基于校园网的网络病毒防护体系的构建

2010-10-09吴以茵

赤峰学院学报·自然科学版 2010年9期

关键词：垃圾邮件防病毒校园网

吴以茵

（华侨大学计算机科学与技术学院，福建泉州 362021）

基于校园网的网络病毒防护体系的构建

吴以茵

（华侨大学计算机科学与技术学院，福建泉州 362021）

目前网络环境下的计算机病毒越来越向“多样化”发展，多样化表现在传播途径的多样化、功能的多样化、危害的多样化.本文对校园网计算机病毒的入侵等途径进行了分析，并通过对校园网己采取的安全措施的分析，提出了校园网具体的防毒需求.该解决方案的实施会为大学校园网提供了全面的病毒防护，保障了校园网的高效、稳定、安全运行.

网络病毒；校园网；防病毒

计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码.网络环境下病毒除了具有可传播性、可执行性、隐蔽性、破坏性等计算机病毒的共性外，还具有，如主动通过网络和邮件系统传播、传播速度极快、危害性极大、变种多、难于控制等特征.

自上世纪80年代末90年初反病毒产品市场初步形成以来,反病毒技术在我国已经走过了二十多年的发展历程.病毒与反病毒技术不断发展、变化、斗争,推动着反病毒技术随之也不断地向前发展.经过这些年的发展,我国的反病毒研究也取得了长足发展,涌现出不少品牌厂商,初步形成一大产业,为国家的信息化建设做出了贡献.随着个人电脑用户反病毒意识的增强、反病毒技术的深入研究、我国信息安全基础建设的不断完善,病毒防治能力也将日益强大.

1 基于校园网的网络病毒防护需求分析

1.1 校园网网络病毒入侵分析

由于校园网通过CERNET,CHINANET与外网相连，很可能会受到外网中的不安全因素的影响，产生病毒传播、黑客攻击、网络非法访问等安全问题.同时，校园网连接的除了学校的各学院、系等教学行政单位网络，还连接校内的学生机器，也面临着来自内部的病毒破坏与一些内部用户的非法访问等.

想对病毒进行防御应首先分析它的特点以及它是使用那些方式进行入侵，针对这些特点及入侵途径再采取相关的防御措施才能有效的保护相关资源.

1.2 校园网网络病毒防护需求

1.2.1 已采取的安全措施一防火墙

防火墙是指隔离在本地网络与外界网络之间的防御系统.在互联网上防火墙是一种非常有效的网络安全模型，通过它可以隔离风险区域与安全区域的连接，同时不会妨碍用户对风险区域的访问.防火墙可以监控进出网络的通信量.它只让安全、核准的信息进入，同时抵制对企业有威胁的数据.由于对网络的入侵不仅来自高超的攻击手段，也可能来自配置上的低级错误或不合适的密码选择.因此，防火墙可以防止不希望的、未授权的通信进出被保护的网络，使得单位可以加强自己的网络安全.

在逻辑上，防火墙是一个分离器、一个限制器，同时也是一个分析器，有效地监控了内部网和Internet之间的任何活动，确保了内部网络的安全.

校园网中防火墙的部署示意图如图1：

图1 防火墙部署示意图

防火墙一般将大学内部网络与Internet隔离成三个区域，即公共网区域、DMZ区域（即主干交换机和服务器区域）、大学内部网络区域.

1.2.2 防火墙的作用与不足

防火墙就是保护网络安全最主要的手段之一，它是设置在被保护网络与外部网络之间的一道屏障，以防止不可预测的、潜在破坏的非法入侵.它通过监测、限制、修改跨越防火墙的数据流，尽可能地对外屏蔽网络内部的结构、信息和运行情况，以此来实现内部网络的安全保护.

尽管事实上防火墙根据定义都可以检查应用层的通信，但它们事实上存在一些漏洞.对应用检查存在的主要问题是，采取了简化方式的检查，并且这种检查缺乏彻底性.

1.2.3 目前弥补措施主要有以下几种

1.2.3.1 为了弥补路由器防火墙的不足，很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络，从而推动了用户防火墙工具套的出现.作为第二代防火墙产品，用户化的防火墙工具套具有以下特征：

（1）将过滤功能从路由器中独立出来，并加上审计和告警功能；

（2）针对用户需求，提供模块化的软件包；

（3）软件可以通过网络发送，用户可以自己动手构造防火墙；

（4）与第一代防火墙相比，安全性提高了，价格也降低了.

