随着数字技术及Internet技术的日益发展,病毒技术也在不断发展提高。它们的传播途径越来越广,传播速度越来越快,造成的危害越来越大,几乎到了令人防不胜防的地步。很多企业在建立了一个完整的网络平台之后,急需一个切实可行的防病毒解决方案,来确保整个企业的业务数据不受到病毒的破坏,日常工作不受病毒的侵扰。那么,什么是企业网络的管理者在设计网络房病毒方案时需要考虑的呢?企业网络防病毒工作与个人用户病毒防治有哪些区别?本文将从企业网络的典型结构、典型应用以及现代病毒利用网络特征的传播趋势来回答这些问题,最后我们得出企业网络防病毒体系对反病毒技术和工具的需求点在哪里,从而回答一款真正的网络病毒防治产品应该有哪些性能要求。
一、企业网络的典型结构
现代化企业计算机网络是在一定的硬件设备系统构架下对各种信息数据进行收集、处理加工和汇总的综合应用体系。目前大多数的企业网络都具有大致相似的体系结构,这种体系结构的相似性表现在网络的底层基本协议构架、操作系统、通讯协议以及高层企业业务应用上,这就为通用的企业网络防病毒软件提供了某种程度的可以利用的共性。
从网络底层基本构架上,尽管不同的企业可能选择千差万别的联网设备,网络结构的复杂程度从简单的对等节点网络到三层交换复杂网络,但差不多全都是以太网结构,及基于IEEE 802.2和IEE 802.3规范。事实已经证明,这是一种成熟、经济的桌面应用网络方案。目前应用最多的是一种交换到桌面的10M/100M快速以太网。
从网络的应用模式上看,现代企业网络都是基于一种叫做服务器/客户端的计算模式,及由服务器来处理关键性的业务逻辑和企业核心业务数据,客户端机器处理用户界面以及与用户的直接交互。服务器是网络的中枢和信息化核心,具有高性能、高可靠性、高可用性、I/O吞吐能力强、存储容量大、连网和网络管理能力强等特点。客户端机器从硬件上没有特殊的要求,一般普通PC机就可以胜任。企业网络往往有一台或多台主要的业务服务器,在此之下分布着众多客户机或工作站,以及不同的应用服务器。根据不同的任务和功能服务,典型的服务器应用类型有:文件服务器、邮件服务器、Web服务器、数据库服务器和应用服务器等。
从操作系统上看,企业网络的客户端基本上都是Windows平台,中小企业服务器一般采用Win NT/2000系统,部分行业用户或大型企业的关键业务应用服务器采用Unix操作系统。Win平台的特点是价格比较便宜,具有良好的图形用户界面;而Unix系统的稳定性和大数据量可靠处理能力使得它更适合与关键性业务应用。
从通讯协议上看,目前企业网络绝大部分采用TCP/IP协议。TCP/IP本来是一种Internet的通讯协议,但是主流操作系统和绝大部分应用软件的支持以及它本身的发展,已经使得它足以承担从企业内网到Internet的主要通讯协议重任。当然,为了管理的方便或某些特殊的需求,在企业内网上常见的协议也包括NetBIOS、IPX/SPX等。
二、企业网络的典型应用
当前,企业网络主要应用于文件和打印服务共享、办公自动化系统、企业业务(MIS)系统、Internet应用等领域。
文件和打印共享是企业建网的最初目的,也是计算机网络的最基本应用。有了网络,文件再也不用通过软盘拷来拷去,同时大文件的交换、应用程序共享等也变得方便,工作组的全体成员可以在自己的计算机上使用共享的打印机。
办公自动化(OA)应用:企业网络应用达到了一定的层次,就需要一种更加方便的内部通讯和消息传送机制,以及工作流程在计算机上的体现和基于网络的协同工作机制,对办公信息也更加要求规范化和一致化,而且能够将所有的办公文档汇集在一起,方便地进行统计和查找,按照不同的权限设置在企业成员之间共享。基于这些需求建立起来的应用系统,就是企业的办公自动化(OA)应用。目前的OA应用系统大都建立在一种叫做群件的软件平台上,最流行的群件软件有Lotus公司的Domino/Notes系统以及微软的Exchange/OutLook系统。
企业管理信息系统(MIS):企业信息管理系统是能对企业管理的各种信息进行收集、分析、储存、传输、维护,为企业管理提供决策信息,是一个利用现代计算机信息及网络技术进行企业综合管理的系统工程。MIS与OA的区别在于MIS系统管理的是高度结构化,数据粒度比较小的业务信息,比如财务数据,它的长项在于数据实时的统计查询和灵活的报表生成;而OA管理的是非结构化的数据,包括大规模的文本、图像、声音等,它的长项在于规范工作成员之间的工作流程和促进交流与协作。
企业应用MIS和OA系统进行业务数据管理和工作流程管理,这些系统都充分地利用了网络的数据交换特征,大量的文档、结构化或非结构化的业务数据通过网络来传输和处理。这种频繁和大规模的文件、数据交换也为病毒通过网络传播大开了便利之门。
