选择防病毒系统的七点注意
（作者：郑林　2000年12月18日 10:57）转自：塞迪网

　　如何选择一个好的防病毒系统是许多人困惑的，这里我们就以NAI公司的McAfee AVD (Active Virus Defense)网络防病毒系统为例进行讨论。

　　注意一，产品体系要完整、检测率要高
　　一个好的防病毒系统应该能够覆盖到每一种需要的平台。我们都知道，病毒的入口点是非常多的。在一个具有多个网络入口的连接点的企业网络环境中，病毒可以由软盘、光盘等传统介质进入，也可能由电子邮件、网络服务器等进入，还有可能从外部网络中通过文件传输等方式进入。病毒可能的入口点如图１所示。

　　在图１中标出的入口点处，任何一点没有部署防病毒系统，对整个网络都是一个安全的威胁。比如一个木桶由很多块木板拼成，该木桶的容量就取决于最矮的那块木板的长度，而不是最高的。所以，我们一般需要考虑在每一种需要防护的平台上都部署防病毒软件。它大体上分为以下几类平台：客户端、邮件服务器、其他服务器、网关。

　　图1

　　以NAI为例，它针对邮件服务器和群件服务器以及网关防病毒，提供了Groupshield和Webshield两种解决方案。其中Groupshield是基于Microsoft Exchange 和 Lotus Notes 群件服务器的防病毒保护解决方案。同Netshield 一样，GroupShield 提供了强大的管理功能，控制所有文件、应用程序并执行远程服务、安装与配置。强大的集中警告功能可以通过电子邮件、打印机、寻呼机、DMI警告或网络消息，传送各种病毒警告给携带病毒邮件的寄件人、收件人和系统管理员。而对于基于SMTP的邮件服务器，NAI提供了Webshield SMTP防病毒系统，它可以形成一个病毒过滤前置机，完全能够适用于任何类型的SMTP邮件服务器，而不管该服务器采用何种操作系统和邮件服务器版本。而且，用户可以针对邮件的标题以及正文设置内容过滤策略，杜绝不正当信息的流通。

　　注意二，软件控制台功能要完善
　　为了方便集中管理，防病毒软件控制台首先需要解决的就是管理容量问题。也就是每一台控制台能够管理到的客户机的最大数目。另外，对于一个企业内部的不同部门，我们有可能需要设置不同的防病毒策略，比如一些关键的业务部门服务器和计算机，我们需要每当有新的病毒特征码就尽快升级；但是对于一些非关键业务部门的计算机，我们可以考虑时间稍长再升级一次；对于白天比较繁忙的服务器，我们可以将病毒特征码升级安排在晚上自动进行。一个好的控制台应该允许管理员按照IP地址、计算机名称、子网甚至NT域进行安全策略的分别实施。

　　在这方面NAI有两种控制台可供使用：一种称为ePO ( ePolicy Orchestrator)，是一种大规模、企业级的防病毒控制台；另外一种称为ME (Management Edition)，是一种适合在小规模网络中使用的控制台。两种控制台都能够进行防病毒软件的分发和升级，用户可以根据需要选用两种产品。

　　注意三，通过广域网管理的流量要尽量少
　　在一个需要通过广域网进行管理的企业中，由于广域网的带宽有限，防病毒软件的安装和升级流量问题也是必须要考虑到的。NAI的做法是：首先，自动升级功能允许升级发生在非工作时间，尽量不占用业务需要的带宽；其次， 利用AVD瘦客户端技术产品VirusScan TC，它专用于部署在大型企业中的客户机上的产品，大小仅有传统防病毒软件的三分之一；另外，对于必须频繁升级的特征码，NAI AVD采用了一种增量升级方式的选项，将传统的1M以上的特征码压缩到了100K左右。

　　图2

　　注意四，报表功能要方便易用
　　一个网络中的病毒活动状况对于网络管理员来说是非常重要的，通过了解网络中的病毒活动情况，网络管理员可以了解哪些病毒活动比较频繁、哪些计算机或者用户的文件比较容易感染病毒以及发现的病毒的清除情况等等，以便修改病毒防范策略以及了解病毒的来源情况，方便进行用户、文件资源的安全管理。实用、界面友好的报表是一个网络防病毒软件必备的功能。如图2所示。

