怎么防范局域網(wǎng)病毒

野火燒不盡， 春風(fēng)吹又生。 其實(shí)， 不僅野草是如此， 企業(yè)內(nèi)部網(wǎng)絡(luò)中的病毒也是如此。 不少網(wǎng)絡(luò)安全管理人員都有類似的煩惱。 各個(gè)客戶端與服務(wù)器已經(jīng)部署了殺毒軟件而且已經(jīng)升級(jí)到最新的版本， 為什么局域網(wǎng)內(nèi)部還是會(huì)不斷出現(xiàn)殺不盡的病毒呢?

　　其實(shí)， 這是因?yàn)楝F(xiàn)在的病毒越來越會(huì)捉迷藏。 他會(huì)通過各種各樣的形式來隱藏自己， 不被殺毒軟件發(fā)現(xiàn)。 如有些病毒經(jīng)常采用反客為主的方式， 來躲避殺毒軟件的查殺。 如現(xiàn)在在系統(tǒng)的任務(wù)管理器中有一個(gè)svchost.exe的進(jìn)程。 這個(gè)進(jìn)程名字和操作系統(tǒng)名稱一模一樣， 大小寫也相同。 那是否說明這個(gè)進(jìn)程就是安全了的呢?其實(shí)不然。 現(xiàn)在有些病毒利用了任務(wù)管理器無法查看進(jìn)程對(duì)應(yīng)的可執(zhí)行文件這一缺陷， 來隱藏自己。 通常情況下， 系統(tǒng)的svchost.exe進(jìn)程對(duì)應(yīng)的可執(zhí)行文件存儲(chǔ)系統(tǒng)操作系統(tǒng)的系統(tǒng)目錄根目錄下面的一個(gè)文件夾中。 而病毒就可以把自身的病毒文件復(fù)制到系統(tǒng)目錄根目錄中， 并改名為svchost.exe。 病毒運(yùn)行后， 我們?cè)谌蝿?wù)管理起重看到的也是svchost.exe這個(gè)進(jìn)程。 看起來和系統(tǒng)的正常進(jìn)程無異， 其實(shí)， 此時(shí)病毒已經(jīng)反客為主， 以操作系統(tǒng)合法主人的身份光明正大的出現(xiàn)在我們面前。

　　所以， 現(xiàn)在病毒軟件隱蔽性越來越好。 真正具有危害性的病毒， 不會(huì)像熊貓病毒那樣， 那人一看就知道你網(wǎng)絡(luò)中毒了。 俗話說， 會(huì)咬人的狗不叫。 那些危害性大的病毒， 只會(huì)躲在幕后， 監(jiān)視著你。 在必要的時(shí)候， 如得到他們所需要的信息之后， 就悄然隱退。 這種病毒才是我們安全管理人員中的心頭大患。

　　那么該如何才能夠把病毒暴露在陽光之下， 如何才能夠不讓病毒春風(fēng)吹又生呢?為此筆者有如下建議。

　　一、文件服務(wù)器斷開網(wǎng)絡(luò)后定時(shí)查殺。

　　說句實(shí)話， 文件服務(wù)器確實(shí)給企業(yè)的信息化辦公與資源共享帶來了很大的便利。 但是， 其也往往是病毒的最大傳染源。 一方面企業(yè)網(wǎng)絡(luò)管理員在文件服務(wù)器上權(quán)限設(shè)置不當(dāng)， 很多共享文件夾為了工作方便， 用戶在訪問時(shí)不需要經(jīng)過身份認(rèn)證。 或者在操作系統(tǒng)啟動(dòng)時(shí)會(huì)自動(dòng)利用用戶名與密碼登陸文件服務(wù)起。 這些措施， 確實(shí)可以讓服務(wù)器身份驗(yàn)證對(duì)用戶透明， 節(jié)省了用戶驗(yàn)證的程序開銷。 但是， 無疑也給了病毒可乘之機(jī)。 若用戶所在的操作系統(tǒng)有病毒的話， 則其就可以輕易感染文件服務(wù)器上其具有寫操作權(quán)限的文件與文件夾。 而其他員工出于一種信任， 在訪問文件服務(wù)器上的文件也會(huì)特別注意。 如對(duì)于

