野火燒不盡， 春風吹又生。 其實， 不僅野草是如此， 企業內部網絡中的病毒也是如此。 不少網絡安全管理人員都有類似的煩惱。 各個客戶端與服務器已經部署了殺毒軟件而且已經升級到最新的版本， 為什么局域網內部還是會不斷出現殺不盡的病毒呢?

　　其實， 這是因為現在的病毒越來越會捉迷藏。 他會通過各種各樣的形式來隱藏自己， 不被殺毒軟件發現。 如有些病毒經常采用反客為主的方式， 來躲避殺毒軟件的查殺。 如現在在系統的任務管理器中有一個svchost.exe的進程。 這個進程名字和操作系統名稱一模一樣， 大小寫也相同。 那是否說明這個進程就是安全了的呢?其實不然。 現在有些病毒利用了任務管理器無法查看進程對應的可執行文件這一缺陷， 來隱藏自己。 通常情況下， 系統的svchost.exe進程對應的可執行文件存儲系統操作系統的系統目錄根目錄下面的一個文件夾中。 而病毒就可以把自身的病毒文件復制到系統目錄根目錄中， 并改名為svchost.exe。 病毒運行后， 我們在任務管理起重看到的也是svchost.exe這個進程。 看起來和系統的正常進程無異， 其實， 此時病毒已經反客為主， 以操作系統合法主人的身份光明正大的出現在我們面前。

　　所以， 現在病毒軟件隱蔽性越來越好。 真正具有危害性的病毒， 不會像熊貓病毒那樣， 那人一看就知道你網絡中毒了。 俗話說， 會咬人的狗不叫。 那些危害性大的病毒， 只會躲在幕后， 監視著你。 在必要的時候， 如得到他們所需要的信息之后， 就悄然隱退。 這種病毒才是我們安全管理人員中的心頭大患。

　　那么該如何才能夠把病毒暴露在陽光之下， 如何才能夠不讓病毒春風吹又生呢?為此筆者有如下建議。

　　一、文件服務器斷開網絡后定時查殺。

　　說句實話， 文件服務器確實給企業的信息化辦公與資源共享帶來了很大的便利。 但是， 其也往往是病毒的最大傳染源。 一方面企業網絡管理員在文件服務器上權限設置不當， 很多共享文件夾為了工作方便， 用戶在訪問時不需要經過身份認證。 或者在操作系統啟動時會自動利用用戶名與密碼登陸文件服務起。 這些措施， 確實可以讓服務器身份驗證對用戶透明， 節省了用戶驗證的程序開銷。 但是， 無疑也給了病毒可乘之機。 若用戶所在的操作系統有病毒的話， 則其就可以輕易感染文件服務器上其具有寫操作權限的文件與文件夾。 而其他員工出于一種信任， 在訪問文件服務器上的文件也會特別注意。 如對于

一些記事本或者DOC文件直接在文件服務起上打開。 為此， 用戶就在無形之中充當了幫兇， 在企業內部傳染病毒。

　　另外， 文件服務器上的病毒由于環境復雜， 往往很難查殺。 因為即時殺毒軟件查到某個文件有病毒， 但是其顯示的是無法直接刪除病毒， 除非連文件帶病毒一起刪除。 但是， 我們安全管理人員往往不能夠輕易下這個決定。 因為這個文件可能是員工的重要文件。 往往很多種情況都會導致病毒無法被查殺。 如有可能病毒一直在對病毒文件進行寫操作， 有時也可能是因為有員工在訪問這個帶病毒的文件。 無論是出于什么情況， 我們安全管理人員都不能夠冒這么大的風險把病毒帶其感染的文件一起刪除。

　　為此， 筆者建議， 在對文件服務器進行病毒查殺的時候， 最好能夠中斷文件服務器跟企業網絡的連接。 或者說， 把文件服務器上的共享文件都取消掉。 然后在針對文件服務器的所有硬盤、內存進行查殺。 筆者在日常工作中， 往往是一個月一次。 公司實行的是雙休日， 所以筆者每個月都要加一天班。 先把文件服務器跟網絡斷掉， 重新啟動后再查殺病毒。 如此的話， 就可以在最大程度上把一些隱藏的比較好的病毒殺死。 此時， 若發現無法刪除病毒時， 也可以放心大膽的先把病毒文件隔離開來， 然后再進行一一排查。 因為此時沒有員工連接到文件服務器上， 所以， 就不會對員工造成不必要的損失。