由于是纯软件产品，第二代防火墙产品无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求，并带来以下问题：配置和维护过程复杂、费时；对用户的技术要求高；全软件实现，使用中出现差错的情况很多.

1.2.3.2 基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品.近年来市场上广泛使用的就是这一代产品，它们具有如下一些特点：

（1）是批量上市的专用防火墙产品；

（2）包括分组过滤或者借用路由器的分组过滤功能；

（3）装有专用的代理系统，监控所有协议的数据和指令；

（4）保护用户编程空间和用户可配置内核参数的设置；

（5）安全性和速度大大提高.

第三代防火墙有以纯软件实现的,也有以硬件方式实现的,它们已经得到了广大用户的认同.但随着安全需求的变化和使用时间的推延，仍表现出不少问题.

1.2.3.3 防火墙技术和产品随着网络攻击和安全手段的发展而演进，到1997年初，具有安全操作系统的防火墙产品面市，使防火墙产品步入了第四个发展阶段.

具有安全操作系统的防火墙本身就是一个操作系统，因而在安全性上较之第三代防火墙有质的提高.获得安全操作系统的办法有两种：一种是通过许可证方式获得操作系统的源码；另一种是通过固化操作系统内核来提高可靠性，由此建立的防火墙系统具有以下特点：

（1）防火墙厂商具有操作系统的源代码，并可实现安全内核；

（2）对安全内核实现加固处理：即去掉不必要的系统特性，加上内核特性，强化安全保护；

（3）对每个服务器、子系统都作了安全处理，一旦黑客攻破了一个服务器，它将会被隔离在此服务器内，不会对网络其它部分构成构成威胁；

（4）在功能上包括了分组过滤、应用网关，且具有加密与鉴别功能；

（5）透明性好，易于使用.

2 校园网防病毒系统的设计

大学校园网络是一个跨区域，跨操作系统，多服务器，多用户，多业务，多数据的；另一方面是同时运行多程序，多数据流向，和各种数据业务的服务.为了确保整个网络的病毒防御能力，必须要以网络系统的角度考虑禁毒解决方案.

为了在整个系统的实施过程中保持流畅和平稳，做到尽量不影响既有网络系统的正常工作，防病毒系统必须有很好的系统兼容性和稳定性.防病毒系统的升级和部署功能应做到完全自动化，整个系统应具有每日更新的能力、也应做到能够对整个系统进行管理和监控，并能集中生成日志报告与统计信息.这是我们在设计防病毒系统时首先要考虑的原则.

从网络病毒的特点和传播途径的分析中可以看出，网络环境下病毒越来越向“多样化”发展，多样化表现在传播途径的多样化、功能的多样化、危害的多样化.病毒的这种新特点和发展趋势决定了校园网的防病毒解决方案必须是一个综合性的多层次的安全解决方案.

基于以上考虑，我们提出了“层层设防，集中控管，以防为主、防治结合”的立体的校园网防毒策略.在校园网网络安全防护范围内，首先要考虑，数据或编码所经过的每一点和每一个可能的目的地都需要保护.校园网中的防护对象包括邮件服务器、文件/应用服务器和桌面PC和笔记本电脑，并对这些对象逐一进行加固.邮件服务器的防护、文件/应用服务器的防护、桌面PC和笔记本电脑的防护，这三道防线和防火墙构成立体的跨平台的病毒防护体系，进而实现校园网络每一个层次上的有效病毒防护.如下图2.

图2 整体防网络病毒方案

据有关数据显示，在网络中传播的每10个病毒中有8个是通过电子邮件传播的，邮件服务器成为了病毒的扩散源头.所以必须对邮件服务器进行有效的防护.

邮件服务器的防护还应包括防止垃圾邮件的随意传播.根据中国互联网络信息中心发布的第14次《中国互联网络发展状况统计报告》显示，网民每周收到的垃圾邮件数为非垃圾邮件数的两倍，而且还有继续上升的势头.垃圾邮件，几乎毁掉电子邮件服务.与此同时，企业也不得不面对接踵而至的安全威胁，邮件服务器所遭受的攻击在各类攻击中占据很大的比例，在很多企业里，垃圾邮件消耗掉超过1/3的邮件服务器的资源，导致网络资源的浪费，给企业带来经济上的巨大损失.遏制垃圾邮件乃是当务之急.

