導(dǎo)語：病毒防治調(diào)研報(bào)告一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

計(jì)算機(jī)病毒嚴(yán)重威脅著計(jì)算機(jī)系統(tǒng)、應(yīng)用數(shù)據(jù)以及網(wǎng)絡(luò)的安全，嚴(yán)重影響了稅收信息化建設(shè)的進(jìn)程。要保證稅收信息化建設(shè)的有序、高效推進(jìn)，就必須解決計(jì)算機(jī)病毒的問題。

如何立足實(shí)際情況，尋求病毒解決之道？本文以常州國稅病毒防治為例，在整合防病毒資源、構(gòu)建科學(xué)的病毒防治體系方面進(jìn)行了一些研究探索。

一、強(qiáng)化病毒分析，科學(xué)制訂病毒防治方針

隨著稅收信息化建設(shè)的推進(jìn)，稅務(wù)系統(tǒng)計(jì)算機(jī)應(yīng)用的廣度和深度都有了極大的提高。以常州國稅為例：目前常州國稅計(jì)算機(jī)數(shù)量達(dá)到了1600余臺(tái)，主要稅收業(yè)務(wù)都依托計(jì)算機(jī)處理。但是，伴隨計(jì)算機(jī)應(yīng)用推廣的還有計(jì)算機(jī)病毒的泛濫。從2002年的“紅色代碼”到2005年的“SQL殺手”，每次病毒疫情都給稅收工作造成極大的不便，計(jì)算機(jī)病毒已經(jīng)成為信息化發(fā)展道路上的嚴(yán)重障礙。

要有效解決計(jì)算機(jī)病毒疫情，就必須科學(xué)分析計(jì)算機(jī)病毒情況。以下以常州國稅2005年、2006年計(jì)算機(jī)病毒傳播情況為例進(jìn)行分析研究。

2005年,常州國稅對(duì)4月份的計(jì)算機(jī)病毒采樣從數(shù)量、類型、傳播途徑、破壞力等方面進(jìn)行分析，并得出以下結(jié)論：在相當(dāng)長(zhǎng)的一段時(shí)間里，蠕蟲病毒會(huì)嚴(yán)重影響信息系統(tǒng)安全，Trojan木馬程序在一定程度上會(huì)嚴(yán)重影響信息系統(tǒng)的安全，而宏病毒等其他惡意軟件在特定條件下會(huì)影響正常工作。因此，要防治計(jì)算機(jī)病毒，就必須把握重點(diǎn)，有的放矢，常州國稅因此制定了2005年計(jì)算機(jī)病毒防治方針：全面防范蠕蟲病毒，對(duì)Trojan木馬程序重點(diǎn)防范，在特定環(huán)境下防范宏等其他病毒。根據(jù)這一指導(dǎo)方針，扭轉(zhuǎn)了以前單純用防病毒軟件防治病毒的思維，通過安裝WSUS系統(tǒng)補(bǔ)丁分發(fā)服務(wù)器，對(duì)服務(wù)器以及WindowsXP進(jìn)行自動(dòng)的補(bǔ)丁分發(fā)下載工作，從系統(tǒng)源頭掐斷病毒傳播流行的途徑，達(dá)到了良好的防治效果。

2006年的病毒分析樣本為6月份至8月份的病毒采樣標(biāo)本，共計(jì)采樣（有效）28450個(gè)計(jì)算機(jī)病毒感染記錄，涉及計(jì)算機(jī)（有效）共計(jì)133臺(tái)，涉及（有效）125種計(jì)算機(jī)病毒及變種。其中感染病毒超過10000次的涉及1臺(tái)（20050），感染病毒在1000－10000的共計(jì)3臺(tái)，感染病毒100－1000的共計(jì)8臺(tái)，感染病毒10－100的共計(jì)17臺(tái)，感染病毒100次以上的計(jì)算機(jī)（12臺(tái)）。根據(jù)以上統(tǒng)計(jì)，感染計(jì)算機(jī)病毒在100次及以上的計(jì)算機(jī)，共統(tǒng)計(jì)病毒記錄27799次，占所有病毒感染記錄的97.71%。

