某单位卡巴斯基防病毒技术方案

admin管理员组

文章数量:1535374

2024年1月11日发(作者：)

XXX单位

卡巴斯基网络防病毒

解决方案

XXX有限公司

2010/6

1

第一章 某单位网络防病毒考虑的因素

1.1感染病毒后会有一些明显特征

如果您发现一些异常情况，比如：









屏幕上显示一些奇怪的信息和图片

光驱托盘莫名其妙的弹出

程序自动打开

在未经您授权的情况下，有程序试图访问互联网

如果出现这种情况，您的计算机上很有可能是感染了病毒。

电子邮件类病毒感染后，也会有一些明显的特征：





朋友或熟人告诉您收到了您重来没有发送过的电子邮件。

您的收件箱内收到了大量没有发送地址和主题的邮件。

但需要注意的是，有些异常情况并不是由病毒引起的。

出现下面这些情况，也有可能是由于感染病毒引起的：













系统频繁死机

程序速度运行变慢

系统无法启动

文件和目录丢失或内容被未经授权更改

硬盘被频繁访问，硬盘灯狂闪

IE无法使用或未经授权自动打开

有90% 以上系统异常情况，是由误操作和软硬件故障引起的。所以，在您系统出现异常情况后，我们建议您使用我们推荐的设置进行全盘扫描，来准确确定您是否感染了病毒。

1.2网络防病毒解决方案考虑的几个因素

2

其实，对于一台独立的计算机而言，防病毒软件应该是第一个必须安装的应用软件。对于一个网络系统，建立先进的全方位防病毒方案是系统安全的重要保证。

在选择网络防毒解决方案时主要应考虑以下几个问题，一个完善的网络防病毒解决方案应该是:

★ 一个多层次、全方位的防病毒体系，而不仅仅是几套防病毒软件，同时具有跨平台的技术及强大功能，也就是说，在网络的每一个层次包括网关一级、群件服务器一级、服务器一级、客户端一级以及各种平台下都应有相应的解决方案。

★ 在这个防病毒体系中应该具有统一的、集中的、智能的和自动化的管理手段和管理工具，包括客户端自动化的安装、维护、配置、病毒定义码和扫描引擎的升级、定时调度、实时防护等。

★ 采用先进的防病毒技术，能够有效的查杀各种多态病毒和未知病毒

★ 集中和方便地进行病毒定义码和扫描引擎的更新。尤其是能否及时对扫描引擎更新尤为重要，由于在一个防病毒软件中，主要靠扫描引擎来清除病毒，因此能否方便、快捷地升级扫描引擎直接影响到防病毒体系的防毒能力。

★ 方便、全面、友好的病毒警报和报表系统管理机制

★ 病毒防护自动化服务机制

★ 合理的预算规划和低廉的总拥有成本

★ 良好的服务与强大支持

★ 时刻具有最强的防病毒能力

★ 紧急处理能力和对新病毒具有最快的响应速度。由于病毒总是先出现，因此对于这些新出现的病毒，防病毒体系是否具有足够强的紧急处理能力和快速的响应速度，从而确保在新病毒出现时，系统不受其影响，或尽量少地受其影响。

3

第二章 卡巴斯基网络防病毒方案介绍

2.1 卡巴斯基网络防病毒功能概述

卡巴斯基互联网安全套装是一个新的安全产品，这个程序主要特征是在安全解决方案方面改进了公司所有产品现有的特性。这个程序提供反病毒保护，反垃圾邮件保护以及反黑客保护。新的模块从未知威胁，网络钓鱼以及rootkits保护用户。

你不用花费很长时间在你的计算机上安装几个安全产品。安装卡巴斯基互联网安全套装是非常方便的。

全面的保护所有通道数据的进出。卡巴斯基互联网安全套装一些组件的灵活安装可以满足每个用户的最大需求。你同样可以在选择安装所有的保护组件。

让我们来看一下卡巴斯基互联网安全套装的新功能：



新的卡巴斯基互联网安全套装提供已知恶意程序以及未知恶意程序的两方面保护。自动防御是程序的关键优势。它是分析安装在你计算机上应用程序的行为，监控系统注册表的改变以及发现隐蔽威胁。这些组件使用启发式分析可以发现不同类型的恶意程序。它有恶意程序的行为记录，程序的行为被记录到黑名单并且系统可以被恢复到恶意行为执行之前的状态。



这个程序从rootkit以及拨号器，广告弹出窗口和web恶意脚本 ，网络钓鱼等方面保护你的计算机。



改进的文件保护技术：你可以拥有较低的资源占用以及增加文件扫描速度。iCheck 和 iSwift技术帮助你实现这个目标，使用这两个技术后再扫描时只扫描新的或改变的文件。这个规则被应用到自从在上次扫描后没有改变的文件。



