防病毒系统方案建议书.doc

资源描述

《防病毒系统方案建议书.doc》由会员分享，可在线阅读，更多相关《防病毒系统方案建议书.doc（40页珍藏版）》请在三一文库上搜索。

1、*防病毒系统方案建议书防病毒系统方案建议书微软（中国）有限公司 1 目目录录第第 1 章章需求概述需求概述 3 1.1网络现状 3 1.2防病毒系统现状 4 1.3亟待解决的问题 5 1.2现状分析及网络防病毒系统需求分析 5 第第 2 章章病毒及垃圾病毒及垃圾邮邮件需求分析件需求分析 7 2.1邮件病毒的危害性 7 2.2邮件病毒发展趋势 8 2.2.1病毒与黑客程序相结合9 2.2.2蠕虫病毒更加泛滥9 2.2.3病毒破坏性更大9 2.2.4病毒传播速度更快，传播渠道更多.9 2.2.5病毒的实时监测更加困难10 2.2.6病毒传播多样化10 2.3邮件病毒防治必须具备的功能 1

2、1 2.3.1检测能力11 2.3.2更新和升级12 2.3.3响应机制12 2.3.4多级防护体系和安全管理策略13 2.3.5对系统性能的影响13 2.4目前防病毒产品面临的挑战 13 2.4.1系统性能影响大13 2.4.2防护滞后14 2.4.3无法实现7*24小时实时防护14 2.4.4蠕虫病毒的防治效果不理想14 2.5垃圾邮件分析 15 2.6垃圾邮件的危害 16 2.7反垃圾邮件技术 17 2.7.1反垃圾邮件技术的发展历程17 2.7.2反垃圾邮件技术要点18 2.8反垃圾邮件的对策 19 第第 3 章章网网络络防病毒系防病毒系统规统规划建划建议议 21 3.1微软安全产品简

3、介 21 3.2微软安全产品特点和优势 22 3.3防病毒系统规划关键点 23 3.3.1客户端防护规划23 3.3.2邮件系统防护规划25 3.4系统规划建议特点 28 第第 4 章章网网络络防病毒系防病毒系统统部署方案部署方案 29 防病毒系统方案建议书微软（中国）有限公司 2 4.1客户端防病毒系统 29 4.2邮件系统防病毒系统 29 4.3硬件配置清单 32 4.4软件配置清单 32 第第 5 章章病毒及垃圾病毒及垃圾邮邮件的日常件的日常预预防防 33 第第 6 章章病毒防治的病毒防治的应应急响急响应应 35 6.1病毒事件的发现 35 6.2处理流程 35 6.2.1隔离系统35

4、 6.2.2保留日志36 6.2.3确定问题36 6.2.4清除病毒或蠕虫37 6.2.5加固系统37 6.2.6恢复到日常的状态37 6.2.7事后分析和处理报告38 6.3大规模病毒爆发事件处理 38 防病毒系统方案建议书微软（中国）有限公司 3 第第 1 章章需求概述需求概述本单项工程主要对一期的防病毒系统采取进一步的措施，主要表现为：(1) 对现有的防病毒系统进行加固和优化，增强主机、邮件系统、终端的防病毒的能力；(2) 增强网络防毒能力，抵御网络病毒对内网的攻击；(3) 屏蔽一切不安全的设备和人员接入网络，规范用户接入网络的行为，从而铲除网络威胁的源头，避免事后处理的高额成

5、本。 1.1 网络现状网络现状全国*管理信息网是一个三级的网络，由*、各省级*管理机构及其派出机构组成。网络带宽分别为 64K 和 128K。各个省中心都有自己的管理员维护本省网络和系统的日常运营。全国*管理网络系统由国家、31 个省（区、市）及派出机构等的计算机网络通过 64/128k 帧中继等方式三级广域互连而成，是一个单中心的星型网，其中包括*局域网、国家级超短波监测站、国家级短波监测站、移动监测车、省级网络等。各级网络都是一个独立的域，管理自己的域用户。按照国家规定，本网络要求与 Internet 物理上完全断开，但由于管理不严，有些节点与 Internet 有物理连

6、接。另外本网络与外部连结互连有两种方式，一种是由于行政原因，与信息产业部、信息产业厅等部门局域网连结；一种是项目单位通过拨号、162 接入等方式连入本网络。 *局域网主要完成全国*管理计算机网的网络管理、与下级局域网的信息交换。*局域网网络规模相对不大，物理分布集中在距离很近的两个楼宇。楼层间垂直走线子系统采用室内多模光纤互联，骨干为千兆以太网，中心交换机为一台 RS8600。水平走线子系统共有 5 个，分别位于 2、3、5、8、10 五个楼层，可以实现百兆交换到桌面，可提供五百个以上信息点的接入能力。防病毒系统方案建议书微软（中国）有限公司 4 楼层交换机楼层交换机楼层交换机楼

