XXXX技术方案第1章概述计算机技术的不断发展，信息技术在企业网络中的运用越来越广泛深入，信息安全问题也显得越来越紧迫。

自从80年代计算机病毒出现以来，已经有数万种病毒及其变种出现，给计算机安全和数据安全造成了极大的破坏。

根据ICSA的统计报道，98% 的企业都曾遇过病毒感染的问题，63% 都曾因为病毒感染而失去文件资料，由ICSA评估每一个受电脑病毒入侵的公司电脑，平均要花约8,366美金，但更大的成本是来自修理时间及人力的费用，据统计，平均每一电脑要花费44小时的到21.7天的工作天才能完全修复。

如何保证企业内部网络抵御网络外部的病毒入侵，从而保障系统的安全运行是目前企业系统管理员最为关心的问题。

所以，系统安全应该包括强大的计算机病毒防护功能。

全球的病毒攻击数量继续上升，病毒本身变得越来越复杂而且更有针对性，这种新型病毒被称为混合型病毒，混合型病毒将传统病毒原理和黑客攻击原理巧妙的结合在一起，将病毒复制、蠕虫蔓延、漏洞扫描、漏洞攻击、DDOS攻击、遗留后门等等攻击技术综合在一起。

而最近对互联网威胁很大的间谍软件和广告软件，给企业不仅造成网络管理的复杂，同时可能会带给企业无法估计得损失。

混合型病毒的传播速度非常快，其造成的破坏程度也要比以前的计算机病毒所造成的破坏大得多，混合型病毒的出现使人们意识必须设计一个有效的保护战略来在病毒爆发之前进行遏制。

这个保护战略必须是主动式的，而不是等到事件发生后才作出反应，需要针对网络中所有可能的病毒攻击设置对应的防毒软件，建立全方位、多层次的立体防毒系统配置，通过在桌面和企业网络等级集成来提供病毒保护。

作为世界互联网安全技术和整体解决方案领域的全球领导厂商，赛门铁克为个人和企业用户提供了全面的内容和网络安全解决方案。

赛门铁克是病毒防护、风险管理、互联网安全、电子邮件过滤、远程管理和移动代码侦测等技术的领先供应商。

为全世界1亿的客户提供了全面的Internet安全性产品、解决方案和服务。

赛门铁克客户群不但包括世界上最大的公司、企业、政府部门以及高等教育机构，同时也为小型企业用户和个人用户提供服务。

诺顿品牌领先世界防病毒市场，在业界颇受赞誉。

第2章计算机病毒发展和防御动态2.1 计算机病毒发展新动向传统病毒，简单来讲，就是一种可执行的精练的小程序，和生物界的病毒类似，会寻找寄主将自身附着到寄主身上实现传播，例如把自己的病毒代码插入到一个用户文件中，当用户传递此文件时就不知情的将病毒传播出去了，传播到一个新的目标时，病毒执行恶作剧活动或采取毁坏程序、删除文件甚至重新格式化硬盘的破坏行为。

传统病毒包括文件型、引导型、多态型、隐藏型、宏病毒等。

但是现在，企业网络面临的威胁已经由传统的病毒威胁转化为现在的还包括了蠕虫、木马和恶意代码等与传统病毒截然不同的新类型。

这些新类型的威胁业界称之为混合型威胁。

混合型威胁整合了病毒传播和黑客攻击的技术，以多种方式进行传播和攻击。

不需要人工干预，能够自动发现和利用系统漏洞，并自动对有系统漏洞的计算机进行传播和攻击。

同时，混合型威胁传播速度极快，通常在几个小时甚至几分钟就可以导致整个网络瘫痪。

攻击程序的破坏性更强，受感染的系统通常伴随着木马程序种植除了破坏被感染的机器，在传播过程中会形成DDoS 攻击，阻塞网络。

混合型威胁的典型代表为——红色代码（Code Red）。

2001年7月红色代码（Code Red）的出现震撼了整个Internet世界，不仅仅因为它给广大Internet用户造成了非常巨大的直接经济损失，更可怕的是它将传统病毒原理和传统黑客攻击原理巧妙的结合在一起，将病毒复制、蠕虫蔓延、漏洞扫描、漏洞攻击、DDOS攻击、遗留后门等等攻击技术综合在一起，形成了最新的混合型威胁，标志了网络威胁发展的新方向。

