常用杀毒软件及其解决方案上海交通大学信息安全工程学院本章学习目标
了解国内外著名杀毒软件
掌握病毒防治解决方案内容
常用杀毒软件
解决方案国内外著名杀毒软件
杀毒软件概述
杀毒软件必备功能
六款流行企业版杀毒产品比较
产品比较评论
反病毒产品的地缘性杀毒软件必备功能
病毒查杀能力
– 漏报率
– 误报率
– 清除能力
自我保护能力
对新病毒的反应能力
– 软件供应商的病毒信息收集网络
– 病毒代码的更新周期
– 供应商对用户发现的新病毒的反应周期。
对文件的备份和恢复能力
实时监控功能
及时有效的升级功能
智能安装、远程识别功能
界面友好、易于操作
对现有资源的占用情况
系统兼容性
软件的价格
软件商的实力六款流行企业版杀毒产品比较
评测机构:,计世商情网,
样本:,诺顿”、,Macfee”、“趋势”、
“卡巴斯基”、“瑞星”、“金山”
时间,2004年 8月
评测项目
– 程序界面,扫描设置、查杀病毒能力,系统资源占用,邮件扫描支持,病毒报警,病毒库升级频率评测结果项目 诺顿 Macfee 趋势 卡巴斯基 瑞星 金山程序界面 ★★★★ ★★★ ★★★★ ★★★★ ★★★★ ★★★★★
扫描设置 ★★★★★ ★★★★ ★★★ ★★★★★ ★★★★ ★★★★
查杀病毒 ★★★★★ ★★★ ★★★★★ ★★★★ ★★★★ ★★★
查毒速度 ★★★★ ★★★★ ★★★★★ ★★★★ ★★★★ ★★★★
占用资源 ★★★ ★★★★★ ★★★★★ ★★★★ ★★★★ ★★★
邮件支持 ★★★★★ ★★★★ ★★★★ ★★★★★ ★★★★ ★★★★
病毒报警 ★★★★★ ★★★★★ ★★★★★ ★★★ ★★★★ ★★★
升级频率 ★★★★ ★★★★★ ★★★★★ ★★★★ ★★★★★ ★★★★★
综合评比 ★★★★★ ★★★★ ★★★★★ ★★★★ ★★★★ ★★★
反病毒产品的地缘性
病毒编制者的生活空间
– 病毒的传播以病毒编制者初始的地点为中心,逐渐向周围扩散。
特定的操作系统或者流行软件环境
– 操作系统相关的病毒
– 软件 ——即时消息
——宏病毒
定向性攻击和条件传播
– 蠕虫病毒扫描范围,条件判断地缘性对反病毒产品的影响
Internet非常落后的时代 ——地缘性最严重
宏病毒流行时期 ——技术壁垒加重了地缘性
Internet普及的今天 ——地缘性差距又缩减的趋势
– 病毒样本网上流通地缘性对国外主流产品的新挑战
几个典型蠕虫表明中国已经成为中国全球病毒扩散的中心节点之一
– 国产蠕虫 Worm.Solaris.Sadmind
– 造成微软源码失窃的 Worm.Qaz也被怀疑出自国人之手
木马病毒大量出现
– 冰河、广外女生、网络神偷
针对 OICQ、国内网络工具等的专用木马大量出现
– OICQ、边锋、联众、传奇国外主流产品的本土化改造
国外产品需要改造的地方
– 1、如何有效的对抗本土病毒的新技术点;
– 2、如何更迅速的采集并响应本土病毒样本;
– 3、如何并非简单汉化而使产品逐步符合中国用户的习惯;
– 4、如何推广企业级的反病毒思路;
– 5、如何让国内用户认识到国际产品的技术优势。
国外企业进军中国的途径
– 第一类是在中国建立分支机构,不设立研发部门,通过用户渠道解决相关问题,这种方式成本低,但是很多方面都受到一定限制。
– 第二类是逐步在国内建立独立研发中心。完成汉化和本土病毒处理,这种方式效果好,但是成本比较高。
– 第三类是与国内反病毒企业合资,使国内现有品牌换装国外先进的引擎,利用原有企业力量完成汉化和本土病毒处理,这种方式需要一定的机遇。
– 第四类是选择一个非商用反病毒的本土技术型企业合作,开展全新的模式,既降低成本,也保证效果。
企业级病毒防治方案
重要性
需求分析
典型分析
典型应用
病毒在网络上传播的过程
企业网络防病毒方案企业防病毒的需求 —— 企业自身评估
1.哪些计算机正在运行实时性的防毒软件?