從病毒傳染類型看，感染記錄超過100次的如下表所示：

病毒名稱

感染記錄數(shù)量

Trojan.DL.Agent.kij

20138

Trojan.PSW.Agent.agx

4197

Backdoor.Sdbot.qur

2056

Backdoor.RWX.2005.cx

500

Trojan.Spy.Agent.bcu

238

Trojan.DL.QQHelper.eap

225

Backdoor.SdBot.uo

173

從病毒傳播數(shù)量看，感染記錄超過100次的共計(jì)27527次，占96.75%。從類型看木馬病毒的蠕蟲化現(xiàn)象非常明顯。并得出了以下結(jié)論：

1、病毒傳播、感染的情況發(fā)生了新的變化，2005年以蠕蟲病毒為主，2006年及以后病毒類型主要是木馬病毒，或者說是蠕蟲型的木馬病毒。

2、目前計(jì)算機(jī)病毒防治效果明顯，感染計(jì)算機(jī)病毒的計(jì)算機(jī)較少。由于計(jì)算機(jī)系統(tǒng)補(bǔ)丁分發(fā)效果明顯，使計(jì)算機(jī)病毒感染對(duì)象集中化。出現(xiàn)一部分“易感”計(jì)算機(jī)。只要控制住“易感”計(jì)算機(jī)，理論上就能防治90%以上的病毒。

3、目前新病毒層出不窮的形勢(shì)下，不排除可能出現(xiàn)新的病毒疫情，計(jì)算機(jī)病毒防治要有新的手段、工具。

根據(jù)以上結(jié)論，可以確定計(jì)算機(jī)病毒防治方針：分級(jí)管理、綜合防治、重點(diǎn)管控。

二、有效整合防病毒資源，提高病毒防治效果

在傳統(tǒng)觀念里，防治病毒主要依靠防病毒軟件，可隨著稅收信息化建設(shè)以及計(jì)算機(jī)病毒的發(fā)展,單一依靠防病毒軟件防治計(jì)算機(jī)病毒效果不明顯。

以常州國稅為例，2006年前依靠SymantecAntiVirus防治計(jì)算機(jī)病毒，2006年防病毒軟件改為瑞星。在實(shí)際應(yīng)用中，不管是SymantecAntiVirus防病毒軟件還是瑞星防病毒軟件，效果都不是很理想。研究結(jié)果表明，僅僅依靠防病毒軟件防治計(jì)算機(jī)病毒有其一定的局限性：

1、無法解決覆蓋面的問題。防病毒軟件能夠有效監(jiān)控安裝防病毒軟件的計(jì)算機(jī)，但對(duì)未安裝或防病毒軟件運(yùn)行異常的計(jì)算機(jī)無法及時(shí)監(jiān)控。

2、無法解決“根源”問題。尤其是蠕蟲病毒，一般都是利用系統(tǒng)漏洞進(jìn)行傳播破壞，如果不能“堵塞”系統(tǒng)漏洞，就不能徹底截?cái)嗖《镜膫鞑ネ緩健?/p>

3、無法解決“預(yù)警”問題。防病毒軟件只能在事后進(jìn)行計(jì)算機(jī)病毒的防治，而無法根據(jù)計(jì)算機(jī)病毒的一些特征，如連接異常、流量異常等進(jìn)行預(yù)警工作。

事實(shí)證明，僅僅依靠防病毒軟件無法徹底解決計(jì)算機(jī)病毒問題。要有效解決計(jì)算機(jī)病毒只能對(duì)資源進(jìn)行科學(xué)整合，充分利用各種安全手段。為此，常州國稅在VRV桌面管理軟件應(yīng)用和防病毒工作聯(lián)動(dòng)方面進(jìn)行了有益探索。