二、一鍵還原成為了病毒很好的處身之地。

　　不少網絡管理員為了系統維護的方便， 都會在操作系統中設置一鍵還原。 當配置好用戶操作系統之后再對其進行一鍵備份。 如此的話， 即使下次操作系統出現問題了， 也只需要通過一鍵還原， 從而在最短時間內恢復操作系統。 要實現這個功能， 往往需要在系統的硬盤上專門劃出一個空間用來存儲這個備份文件。 同時， 為了保護這個文件的安全性， 系統往往會采取一些保護措施。 此時， 即使殺毒軟件發現這個備份文件有問題， 也束手無策。 有時候， 我們在還原的時候， 才發現這個備份文件已經不可用。 其實， 這很大一部分原因都是因為這個備份文件已經被病毒感染。 平時用戶很難發現備份文件被病毒感染， 而只有在還原的時候才會發現。 這就給病毒留下了一個安全的處身之地。

　　另外， 在一些微軟的操作系統中， 也帶有備份還原功能。 通常情況下， 他們也會利用硬盤中的一個專門文件夾， 如RESTORE文件夾來管理這些文件。 操作系統也會為此采一些取保護措施。 然后， 這些所謂的保護措施往往不能夠防止病毒的入侵;但是， 卻可以防止殺毒軟件對病毒的查殺。 所以， 一般情況下， 病毒寄宿在這些文件夾中， 就會高枕無憂。

　　正是因為這些原因， 在企業網絡中的病毒才會屢殺不盡。 為此， 筆者建議， 若沒有特殊必要， 可以不用為操作系統設置備份還原功能。 對于有專業管理

人員的企業來說， 這的用處不大。 對于一般用戶的操作系統來說， 可以不用備份還原管理。 當然， 對于應用服務器等重要設備， 有這個必要。 若企業IT運維人員確實喜歡利用這個備份還原功能的話， 那么我們安全管理人員就需要麻煩一些。 在定期對這些設備進行查毒的時候， 需要把這些備份還原的功能先關掉， 釋放對這些特殊文件夾的保護。 這可以讓殺毒軟件可以查殺隱藏在這些文件夾內部的病毒。 等到查殺成功后， 再開啟這些功能。

　　三、對于壓縮文件的強制查毒。

　　壓縮文件以前也一直是病毒很好的載體。 因為殺毒軟件剛出現的時候， 對于壓縮文件中的病毒是手足無措的。 不過， 現在殺毒軟件對于壓縮軟件的殺毒技術已經相當完善， 可以輕易的清除壓縮軟件中的病毒。

　　但是， 其仍然有一些功能上的限制。 如這些壓縮文件如果設置了密碼的話， 則殺毒軟件就不能夠判斷其里面的文件是否帶有病毒。 另外， 一些特殊類型的壓縮文件， 殺毒軟件也無能為力。 如微軟在前些年推出了NTFS分區格式。 這個分區格式可以提供比較高的安全性。 同時也提供了一種文件壓縮的功能。 這個中間就有一段真空期。 那時， 殺毒人員對于這種壓縮格式的文件， 也只能夠望而遠之。 不能夠對其進行病毒查殺。

　　所以， 到現在為止， 壓縮文件仍然是我們安全管理人員所關注的重點。 對于壓縮文件的管理， 主要是要做到一點。 就是對于壓縮文件， 一定要先進行解壓縮， 特別是那些帶有密碼保護的壓縮文件。 用戶在得到這個文件之后， 要先用專門的壓縮攻擊解壓開來。 而不能夠通過雙擊的形式直接運行這個解壓文件。 否則的話， 很可能會遭來滅頂之災。 因為像一些強制格式化磁盤等命令可以很輕易的加入到可執行壓縮文件中。

　　筆者在企業管理中， 就規定任何員工從任何渠道接受到的壓縮文件， 都不能夠直接打開。 而必需先進行解壓縮。 在必要的情況下， 如是一些應用程序的話， 還必須進行專門殺毒。 否則的話， 造成一切損失都要有員工自己承擔。 同時， 也在一些技術手段上進行一些控制。 如對于ZIP等壓縮文件， 不能夠通過雙擊的方式打開。 從而提高對壓縮文件的管理。

　　另外， 在配合郵箱系統， 在郵箱客戶端上進行設置， 若郵件中帶有RAR等壓縮文件的附件時， 要對其進行強制殺毒。 防止這些帶病毒的壓縮文件進入到企業內部網絡。

　　野火燒不盡， 春風吹又生。 現在在企業網絡病毒的防止上， 筆者認為， 重點就應該放在這些隱秘的病毒上。 明箭易防， 暗箭難躲。 如何防止這些病毒死而復生， 將是我們今后網絡安全工作的一個重點。 為此， 我們需要想盡方法， 把病毒趕盡殺絕。 上面幾個建議， 或許大家可以借鑒一下。