当你使用计算机时扫描进程可以在后台运行。扫描占用合理的系统资源，并且不影响用户使用计算机。如果一些进程需要系统资源，病毒扫描将暂停直到操作完成。这个扫描在它停止的地方将继续扫描。



如果关键区域被感染将导致严重的问题。扫描关键区域是一个单独的任务，你可以配置这个任务在每次计算机启动时运行。

4



使用邮件保护阻止恶意程序以及垃圾邮件是被改进的。这个程序扫描使用以下这些协议发送邮件中的病毒以及垃圾邮件 ：

o

o

o

不管你使用IMAP, SMTP, POP3中的哪个邮件客户端；

NNTP （只扫描病毒），不管使用什么邮件客户端 ；

MAPI, HTTP（使用MS Outlook以及The Bat！插件）；



只有使用MS Outlook Express以及The Bat！邮件客户端，你才可以配置这个邮件保护可以直接在客户端扫描病毒和垃圾邮件。



反垃圾邮件是通过在你的邮箱中的邮件进行训练，获得你如何处理进出邮件的所有资料以及弹性配置垃圾邮件探测。这条运算法则是以训练为基础的。你还可以创建黑白名单地址列表以及标记为垃圾邮件的关键字。

反垃圾邮件使用一个PH值数据库。它可以过滤那些可以获得用户机密信息的邮件。



这个程序过滤包括入站和出站，在公共网络上追踪和阻止威胁以及你使用互联网方式。





当使用网络时，你可以同样定义100%信任网络以及需要监控的网络。

在程序运行期间使用通知功能可以获得某些事件，你可以为这些事件选择通知你的方式：邮件，声音，弹出信息等等。



这个程序增加了主动防御功能：阻止远程控制以及程序密码保护设置。这个功能帮助用户的这个保护功能不被恶意程序，黑客以及未经授权的用户禁用。



这个程序如今使用系统还原技术从注册表以及计算机的文件系统中删除恶意程序并使计算机恢复到没有被恶意程序破坏的状态。

2.2 卡巴斯基互联网安全套装的结构

卡巴斯基互联网安全套装是一款智能防护产品。它采用独立的保护监控和任务来保护用户计算机的安全。这样不仅简化了程序的配置，也方便个人或企业用户根据自己的实际需要来制定相关的防护策略。

5

卡巴斯基互联网安全套装包括：

文件保护

您的文件系统中可能会存在一些病毒和恶意程序，但平时它们并不会爆发，只有您试图对它们进行操作时，它们才会爆发。

文件保护根据安全威胁特征库时刻监控着对文件的各种操作，如打开、执行、保存。一旦有病毒文件或恶意程序试图运行的时候，会阻止病毒或恶意程序运行。如果病毒或恶意程序由于其它原因无法清除，文件保护会将染毒程序进行备份后删除文件，或者将文件移动到隔离区。

邮件保护

电子邮件已经被广泛的用于传播恶意程序，它已经成为蠕虫病毒的主要传播手段，所以对电子邮件进行监控，显得越来越重要。

邮件保护模块实时对您计算机收发的电子邮件进行检测，阻止邮件中的恶意程序，保证用户只收到干净的电子邮件。

Web反病毒保护

我们在浏览网页的时候，可能会面临这样的安全威胁。比如网站上自动执行的恶意脚本在计算机中保存恶意程序，或者从网站上下载了一些危险程序。

Web反病毒保护会对一切基于HTTP协议的通信进行监控，阻止恶意脚本对您计算机造成危害。

主动防御

现在越来越多的恶意程序开始集成多种恶意攻击行为进行破坏，利用多种传播方式进行传播。使得对恶意程序检测变得越来越困难。

主动防御模块可以有效的阻止新产生的未知安全威胁。它不是基于传统的特征库来判断恶意程序的，而是基于对程序行为的监控和分析来判定恶意程序，这样可以有效阻止各种未知的恶意程序威胁您计算机的安全。

反间谍保护

间谍软件现在非常流行，已经演变成一个庞大体系，其破坏包括未经用户同意就私自显示广告、自动连接到收费网站、远程管理和监控工具和玩笑程序。

6

反间谍保护可以有效阻止这些恶意程序对您的干扰。

反黑客

当您连接到互联网时，黑客会利用各种漏洞对您的计算机发起攻击。

反黑客组件时刻监控着您计算机上的各种网络通信情况，阻止黑客对您发起的任何攻击。

反垃圾邮件

垃圾邮件不会对您造成实质性的危害，但它会占用您邮件服务器的大量资源，恶意填满您的收件箱，从而对您造成经济上的损失。

反垃圾邮件时刻对您计算机上进出的邮件进行监控，会在垃圾邮件的主题上添加一个标记，您的邮件客户端收到这样的邮件后，会按照您指定的规则进行处理。比如删除、存放到指定文件夹中。