一些記事本或者DOC文件直接在文件服務(wù)起上打開。 為此， 用戶就在無形之中充當(dāng)了幫兇， 在企業(yè)內(nèi)部傳染病毒。

　　另外， 文件服務(wù)器上的病毒由于環(huán)境復(fù)雜， 往往很難查殺。 因?yàn)榧磿r(shí)殺毒軟件查到某個(gè)文件有病毒， 但是其顯示的是無法直接刪除病毒， 除非連文件帶病毒一起刪除。 但是， 我們安全管理人員往往不能夠輕易下這個(gè)決定。 因?yàn)檫@個(gè)文件可能是員工的重要文件。 往往很多種情況都會(huì)導(dǎo)致病毒無法被查殺。 如有可能病毒一直在對(duì)病毒文件進(jìn)行寫操作， 有時(shí)也可能是因?yàn)橛袉T工在訪問這個(gè)帶病毒的文件。 無論是出于什么情況， 我們安全管理人員都不能夠冒這么大的風(fēng)險(xiǎn)把病毒帶其感染的文件一起刪除。

　　為此， 筆者建議， 在對(duì)文件服務(wù)器進(jìn)行病毒查殺的時(shí)候， 最好能夠中斷文件服務(wù)器跟企業(yè)網(wǎng)絡(luò)的連接。 或者說， 把文件服務(wù)器上的共享文件都取消掉。 然后在針對(duì)文件服務(wù)器的所有硬盤、內(nèi)存進(jìn)行查殺。 筆者在日常工作中， 往往是一個(gè)月一次。 公司實(shí)行的是雙休日， 所以筆者每個(gè)月都要加一天班。 先把文件服務(wù)器跟網(wǎng)絡(luò)斷掉， 重新啟動(dòng)后再查殺病毒。 如此的話， 就可以在最大程度上把一些隱藏的比較好的病毒殺死。 此時(shí)， 若發(fā)現(xiàn)無法刪除病毒時(shí)， 也可以放心大膽的先把病毒文件隔離開來， 然后再進(jìn)行一一排查。 因?yàn)榇藭r(shí)沒有員工連接到文件服務(wù)器上， 所以， 就不會(huì)對(duì)員工造成不必要的損失。

二、一鍵還原成為了病毒很好的處身之地。

　　不少網(wǎng)絡(luò)管理員為了系統(tǒng)維護(hù)的方便， 都會(huì)在操作系統(tǒng)中設(shè)置一鍵還原。 當(dāng)配置好用戶操作系統(tǒng)之后再對(duì)其進(jìn)行一鍵備份。 如此的話， 即使下次操作系統(tǒng)出現(xiàn)問題了， 也只需要通過一鍵還原， 從而在最短時(shí)間內(nèi)恢復(fù)操作系統(tǒng)。 要實(shí)現(xiàn)這個(gè)功能， 往往需要在系統(tǒng)的硬盤上專門劃出一個(gè)空間用來存儲(chǔ)這個(gè)備份文件。 同時(shí)， 為了保護(hù)這個(gè)文件的安全性， 系統(tǒng)往往會(huì)采取一些保護(hù)措施。 此時(shí)， 即使殺毒軟件發(fā)現(xiàn)這個(gè)備份文件有問題， 也束手無策。 有時(shí)候， 我們?cè)谶�原的時(shí)候， 才發(fā)現(xiàn)這個(gè)備份文件已經(jīng)不可用。 其實(shí)， 這很大一部分原因都是因?yàn)檫@個(gè)備份文件已經(jīng)被病毒感染。 平時(shí)用戶很難發(fā)現(xiàn)備份文件被病毒感染， 而只有在還原的時(shí)候才會(huì)發(fā)現(xiàn)。 這就給病毒留下了一個(gè)安全的處身之地。

　　另外， 在一些微軟的操作系統(tǒng)中， 也帶有備份還原功能。 通常情況下， 他們也會(huì)利用硬盤中的一個(gè)專門文件夾， 如RESTORE文件夾來管理這些文件。 操作系統(tǒng)也會(huì)為此采一些取保護(hù)措施。 然后， 這些所謂的保護(hù)措施往往不能夠防止病毒的入侵;但是， 卻可以防止殺毒軟件對(duì)病毒的查殺。 所以， 一般情況下， 病毒寄宿在這些文件夾中， 就會(huì)高枕無憂。

　　正是因?yàn)檫@些原因， 在企業(yè)網(wǎng)絡(luò)中的病毒才會(huì)屢殺不盡。 為此， 筆者建議， 若沒有特殊必要， 可以不用為操作系統(tǒng)設(shè)置備份還原功能。 對(duì)于有專業(yè)管理