7、层交换机中心路由器 Cisco7507 中心路由器（备份）中心交换机1中心交换机2 1.2防病毒系防病毒系统现统现状状全国*管理信息系统包括两个独立的网络系统内网和外网，都是全国性网络。其中内部网络由国家、31 个省（区、市）及派出机构等的计算机局域网组成三级广域网；总共有 3000 余台计算机设备，其中包括了 400 余台 Windows 服务器。拥有邮件服务、办公自动化服务、内部 WWW 服务和自身的业务系统服务。外部网络客户端较少，拥有邮件服务、WWW 服务和其他应用服务。 2003 年一期工程统一部署了 Symantec antivirus 8.0 网络防病毒产品。对所

8、有客户端和服务器部署了防病毒实时监控，同时对 Exchange 服务器进行了邮件病毒过滤。病毒防护系统管理结构如下： *为树根，统一来管理所有的下级单位省一级无委为第二级管理中心地市为第三级管理中心防病毒系统方案建议书微软（中国）有限公司 5 1.3亟待解决的问题亟待解决的问题客户端感染病毒的事件逐渐增多，维护工作量和难度很大，病毒传播行为占用了大量的广域网带宽。产生以上问题的根本原因是： 1) 客户端的防病毒问题业务不断扩展和变化使得客户机系统的安全监管越来越困难；客户机在内网和外网环境中交替使用；外来人员自带电脑任意接入网络；新安装的主机在缺少基本安全保障的情况下

9、接入网络。 2) 病毒自身的变化病毒自身的发展对防范手段有更高的要求；病毒变化速度越来越快；病毒的危害性越来越大；病毒的自我保护能力越来越强。 3) 全国*管理信息系统的防病毒软件过于陈旧 1.2 现状分析及网络防病毒系统需求分析现状分析及网络防病毒系统需求分析近年来，病毒攻击的数量和次数，以及病毒攻击的复杂程度一直都在上升。虽然，全国*管理信息系统在一期建设中已经部署了多层次的防病毒软件：从关键服务器，到邮件服务器，到最终客户端；但是，他们仍然会受到基于网络攻击的病毒的困扰，例如：SQL Slammer 和冲击波 Blaster 等。如果网络病毒攻击不能在网络层被侦测的话，现

10、有的病毒防护体系无法被及时侦测或者阻止的。导致的后果经常是核心交换、路由设备充斥大量无用的数据包，CPU 负载居高不下、甚至导致终端用户正常网络业务应用受阻等等。面对病毒发展的新趋势，必须通过技术和管理手段进行防病毒管理体系的加固和优化。目前*防病毒工作存在的问题： 1. 病毒自身的发展对防范手段有更高的要求。防病毒系统方案建议书微软（中国）有限公司 6 1）病毒变化速度越来越快。 2）病毒的危害性越来越大。一旦网内有一台计算机感染病毒，其所在的整个网段都会受到影响，网络带宽也被大量占用。 3）病毒的自我保护能力越来越强。 2. 客户机在内网和外网环境中交替使用，在外网感染病毒后

11、带入内网； 3. 外来人员自带电脑任意接入网络，造成病毒传播； 4. 新安装的主机在缺少基本安全保障的情况下接入网络，比如没有安装防病毒系统、安装了但是特征库更新不及时、没有安装必要的操作系统补丁；根据*对防病毒产品的相关需求结合防病毒系统现实存在的一系列问题，归纳中心对防病毒系统有几个方面的需求：客户端病毒防护；防病毒软件自身性能和功能；防病毒软件对网络的管理能力；网关病毒防护；邮件病毒防护；系统及应用补丁产品的性能和管理能力；防病毒系统方案建议书微软（中国）有限公司 7 第第 2 章章病毒及垃圾邮件需求分析病毒及垃圾邮件需求分析随着邮件系统的普及，计算机病毒中的

12、邮件病毒开始大行其道，给社会带来越来越大的经济损失，垃圾邮件与邮件病毒已经成为互联网时代的两大杀手，而邮件病毒更甚，因为它不但能产生垃圾邮件，而且还能感染电脑、阻塞网络，造成更大的损失。 2.1 邮邮件病毒的危害性件病毒的危害性对于大多数个人电脑用户来说，对邮件病毒破坏性的感觉并没有象 CIH 病毒这样强烈，在大多数人的脑海中的印象中邮件病毒是一种只会发发病毒邮件的温和的病毒。其实，邮件病毒的破坏要远大于此。首先，邮件病毒会对主干网的流量造成影响。邮件病毒的传播过程是这样的，病毒会被首先释放到一台病毒种机中，种机中有大量的公开邮件地址，然后病毒就会通过网络和邮件从一台计算机感