　　注意五，对计算机病毒要有实时防范能力
　　传统意义上的实时计算机病毒防范是指防病毒软件能够常驻内存，对所有活动的文件进行病毒扫描和清除。由于病毒活动频繁，再加上网络管理员一般都工作忙碌，有可能会导致病毒特征码不能及时更新。这就需要防病毒软件本身能够具有一定程度的未知病毒识别能力，一旦防病毒软件发现一个文件可能携带病毒，它应该有能力提供一种解决方法对该文件进行处理，以免系统或者文件受到未知病毒的破坏。另外，病毒一般都经常存在一个爆发期，比如2000年元旦，在这个爆发期内，计算机病毒防范系统应该能够依据具体情况自动进行报警、策略修改或者更新特征码等工作，以免影响进一步扩大。

　　NAI AVD具有一种自动免疫的功能，启用该功能后，防病毒软件就可以对未知病毒进行判断，并且如果怀疑某个文件携带病毒，它就会自动提取病毒样本，发送给NAI设立在全球各地的病毒研究小组，并且如果小组确认是病毒的话，就会马上作出响应。

　　此外，NAI AVD还具有防止病毒爆发引起损失的功能，叫做Outbreak管理器。该管理器可以运行在邮件防病毒系统和网关防病毒系统上。管理员可以预先定义策略，如当在10分钟内发现100个美丽莎病毒在网上传播，就采取特定行动，如给管理员发送呼机或电子邮件告警；再过10分钟又发现100个该病毒，则采取进一步行动如更改扫描频率，启动自定义扫描对关键文件进行检查；再进一步可以完成更新病毒特征码等工作，如果病毒爆发发生在预定义的非工作时间，该管理器甚至可以暂时停止邮件的转发，阻止病毒的蔓延。如图3所示。

　　注意六，病毒特征码升级要快速及时
　　反病毒软件如果没有即时升级就达不到进行病毒防范的目的。所以，能够提供一个方便、有效和快速的升级方式是防病毒系统应该具备的重要功能之一。NAI的防病毒特征码的升级一般每星期一到两次，在病毒多发期甚至能够达到每5分钟更新一次特征码。如此频繁的更新如果让每一个用户手动进行是不现实的，AVD 提供了几种不同的升级方式：

　　1． 用户自定义升级策略，让软件到指定时间后自动到Internet或本地文件服务器进行特征码更新。

　　图3

　　2． 管理员在控制台发出强制升级指令，对一个或多个防病毒管理组中的计算机进行统一升级。

　　3． 升级特征码在网络上共享，由用户分别升级。

　　在一个大型的企业中，由于管理员工作繁忙，可能无法经常上网检查防病毒软件的更新情况，从而有可能无法及时得到升级信息。对此，NAI提供了一种工具和服务，叫做SecureCast，管理员可以利用该服务一天24小时自动地从NAI服务站点上得到最新的软件版本更新和特征码更新信息，包括自动下载需要更新的特征码文件。这一切都不需要管理员的任何手工干预！如果配合ePO的自动分发功能，管理员甚至无须动手就可以完成即时升级工作。

　　注意七，研发能力和技术支持力量要强
　　NAI公司是全球最大的专业从事网络安全的厂商，其防病毒产品具有雄厚的用户基础和市场份额。它具有一个分布全球近20个国家的反病毒紧急响应小组（AVERT），可以快速对病毒事件进行响应。不管病毒在何时何地爆发，NAI总能够提供最新的病毒信息和处理方案。

　　综上所述，目前的防病毒工作的意义早已脱离了各自为战的状况，技术也不仅仅局限在单机的防病毒。目前，如果需要对整个网络进行规范化的网络病毒防范，我们就必须了解最新的技术，结合网络的病毒入口点分析，很好地将这些技术应用到自己的网络中去，形成一个协同作战、统一管理的局面。这样的病毒防范体系，才能够称得上是一个完整的、现代化的网络病毒防御体系。