张媛

（南京金州城北污水处理有限公司，江苏 南京 210015）

1 引言

计算机网络的发展很大程度上改变了人们工作、学习、生活的方方面面，并且在各行各业中发挥着举足轻重的作用。与此同时，威胁计算机网络信息安全的因素也日益增多。无论个人还是公用的计算机在使用过程中常常因为计算机病毒侵扰而导致计算机系统运行故障、硬件损坏、重要数据丢失，甚至造成经济损失，相关工作及其他业务受此影响无法正常开展[1]。目前绝大多数计算机都是联网用户，病毒依靠网络迅速广泛传播，使技术维护人员陷入大量的系统修复与数据还原的工作之中。针对这些威胁计算机网络的安全隐患，病毒防护已成为当前用户所面临的最大问题。因此，结合当前网络环境特点有针对性地开发一套系统性的病毒防护方案，对于降低病毒破坏作用、消灭各类病毒引发的计算机故障、减轻技术人员劳动强度、提高计算机安全运行质量有着积极的意义。

2 病毒防护方案设计的初衷和立足点

2.1 设计初衷

首先，病毒防护方案需要适应当前网络环境，在深入了解了各类病毒特点、传播方式和杀毒技术的优缺点的基础之上，制定有针对性的不同措施的组合；其次，防护方案要求成本低廉、占用系统资源少、效果稳定、部署简单快捷，尽力保证计算机处理工作的效率，否则难以取得大规模普及和推广应用；第三，所采用的各项防护措施应统一和相互配合，如果不同病毒防护措施相互冲突，反而削弱了整体防护效果[2]。

2.2 立足点

病毒防护方案的设计至少要解决两方面的问题：第一，在较短时间内彻底清除公用计算机病毒，最大限度降低病毒的危害；第二，阻止病毒在网络环境下传播扩散，避免造成其他计算机的故障和破坏。

当前计算机采用的反病毒技术很多，比较常见的有杀毒软件技术和还原保护技术两大类，而还原保护技术中又有镜像系统、软件虚拟还原和硬件保护卡三种具体形式。在这些技术中，用户可以从自身需求出发，对软件特点、保护方式、复杂程度等方面进行对比研究，选择适合自己的方案。

对病毒的防护工作必须先分析病毒属性、入侵方式、传播途径等特点[3]，然后才能制定有针对性的解决方案。在网络环境下常见的流行病毒中，既有因用户不规范操作而进行传播的，也有借助网络进行传播的。需要特别指出的是，有些计算机感染病毒，并不能直接删除感染文件或者禁用某种媒体，必须转换思路，找到病毒特点，再选择如何杀毒。例如autorun病毒是依赖于不规范的U盘操作行为进行传播的[4]，但并不主张用户通过禁止使用U盘或者限制用户某些正常操作的方式来阻止此类病毒的扩散，因为这么做很可能会影响用户的正常使用，造成某些工作无法完成。正确的方法是研究此类病毒的传播机制，借助具体的杀毒软件或者防毒技术进行相应的设置操作，才能间接控制病毒的危害和传播。有的计算机病毒为了保证自身的安全，设计了顽强的复制规则和自我保护机制——将病毒源放在网络上，借助ARP病毒的攻击方式，利用网络便利性为维持自身数量提供补充。针对此类病毒，也只能尽量优化现有网络拓扑结构设计，增加防火墙，并对重要网络节点进行保护。

3 病毒防护方案的设计过程与具体措施

3.1 采用最合适的技术方案及注意要点

最简单的反病毒技术形式就是免费杀毒软件。该技术形式涵盖了病毒预防、病毒检测和病毒清除多个方面，现阶段厂商还提供有相应的网络版本，保证病毒库的及时更新。与杀毒软件相比，还原保护技术还具备了病毒破坏后的数据恢复功能，间接实现了清除病毒的效果。由于还原保护技术采用完全不同的工作机制，使其在病毒清除效率和数据恢复效果上远远超过了杀毒软件，计算机操作系统如果感染了病毒，只需要找到原来设置的还原点或者镜像，就可以轻松地恢复到感染病毒前的状态。还原技术更是具备投入成本低、系统资源占用少功能稳定、部署简单等特点。两类技术原理的不同，使得杀毒软件升级所带来的病毒库文件变化与还原保护技术对硬盘数据的保护存在着不小的冲突，各自具有独占性和排他性。杀毒软件对计算机系统资源占用较大[5]，相对而言，还原保护技术更适宜在单位和办公场所的公用计算机大规模应用。针对还原保护技术在病毒预防和检测上的不足，可以通过其他后继措施的补充来进行完善。