13、染到另一台计算机，由于邮件病毒在每感染一台计算机后就会搜索一次该计算机的所有 E-MAIL 地址，再向这些地址发送病毒邮件，被感染的计算机不但会向一些未感染病毒的计算机发送病毒邮件，还会进行邮件互发，从而在全球泛滥的同时大量占用网络带宽资源，使整个主干速度变慢，象“求职信”就是这样的一个病毒。如果邮件病毒又具备了黑客攻击的手段，那么这种破坏性就更明显了，象“SCO 炸弹（Mydoom）” 病毒就是这样，他不但会进行邮件传播，还会在某个特定时间对 SCO、微软等网站发起 DDoS(分布式拒绝服务)攻击，病毒的意图很明显，就是要集结全球所有被感染计算机，然后统一向这两个网站发起攻击，

14、全球范围内的超量非法服务请求，不但会使这两个网站瘫痪，还会使整个主干网阻塞。其次，邮件病毒还会对企业和电子邮件服务商造成影响。如果说对主干网的影响，大家还只是停留在感觉的层次的话，那么邮件病毒对企业和电子邮件服务商的影响就是实实在在的了。每一个现代化的企业，都会有自己独立的内部网络和邮件服务器，邮件服务器每秒钟要收发数以万记的邮件，但是一个邮件服务器的吞吐量和邮件并发数是有限的，当邮件病毒泛滥时，大量的病毒邮防病毒系统方案建议书微软（中国）有限公司 8 件会随时从外部网络涌入，如果企业内部感染了邮件病毒，那么同时也会有大量的病毒邮件从内部网络经由邮件服务器而发送到外网，当病毒

15、邮件远远大于邮件服务器所能承载的最大邮件数时，邮件服务器便会来不及处理邮件请求从而导致邮件阻塞，严重时还会使邮件服务器系统崩溃，从而拒绝服务。一些互联网邮件服务商同样也面临着这样的问题，虽然他们的邮件服务器吞吐量很大，但他们接受的是整个互联网的邮件请求，因此在邮件病毒大量泛滥时仍然会产生邮件阻塞及拒绝服务的情况。有电脑使用经验的用户一定还记得当年求职信病毒爆发时的情形，在病毒的泛滥高峰期，用户几乎是无法收取任何邮件的。最后，邮件病毒会产生大量的垃圾邮件，阻塞用户信箱。这种危害是普通用户能亲身感受到的，邮件病毒泛滥时会给用户的邮箱发送大量的病毒邮件，虽然一些邮件服务商采取了一些

16、邮件过滤的技术，如字符串过滤，截取附件等方法，但是如今的邮件病毒都会采取随机更换邮件标题和内容的方法来躲避过滤，而一些被截去附件的病毒邮件就成了名符其实的垃圾邮件。一些躲过过滤的病毒邮件会有很有迷惑性的标题来诱使用户中毒，而一些被截去附件的病毒邮件则会变成垃圾邮件来占满用户有限的邮箱空间，使用户无法收取正常的邮件。 2.2 邮邮件病毒件病毒发发展展趋势趋势自从 1983 年世界上第一个计算机病毒出现以来，在不到 20 年的时间里，计算机病毒已到了无孔不入的地步，有些甚至给我们造成了巨大的损失。而所有的计算机病毒，都可能通过邮件的方式进行传播。每当一种新的计算机技术广泛应用的时

17、候，总会有相应的病毒随之出现。例如，随着微软宏技术的应用，宏病毒成了简单而又容易制作的流行病毒之一，配合主板 BIOS 升级技术，出现了第一款可以损坏硬件的 CIH 病毒；随着 Internet 的网络普及，各种蠕虫病毒如美丽莎、爱虫、SirCAM 等疯狂传播。以及后期不断的产生病毒和黑客攻击于一体，通过 80 端口进行传播“红色代码（CordRED） ”病毒和 Nimda 病毒，通过利用 SQL Server 漏洞传播的病毒王，以及通过 RPC 漏洞进行攻击和传播的冲击波病毒，不仅仅对于计算机进行破坏，同时造成了整个网络的瘫痪。防病毒系统方案建议书微软（中国）有限公司 9 纵