病毒扫描任务 可以对整个电脑或单个目标（文件、目录等)进行扫描。

扫描任务是保护模块的一个重要补充，定期对您的计算机进行扫描是非常重要的。因为有的时候（比如保护组件的安全级别设置的过低），保护组件有可能会忽略对恶意程序的监控。

卡巴斯基互联网安全套装默认提供三个扫描任务：

“关键区域”

“我的电脑”

“启动对象”

您也可以创建自己的扫描任务，对指定的文件、目录和对象进行扫描；也可以让病毒扫描任务定时自动执行。

服务 提供关于程序的技术支持信息和一些扩展功能。

“更新”

7

为卡巴斯基互联网安全套装提供安全威胁特征库和程序模块的更新。保证您的计算机时刻处于最佳防御的状态。

“报告、隔离和备份”

卡巴斯基互联网安全套装所有的操作都会记录到报告当中，通过报告您可以了解到程序的运行状态、任务执行的情况和组件运行时发生的错误等。

卡巴斯基互联网安全套装支持对可疑对象进行隔离。您可以在隔离区中进行如下操作：扫描、还原、删除和添加对象到隔离区。

当卡巴斯基互联网安全套装对对象执行清除和删除操作时，会先在备份区内为对象建立一个备份文件，然后再执行操作。备份文件是用加密格式来进行保存的。

您可以对备份区中的文件执行下列操作：还原或删除。

“支持”

所有卡巴斯基注册用户都可以通过“支持”项来获得高级的技术支持服务。

在这项里您可以看到一个常见问题列表，它能帮助您解决一些问题。您也可以使用在线技术支持法服务，我们服务中心的员工也将通过电话和邮件为您服务。

2.2 从总体角度来看

2.2.1 文件保护

根据在“状态”区中给出的组件操作来设置：





文件保护—当前组件的运行状态（运行中，非运行中，暂停等等）

保护级别—根据程序保护的文件来设置组件操作参数（要了解更多细节，参见选择文件保护级别）默认选择的是“推荐”保护级别，这时根据易受感染的标准只扫描系统文件对象。例如，可执行的（.exe）文件。



处理，当检测到一个危险对象时就会执行操作。

使用设置链接，您可以编辑当前文件保护设置。

8

统计区显示了文件保护操作的一些信息。在这里您可以看到扫描了多少对象，有多少对象是最近扫描的，在他们中检测出了多少恶意代码以及有多少没有被清除。

通过左键点击区域中的任意位置您可以在组件操作中查看更多详细信息。

2.2.2 邮件保护

如果在状态区域中检测到危险对象在您有用的电子邮件中，那么就会显示邮件保护级别中正在运行的和所用的操作的信息。通过左键点击区域中的任意位置，您可以开始编辑当前邮件保护的设置。

状态区域会显示组件在运行期间的所有信息。在这里，您可以查看邮件保护扫描的打开的程序数和恶意对象数。您可以通过点击左键来查看报告中组件的处理情况。

2.2.3 反垃圾邮件

在反垃圾邮件运行时的危险级别信息，监控的协议和邮件客户端的支持信息都可以在“状态”部分找到。在这个部分中，用鼠标左击任何一个部分，您都可以切换到配置反垃圾邮件设置。

在“统计表”部分显示了文件反病毒保护状态的复合信息。在这里您可以查看自从反垃圾邮件组件开启以来扫描的电子邮件数目以及被识别为垃圾邮件的数目。您可以在区域里面，用鼠标左击报告里面的任何一个地方就可以查看组件操作的详细信息。

2.2.4 Web反病毒保护

在统计区中查看Web反病毒保护的常规信息。通过左键点击区域中的任意位置，您可以转换并编辑当前的Web反病毒保护设置。

在统计区域中显示了组件操作的所有信息。这里您可以查看已检测的脚本数和用户当前会话中http传输的对象数。这个区域也包含了危险网页对象和脚本的统计信息。您可以通过左键点击那个区域的任意位置在报告中查看组件运行的详细信息。

9

2.2.5 主动防御

由主动防御排除的操作和他们的状态会用相同的名称列出并显示在下面：









运行在您计算机中的进程行期是否正被分析

受控的应用程序的内容和完整性是否正被跟踪

系统注册表的键值改变是否正被监控

VBA宏指令是否正被扫描

左键点击状态区域的任意位置，您可以开始 编辑当前主动防御的设置。

“统计”区域会显示主动防御组件在运行期间的所有操作信息。在这里，您可以查看有多少系统事件和宏指令被扫描，有多少被检测为威胁对象和拦截了多少。您可以通过左键点击这个区域的任意位置来查看报告中组件的处理情况的细节。

