基础办公室安全体系建设-防病毒系统

防病毒系统最基本的功能是查杀病毒和木马、主动防御、主机防火墙和网络入侵防护。

(1)病毒和木马查杀。

防病毒软件通过分析病毒软件样本，生成病毒特征库，全盘扫描主机上的文件、进程、邮件附件等信息，如果有程序和病毒特征相同，就判定其为病毒。判定程序为病毒后，系统会对该程序进行处置，常见的处置措施有清除、放在隔离区、不处理3种。

因此防病毒系统主要依赖病毒库，对已知病毒有较好的防护效果，病毒查杀较为精确，但对病毒的变种或新病毒，往往没有很好的应对措施。

(2)主动防御。

除了依赖病毒库，很多防病毒系统还会基于行为是否异常来判定程序是否是病毒，主要解决基于特征比对无法发现的未知病毒。

在主动防御模式下，防病毒程序会监听应用程序行为，判断程序是否存在更改系统文件、操作注册表、修改敏感配置(如DNS)等漏洞，并根据策略进行告警或阻断。

主动防御可能会存在误报，因此在处置时不建议直接将该程序清除，可以放在隔离区或仅告警提示。

(3)主机防火墙和网络入侵防护。

防病毒系统提供主机防火墙功能，一般用来接管Windows 主机防火墙模块。在实际应用中，主要用于统一屏蔽高危端口和服务，如TCP 135 端口、139 端口445 端口、339 端口，WannaCry勒索病毒就是通过 445端口进行传播扩散的。

防病毒系统后端主要是防病毒管理中心和病毒库，如图所示。防病毒管理中心主要负责防病毒策略下发、病毒库更新和客户端管理，病毒库需要访问防病毒厂商的外网病毒库更新点，才能更新。

病毒库升级服务器可以单独部署，如果公司有多个不同办公场所，可以在总部部署防病毒管理中心，在各个分支机构部署本地防病毒库，各分支机构的防病毒客户端在本地病毒库服务器上更新防病毒库。

(1)防病毒策略更新。

防病毒策略应该由管理控制台统一进行策略下发，用户端不能调整防病毒策略。防病毒策略包括以下几个方面。

• 病毒防护策略: 定义防护的类型，如本地文件和进程、邮件、网络下载、U盘文件等。
• 定期扫描策略:可以定义定期扫描策略，如每周全盘扫描一次、每天做一次增量扫描，扫描时间建议为空闲时(如午休时间 )。
• 病毒库更新策略: 设置每天的某个时间定时更新病毒库，考虑到病毒库升级时需要消耗网络流量，建议在每个办公场所都部署防病毒库升级服务器，这样就可以避免走专线或外网流量。

(2)防病毒系统的使用注意要点。

在实际使用过程中，防病毒软件可能会将一些正常软件判定为恶意软件，这时候应该为用户提供自助添加文件白名单的权限，如文件、文件夹、应用程序、文件扩展名、网站域名等防病毒程序需要有自身保护功能，避免被其他软件删除，员工也无法手动卸载(需要管理员授权才能卸载)，这样才能保证防病毒客户端正常运行。

另外在进行防病毒软件选型和测试时，需要考虑防病毒软件和公司正在使用的软件的兼容性以及防病毒软件对主机的性能影响，避免因为安装防病毒软件而影响员工的正常工作。