18、观当今的网络时代，病毒的发展呈现出如下趋势： 2.2.1 病毒与黑客程序相病毒与黑客程序相结结合合通过附件中夹带黑客程序，邮件病毒与黑客程序（木马病毒）结合以后的危害更为严重，病毒的发作往往伴随着用户机密资料的丢失。病毒的传播可能会具有一定的方向性，按照制作者的要求侵蚀固定的内容。 2.2.2 蠕虫病毒更加泛蠕虫病毒更加泛滥滥这类病毒是由受到感染的计算机自动向用户的邮件列表内所有的人员发送带毒文件，往往在邮件当中附带一些具有欺骗性的话语，由于是熟人发送的邮件，接受者往往没有戒心。因此，这类病毒传播非常快，只要有一个用户收到感染，就可以形成一个非常大的传染面。 2.2.3 病毒破坏

19、性更大病毒破坏性更大邮件病毒绝不仅仅以侵占和破坏邮件服务器的为目的，利用邮件服务器作为整个网络系统的邮件传输枢纽，扩大受感染面积是他们更为危险的动机。木马病毒的传播使得病毒在发作的时候有可能自动联络病毒的创造者（如爱虫病毒），或者采取 DoS（拒绝服务）的攻击（红色代码病毒）。一方面可能会导致本机机密资料的泄露，另一方面会导致一些网络服务的中止。而蠕虫病毒则会抢占有限的网络资源，造成网络堵塞（如 Nimda 病毒），如有可能，还会破坏本地资料（如针对 911 恐怖事件的 Vote 病毒）。 2.2.4 病毒病毒传传播速度更快，播速度更快，传传播渠道更多播渠道更多由于网络

20、的普及，使得编写病毒的知识越来越容易获得。同时，各种功能强大而易学的编程工具让用户可以轻松编写一个具有极强杀伤力的病毒程序。用户通过网络甚至可以获得专门编写病毒的工具软件，只需要通过简单的操作就可以产生破坏性的病毒。防病毒系统方案建议书微软（中国）有限公司 10 2.2.5 病毒的病毒的实时监测实时监测更加困更加困难难随着网速的提高，在数据传输时间变短的同时，病毒的传送时间会变的更加微不足道。如何确保病毒文件在抵达用户邮箱之前将它查出并处理，是当前针对邮件病毒的防毒产品面临的重要问题。 2.2.6 病毒病毒传传播多播多样样化化目前绝大多数病毒传播的途径是网络，而网络病毒中，又

21、以邮件传播病毒最为常见。以下是 Sophos 公司公布的 2004 年 5 月的 10 大流行病毒：图 1 病毒排行列表表中所列皆为蠕虫病毒，蠕虫病毒是通过邮件系统传播的典型病毒之一。由此可见，对于一个网络系统而言，针对病毒的入侵渠道和病毒集散地-邮件网关进行防护是最首当其冲的防治策略。目前市场上的防毒产品根据其部署的架构大致可分为三个层面，即网关- 服务器-客户端。邮件网关处于局域网及互联网的出入口，它是处理来往于互联网及网络间的数据的首要关卡，承担了对即将进入邮件服务器的所有邮件的病毒监测和垃圾邮件筛选工作。通过在网关处的病毒清除和邮件过滤动作，防病毒系统方案建议书微软

22、（中国）有限公司 11 可大大减轻邮件服务器的负载压力，同时减轻邮件服务器防毒软件的压力，从而提升邮件服务器的使用性能。对于邮件病毒每一个可能的入口，部署相应的病毒防治软件，实时检测其中是否有病毒，是构建一个完整有效病毒防治体系的关键。 a）网络邮件/群件系统：如果 MAIL 服务器未部署防毒软件，一旦有某个用户感染了病毒，通过邮件方式该病毒将以几何级数在网络内迅速传播，并且很容易导致邮件系统负荷过大而瘫痪。而仅仅在客户端级别对受感染的计算机进行隔离清除病毒工作，并不能对整个系统起到管理和防范的作用。 b）内容保护：由于目前邮件系统的使用异常方便，造成了用户很容易在不经意间

23、将重要的、机密的或是不当的信息通过邮件发出去；另一方面，来自 Internet 上的垃圾邮件也到处都是，导致用户需花大量的精力和时间去处理，降低了工作效率。因此对往来的邮件内容进行过滤也很重要； c）集中管理：对于一个大型网络来说，部署的病毒防治系统将十分复杂和庞大。尤其在各网点在地域上分离的情况下，通过一个监控中心对整个系统内的病毒防治服务和情况进行管理和维护显得十分重要。这样就可以大大降低维护人员的数量和维护成本，并且缩短了升级、维护系统的响应时间。病毒防治系统的最大特点是需要不断的升级和更新防毒软件，以应对新产生的各类病毒。因此各点的病毒防治软件集中进行升级行动也是有