2.如何更新病毒的定义码?
3.哪些计算机没有运行防病毒软件,为什么没有?
4.现有的防病毒软件效果和功能是否能保证系统的安全?
5.过去是否曾遭受病毒的侵害?
6.谁负责处理用户病毒问题?
7.用人工处理一次病毒危机的花费多少?
8.如果企业计算机系统一天不能运行,损失有多少?
9.如果病毒发作,信息系统是否会瘫痪?
10.如果系统瘫痪或重要数据丢失,恢复的难度有多大,
费用有多高?
企业防病毒的需求 —— 考虑因素
1.防毒软件每台机器都要安装,很麻烦且费时费力!
2,面对上千台机器的病毒定义码更新,防毒软件要持续同步、实时、有效更新,这些由谁来做?需要多少专人管理?
3.一般行政人员或不太了解计算机的人员是否可以轻松使用,简捷更新和升级。
4,是否可以透过某种轻松的方式一次性设定,也就是说,
能否使软件的安装、防病毒策略的定义、实施以及病毒定义码和扫描引擎的更新和升级变得非常简单,甚至完全自动化?
5.标准预设的防毒选项设置不一定适用所有的工作站。
6.很难分析统计病毒攻击事件的次数、原因以及来源。
7.用户随意更改防病毒策略和选项设置或忘记更新最新的病毒定义码和扫描引擎,甚至卸载防病毒软件,这样即使装了防毒软件,仍然不到防病毒的效果。
8.移动用户太多,无法有效、及时的掌握和把最新的病毒定义码送到移动用户手中。
9.是否能够很方便地在多种平台下进行安装、维护升级等工作。
10.是否可以对网络进行全方位、多层次地预防和过滤病毒。
企业防病毒的需求 —— 对产品的要求
多层次、全方位的防病毒保护工作环境 --跨平台的技术及强大功能
先进的防病毒技术
简易快速的网络防病毒软件安装和维护
集中和方便地进行病毒定义码和扫描引擎的更新
方便、全面、友好的病毒警报和报表系统管理机制
病毒防护自动化服务机制
客户端防病毒策略的强制定义和执行
快速、有效地处理未知病毒
合理的预算规划和低廉的总拥有成本
良好的服务与强大支持企业网络的典型结构文 件 服 务 器
I D C
邮 件 服 务 器
I n t e r n e t
防 火 墙网 关
从网络基本结构上看,一个典型的企业网络包括网关( Gateway)、服务器(文件服务器、邮件服务器等)和客户端。
从网络的应用模式上看,现代企业网络都是基于服务器 /客户端的计算模式。
从操作系统上看,企业网络的客户端基本上都是
Windows平台,中小企业服务器一般采用 Win
NT/2000系统,部分行业用户或大型企业的关键业务应用服务器采用 Unix操作系统。
从通讯协议上看,目前企业网络绝大部分采用
TCP/IP协议。
企业网络的典型应用
文件和打印服务共享
办公自动化系统
企业信息管理系统( MIS)
Internet应用等领域病毒在网络上传播的过程文 件 服 务 器
I D C
邮 件 服 务 器
I n t e r n e t
防 火 墙网 关
1
2
3
4
5
病毒在企业网中的几种传播途径:
– 第一种是来自互联网。网络上有些计算机具有连接互联网的功能,
而互联网上有许多可供下载的程序、文件、信息。另外,收发
Email也必须通过互联网。这些都是病毒进入企业内部网络的入口。
– 第二种是使用网络上带病毒共享文件。当使用网上服务器或其他计算机上的带病毒共享文件或开机时使用了服务器中带毒的引导文件时,网络用户计算机系统就可能被感染病毒,也可能将病毒感染到其他计算机中共享目录下的文件。如果服务器本身已感染了计算机病毒,则连在网上的计算机在共享服务器资源和操作时,
互相很容易引起交叉感染。
– 第三种是直接使用带病毒文件。如果某个客户端不小心感染了经过其他途径(移动硬盘、光盘等)传染的病毒,就很容易导致网络内部交叉感染。
企业网络防病毒方案
局域网防病毒方案广域网防病毒方案典型的防病毒方案案例
了解国内外著名杀毒软件
