病毒防治調研報告

導語：病毒防治調研報告一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

計算機病毒嚴重威脅著計算機系統、應用數據以及網絡的安全，嚴重影響了稅收信息化建設的進程。要保證稅收信息化建設的有序、高效推進，就必須解決計算機病毒的問題。

如何立足實際情況，尋求病毒解決之道？本文以常州國稅病毒防治為例，在整合防病毒資源、構建科學的病毒防治體系方面進行了一些研究探索。

一、強化病毒分析，科學制訂病毒防治方針

隨著稅收信息化建設的推進，稅務系統計算機應用的廣度和深度都有了極大的提高。以常州國稅為例：目前常州國稅計算機數量達到了1600余臺，主要稅收業務都依托計算機處理。但是，伴隨計算機應用推廣的還有計算機病毒的泛濫。從2002年的“紅色代碼”到2005年的“SQL殺手”，每次病毒疫情都給稅收工作造成極大的不便，計算機病毒已經成為信息化發展道路上的嚴重障礙。

要有效解決計算機病毒疫情，就必須科學分析計算機病毒情況。以下以常州國稅2005年、2006年計算機病毒傳播情況為例進行分析研究。

2005年,常州國稅對4月份的計算機病毒采樣從數量、類型、傳播途徑、破壞力等方面進行分析，并得出以下結論：在相當長的一段時間里，蠕蟲病毒會嚴重影響信息系統安全，Trojan木馬程序在一定程度上會嚴重影響信息系統的安全，而宏病毒等其他惡意軟件在特定條件下會影響正常工作。因此，要防治計算機病毒，就必須把握重點，有的放矢，常州國稅因此制定了2005年計算機病毒防治方針：全面防范蠕蟲病毒，對Trojan木馬程序重點防范，在特定環境下防范宏等其他病毒。根據這一指導方針，扭轉了以前單純用防病毒軟件防治病毒的思維，通過安裝WSUS系統補丁分發服務器，對服務器以及WindowsXP進行自動的補丁分發下載工作，從系統源頭掐斷病毒傳播流行的途徑，達到了良好的防治效果。

2006年的病毒分析樣本為6月份至8月份的病毒采樣標本，共計采樣（有效）28450個計算機病毒感染記錄，涉及計算機（有效）共計133臺，涉及（有效）125種計算機病毒及變種。其中感染病毒超過10000次的涉及1臺（20050），感染病毒在1000－10000的共計3臺，感染病毒100－1000的共計8臺，感染病毒10－100的共計17臺，感染病毒100次以上的計算機（12臺）。根據以上統計，感染計算機病毒在100次及以上的計算機，共統計病毒記錄27799次，占所有病毒感染記錄的97.71%。

從病毒傳染類型看，感染記錄超過100次的如下表所示：

病毒名稱

感染記錄數量

Trojan.DL.Agent.kij

20138

Trojan.PSW.Agent.agx

4197

Backdoor.Sdbot.qur

2056

Backdoor.RWX.2005.cx

500

Trojan.Spy.Agent.bcu

238

Trojan.DL.QQHelper.eap

225

Backdoor.SdBot.uo

173

從病毒傳播數量看，感染記錄超過100次的共計27527次，占96.75%。從類型看木馬病毒的蠕蟲化現象非常明顯。并得出了以下結論：

1、病毒傳播、感染的情況發生了新的變化，2005年以蠕蟲病毒為主，2006年及以后病毒類型主要是木馬病毒，或者說是蠕蟲型的木馬病毒。

2、目前計算機病毒防治效果明顯，感染計算機病毒的計算機較少。由于計算機系統補丁分發效果明顯，使計算機病毒感染對象集中化。出現一部分“易感”計算機。只要控制住“易感”計算機，理論上就能防治90%以上的病毒。

3、目前新病毒層出不窮的形勢下，不排除可能出現新的病毒疫情，計算機病毒防治要有新的手段、工具。

根據以上結論，可以確定計算機病毒防治方針：分級管理、綜合防治、重點管控。

二、有效整合防病毒資源，提高病毒防治效果

在傳統觀念里，防治病毒主要依靠防病毒軟件，可隨著稅收信息化建設以及計算機病毒的發展,單一依靠防病毒軟件防治計算機病毒效果不明顯。

以常州國稅為例，2006年前依靠SymantecAntiVirus防治計算機病毒，2006年防病毒軟件改為瑞星。在實際應用中，不管是SymantecAntiVirus防病毒軟件還是瑞星防病毒軟件，效果都不是很理想。研究結果表明，僅僅依靠防病毒軟件防治計算機病毒有其一定的局限性：