24、效病毒防治的重要一环。防病毒系统方案建议书微软（中国）有限公司 12 2.3 邮邮件病毒防治必件病毒防治必须须具具备备的功能的功能 2.3.1 检测检测能力能力病毒防治的恶意代码检测技术必须具有检测已知的和未知的蠕虫和特洛伊木马病毒的能力。通过对 SMTP 数据流的实时监控、检测和删除所发现的任何病毒，并能自动下载、下载新的病毒库从而能包括需要扫描的所有病毒的特征。病毒检测能力： a)保证对进出 SMTP 的邮件数据进行 100%的数据扫描和处理，对置于其后的邮件系统进行最大程度的防护； b)7*24 小时的防护机制； c)工具是否包含恶意代码； d)实时病毒扫描（SMTP 堆

25、栈）； e)按需病毒扫描； f)多态性病毒的不同应对； g)病毒驻留在加密消息或压缩文件中的检查； h)病毒以不同的语言书写（如 JAVA、ActiveX、VB 等）； i)特洛伊木马和蠕虫病毒。 2.3.2 更新和升更新和升级级保持对病毒和恶意代码威胁的有效防御不仅仅包括在给定的时间执行全面检测这一能力。平均每月有 300 多种新的病毒被发现，防毒保护应当能定时更新，当新的病毒被发现后，相应的处理方法应被开发出来并更新保护。并且这一自动更新应该是静态完成，客户端为不可见的。病毒防治系统应该通过集中管理框架，可靠地完成自动更新。更新和升级防病毒系统方案建议书微软（中国）有限公司

26、13 的功能需求有： a)能够进行版本升级 b)定期升级 c)升级迅速 2.3.3 响响应应机制机制响应机制的功能需求包括： a)服务器级别隔离； b)控制台级别隔离； c)基于网络的支持响应服务； d)向系统管理员告警； e)向发送者或接受者报警； 2.3.4 多多级级防防护护体系和安全管理策略体系和安全管理策略由于整个体系中邮件服务器众多，造成了管理上的困难和投入的增加。多级单位的网络互联，需要控制大规模的病毒爆发事件，把病毒的影响控制在很小的范围内。另外由于文件的传输和电子邮件的传输也没有统一的控制，所以造成病毒多种的途径的传播。主要表现在以下几个方面： a)系统内部数据传输

27、频繁，为病毒传播创造了条件； b)管理人员不够了解系统内病毒活动的情况，不能即使采取控制措施； c)网络互联互通，一旦大规模爆发蠕虫病毒，将会造成网络系统的防病毒系统方案建议书微软（中国）有限公司 14 瘫痪； d)没有统一病毒库升级途径； 2.3.5 对对系系统统性能的影响性能的影响 a) 可对群发邮件进行单一扫描从而减少对系统的影响； b) 具备防止其他可对系统造成不必要影响的机制。 2.4 目前防病毒目前防病毒产产品面品面临临的挑的挑战战 2.4.1 系系统统性能影响大性能影响大由于邮件服务器本身承载的任务复杂，需消耗的系统资源及网络带宽已经很多，因此作为第三方防病毒软件不仅仅

28、应与其在功能上保持良好兼容性之外，对现有系统的性能冲击越小越好。目前防病毒产品的扫描机制分为两类：硬盘扫描与内存扫描。硬盘扫描的方法为允许所有邮件进入服务器，再对其进行扫描操作。因其直接对硬盘进行读写操作，因此扫描速度慢，且对具有自启动功能的病毒无防范能力。相较而言，将扫描点提前到内存中将大大缓解防毒软件对系统资源与网络带宽的影响。但目前部分内存扫描产品并未做到真正意义上的内存扫描，而是在内存中生成一个临时文件夹，将文件存入，然后再实施扫描，因此不可避免要求相当大的内存空间。 2.4.2 防防护护滞后滞后将扫描点放在服务器中进行扫描的方法，不能防止带有病毒的文件进入邮件服务

29、器最为重要也是最为脆弱的关键应用，而目前越来越多的高度智能化的病毒程序一旦进入服务器存储单元，就会以极快地速度进行自我复制和转发病毒等破坏行为。因此传统防病毒软件提供的保护不可避免地具有滞后性。防病毒系统方案建议书微软（中国）有限公司 15 2.4.3 无法无法实现实现 7*24 小小时实时时实时防防护护防毒引擎查杀病毒的能力直接决定了该防毒软件的性能，尤其是为服务器而设计的防病毒软件，更应确保对服务器 100%不间断的防护。但目前大多服务器版的防病毒软件采用单一引擎扫描机制，当唯一的引擎进行升级时，实时监控进程停止，此时服务器处于毫无防护的状态下，使各种病毒有了可乘之机。 2