掌握病毒防治解决方案内容
常用杀毒软件
解决方案国内外著名杀毒软件
杀毒软件概述
杀毒软件必备功能
六款流行企业版杀毒产品比较
产品比较评论
反病毒产品的地缘性杀毒软件必备功能
病毒查杀能力
– 漏报率
– 误报率
– 清除能力
自我保护能力
对新病毒的反应能力
– 软件供应商的病毒信息收集网络
– 病毒代码的更新周期
– 供应商对用户发现的新病毒的反应周期。
对文件的备份和恢复能力
实时监控功能
及时有效的升级功能
智能安装、远程识别功能
界面友好、易于操作
对现有资源的占用情况
系统兼容性
软件的价格
软件商的实力六款流行企业版杀毒产品比较
评测机构:,计世商情网,
样本:,诺顿”、,Macfee”、“趋势”、
“卡巴斯基”、“瑞星”、“金山”
时间,2004年 8月
评测项目
– 程序界面,扫描设置、查杀病毒能力,系统资源占用,邮件扫描支持,病毒报警,病毒库升级频率评测结果项目 诺顿 Macfee 趋势 卡巴斯基 瑞星 金山程序界面 ★★★★ ★★★ ★★★★ ★★★★ ★★★★ ★★★★★
扫描设置 ★★★★★ ★★★★ ★★★ ★★★★★ ★★★★ ★★★★
查杀病毒 ★★★★★ ★★★ ★★★★★ ★★★★ ★★★★ ★★★
查毒速度 ★★★★ ★★★★ ★★★★★ ★★★★ ★★★★ ★★★★
占用资源 ★★★ ★★★★★ ★★★★★ ★★★★ ★★★★ ★★★
邮件支持 ★★★★★ ★★★★ ★★★★ ★★★★★ ★★★★ ★★★★
病毒报警 ★★★★★ ★★★★★ ★★★★★ ★★★ ★★★★ ★★★
升级频率 ★★★★ ★★★★★ ★★★★★ ★★★★ ★★★★★ ★★★★★
综合评比 ★★★★★ ★★★★ ★★★★★ ★★★★ ★★★★ ★★★
反病毒产品的地缘性
病毒编制者的生活空间
– 病毒的传播以病毒编制者初始的地点为中心,逐渐向周围扩散。
特定的操作系统或者流行软件环境
– 操作系统相关的病毒
– 软件 ——即时消息
——宏病毒
定向性攻击和条件传播
– 蠕虫病毒扫描范围,条件判断地缘性对反病毒产品的影响
Internet非常落后的时代 ——地缘性最严重
宏病毒流行时期 ——技术壁垒加重了地缘性
Internet普及的今天 ——地缘性差距又缩减的趋势
– 病毒样本网上流通地缘性对国外主流产品的新挑战
几个典型蠕虫表明中国已经成为中国全球病毒扩散的中心节点之一
– 国产蠕虫 Worm.Solaris.Sadmind
– 造成微软源码失窃的 Worm.Qaz也被怀疑出自国人之手
木马病毒大量出现
– 冰河、广外女生、网络神偷
针对 OICQ、国内网络工具等的专用木马大量出现
– OICQ、边锋、联众、传奇国外主流产品的本土化改造
国外产品需要改造的地方
– 1、如何有效的对抗本土病毒的新技术点;
– 2、如何更迅速的采集并响应本土病毒样本;
– 3、如何并非简单汉化而使产品逐步符合中国用户的习惯;
– 4、如何推广企业级的反病毒思路;
– 5、如何让国内用户认识到国际产品的技术优势。
国外企业进军中国的途径
– 第一类是在中国建立分支机构,不设立研发部门,通过用户渠道解决相关问题,这种方式成本低,但是很多方面都受到一定限制。
– 第二类是逐步在国内建立独立研发中心。完成汉化和本土病毒处理,这种方式效果好,但是成本比较高。
– 第三类是与国内反病毒企业合资,使国内现有品牌换装国外先进的引擎,利用原有企业力量完成汉化和本土病毒处理,这种方式需要一定的机遇。
– 第四类是选择一个非商用反病毒的本土技术型企业合作,开展全新的模式,既降低成本,也保证效果。
企业级病毒防治方案
重要性
需求分析
典型分析
典型应用
病毒在网络上传播的过程
企业网络防病毒方案企业防病毒的需求 —— 企业自身评估
1.哪些计算机正在运行实时性的防毒软件?