常州國稅局是江蘇省VRV桌面管理系統(tǒng)的試點(diǎn)單位，自2006年3月起就開始應(yīng)用該系統(tǒng)，在VRV桌面管理系統(tǒng)上積累了豐富的經(jīng)驗(yàn)。為用好、用足VRV桌面管理系統(tǒng)，常州國稅信息中心在VRV桌面管理系統(tǒng)的推廣應(yīng)用上狠下功夫，深入挖掘桌面管理工具的各項(xiàng)功能。其中，用VRV桌面管理軟件實(shí)現(xiàn)與瑞星防病毒軟件的聯(lián)動(dòng)，從而加強(qiáng)對(duì)計(jì)算機(jī)病毒的防治成為常州國稅信息中心的一項(xiàng)特色工作。以下是我們利用VRV桌面管理軟件進(jìn)行病毒防治的兩個(gè)典型例子：

1、軟件分發(fā)解決“Trojan.DL.Small.ikr”病毒

2006年11月14日，常州國稅實(shí)現(xiàn)了瑞星防病毒軟件從2005版到2006版的升級(jí)。在計(jì)算機(jī)信息安全管理人員還沒有從升級(jí)成功的喜悅中出來時(shí)，卻驚訝得發(fā)現(xiàn)：2006版瑞星發(fā)現(xiàn)暴風(fēng)影音5.05版本中有“Trojan.DL.Small.ikr”病毒，而且瑞星對(duì)其無法徹底清除；其次，由于暴風(fēng)影音軟件來源比較單一，基本都是5.05帶毒版本，據(jù)統(tǒng)計(jì)，在常州國稅所有計(jì)算機(jī)中，超過65%的計(jì)算機(jī)都安裝了該軟件。短短三天，瑞星防病毒系統(tǒng)對(duì)該病毒的查殺記錄超過了80000條。

VRV桌面管理系統(tǒng)在常州國稅基本已經(jīng)覆蓋到位，信息中心對(duì)它的各項(xiàng)功能有所了解。其中，VRV桌面管理軟件策略中有一條“普通文件分發(fā)策略”，信息中心對(duì)它并不陌生，由于武進(jìn)、溧陽和金壇三區(qū)縣安裝了區(qū)域掃描器，常州信息中心就是利用“普通文件分發(fā)策略”，實(shí)現(xiàn)對(duì)其遠(yuǎn)程、自動(dòng)升級(jí)。能不能利用該策略防治“Trojan.DL.Small.ikr”病毒呢？信息中心投入到對(duì)該病毒的研究中。經(jīng)反復(fù)測(cè)試發(fā)現(xiàn)，只有暴風(fēng)影音5.05版本才帶該病毒，其余版本都是安全的，而只要把5.05版本帶毒程序替換成其他版本程序就可以清除該病毒，且不會(huì)影響該軟件的正常使用。在發(fā)現(xiàn)了該情況后，信息中心迅速動(dòng)手，首先在小范圍測(cè)試成功立即將該策略到全局，僅僅一天以后，該病毒在常州國稅的防治記錄就降到了個(gè)位數(shù)，并且很快就銷聲匿跡了。

2、注冊(cè)表監(jiān)控“威金（Worm.Viking）”現(xiàn)原形

2006年10月底，一個(gè)突如其來的計(jì)算機(jī)病毒“威金（Worm.Viking）”讓信息中心有點(diǎn)措手不及。通過瑞星監(jiān)控臺(tái)，明明有“威金”的身影，可就是找不到準(zhǔn)確的染毒計(jì)算機(jī)，難道“威金”真的躲在計(jì)算機(jī)管理人員看不見的地方嗎？如真有這地方，它在哪里呢？

信息中心計(jì)算機(jī)安全管理人員重新開始審視這個(gè)“威金”病毒，通過各種資料，信息中心發(fā)現(xiàn)，“威金”在感染計(jì)算機(jī)的同時(shí)立即就禁止了防病毒軟件進(jìn)程，很不幸，瑞星防毒軟件的進(jìn)程也在“威金”的魔爪下。在防病毒軟件被破壞的情況下，如何有效防治病毒呢？

