病毒防治调研报告

计算机病毒严重威胁着计算机系统、应用数据以及网络的安全，严重影响了税收信息化建设的进程。要保证税收信息化建设的有序、高效推进，就必须解决计算机病毒的问题。

如何立足实际情况，寻求病毒解决之道？本文以常州国税病毒防治为例，在整合防病毒资源、构建科学的病毒防治体系方面进行了一些研究探索。

一、强化病毒分析，科学制订病毒防治方针

随着税收信息化建设的推进，税务系统计算机应用的广度和深度都有了极大的提高。以常州国税为例：目前常州国税计算机数量达到了1600余台，主要税收业务都依托计算机处理。但是，伴随计算机应用推广的还有计算机病毒的泛滥。从2002年的“红色代码”到2005年的“SQL杀手”，每次病毒疫情都给税收工作造成极大的不便，计算机病毒已经成为信息化发展道路上的严重障碍。

要有效解决计算机病毒疫情，就必须科学分析计算机病毒情况。以下以常州国税2005年、2006年计算机病毒传播情况为例进行分析研究。

2005年,常州国税对4月份的计算机病毒采样从数量、类型、传播途径、破坏力等方面进行分析，并得出以下结论：在相当长的一段时间里，蠕虫病毒会严重影响信息系统安全，Trojan木马程序在一定程度上会严重影响信息系统的安全，而宏病毒等其他恶意软件在特定条件下会影响正常工作。因此，要防治计算机病毒，就必须把握重点，有的放矢，常州国税因此制定了2005年计算机病毒防治方针：全面防范蠕虫病毒，对Trojan木马程序重点防范，在特定环境下防范宏等其他病毒。根据这一指导方针，扭转了以前单纯用防病毒软件防治病毒的思维，通过安装WSUS系统补丁分发服务器，对服务器以及WindowsXP进行自动的补丁分发下载工作，从系统源头掐断病毒传播流行的途径，达到了良好的防治效果。

2006年的病毒分析样本为6月份至8月份的病毒采样标本，共计采样（有效）28450个计算机病毒感染记录，涉及计算机（有效）共计133台，涉及（有效）125种计算机病毒及变种。其中感染病毒超过10000次的涉及1台（20050），感染病毒在1000－10000的共计3台，感染病毒100－1000的共计8台，感染病毒10－100的共计17台，感染病毒100次以上的计算机（12台）。根据以上统计，感染计算机病毒在100次及以上的计算机，共统计病毒记录27799次，占所有病毒感染记录的97.71%。

从病毒传染类型看，感染记录超过100次的如下表所示：

病毒名称

感染记录数量

Trojan.DL.Agent.kij

20138

Trojan.PSW.Agent.agx

4197

Backdoor.Sdbot.qur

2056

Backdoor.RWX.2005.cx

500

Trojan.Spy.Agent.bcu

238

Trojan.DL.QQHelper.eap

225

Backdoor.SdBot.uo

173

从病毒传播数量看，感染记录超过100次的共计27527次，占96.75%。从类型看木马病毒的蠕虫化现象非常明显。并得出了以下结论：

1、病毒传播、感染的情况发生了新的变化，2005年以蠕虫病毒为主，2006年及以后病毒类型主要是木马病毒，或者说是蠕虫型的木马病毒。

2、目前计算机病毒防治效果明显，感染计算机病毒的计算机较少。由于计算机系统补丁分发效果明显，使计算机病毒感染对象集中化。出现一部分“易感”计算机。只要控制住“易感”计算机，理论上就能防治90%以上的病毒。

3、目前新病毒层出不穷的形势下，不排除可能出现新的病毒疫情，计算机病毒防治要有新的手段、工具。

根据以上结论，可以确定计算机病毒防治方针：分级管理、综合防治、重点管控。

二、有效整合防病毒资源，提高病毒防治效果

在传统观念里，防治病毒主要依靠防病毒软件，可随着税收信息化建设以及计算机病毒的发展,单一依靠防病毒软件防治计算机病毒效果不明显。

以常州国税为例，2006年前依靠SymantecAntiVirus防治计算机病毒，2006年防病毒软件改为瑞星。在实际应用中，不管是SymantecAntiVirus防病毒软件还是瑞星防病毒软件，效果都不是很理想。研究结果表明，仅仅依靠防病毒软件防治计算机病毒有其一定的局限性：