上述提到的三种还原保护具体形式中，硬件保护卡的还原软件是写在硬件芯片上的，病毒难以侵蚀和破坏，且对系统资源占用微乎其微[6]，因此可以确定硬件还原卡形式较为适合单位和公用电脑。

值得注意的是，硬件还原卡在使用较长时间后，插槽部分容易氧化，从而与主板接口接触不良导致保护功能失效。因此在采购计算机设备的时候，应选择能把还原卡集成于主板上的设备型号，这样才能保证还原功能的长效稳定发挥。单位办公计算机一般是批量集中购买，统一批次的产品还原卡和系统之间兼容性和协作性最好，使用过程中病毒防护工作也能高效开展。

至此，可将公用计算机病毒防护方案中所采用的最终技术设备确定为集成了硬件还原卡的计算机设备。

3.2 阻止病毒流行的应对措施

病毒的种类繁多，侵犯和处理方式各不相同，需要针对病毒特点，采取直接应对和间接应对相结合的措施进行防护。

通过检索相关杀毒软件和还原保护系统技术资料发现，目前已知的公用计算机病毒传播破坏机制主要包含以下几种类型：① 利用U盘、移动硬盘等便携式存储设备进行传播；② 利用操作系统漏洞传播；③ 利用ARP欺骗发起攻击传播；④ 通过默认共享权限传播。

针对病毒传播特点可采取如下对应措施：① 关闭系统“自动运行”、“自动播放”功能；② 利用杀毒软件定期扫描安装各类漏洞补丁[7]；③ 关闭操作系统的默认管理共享通道；④ 关闭不必要的系统服务和第三方服务程序[8]。以上四条措施都是直接破坏了病毒运行和传播的必要条件，能够起到相应的防御作用。在间接措施方面，病毒的不断更新会采用新的运行机制和传播方式，必须认真研究这些新病毒的传播特点和自我保护机制，通过切断传播途径来达到防御目的。以下两类病毒传播行为需要我们通过间接措施来应对：

① 通过便携式存储设备传播的病毒。当感染了该类病毒的存储设备在公用计算机上使用后，计算机分区目录下会自动生成类似autorun.exe名称特征的程序快捷方式和配置文件。考虑到工作中便携式存储设备的广泛应用，无法禁止使用这类设备，只能对系统分区数据开启还原保护功能，而其他分区是并未开启该功能的。当计算机重新启动后，受保护的系统分区会恢复至染毒前的安全状态，未受保护的分区根目录却仍然保存有病毒程序寄生文件。一旦操作不慎，有可能会激活这些病毒程序，并借助便携存储设备开始在其他机器上传播。

要解决此类病毒的传播，最好的方法是通过还原保护系统对硬盘分区的“显示/隐藏”属性进行合理设置。在日常办公应用中，应将系统分区设置为可见，保护状态，剩余分区全部隐藏，不提供开放使用。或者仅仅提供一个独立数据分区，将该分区防护指令设置为每日或者每两天自动清除数据。这样，虽然病毒有可能短时间感染正在使用的计算机和连接的设备，但是每天或者隔天清除数据就会大大降低病毒传播的频率。

② 利用互联网实现自我复制和保护的病毒。此类病毒借鉴了ARP病毒的攻击方式，诱导中毒计算机在联网状态下在后台自动从指定网址下载病毒来保证必要的病毒存活率。因此，必须首先对公用计算机的网络拓扑结构进行优化设计，以减轻ARP方式攻击的范围和减少染毒计算机的数量，确定重点防护对象。

在单位网络环境下，推荐采用一台管理机对应多台客户机的上下级级联组织拓扑结构，由管理机充当内部网络访问外部网络数据的网关。因为ARP式攻击的主要机制是伪造IP地址与MAC地址的对应关系实现网络欺骗[9]，主要的攻击对象是网关，因此只需将ARP攻击的防护重点放在管理机上。这种拓扑结构下，在管理机上安装相应的ARP防火墙即可实现防护目的。