在红色代码（Code Red）的启发和指引下，近几年持续不断出现各种破坏能力强大的混合型威胁，例如：尼姆达（Nimda）、求职信（Klez）、蠕虫王（SQLexp）、妖怪（Bugbear）、无极大（Sobig）、爱情后门（Lovgate）、冲击波（Blaster）、Slammer、网络天空（Netsky）等等，而这些混合型威胁正是近几年企业所面临的主要威胁。

大量的间谍软件和广告软件不仅为企业带来网络管理成本的增加，同时可能会带来无法估计的损失。

毫无疑问，包括间谍软件和广告软件在内的混合型威胁已经成为全球互联网和企业网络的首要威胁，危险级别最高的病毒几乎全部属于具有混合型威胁特征的混合型病毒。

因此，病毒防范的重点将集中于混合型威胁。

2.2 新型病毒传播方式计算机病毒具有自我复制和传播的特点，从计算机病毒的传播机理分析可知，只要是能够进行数据交换的介质，都可能成为计算机病毒传播途径。

随着Internet技术的发展和企业网络应用的增多，网络成为病毒感染、传播的第一途径。

病毒传播呈现出如下的途径：1、互联网浏览。

内网用户浏览Internet上的文件和网页，下载资料时，Internet上的大量恶意JAVA ACTIVE病毒和程序，下载文件中包含的各类宏病毒，文件病毒都有可能对内网进行传染。

2、电子邮件。

电子邮件已成为许多新型恶意病毒攻击所选择的传输机制。

电子邮件可以很容易地传送到几十万人，而恶意代码制造者又可以无须留下自己的计算机，这使得电子邮件成为一种非常有效的传输方式。

3、企业网络互联。

一旦为计算机提供了通过网络彼此直接连接的机制，就会为病毒提供另一个传输机制，由于在网络共享上实现的安全性级别很低，因此会产生这样一种环境，其中新型的混合型病毒可以复制到大量与网络连接的计算机上。