30、.4.4 蠕虫病毒的防治效果不理想蠕虫病毒的防治效果不理想蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性，隐蔽性，破坏性等等，同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中），对网络造成拒绝服务，以及和黑客技术相结合等等。在产生的破坏性上，蠕虫病毒也不是普通病毒所能比拟的，网络的发展使得蠕虫可以在短短的时间内蔓延整个网络，造成网络瘫痪。而目前防病毒产品对蠕虫病毒大多采用的处理方法与传统病毒类似，即在存储单元中先对其进行修复，如果修复无效则删除附件。但蠕虫病毒的特殊性决定了一旦允许其写入硬盘，将极大增强其自我繁衍的能力，且它产生的数据垃圾无法进行

31、修复，所以这种处理方法的结果必然是扫描引擎不断对无价值文件进行读写硬盘的操作，并将删除了附件的邮件正文发送给收件人，间接制造了大量垃圾邮件。 2.5 垃圾垃圾邮邮件分析件分析自从互联网普及以来，电子邮件逐渐成为人们生活中便捷的通信手段之一。然而，随之产生的垃圾邮件像瘟疫一样蔓延，污染网络环境，占用大量传输、存储和运算资源，影响了网络的正常运行。业内人士分析：一旦垃圾邮件占到互联网总数据流量的三分之一以上，将会造成巨大的存储需求，甚至对信息安全系统的有效性构成威胁。防病毒系统方案建议书微软（中国）有限公司 16 对垃圾邮件的定义至今还没有一个比较明确的描述，然而它们的诸多表征

32、已经得到了业界人士的广泛的认可。不久前，中国互联网协会也公布了对“垃圾邮件”的正式定义: 1、收件人事先没有提出要求或者同意接收的广告、电子刊物、各种形式的宣传品等宣传性质的电子邮件; 2、收件人无法拒收的电子邮件; 3、隐藏发件人身份、地址、标题等信息的电子邮件; 4、含有虚假的信息源、发件人、路由等信息的电子邮件。垃圾邮件的内容形形色色，主要包括广告、色情、政治言论、病毒传播等几种类型。其中，携带病毒的垃圾邮件直接威胁着整个网络系统的安全，广告大约占据所有垃圾邮件的 70%左右。从技术上分析，垃圾邮件可以分为以下四种。 1、信件头部包含垃圾邮件的特征国外许多国家和地区都

33、有限制垃圾邮件的立法，所以很多国外的广告发送程序都被强制加上标识符，例如邮件的发送程序使用 CDmail，那么在邮件头部就会出现 X-mailer、CDmail 的字样。不过在我国发送垃圾邮件还没有这一限制。 2、邮件内容包含垃圾邮件特征邮件内容中含有“sex site”等字样。 3、使用 Open Relay 主机发送的垃圾邮件由于系统管理员的疏忽，很多邮件服务器都是 Open Relay 的，这样就允许任何人通过该 SMTP 服务器向任何地址发送垃圾邮件。 4、无论头部还是内容都无法提取特征那些不含有标识的发送垃圾邮件的软件，可以直接连接给所有用户发送垃圾邮件，

34、人们很难将这样的垃圾邮件从正常的邮件中分离出来。防病毒系统方案建议书微软（中国）有限公司 17 2.6 垃圾垃圾邮邮件的危害件的危害 47%：一项最新调查显示垃圾邮件已成为互联网用户的最大烦恼，垃圾邮件的病毒率高达 47%。 1500 亿：2003 年，中国的邮件服务器共收到 1500 亿封垃圾邮件，尽管其中 60%到 80%被服务器过滤掉，但至少有 470 亿封最终流入用户的信箱。 48 亿：2003 年我国处理垃圾邮件浪费的 GDP 高达 48 亿元人民币。874 美元：垃圾邮件给美国企业造成的损失落实到每位职员身上折合约为 874 美元。 1.85 封：我国网民平均每天收到邮件

35、 7.05 封，其中 1.85 封为垃圾邮件，每人每天用在处理垃圾邮件的时间为 3.65 分钟。 50%：一篇报告称垃圾电子邮件失去了控制，到 2003 年年中，全部电子邮件中将有 50%是垃圾邮件。星期四：英国一家网络供应商研究发现，星期四是垃圾邮件制造者特别钟爱的日子。 89 亿美元：美国企业每年由于垃圾邮件要 89 亿美元的损失，欧洲企业的损失为 25 亿美元，美国和欧洲的 ISP 的损失为 5 亿美元。 2.7 反垃圾反垃圾邮邮件技件技术术 2.7.1 反垃圾反垃圾邮邮件技件技术术的的发发展展历历程程回顾反垃圾邮件技术的发展历程，可以将其分为三个阶段：触发阶段（1993