1、無法解決覆蓋面的問題。防病毒軟件能夠有效監控安裝防病毒軟件的計算機，但對未安裝或防病毒軟件運行異常的計算機無法及時監控。

2、無法解決“根源”問題。尤其是蠕蟲病毒，一般都是利用系統漏洞進行傳播破壞，如果不能“堵塞”系統漏洞，就不能徹底截斷病毒的傳播途徑。

3、無法解決“預警”問題。防病毒軟件只能在事后進行計算機病毒的防治，而無法根據計算機病毒的一些特征，如連接異常、流量異常等進行預警工作。

事實證明，僅僅依靠防病毒軟件無法徹底解決計算機病毒問題。要有效解決計算機病毒只能對資源進行科學整合，充分利用各種安全手段。為此，常州國稅在VRV桌面管理軟件應用和防病毒工作聯動方面進行了有益探索。

常州國稅局是江蘇省VRV桌面管理系統的試點單位，自2006年3月起就開始應用該系統，在VRV桌面管理系統上積累了豐富的經驗。為用好、用足VRV桌面管理系統，常州國稅信息中心在VRV桌面管理系統的推廣應用上狠下功夫，深入挖掘桌面管理工具的各項功能。其中，用VRV桌面管理軟件實現與瑞星防病毒軟件的聯動，從而加強對計算機病毒的防治成為常州國稅信息中心的一項特色工作。以下是我們利用VRV桌面管理軟件進行病毒防治的兩個典型例子：

1、軟件分發解決“Trojan.DL.Small.ikr”病毒

2006年11月14日，常州國稅實現了瑞星防病毒軟件從2005版到2006版的升級。在計算機信息安全管理人員還沒有從升級成功的喜悅中出來時，卻驚訝得發現：2006版瑞星發現暴風影音5.05版本中有“Trojan.DL.Small.ikr”病毒，而且瑞星對其無法徹底清除；其次，由于暴風影音軟件來源比較單一，基本都是5.05帶毒版本，據統計，在常州國稅所有計算機中，超過65%的計算機都安裝了該軟件。短短三天，瑞星防病毒系統對該病毒的查殺記錄超過了80000條。

VRV桌面管理系統在常州國稅基本已經覆蓋到位，信息中心對它的各項功能有所了解。其中，VRV桌面管理軟件策略中有一條“普通文件分發策略”，信息中心對它并不陌生，由于武進、溧陽和金壇三區縣安裝了區域掃描器，常州信息中心就是利用“普通文件分發策略”，實現對其遠程、自動升級。能不能利用該策略防治“Trojan.DL.Small.ikr”病毒呢？信息中心投入到對該病毒的研究中。經反復測試發現，只有暴風影音5.05版本才帶該病毒，其余版本都是安全的，而只要把5.05版本帶毒程序替換成其他版本程序就可以清除該病毒，且不會影響該軟件的正常使用。在發現了該情況后，信息中心迅速動手，首先在小范圍測試成功立即將該策略到全局，僅僅一天以后，該病毒在常州國稅的防治記錄就降到了個位數，并且很快就銷聲匿跡了。

2、注冊表監控“威金（Worm.Viking）”現原形

2006年10月底，一個突如其來的計算機病毒“威金（Worm.Viking）”讓信息中心有點措手不及。通過瑞星監控臺，明明有“威金”的身影，可就是找不到準確的染毒計算機，難道“威金”真的躲在計算機管理人員看不見的地方嗎？如真有這地方，它在哪里呢？

信息中心計算機安全管理人員重新開始審視這個“威金”病毒，通過各種資料，信息中心發現，“威金”在感染計算機的同時立即就禁止了防病毒軟件進程，很不幸，瑞星防毒軟件的進程也在“威金”的魔爪下。在防病毒軟件被破壞的情況下，如何有效防治病毒呢？

信息安全工具中，瑞星防病毒軟件已經失效了，要及時定位并防治病毒只能依靠VRV桌面管理軟件了?？墒?，如何利用VRV桌面管理工具來實現其防病毒的功能呢？信息中心再次將“威金”放上了手術臺。經過反復分析、研究發現，威金病毒也是通過修改注冊表（在注冊表啟動項添加啟動病毒程序）方式實現啟動的。

知道了威金的特征，就可以利用VRV桌面管理軟件來進行防治工作了。在安全策略中，有一條“注冊表安全策略”，信息中心利用其檢查符合“威金”啟動項的方式實現對染毒計算機的定位，并及時斷網查殺。在這條策略下發一天后，立即上報了24臺計算機符合威金啟動特征，計算機安全管理人員立即組織人員對這些計算機進行斷網查殺，很快就阻止了“威金”疫情的蔓延。

