息安全工程学院School of Information Security Engineering病毒在网络上传播的过程信息安全工程学院信息安全工程学院School of Information Security Engineering病毒在企业网中的几种传播途径:第一种是来自互联网。网络上有些计算机具有连接互联网的功能,而互联网上有许多可供下载的程序、文件、信息。另
22、外,收发Email也必须通过互联网。这些都是病毒进入企业内部网络的入口。第二种是使用网络上带病毒共享文件。当使用网上服务器或其他计算机上的带病毒共享文件或开机时使用了服务器中带毒的引导文件时,网络用户计算机系统就可能被感染病毒,也可能将病毒感染到其他计算机中共享目录下的文件。如果服务器本身已感染了计算机病毒,则连在网上的计算机在共享服务器资源和操作时,互相很容易引起交叉感染。第三种是直接使用带病毒文件。如果某个客户端不小心感染了经过其他途径(移动硬盘、光盘等)传染的病毒,就很容易导致网络内部交叉感染。信息安全工程学院信息安全工程学院School of Information Security Engineering企业网络防病毒方案(局域网)信息安全工程学院信息安全工程学院School of Information Security Engineering广域网防病毒方案信息安全工程学院信息安全工程学院School of Information Security Engineering典型的防病毒方案案例信息安全工程学院信息安全工程学院School of Information Security EngineeringThank You!