36、年1997 年）：1994 年 12 月，spam 一词开始用于表示垃圾邮件；1995 年 10 月，国际上开始为垃圾邮件设定专门的邮件帐户 abusedomain,用于收集、讨论垃圾邮件；同时开始利用“黑名单”（把一些已防病毒系统方案建议书微软（中国）有限公司 18 知的发送垃圾邮件 IP 或邮件地址列入其中，用来过滤垃圾邮件）技术实施反垃圾邮件工作。推进阶段（1997 年1999 年）：1997 年 5 月，国际上成立了 CAUCE（Coalition Against Unsolicited Commercial E-mail）组织，主要从倡议立法的角度出发，力图唤醒有志者共同

37、参与，一起抵制垃圾邮件。1998 年 4 月， Internet 协会 ISOC 针对垃圾邮件问题召开了专项会议，讨论有效的实施垃圾邮件过滤方式等等。在这一阶段中，许多国际组织和服务单位例如 MAPS、SPANHAUS、ORBSSPAMCOP 也相继成立，对垃圾邮件问题（尤其是对 ISP）提出了很多建议和解决方案。尤其重要的是，1998 年我国成立了第一家开展垃圾邮件与反垃圾邮件技术研究单位“中国教育与科研网紧急响应小组（CCERT）”，他们积极地与国际组织接触并建立联系，成为这一阶段我国接受和处理国际投诉的主要窗口。发展阶段（1999 年2002 年）：1999 年 2 月，RF

38、C2502，Anti-Spam Recommendations for SMTO MTAs 的正式发布标志着反垃圾邮件技术研究的蓬勃发展。许多国际知名大学和研究机构都组织人员开始了反垃圾邮件技术的研究。随着反垃圾邮件理发和建立统一标准等工作的推进，这一研究领域更是吸引了许多从事交叉学科研究的技术人员的关注。机器学习、神经网络和遗传算法等先进的研究经验都被引入到这一领域。这一阶段的研究成果成为近几年国内外开发反垃圾邮件产品的主要技术依据。 2.7.2 反垃圾反垃圾邮邮件技件技术术要点要点垃圾邮件是用专门的邮址搜索软件和邮件群发软件来完成网上邮址收集和邮件散发的，一个邮址搜索软件每次

39、可以搜索到几万个至十几万个有用邮址，一个邮件群发软件每天可以发送百万封同样或不同内容的垃圾邮件。在宽带日益普及的情况下，只要懂得如何发送电子邮件，人们在家里也可以轻而易举得制造出大批垃圾邮件来。对于这种自动化的垃圾邮件制造方式，人工手段删除垃圾邮件显得无能为力，必须借助一定的技术手段对付批量的垃圾邮件。防病毒系统方案建议书微软（中国）有限公司 19 反垃圾邮件技术主要包括：垃圾邮件过滤技术、邮件服务器的安全管理和培植技术以及对简单邮件通信协议（SMTP）的改进研究等。 2.7.2.1启发式过滤技术启发式过滤技术过滤技术是目前反垃圾邮件用到的主要技术。其一，利用域名地址、IP

40、或域名“黑白名单”进行的邮件限制或过滤，典型应用诸如：结合 DNS 的实时黑名单（RBL）过滤，用户自定义邮件白通道加严整的过滤方法等。其二，基于数据挖掘技术进行的邮件过滤研究，利用文本分类与统计算法进行垃圾邮件检测，比较有代表性的是贝叶斯过滤器。它是以自学习、自适应和极高的准确率占据了过滤器这个领域的主导地位。其他研究包括：基于记忆信息、基于事件特征描述信息进行数据挖掘的垃圾邮件检测方法。其三，基于垃圾邮件的特征分析、规则提取的规则匹配过滤方法。电子邮件通常具有几个重要特征，标准电子邮件地址（包括收发件人邮箱名、收发人邮箱服务器 IP 地址或域名）、主题、信件内容（包括正文

41、、关键字、附件）等相关字段，这些特征是过滤技术判断、分析、统计和提取的依据。目前的防垃圾邮件系统主要是通过启发式过滤技术来实现。启发式过滤技术主要是对邮件进行来源过滤和内容过滤。对于上文中提到的第一、第三种垃圾邮件，启发式过滤技术可以根据其来源特征进行过滤。这种方式可以在邮件完全提交之前就进行阻断，能有效保护网络资源。内容过滤就是对邮件正文进行内容匹配，能够有效防止第二种垃圾邮件。对于那些一时无法识别和处理的特殊垃圾邮件，比如第四种垃圾邮件还需要技术人员通过人工方式进行处理。从原理来看，提取邮件特征、获得关键词是启发式过滤技术的关键。一般网站和大型企业通常会设立专门垃圾邮件