信息安全工具中，瑞星防病毒軟件已經(jīng)失效了，要及時(shí)定位并防治病毒只能依靠VRV桌面管理軟件了。可是，如何利用VRV桌面管理工具來實(shí)現(xiàn)其防病毒的功能呢？信息中心再次將“威金”放上了手術(shù)臺(tái)。經(jīng)過反復(fù)分析、研究發(fā)現(xiàn)，威金病毒也是通過修改注冊(cè)表（在注冊(cè)表啟動(dòng)項(xiàng)添加啟動(dòng)病毒程序）方式實(shí)現(xiàn)啟動(dòng)的。

知道了威金的特征，就可以利用VRV桌面管理軟件來進(jìn)行防治工作了。在安全策略中，有一條“注冊(cè)表安全策略”，信息中心利用其檢查符合“威金”啟動(dòng)項(xiàng)的方式實(shí)現(xiàn)對(duì)染毒計(jì)算機(jī)的定位，并及時(shí)斷網(wǎng)查殺。在這條策略下發(fā)一天后，立即上報(bào)了24臺(tái)計(jì)算機(jī)符合威金啟動(dòng)特征，計(jì)算機(jī)安全管理人員立即組織人員對(duì)這些計(jì)算機(jī)進(jìn)行斷網(wǎng)查殺，很快就阻止了“威金”疫情的蔓延。

資源整合，實(shí)現(xiàn)了計(jì)算機(jī)病毒防治手段的多樣化，有效彌補(bǔ)了防病毒軟件的不足，達(dá)到了很好的防治效果。

三、防群治，建立“管理集中”式的病毒防治體系

在數(shù)據(jù)“大集中”模式下，如何構(gòu)建一套有效的病毒防治體系呢？事實(shí)已經(jīng)表明，單打獨(dú)斗無法徹底解決計(jì)算機(jī)病毒問題，只有集中資源、統(tǒng)一管理、群防群治才能有效防治計(jì)算機(jī)病毒。

常州國稅局在計(jì)算機(jī)病毒防治體系建設(shè)上進(jìn)行了大量的探索，研究采用了一條“管理集中”防治體系。

常州國稅信息中心目前僅有2名計(jì)算機(jī)病毒管理人員，但計(jì)算機(jī)數(shù)量已經(jīng)達(dá)到1600余臺(tái)。瑞星防病毒軟件服務(wù)器只安裝到地市一級(jí)。在目前“數(shù)據(jù)集中”模式下是否一定要走“集中管理”這條路呢？常州國稅決定另辟蹊徑。

在計(jì)算機(jī)病毒防治工作中，常州國稅以前也是應(yīng)用集中管理模式，即由信息中心管理起全市的計(jì)算機(jī)病毒防治工作，負(fù)責(zé)日常監(jiān)控，對(duì)出現(xiàn)的病毒通知下級(jí)管理人員處理。但在實(shí)際的工作中，集中管理模式表現(xiàn)了以下缺陷：

1、低效。地市級(jí)管理員負(fù)責(zé)全局的計(jì)算機(jī)病毒防治工作，可是，根據(jù)統(tǒng)計(jì)，地市級(jí)管理員處理計(jì)算機(jī)病毒時(shí)90%以上的工作都是重復(fù)工作，往往把自己淹沒在大量簡(jiǎn)單重復(fù)的工作中，而無法集中精力進(jìn)行病毒分析、預(yù)警工作。低效的根本原因在于日常簡(jiǎn)單重復(fù)工作太多。

2、反應(yīng)慢。集中管理模式的控制中心在地市信息中心，其響應(yīng)流程為地市管理員-區(qū)縣管理員-操作人員。而目前最薄弱的就是地市管理員這一端。當(dāng)?shù)厥泄芾韱T無法及時(shí)發(fā)起響應(yīng)時(shí)，整個(gè)防病毒體系就事實(shí)上癱瘓了。而當(dāng)?shù)厥泄芾韱T發(fā)起響應(yīng)時(shí)，可能會(huì)因?yàn)闊o法及時(shí)聯(lián)系到區(qū)縣管理員而無法實(shí)現(xiàn)防毒意圖。反應(yīng)慢的根本原因是響應(yīng)環(huán)節(jié)太多，響應(yīng)鏈條太長(zhǎng)。