服务器是网络中的核心设备，它支撑校园网中的各种应用服务正常运行，并保存有大量重要的用户数据.大学现有的应用服务器有WWW服务器、FTP服务器、电影服务器等.由于这些服务器为网络中所有的工作站提供服务，因而也成为病毒理想的隐身寄居场所，进而通过服务器一工作站的模式将病毒轻易扩散到网络中所有工作站上.因此需要保护所有的服务器.

大量的桌面PC和笔记本电脑是最终用户直接进行操作的节点，网络特征决定了连接在网络上的每一台机器都是一个安全整体，每一台机器的病毒防护能力决定了整体的防护能力，“木桶原理”在这里是适用的，网络的整体安全特性决定于安全防护最差的那台机器.这就需要要对网络中的每一台桌面PC和笔记本电脑进行保护.

下面分别就每一道防线，详细说明它的必要性和具体设计思想.

2.1 第一道防线一邮件服务器防护

2.1.1 邮件服务器的安全性分析

2.1.1.1 邮件服务器的工作原理

邮件服务器是用来接收和发送电子邮件用的，一般由若干协同工作的小程序组成，在Unix/Linx下邮件服务器通常被分成3个模块：邮件分发代理MDA（Mail Deliver A-gent）；邮件传送代理MTA（Mail Transfer Agent）；邮件用户代理MUX(Mail User Agent)，其工作原理如图3-2所示.

图3 邮件用户代理MUX(Mail User Agent)工作原理如图

2.1.1.2 邮件服务器的安全性分析

电子邮件协议是电子邮件系统的重要组成部分，通过这些协议，可以在邮件服务器间传递邮件，用户也可以从邮件服务器上读取邮件.目前常用的邮件协议有SMTP、POP3、IMAP、MIME.由于这些协议本身存在很多漏洞，使得传输电子邮件具有很大的不安全性.黑客可以利用这些漏洞攻击邮件服务器.

2.1.1.3 邮件内容的安全问题

邮件内容的安全问题主要包含监听问题、木马问题、缓存的危险、冒名顶替等安全问题.

2.1.1.4 垃圾邮件问题

垃圾邮件（spam）现在还没有一个非常严格的定义.一般来说，凡是未经用户许可就强行发送到用户的邮箱中的任何电子邮件.

垃圾邮件一般具有批量发送的特征.见内容包括赚钱信息、成人广告、商业或个人网站广告、电子杂志、连环信等.垃圾邮件可以分为良性和恶性的.良性垃圾邮件是各种宣传广告等对收件人影响不大的信息邮件.恶性垃圾邮件是指具有破坏性的电子邮件.

2.1.2 解决方案

针对邮件传播的病毒，可以部署邮件网关防毒产品，它在逻辑上位于邮件服务器的前面，邮件防毒网关针对别评协议进行邮件过滤，与具体的邮件服务器系统无关，具有通用性，这种方式既保护了邮件服务器，又比直接在邮件服务器上安装杀毒软件具有更高的效率.

接收邮件时，根据别评协议的规则，邮件总是先试图传递给由DNS的HK记录定义的优先级最高的邮件主机，如果失败则通过传递给优先级次高的邮件主机；在同一优先级的邮件主机都尝试失败后，才试图传递给优先级稍低的邮件主机，也就是到来的邮件由高优先级的邮件主机先进行处理，如果该服务器出现故障，邮件自动发给第二优先级服务器，依次直到最低优先级服务器，邮件防毒网关本身也是一个SARIP服务器，给它指定最高的优先级，就使得所有邮件及附件先发给它进行扫描杀毒处理，然后再送给实际的邮件服务器.

发送邮件时，客户机端可把别评服务器设置为邮件防毒网关的BP地址，这样用户邮件由该服务器直接发出；或者把别评服务器指定为邮件服务器，它接受到用户外发的邮件后再把其送往邮件防毒网关，再那里查杀网络病毒后再转发到目的地.

邮件网关防毒产品分软硬两种，软件产品一般部署在服务器上，工作时要消耗系统资源，其性能受硬件配置和操作系统的影响，总体稳定性差些，与之相比，硬件网关防毒产品总体性能更好.

除了防毒之外，利用邮件防毒网关也能够阻止垃圾邮件，拦截与业务无关的细心.