2.如何更新病毒的定义码?
3.哪些计算机没有运行防病毒软件,为什么没有?
4.现有的防病毒软件效果和功能是否能保证系统的安全?
5.过去是否曾遭受病毒的侵害?
6.谁负责处理用户病毒问题?
7.用人工处理一次病毒危机的花费多少?
8.如果企业计算机系统一天不能运行,损失有多少?
9.如果病毒发作,信息系统是否会瘫痪?
10.如果系统瘫痪或重要数据丢失,恢复的难度有多大,
费用有多高?
企业防病毒的需求 —— 考虑因素
1.防毒软件每台机器都要安装,很麻烦且费时费力!
2,面对上千台机器的病毒定义码更新,防毒软件要持续同步、实时、有效更新,这些由谁来做?需要多少专人管理?
3.一般行政人员或不太了解计算机的人员是否可以轻松使用,简捷更新和升级。
4,是否可以透过某种轻松的方式一次性设定,也就是说,
能否使软件的安装、防病毒策略的定义、实施以及病毒定义码和扫描引擎的更新和升级变得非常简单,甚至完全自动化?
5.标准预设的防毒选项设置不一定适用所有的工作站。
6.很难分析统计病毒攻击事件的次数、原因以及来源。
7.用户随意更改防病毒策略和选项设置或忘记更新最新的病毒定义码和扫描引擎,甚至卸载防病毒软件,这样即使装了防毒软件,仍然不到防病毒的效果。
8.移动用户太多,无法有效、及时的掌握和把最新的病毒定义码送到移动用户手中。
9.是否能够很方便地在多种平台下进行安装、维护升级等工作。
10.是否可以对网络进行全方位、多层次地预防和过滤病毒。
企业防病毒的需求 —— 对产品的要求
多层次、全方位的防病毒保护工作环境 --跨平台的技术及强大功能
先进的防病毒技术
简易快速的网络防病毒软件安装和维护
集中和方便地进行病毒定义码和扫描引擎的更新
方便、全面、友好的病毒警报和报表系统管理机制
病毒防护自动化服务机制
客户端防病毒策略的强制定义和执行
快速、有效地处理未知病毒
合理的预算规划和低廉的总拥有成本
良好的服务与强大支持企业网络的典型结构文 件 服 务 器
I D C
邮 件 服 务 器
I n t e r n e t
防 火 墙网 关
从网络基本结构上看,一个典型的企业网络包括网关( Gateway)、服务器(文件服务器、邮件服务器等)和客户端。
从网络的应用模式上看,现代企业网络都是基于服务器 /客户端的计算模式。
从操作系统上看,企业网络的客户端基本上都是
Windows平台,中小企业服务器一般采用 Win
NT/2000系统,部分行业用户或大型企业的关键业务应用服务器采用 Unix操作系统。
从通讯协议上看,目前企业网络绝大部分采用
TCP/IP协议。
企业网络的典型应用
文件和打印服务共享
办公自动化系统
企业信息管理系统( MIS)
Internet应用等领域病毒在网络上传播的过程文 件 服 务 器
I D C
邮 件 服 务 器
I n t e r n e t
防 火 墙网 关
1
2
3
4
5
病毒在企业网中的几种传播途径:
– 第一种是来自互联网。网络上有些计算机具有连接互联网的功能,
而互联网上有许多可供下载的程序、文件、信息。另外,收发
Email也必须通过互联网。这些都是病毒进入企业内部网络的入口。
– 第二种是使用网络上带病毒共享文件。当使用网上服务器或其他计算机上的带病毒共享文件或开机时使用了服务器中带毒的引导文件时,网络用户计算机系统就可能被感染病毒,也可能将病毒感染到其他计算机中共享目录下的文件。如果服务器本身已感染了计算机病毒,则连在网上的计算机在共享服务器资源和操作时,
互相很容易引起交叉感染。
– 第三种是直接使用带病毒文件。如果某个客户端不小心感染了经过其他途径(移动硬盘、光盘等)传染的病毒,就很容易导致网络内部交叉感染。
企业网络防病毒方案
局域网防病毒方案广域网防病毒方案典型的防病毒方案案例