人員的企業(yè)來說， 這的用處不大。 對(duì)于一般用戶的操作系統(tǒng)來說， 可以不用備份還原管理。 當(dāng)然， 對(duì)于應(yīng)用服務(wù)器等重要設(shè)備， 有這個(gè)必要。 若企業(yè)IT運(yùn)維人員確實(shí)喜歡利用這個(gè)備份還原功能的話， 那么我們安全管理人員就需要麻煩一些。 在定期對(duì)這些設(shè)備進(jìn)行查毒的時(shí)候， 需要把這些備份還原的功能先關(guān)掉， 釋放對(duì)這些特殊文件夾的保護(hù)。 這可以讓殺毒軟件可以查殺隱藏在這些文件夾內(nèi)部的病毒。 等到查殺成功后， 再開啟這些功能。

　　三、對(duì)于壓縮文件的強(qiáng)制查毒。

　　壓縮文件以前也一直是病毒很好的載體。 因?yàn)闅⒍拒浖�剛出現(xiàn)的時(shí)候， 對(duì)于壓縮文件中的病毒是手足無措的。 不過， 現(xiàn)在殺毒軟件對(duì)于壓縮軟件的殺毒技術(shù)已經(jīng)相當(dāng)完善， 可以輕易的清除壓縮軟件中的病毒。

　　但是， 其仍然有一些功能上的限制。 如這些壓縮文件如果設(shè)置了密碼的話， 則殺毒軟件就不能夠判斷其里面的文件是否帶有病毒。 另外， 一些特殊類型的壓縮文件， 殺毒軟件也無能為力。 如微軟在前些年推出了NTFS分區(qū)格式。 這個(gè)分區(qū)格式可以提供比較高的安全性。 同時(shí)也提供了一種文件壓縮的功能。 這個(gè)中間就有一段真空期。 那時(shí)， 殺毒人員對(duì)于這種壓縮格式的文件， 也只能夠望而遠(yuǎn)之。 不能夠?qū)ζ溥M(jìn)行病毒查殺。

　　所以， 到現(xiàn)在為止， 壓縮文件仍然是我們安全管理人員所關(guān)注的重點(diǎn)。 對(duì)于壓縮文件的管理， 主要是要做到一點(diǎn)。 就是對(duì)于壓縮文件， 一定要先進(jìn)行解壓縮， 特別是那些帶有密碼保護(hù)的壓縮文件。 用戶在得到這個(gè)文件之后， 要先用專門的壓縮攻擊解壓開來。 而不能夠通過雙擊的形式直接運(yùn)行這個(gè)解壓文件。 否則的話， 很可能會(huì)遭來滅頂之災(zāi)。 因?yàn)橄褚恍��?qiáng)制格式化磁盤等命令可以很輕易的加入到可執(zhí)行壓縮文件中。

　　筆者在企業(yè)管理中， 就規(guī)定任何員工從任何渠道接受到的壓縮文件， 都不能夠直接打開。 而必需先進(jìn)行解壓縮。 在必要的情況下， 如是一些應(yīng)用程序的話， 還必須進(jìn)行專門殺毒。 否則的話， 造成一切損失都要有員工自己承擔(dān)。 同時(shí)， 也在一些技術(shù)手段上進(jìn)行一些控制。 如對(duì)于ZIP等壓縮文件， 不能夠通過雙擊的方式打開。 從而提高對(duì)壓縮文件的管理。

　　另外， 在配合郵箱系統(tǒng)， 在郵箱客戶端上進(jìn)行設(shè)置， 若郵件中帶有RAR等壓縮文件的附件時(shí)， 要對(duì)其進(jìn)行強(qiáng)制殺毒。 防止這些帶病毒的壓縮文件進(jìn)入到企業(yè)內(nèi)部網(wǎng)絡(luò)。

　　野火燒不盡， 春風(fēng)吹又生。 現(xiàn)在在企業(yè)網(wǎng)絡(luò)病毒的防止上， 筆者認(rèn)為， 重點(diǎn)就應(yīng)該放在這些隱秘的病毒上。 明箭易防， 暗箭難躲。 如何防止這些病毒死而復(fù)生， 將是我們今后網(wǎng)絡(luò)安全工作的一個(gè)重點(diǎn)。 為此， 我們需要想盡方法， 把病毒趕盡殺絕。 上面幾個(gè)建議， 或許大家可以借鑒一下。