42、用户投诉信箱，技术人员可以从这些躲过反垃圾邮件软件处理，直接到达用户信箱而被用户送来的垃圾邮件中，摘防病毒系统方案建议书微软（中国）有限公司 20 取关键词进行分析过滤，或是统计垃圾邮件的相关特征，输入反垃圾邮件引擎，使升级后的反垃圾邮件软件能够拒收这些邮件。为了及时获得有效特征，有些网站和大型用户还设立了专门的“诱饵邮箱”，只要有垃圾邮件进入自己的网站，这个诱饵邮箱就会自动截获，供专门技术人员参考。 2.7.2.2合作式扫描技术合作式扫描技术除了启发式过滤技术外，合作式过滤技术也逐渐引起人们的重视。该技术主要通过对邮件进行签名来防止垃圾邮件，通过分布在各地的防垃圾邮件代理对

43、垃圾邮件进行实时的判断和签名，利用各个防垃圾邮件网关的协同工作减少垃圾邮件的危害。 2.8 反垃圾反垃圾邮邮件的件的对对策策防止垃圾邮件，人们可以从网关、服务器端和客户端四方面入手。 1. 基于服务器的软件: 这些软件通常运行于邮件服务器或是一台单独的机器上，它们检查邮件头和发送的信息并且阻止那些无效信息。众多基于服务器的过滤软件都参考了一个众所周知的垃圾邮件制造者或策源地的列表，并最终把来自这些地方的信息筛除。最流行的列表是在邮件滥用预防系统（MAPS: Mail Abuse Prevention Systems）中有个黑洞列表（Blackhole List）。MAPS 可以删

44、除其 DNS 列表中的垃圾邮件制造者的服务提供商的地址，来阻止垃圾邮件对后端系统的干扰。这种过滤产品可以在信息通过之前，根据 MAPS 的域名服务器来检查入境信息的头信息，查看基于服务器的垃圾过滤软件的列表。 2. 硬件网关: 如果用户有大量邮件需要接收，这些用户可以采用一种基于硬件的邮件过滤网关。它比基于软件的网关产品更有优势的地方是能够处理更大量信息。这种设备安置在路由器和服务器之间，以过滤垃圾信息。有些硬件邮件过滤网关可以扫描发出的邮件，有些只能扫描进入的邮件。它们的过滤规则各不相同，通常是根据内容或者行为制定，部分设备还可以扫描病毒。 3. 客户端: 客户端是防垃圾邮件

45、的最后一道防线，用户可以采用客户过滤软件。在客户端的过滤方法中，人们可利用一些常见的电子邮件客户端工具的防病毒系统方案建议书微软（中国）有限公司 21 分拣和过滤功能来设定规则，把接收下来的电子邮件进行检查和匹配，从发件地址、主题、正文内容中的关键词，对那些符合垃圾邮件特征的电子邮件，执行自动删除操作，或者加装某些客户端工具，利用邮件下载协议（POP3 或 IMAP4）的一些特定指令先下载邮件的头部信息进行垃圾邮件的判断和识别，这样客户端就不需要将电子邮件完全下载才能进行识别和处理了。像反病毒一样，反垃圾邮件需要每一位用户的共同参与和积极配合。具体来说，企业用户可以选择一些防垃

46、圾邮件的软件来保护自己的邮件系统。对于电信用户（大容量电子邮件系统），部署防垃圾邮件系统可能会对邮件的正常传输产生一定影响，在部署系统之前，这部分用户最好对系统的稳定性和性能进行充分的测试和估算，并要保证一定的性能冗余。对于个人用户来说，要注意将自己的邮件地址在最小范围内散发，不要将邮箱注册到某些声誉不高的 ICP/ISP，不要购买通过垃圾邮件发布广告的商品，使用客户端防垃圾邮件软件，在收到垃圾邮件时，向相关组织报告垃圾邮件的信息，以便向垃圾邮件规则库中提交更多的匹配模式。防病毒系统方案建议书微软（中国）有限公司 22 第第 3 章章网络防病毒系统规划建议网络防病毒系统规划建议

47、针对以上对*现状和需求的分析，我们建议利用微软公司的 Forefront Security 为核心来部署实施*的网络防病毒系统。采用网络防病毒系统，既能满足*在业务、应用、信息和基础设施建设方面的现状，也能满足*在对管理方面对网络防病毒系统的要求，实现面向*最终用户的，易于管理维护，高可靠性和安全的电子网络防病毒系统。 3.1 微微软软安全安全产产品品简简介介当今的安全市场十分复杂和零散。系统管理员面临种种挑战，现有安全产品存在较差的互操作性、每种产品单独的管理控制台、以及普遍缺少统一的活动报告和分析等不足。简而言之，现有的安全解决方案和产品仍很难部署、使用和管理网络保护。而且相关费用又十分高昂。随着安全性对商业解决方案成功与否的作用

展开阅读全文