2.2.6 反黑客状态

在状态部分可以找到反黑客组件操作的一般信息，您可以开始编辑当前组件的设置。

在“统计表”部分显示了网络攻击监测和拦截的数目。在那个报告区域里面点击鼠标左键，您可以查看到组件操作的详细信息。

在“网络监控”部分，您可以找到您计算机当前网络活动的详细信息。如果您想在打开的网络连接、端口和网络事件中找到更详细的信息，请在这个部分用鼠标左键点击任何一个地方。

2.2.7 反间谍保护状态

反间谍保护中的单一模块的状态信息显示在一个具有相同名字的框中：









是否激活了反网络钓鱼保护

是否激活了拦截弹出信息功能

是否可以拦击横幅广告

是否提供了反自动拨号程序保护

10

用鼠标左击状态区域里面任何地方，您就可以编辑 当前的反间谍保护设置。

统计表部分显示了保护组件活动表现的合计信息。在这里您可以看到有多少网络钓鱼攻击、弹出窗口、横幅广告和拨号尝试在当前的连接中被拦截了。在这个区域里面，你用鼠标左击任何一个地方就可以查看到组件操作更详细的信息。

2.2.8 病毒扫描任务状态

您将在主窗口上方状态栏下方看到任务将要扫描的对象列表，您可以编辑该列表通过点击添加或移除对象。

“设置”区域显示了当前任务设置。当检测到危险对象时程序将应用的保护级别和操作显示在这里。左键点击该区域的任何部分，您可以开始编辑当前任务设置。

统计区域包含任务执行的详细信息，已检测到危险对象数，没有处理的对象数，和任务运行时间。您可以在扫描结果中通过左键点击那个区域的任何部分查看详细信息

2.2.9 更新状态

及时进行更新对保护您的计算机是非常重要的！如果有时候忘记了更新，很有可能程序对您计算机的保护将是不可靠的。

第三章 网络防病毒解决方案

3.1 某单位网络防病毒需求分析与解决方案

3.1.1 某单位内部网网络结构

某单位网络除了在网关有防火墙外，其它方面均无网络安全保障设备，皆为直接通过交换机进行互联。

当前客户机使用WINXP、2000操作系统，有约250个工作站，10台服务器。

3.1.2 某单位内部网网络防病毒需求与解决方案

在某单位网络中感染和传播病毒的途径主要有以下几种方式：

☆在局域网内部：通过软盘、盗版光盘、U盘等移动介质可能感染病毒同时 11

在局域网内部传播。

☆在局域网外部：从Internet上，通过E-mail的形式把病毒带入内部网络，同时当内部人员上网和下载文件时也可能通过HTTP、FTP流量把病毒和恶意的移动代码带入内部网络。

因此在某单位的网络防病毒方案中，我们应该考虑在整个网络中只要有可能感染和传播病毒的地方都应该采取相应的防病毒手段，也就是说应针对外网和内网两个方面考虑防病毒措施。

1、在服务器系统的防病毒保护上，根据内部网的具体情况，我们主要考虑针对服务器的防病毒保护，安装卡巴斯基反病毒服务器for windows

XP/2000/2003/2008，保护系统、磁盘、可移动磁盘、光盘以及调制解调器连接所收发的文件等免受病毒的感染。

2、在客户端一级，根据网信公司的具体情况，和客户端的操作系统类型，分别安装卡巴斯基反病毒工作站for windows 7/vista/xp/2000，实现对系统、磁盘、可移动磁盘、光盘以及调制解调器连接所收发文件的病毒防护。

布署卡巴斯基网络版（1个系统中心+260个客户端），在整体某单位网络内全面布署网络防毒系统。

第四章 网络防病毒解决方案的特点和优势

4.1 产品特点



















防御病毒、木马和蠕虫

保护邮件服务器，例如Sendmail，Qmail，Postfix 和Exim

扫描Microsoft Exchange服务器之间传输的邮件

扫描Lotus Domino服务器上的邮件、数据库和其他对象

防御网络钓鱼和垃圾邮件的攻击

阻止病毒爆发

高灵活性

多种服务器平台支持

多层次防毒系统部署

12

4.2 方案优势

1、通过卡巴斯基网络的布署可以实现对病毒的强力查杀,有效消除病毒侵害；

2、卡巴斯基的主动防御功能可以更为智能地对病毒入侵进行拦截与告警；

3、卡巴斯基自保护能有效地保障防毒体系本身的防侵染性，此项功能为卡巴斯基软件专有；

4、卡巴斯基网络防毒系统不但能有效防止网络中毒，还能极大地提高管理效率，面对病毒，一键击之，全网开杀；

5、卡巴斯基的IDS与IPS功能将对网络的检测与防护浑然天成，无缝接合。

13

本文标签： 保护病毒扫描