企业Internet应用:企业需要收发Internet邮件,浏览外部网页,发布自己的企业信息。所有这些都需要企业内部网络与Internet之间连接的畅通无阻。畅通的Internet连接使得企业方便地获取和发布信息的同时,也为病毒的乘虚而入创造了条件。
总之,企业应用需要网络的便利信息交换特性,病毒也可以充分利用网络的特性来达到它的传播目的。企业在充分地利用网络进行业务处理时,就不得不考虑企业的病毒防范问题,以保证关系企业命运的业务数据完整不被破坏。
三、病毒在企业网内部的传播过程
目前,互联网已经成为病毒传播最大的来源,电子邮件和网络信息传递为病毒传播打开了高速的通道。企业网络化的发展也有助于病毒的传播速度大大提高,感染的范围也越来越广。可以说,网络化带来了病毒传染的高效率,而病毒传染的高效率也对防病毒产品提出了新的要求。
近一、二年,全球的企业网络经历了网络病毒的不断侵袭。 “爱虫”、“探险者”(Explore)、Matrix病毒可以算是大名鼎鼎了。这些病毒几乎一夜之间让世界为之震惊,唤醒了人们对于网络防毒的重视。我们以Remote Explore、Matri、LOVELETTER三个典型病毒为例,来说明网络病毒如何在通过Internet进入企业网络并在内部快速传播。
① 病毒Remote Explore算是网络病毒的“先驱者”,它于98年爆发,至今是病毒发展历史中的一个重要标志。
Remote Explore病毒通过盗取WINDOWS NT 域管理员的帐号进行传播。如果一个具有管理员身份的用户执行了染毒的程序,该病毒便以服务(Service)的方式驻留内存,取名为“Remote Explore”,并在染毒系统中安装文件\winnt\system32\drivers\ie403r.sys。
这时,另一台NT机器只要用同一管理员帐号登录到染毒的机器中,该病毒就可以感染WIN NT 局域网附加网络驱动器中的文件。当病毒被激活后,它便在共享的网络驱动器上随机选择一个文件夹,感染除.dll 或.tmp扩展名的文件外的所有其他文件,连一些DOS下的EXE文件同样难逃厄运……。
② 病毒Matrix(还有许多别名)在2000年8月发源于德国,在当时它是一个危险级数相当高的病毒。该病毒之所以能够在全球范围内广泛且快速传播,是由于它具有网络蠕虫的特性,即利用INTERNET和局域网进行传播。
该病毒以邮件附件的形式传播。当接收者打开附件,该病毒便在网络系统内安装文件到c:\windows目录下,然后将系统内的WSOCK32.DLL删除,把WSOCK32.MTX更名为WSOCK32.DLL。这样,受感染系统在发送邮件时增加自动发送附件的功能,附件即为蠕虫的副本。此外,病毒还能对网上邻居中的所有可用资源(映像驱动器)进行搜索,以便能够同本机进行文件传输,从而达到感染网络中其它机器的目的。
病毒通过创建wininit.ini文件,在每次系统启动后自动运行。另外,被安装的文件MTX_.EXE还能够将系统连接到指定的站点,并下载新的病毒插件,以完成自身更新。
③ 病毒LOVELETTER于2000年5月发源于菲律宾。“爱虫”病毒可谓家喻户晓,它在全世界制造的恐慌给人们留下了深刻的教训。
“爱虫”病毒最大的特点是通过EMAIL和IRC快速传播。在通过电子邮件传播时,它不放过地址簿中的每一个地址,而且,邮件的主题还是具有诱惑性的“I LOVE YOU”。附件为LOVE-LETTER-FOR-YOU.TXT.VBS,一旦用户打开附件,病毒便进行感染:搜索outlook地址簿、IRC连接、发送带有病毒的邮件、通过IRC感染其它用户……。
本机系统被感染后,爱虫病毒开始查找所有相连接的固定和移动的驱动器,用自身代码覆盖扩展名为vbs、vbe、js、jse、css、wsh、sct和hta的所有文件。而对于jpg、jpeg文件,爱虫病毒不仅用病毒代码覆盖原文件,还添加.vbs扩展名……。
从上面典型病毒传播方式可以看出,现代病毒在企业网络内部之所以能够快速而广泛传播,是因为它们充分利用了网络的特点。
一般来说,计算机网络的基本构成包括网络服务器和网络节点站(包括有盘工作站,无盘工作站和远程工作站)。计算机病毒一般首先通过有盘工作站传播到软盘和硬盘,然后进入网络,进一步在网上的传播。具体来说,其传播方式有如下几种:
① 病毒直接从有盘站拷贝到服务器中;
② 病毒先传染工作站,在工作站内存驻留,等运行网络盘内程序时再传染给服务器;
③ 病毒先传染工作站,在工作站