企业内部内联网以及和协作单位或合作伙伴网络的文件共享传输有可能造成病毒在整个网络中传播。

4、可移动媒体。

计算机病毒和其他恶意软件最初的、并且可能也是最多产的传送器（至少到当前为止）是文件传输。

此机制开始于软盘，然后移动到网络，目前正在寻找新的媒体，例如，通用串行总线 (USB) 设备和火线。

感染速度并不像基于网络的病毒那样快，但安全威胁却始终存在，而且难以完全消除，因为系统之间需要交换数据。

5、对等 (P2P) 网络。

要实现 P2P 文件传输，用户必须先安装 P2P 应用程序的客户端组件，该应用程序将使用一个可以通过组织防火墙的网络端口，例如，端口 80。

应用程序使用此端口通过防火墙，并直接将文件从一台计算机传输到另一台。

这些应用程序很容易在 Internet 上获取，并且恶意软件编写者可以直接使用它们提供的传输机制，将受感染的文件传播到客户端硬盘上。

6、即时通讯（Instant Messenger，简称IM）软件即时通讯软件已经从原来纯娱乐休闲工具变成生活工作的必备利器。

无论是老牌的ICQ，还是国内的腾讯QQ，以及微软的MSN Messenger，都是大众关注的焦点。

由于用户数量众多，再加上即时通讯软件本身的安全缺陷，导致其成为病毒的攻击目标。

在理论上来讲，只要是通过网络进行的行为，就有受到病毒威胁的危险。

在信息技术飞速发展的今天，虽然手机病毒、无线病毒都还处于萌芽状态中，但当这些技术开始普及之后，可以预见，一定会有相应平台下的病毒出现。

2.3 病毒传播带来的威胁计算机病毒的爆发对企业的安全构成了极大的威胁。

尤其近几年混合型病毒所造成的破坏非常巨大。

新型病毒的大规模传播，给企业信息资源带来如下威胁：1、数据损坏或删除。

一种最具破坏性的威胁类型应该是损坏或删除数据的恶意代码，它可以使用户计算机上的信息变得无用。

这类威胁编写者具有两个选项：第一个选项是将程序设计为快速执行。

对于它所感染的计算机而言极具潜在破坏性。

另一个选项是驻留在本地系统上（以特洛伊木马的形式）保留一段时间，这样会使恶意软件在破坏之前可能就进行传播。

2、后门。

这种类型的威胁允许对计算机进行未经授权的访问。

它可能提供完全访问权限，但也可能仅限于某些访问权限，例如，通过计算机上的端口 21 启用文件传输协议 (FTP) 访问。

如果攻击可以启用 Telnet，黑客则可以将已感染计算机用作 Telnet 攻击在其他计算机上的临时区域。

3、信息窃取。

一种特别令人担心的恶意威胁是窃取信息。

如果会损害计算机的安全，则它可能会提供一种将信息传回作恶者的机制。

这种情况可以多种形式发生；例如，传输可以自动进行，从而使恶意软件可以很容易地获取本地文件或信息，例如，用户所按的键（以便获取用户名和密码）。

另一种机制是在本地机器上提供一种环境，使攻击者可以远程控制该机器，或直接获取对系统上文件的访问权限。

4、垃圾邮件。

邮件服务器承担公司内部所有的邮件交换和外部邮件转发，邮件是新型病毒传播的主要方式，邮件病毒如“I LOVE YOU”“SirCAM”“红色代码”“尼姆达”等类型的病毒存在邮箱中，在客户机邮件发送程序中自动进行垃圾邮件的发送，为企业和客户带来大量的垃圾邮件，而且会造成网络流量过载，极大影响正常通信工作。

5、拒绝服务 (DoS)。

可以传递的一种最简单的类型是拒绝服务攻击。

DoS 攻击是由攻击者发起的一种计算机化的袭击，它使网络服务超负荷或停止网络服务，如 Web 服务器、文件服务器、邮件服务器等。

6、分布式拒绝服务 (DDoS)。

DDoS 攻击是一种拒绝服务攻击，其中攻击者使用各种计算机上安装的恶意代码来攻击单个目标。

攻击者使用此方法对目标造成的影响很可能会大于使用单个攻击计算机造成的影响。

关于攻击怎样发生根据攻击的不同而不尽相同，但是它们通常都涉及将大量数据发送到特定的机器或网站，使其停止对合法通信的响应（或者无法响应）。

这样会完全占用受害站点的可用带宽，并且会有效地使此站点脱机。

2.4 企业网络全方位病毒防御策略随着新型混合型威胁的大规模传播，一个实用可行的企业级网络防病毒解决方案显然需要一个面向所有网络用户、各级文件服务器、邮件服务器和Internet网关服务器的全方位防毒解决方案。

应该在整个网络中，只要有可能感染和传播病毒的地方都应该有相应的解决方案，防止病毒的入侵和传播，确保网络的安全，保证能在本网络中实现多层最大限度的防护能力。

系统外部（Internet或外网）的病毒入侵：网关目前病毒进入最多的途径。

采用网关部署防病毒的措施。

可以保护和Internet、Intranet相联的内部计算机网络免受来自外部病毒的攻击，能断绝来自外网络JAVA，ACTIVEX病毒对内部网的入侵。

网络邮件系统：保护系统内的邮件服务器中邮件的安全，避免病毒引起的网络过载情况出现。

如果邮件服务器感染了病毒，通过邮件方式该病毒将以几何级数在网络内迅速传播，并且很快会导致邮件系统负荷过大而瘫痪。

因此在邮件系统上部署防病毒显得尤为重要。

文件服务器：文件资源共享是网络提供的基本功能，而且大大提高了资源的重复利用率，但是一旦服务器本身感染了病毒，就会对所有的访问者构成威胁。