1、无法解决覆盖面的问题。防病毒软件能够有效监控安装防病毒软件的计算机，但对未安装或防病毒软件运行异常的计算机无法及时监控。

2、无法解决“根源”问题。尤其是蠕虫病毒，一般都是利用系统漏洞进行传播破坏，如果不能“堵塞”系统漏洞，就不能彻底截断病毒的传播途径。

3、无法解决“预警”问题。防病毒软件只能在事后进行计算机病毒的防治，而无法根据计算机病毒的一些特征，如连接异常、流量异常等进行预警工作。

事实证明，仅仅依靠防病毒软件无法彻底解决计算机病毒问题。要有效解决计算机病毒只能对资源进行科学整合，充分利用各种安全手段。为此，常州国税在VRV桌面管理软件应用和防病毒工作联动方面进行了有益探索。

常州国税局是江苏省VRV桌面管理系统的试点单位，自2006年3月起就开始应用该系统，在VRV桌面管理系统上积累了丰富的经验。为用好、用足VRV桌面管理系统，常州国税信息中心在VRV桌面管理系统的推广应用上狠下功夫，深入挖掘桌面管理工具的各项功能。其中，用VRV桌面管理软件实现与瑞星防病毒软件的联动，从而加强对计算机病毒的防治成为常州国税信息中心的一项特色工作。以下是我们利用VRV桌面管理软件进行病毒防治的两个典型例子：

1、软件分发解决“Trojan.DL.Small.ikr”病毒

2006年11月14日，常州国税实现了瑞星防病毒软件从2005版到2006版的升级。在计算机信息安全管理人员还没有从升级成功的喜悦中出来时，却惊讶得发现：2006版瑞星发现暴风影音5.05版本中有“Trojan.DL.Small.ikr”病毒，而且瑞星对其无法彻底清除；其次，由于暴风影音软件来源比较单一，基本都是5.05带毒版本，据统计，在常州国税所有计算机中，超过65%的计算机都安装了该软件。短短三天，瑞星防病毒系统对该病毒的查杀记录超过了80000条。

VRV桌面管理系统在常州国税基本已经覆盖到位，信息中心对它的各项功能有所了解。其中，VRV桌面管理软件策略中有一条“普通文件分发策略”，信息中心对它并不陌生，由于武进、溧阳和金坛三区县安装了区域扫描器，常州信息中心就是利用“普通文件分发策略”，实现对其远程、自动升级。能不能利用该策略防治“Trojan.DL.Small.ikr”病毒呢？信息中心投入到对该病毒的研究中。经反复测试发现，只有暴风影音5.05版本才带该病毒，其余版本都是安全的，而只要把5.05版本带毒程序替换成其他版本程序就可以清除该病毒，且不会影响该软件的正常使用。在发现了该情况后，信息中心迅速动手，首先在小范围测试成功立即将该策略到全局，仅仅一天以后，该病毒在常州国税的防治记录就降到了个位数，并且很快就销声匿迹了。

2、注册表监控“威金（Worm.Viking）”现原形

2006年10月底，一个突如其来的计算机病毒“威金（Worm.Viking）”让信息中心有点措手不及。通过瑞星监控台，明明有“威金”的身影，可就是找不到准确的染毒计算机，难道“威金”真的躲在计算机管理人员看不见的地方吗？如真有这地方，它在哪里呢？

信息中心计算机安全管理人员重新开始审视这个“威金”病毒，通过各种资料，信息中心发现，“威金”在感染计算机的同时立即就禁止了防病毒软件进程，很不幸，瑞星防毒软件的进程也在“威金”的魔爪下。在防病毒软件被破坏的情况下，如何有效防治病毒呢？

信息安全工具中，瑞星防病毒软件已经失效了，要及时定位并防治病毒只能依靠VRV桌面管理软件了。可是，如何利用VRV桌面管理工具来实现其防病毒的功能呢？信息中心再次将“威金”放上了手术台。经过反复分析、研究发现，威金病毒也是通过修改注册表（在注册表启动项添加启动病毒程序）方式实现启动的。

知道了威金的特征，就可以利用VRV桌面管理软件来进行防治工作了。在安全策略中，有一条“注册表安全策略”，信息中心利用其检查符合“威金”启动项的方式实现对染毒计算机的定位，并及时断网查杀。在这条策略下发一天后，立即上报了24台计算机符合威金启动特征，计算机安全管理人员立即组织人员对这些计算机进行断网查杀，很快就阻止了“威金”疫情的蔓延。