資源整合，實現了計算機病毒防治手段的多樣化，有效彌補了防病毒軟件的不足，達到了很好的防治效果。

三、防群治，建立“管理集中”式的病毒防治體系

在數據“大集中”模式下，如何構建一套有效的病毒防治體系呢？事實已經表明，單打獨斗無法徹底解決計算機病毒問題，只有集中資源、統一管理、群防群治才能有效防治計算機病毒。

常州國稅局在計算機病毒防治體系建設上進行了大量的探索，研究采用了一條“管理集中”防治體系。

常州國稅信息中心目前僅有2名計算機病毒管理人員，但計算機數量已經達到1600余臺。瑞星防病毒軟件服務器只安裝到地市一級。在目前“數據集中”模式下是否一定要走“集中管理”這條路呢？常州國稅決定另辟蹊徑。

在計算機病毒防治工作中，常州國稅以前也是應用集中管理模式，即由信息中心管理起全市的計算機病毒防治工作，負責日常監控，對出現的病毒通知下級管理人員處理。但在實際的工作中，集中管理模式表現了以下缺陷：

1、低效。地市級管理員負責全局的計算機病毒防治工作，可是，根據統計，地市級管理員處理計算機病毒時90%以上的工作都是重復工作，往往把自己淹沒在大量簡單重復的工作中，而無法集中精力進行病毒分析、預警工作。低效的根本原因在于日常簡單重復工作太多。

2、反應慢。集中管理模式的控制中心在地市信息中心，其響應流程為地市管理員-區縣管理員-操作人員。而目前最薄弱的就是地市管理員這一端。當地市管理員無法及時發起響應時，整個防病毒體系就事實上癱瘓了。而當地市管理員發起響應時，可能會因為無法及時聯系到區縣管理員而無法實現防毒意圖。反應慢的根本原因是響應環節太多，響應鏈條太長。

3、消極。當地市管理員包攬了主要防病毒工作后，對區縣及操作人員起了消極影響，認為防病毒就是地市管理員的工作，無法實現群防群治的效果。

要做好計算機病毒防治工作，最重要的就是對防毒體系進行了重新構建、整合，主要就是從“集中管理”模式轉化為“管理集中”模式。

“管理集中”模式下，需要對響應流程、工作職責等進行了重新劃分。在“管理集中”模式下，區縣管理員對本單位的計算機病毒情況進行監控（分擔了地市管理員大多數的日常監控工作），并對出現的計算機病毒情況進行簡單處理，對無法處理的報地市管理員。地市管理員主要負責對區縣管理員的指導、監督。

“管理集中”模式的優點在于減少了響應環節，將地市管理員從大量的簡單重復工作中解放出來，充分調動了區縣管理員的積極性，真正達到群防群治的效果。

常州國稅2006年計算機病毒防治方針：分級管理、綜合防治、重點管控就集中體現了這一理念。

分級管理：病毒管理的權限下放各區縣分局，由區縣分局進行設置監控管理，并及時處置發現的疫情。信息中心負責總體防病毒的規劃建設等，指導并監督區縣分局做好計算機病毒防治工作。

綜合防治：充分利用目前已有的手段工具，做好計算機病毒的防治工作。如VRV桌面管理軟件就可以查詢防病毒軟件安裝情況，流量異常情況、在一定情況下可以阻斷感染計算機病毒的計算機的端口通訊。

重點管控：目前防治計算機病毒的重點是及時管理控制已感染病毒的計算機，實現感染最小化、影響最小化、危害最小化。在目前數據集中、網絡互聯、重要業務都依托計算機處理，計算機感染病毒是不可避免的，但重要的是及時處置、控制傳播。按照這一方針，計算機病毒防治的考核項目取消了對病毒數量的考核，而以“防治作為”作為考核重點。“防治作為”指防病毒軟件安裝率、以及出現病毒的處理情況（同一計算機感染病毒2天未處理或未上報的）納入考核。

常州國稅利用“管理集中”模式構建的計算機病毒防治體系，有效地遏制了計算機病毒的高發態勢，保證了信息化建設的推進。

隨著信息化建設的發展，尤其是目前數據全省集中的情況下，計算機病毒對信息安全的威脅日益嚴重。通過我們的積極探索，一方面研究新形勢下的病毒特點，另一方面進行了防病毒資源的整合研究，逐步構建更加科學、高效、完善的計算機病毒防治體系，希望能給稅收信息化建設一點有益的幫助。