2.2 第二道防线—文件/应用服务器防网络病毒

2.2.1 服务器的安全性分析

服务器是网络中的核心设备，它支撑校园网中的各种应用正常运行，并保存有大量的重要的用户数据.大学中所有的应用服务器一般有WWW服务器、FTP服务器、电影服务器.大多采用的是Windows平台.

一般专职的服务器不会通过浏览网页或通过电子邮件感染网络病毒，但是网络病毒一般通过漏洞入侵服务器，漏洞是网络病毒入侵各种网络服务器最常见而且最有效的方式.其中可分为操作系统本身的漏洞（如：Windows、Linux）、网络系统漏洞（如IIS、FTP服务器）、后端数据库系统漏洞（如;SQL服务器、MySQL）等.

拒绝服务攻击(Denial of Service)

所谓的拒绝服务攻击就是对Web服务器、FTP服务器、Telnet服务器等收到攻击后无法提供服务或很难提供服务.拒绝服务攻击主要可分为数据包攻击、漏洞攻击与分布式攻击等.

此外对与一般电脑的攻击方式也都可以攻击服务器.

病毒攻击服务器后会偷取或删除文件、偷取重要数据库文件、创建后门等.不管是WWW服务器还是数据库服务器一旦染上病毒而数据受到破坏对学校来说都是个很大的损失.而且服务器染上病毒后会通过服务器一工作站的模式将病毒轻易扩散到整个络中所有工作站上.

2.2.2 解决方案

想有效的保护服务器，必须要做到防止病毒通过漏洞入侵服务器、防止拒绝服务攻击，而且要提供实时的病毒防护.

对于服务器本身来说，应该及时查找和修补漏洞来防止病毒的漏洞服务攻击，并且要借助第三方针对服务器的防病毒软件来获得实时的病毒防护.

为了实现上述功能我们在文件/应用服务器上安装基于服务器的杀毒软件.服务器版杀毒软件具有实时病毒监控功能，远程安装、远程调用功能，病毒码自动更新功能以及病毒活动日志、多种报警通知方式等，对校园网内文件服务器提供24小时自动病毒防护.

2.3 第三道防线一网络客户端防毒

2.3.1 桌面PC和笔记本电脑的安全性分析

大量的桌面PC和笔记本电脑，也就是工作站，是最终用户直接进行操作的节点，也是学校的各行政部门和学院办公的主要手段.随着网络基础设施的完善，人们越来越依赖网络，现在的办公和学习越来越离不开电脑和网络.

校园网用户在享受网络带来的便捷的同时也面临着网络中的各种威胁，主要是来自内部和外部的病毒的威胁.

病毒入侵网络中工作站的方式除了通过移动的存储介质传播等一般电脑的入侵途径外，还有以下几种主要的入侵途径:IP入侵、E-mail入侵、借助文件下载入侵、通过浏览网页入侵等.其中IP入侵途径己经通过防火墙的NET转换来解决、E-mail入侵己通过邮件网关来解决，我们主要解决防止病毒通过借助文件下载和通过浏览网页入侵等.

由于存在各种不同的操作平台、不同的使用习惯、不同的使用目的，对工作站的防护是校园网中最难完成的任务.桌面PC和笔记本电脑的防护对于校园网用户而言，是杀毒的要塞.

2.3.2 解决方案

网络环境下防病毒工作己经是一个整体的全局性的工作，不再像单机时代那样，发一套杀毒软件，大家在需要时各自查杀一下，只要不用来历不明的软盘和光盘，机器就不会感染病毒.

网络特征决定了连接在网络上的每一台机器都是一个安全整体，每一台机器的病毒防护能力决定了整体的防护能力，“木桶原理”在这里是适用的，网络的整体安全特性决定于安全防护最差的那台机器.这就需要在保护网络中的每一台机器.

举个例子，网络中如果有一台机器没有保护，无孔不入的网络病毒就可能在这台机器上安家生根，并潜伏在这台机器上随时向其他有防护弱点的机器发起进攻.更可怕的是，有恶意的外部攻击者可能通过这台被感染的机器窃取或破坏网络中其他机器的数据.

考虑到网络终端的分布范围非常大，而且使用人员的计算机技术素质与安全意识也参差不齐，所以我们选择了网络版的杀毒软件.

网络版杀毒软件相对单机版而言有全网清查不留死角、安装升级方便快速、可以实现全网集中管理等优势.