3、消極。當(dāng)?shù)厥泄芾韱T包攬了主要防病毒工作后，對(duì)區(qū)縣及操作人員起了消極影響，認(rèn)為防病毒就是地市管理員的工作，無法實(shí)現(xiàn)群防群治的效果。

要做好計(jì)算機(jī)病毒防治工作，最重要的就是對(duì)防毒體系進(jìn)行了重新構(gòu)建、整合，主要就是從“集中管理”模式轉(zhuǎn)化為“管理集中”模式。

“管理集中”模式下，需要對(duì)響應(yīng)流程、工作職責(zé)等進(jìn)行了重新劃分。在“管理集中”模式下，區(qū)縣管理員對(duì)本單位的計(jì)算機(jī)病毒情況進(jìn)行監(jiān)控（分擔(dān)了地市管理員大多數(shù)的日常監(jiān)控工作），并對(duì)出現(xiàn)的計(jì)算機(jī)病毒情況進(jìn)行簡(jiǎn)單處理，對(duì)無法處理的報(bào)地市管理員。地市管理員主要負(fù)責(zé)對(duì)區(qū)縣管理員的指導(dǎo)、監(jiān)督。

“管理集中”模式的優(yōu)點(diǎn)在于減少了響應(yīng)環(huán)節(jié)，將地市管理員從大量的簡(jiǎn)單重復(fù)工作中解放出來，充分調(diào)動(dòng)了區(qū)縣管理員的積極性，真正達(dá)到群防群治的效果。

常州國稅2006年計(jì)算機(jī)病毒防治方針：分級(jí)管理、綜合防治、重點(diǎn)管控就集中體現(xiàn)了這一理念。

分級(jí)管理：病毒管理的權(quán)限下放各區(qū)縣分局，由區(qū)縣分局進(jìn)行設(shè)置監(jiān)控管理，并及時(shí)處置發(fā)現(xiàn)的疫情。信息中心負(fù)責(zé)總體防病毒的規(guī)劃建設(shè)等，指導(dǎo)并監(jiān)督區(qū)縣分局做好計(jì)算機(jī)病毒防治工作。

綜合防治：充分利用目前已有的手段工具，做好計(jì)算機(jī)病毒的防治工作。如VRV桌面管理軟件就可以查詢防病毒軟件安裝情況，流量異常情況、在一定情況下可以阻斷感染計(jì)算機(jī)病毒的計(jì)算機(jī)的端口通訊。

重點(diǎn)管控：目前防治計(jì)算機(jī)病毒的重點(diǎn)是及時(shí)管理控制已感染病毒的計(jì)算機(jī)，實(shí)現(xiàn)感染最小化、影響最小化、危害最小化。在目前數(shù)據(jù)集中、網(wǎng)絡(luò)互聯(lián)、重要業(yè)務(wù)都依托計(jì)算機(jī)處理，計(jì)算機(jī)感染病毒是不可避免的，但重要的是及時(shí)處置、控制傳播。按照這一方針，計(jì)算機(jī)病毒防治的考核項(xiàng)目取消了對(duì)病毒數(shù)量的考核，而以“防治作為”作為考核重點(diǎn)。“防治作為”指防病毒軟件安裝率、以及出現(xiàn)病毒的處理情況（同一計(jì)算機(jī)感染病毒2天未處理或未上報(bào)的）納入考核。

常州國稅利用“管理集中”模式構(gòu)建的計(jì)算機(jī)病毒防治體系，有效地遏制了計(jì)算機(jī)病毒的高發(fā)態(tài)勢(shì)，保證了信息化建設(shè)的推進(jìn)。

隨著信息化建設(shè)的發(fā)展，尤其是目前數(shù)據(jù)全省集中的情況下，計(jì)算機(jī)病毒對(duì)信息安全的威脅日益嚴(yán)重。通過我們的積極探索，一方面研究新形勢(shì)下的病毒特點(diǎn)，另一方面進(jìn)行了防病毒資源的整合研究，逐步構(gòu)建更加科學(xué)、高效、完善的計(jì)算機(jī)病毒防治體系，希望能給稅收信息化建設(shè)一點(diǎn)有益的幫助。