至此，可将抑制此类攻击方式的变通应对措施明确为：在网络拓扑结构中将管理机设置为整个内部网络的网关，并在管理机上安装ARP防火墙软件。

4 部署防毒软件和还原保护系统之后的设置与完善

参考病毒防护方案的设计初衷，结合上述直接防护措施和间接防护措施的相互关系，有必要对在部署防毒软件和还原系统后对部分项目内容进行适当调整和优化设置，提高内部网络公用计算机的运行效率，为巩固防护效果也有必要采取措施进行补偿完善。

4.1 安装系统补丁与系统运行速度变慢的矛盾

有过计算机维护经验的人员都知道，操作系统加载的服务和补丁越多，则机器运算资源占用越大，导致系统运行的速度越慢，两者呈现一种相对矛盾的限制关系。但从病毒防护效果的角度出发，又不能不安装系统补丁。因此，可以将这一措施调整为“及时安装系统厂商提供的专门针对病毒传播的漏洞补丁”。

4.2 厂商提供的特定防毒程序及更新保护

还原保护技术在病毒防护方案中起主导作用，还原保护功能的发挥状态直接影响到最终的防护效果，保证功能的稳定发挥是公用计算机防毒工作的重点监控及检查内容。极少部分病毒能穿透保护层入侵系统。因此，技术人员要经常关注此类病毒的传播情况，并及时更新硬盘保护卡厂商提供的防毒补丁和更新程序。

4.3 管理机的强化设置和系统备份

在单位公用计算机的使用过程中，管理机负责整个内外网络的网关互通，因此要对管理机加强病毒防护。为了系统安全，在管理机硬盘分区属性设置上，仅保留一个不启用还原的分区以方便重要数据的存储。该分区的存在有可能受到病毒的影响，所以要安装单机版杀毒软件来配合还原保护系统使用，既保证了杀毒软件的病毒库升级与还原保护功能不产生冲突，也杜绝了各种便携存储设备病毒的传播。此外，还要将ARP防护墙安装到管理机的该分区，有利于防火墙数据实时更新。

防护方案的设计虽然已经尽量考虑了数据保护所面临的各种情况，但是具体使用过程中，难免会有不可控的情况发生，导致系统数据损坏或者丢失。为避免这种情况，应在方案最后实施阶段使用ghost软件制作一个干净的系统镜像文件，并将此文件复制多份单独另外存放。已备份好的系统数据是整个防护方案的最后一道防线，虽然大多数情况下不会用到，但在危急时刻却能让系统“起死回生”。

5 最终病毒防护方案的确定

5.1 主要技术形式

计算机还原保护技术是病毒单位公用计算机防护方案的主要依靠技术，硬盘还原卡是其具体应用形式，该硬件设备必须集成到计算机主板。杀毒软件技术是该方案的辅助技术，主要应用于管理机。

5.2 应采取的各项措施

①在单位公用计算机整体网络拓扑结构中，保证管理机的网关地位。②在计算机系统的分区设定上，以还原保护技术为依托，对客户机和管理机进行不同设置。在客户机上，仅开放启用了还原保护功能的系统分区；在管理机上，除了开放受保护的系统分区之外，还可以开放一个不保护的分区存储数据，但该分区必须安装正版杀毒软件和ARP防火墙。③关闭不必要的“自动运行”、“自动播放”功能。④关闭操作系统的默认管理共享通道。⑤安装系统漏洞补丁和厂商提供的更新程序。⑥制作系统备份镜像单独存放。

6 结束语

该防护方案采取以还原保护技术为主，结合其他辅助措施共同作用的方式来抵御病毒侵害。由于还原保护技术在数据的恢复成功率和数据的完整性上有相当大的优势，本身就在很大程度上降低了病毒带来的损失；而其他补充措施的制定，更是以尽量消除支持病毒传播和顽强生存的各类外界因素为指导原则，各项措施之间兼容性好，注意了方案的整体性和系统性，整个防护方案能够达到系统和数据的快速恢复，最大程度减少公用计算机中毒造成的系统和数据损失。