资源整合，实现了计算机病毒防治手段的多样化，有效弥补了防病毒软件的不足，达到了很好的防治效果。

三、防群治，建立“管理集中”式的病毒防治体系

在数据“大集中”模式下，如何构建一套有效的病毒防治体系呢？事实已经表明，单打独斗无法彻底解决计算机病毒问题，只有集中资源、统一管理、群防群治才能有效防治计算机病毒。

常州国税局在计算机病毒防治体系建设上进行了大量的探索，研究采用了一条“管理集中”防治体系。

常州国税信息中心目前仅有2名计算机病毒管理人员，但计算机数量已经达到1600余台。瑞星防病毒软件服务器只安装到地市一级。在目前“数据集中”模式下是否一定要走“集中管理”这条路呢？常州国税决定另辟蹊径。

在计算机病毒防治工作中，常州国税以前也是应用集中管理模式，即由信息中心管理起全市的计算机病毒防治工作，负责日常监控，对出现的病毒通知下级管理人员处理。但在实际的工作中，集中管理模式表现了以下缺陷：

1、低效。地市级管理员负责全局的计算机病毒防治工作，可是，根据统计，地市级管理员处理计算机病毒时90%以上的工作都是重复工作，往往把自己淹没在大量简单重复的工作中，而无法集中精力进行病毒分析、预警工作。低效的根本原因在于日常简单重复工作太多。

2、反应慢。集中管理模式的控制中心在地市信息中心，其响应流程为地市管理员-区县管理员-操作人员。而目前最薄弱的就是地市管理员这一端。当地市管理员无法及时发起响应时，整个防病毒体系就事实上瘫痪了。而当地市管理员发起响应时，可能会因为无法及时联系到区县管理员而无法实现防毒意图。反应慢的根本原因是响应环节太多，响应链条太长。

3、消极。当地市管理员包揽了主要防病毒工作后，对区县及操作人员起了消极影响，认为防病毒就是地市管理员的工作，无法实现群防群治的效果。

要做好计算机病毒防治工作，最重要的就是对防毒体系进行了重新构建、整合，主要就是从“集中管理”模式转化为“管理集中”模式。

“管理集中”模式下，需要对响应流程、工作职责等进行了重新划分。在“管理集中”模式下，区县管理员对本单位的计算机病毒情况进行监控（分担了地市管理员大多数的日常监控工作），并对出现的计算机病毒情况进行简单处理，对无法处理的报地市管理员。地市管理员主要负责对区县管理员的指导、监督。

“管理集中”模式的优点在于减少了响应环节，将地市管理员从大量的简单重复工作中解放出来，充分调动了区县管理员的积极性，真正达到群防群治的效果。

常州国税2006年计算机病毒防治方针：分级管理、综合防治、重点管控就集中体现了这一理念。

分级管理：病毒管理的权限下放各区县分局，由区县分局进行设置监控管理，并及时处置发现的疫情。信息中心负责总体防病毒的规划建设等，指导并监督区县分局做好计算机病毒防治工作。

综合防治：充分利用目前已有的手段工具，做好计算机病毒的防治工作。如VRV桌面管理软件就可以查询防病毒软件安装情况，流量异常情况、在一定情况下可以阻断感染计算机病毒的计算机的端口通讯。

重点管控：目前防治计算机病毒的重点是及时管理控制已感染病毒的计算机，实现感染最小化、影响最小化、危害最小化。在目前数据集中、网络互联、重要业务都依托计算机处理，计算机感染病毒是不可避免的，但重要的是及时处置、控制传播。按照这一方针，计算机病毒防治的考核项目取消了对病毒数量的考核，而以“防治作为”作为考核重点。“防治作为”指防病毒软件安装率、以及出现病毒的处理情况（同一计算机感染病毒2天未处理或未上报的）纳入考核。

常州国税利用“管理集中”模式构建的计算机病毒防治体系，有效地遏制了计算机病毒的高发态势，保证了信息化建设的推进。

随着信息化建设的发展，尤其是目前数据全省集中的情况下，计算机病毒对信息安全的威胁日益严重。通过我们的积极探索，一方面研究新形势下的病毒特点，另一方面进行了防病毒资源的整合研究，逐步构建更加科学、高效、完善的计算机病毒防治体系，希望能给税收信息化建设一点有益的帮助。