计算机实验室病毒防治浅析

摘要 计算机实验室是高等学府教学活动的一个重要的场所，由于网络的开放性，无孔不入的计算机病毒以及其他危险程序会威胁到这个重要场所的安全稳定。本文从分析计算机病毒的来源和危害出发，提出了如何防治计算机实验室病毒的方法，有效保证了计算机实验室教学的正常运行。

关键词 计算机实验室；病毒；防治；系统优化；网络安全

中图分类号TP39文献标识码A文章编号 1674-6708（2011）40-0213-02

计算机病毒（Computer Virus）最早出现在70年代David Gerrold的科幻小说《When H.A.R.L.I.E. was One》中，1983年Fred Cohen的博士论文将计算机病毒科学定义为“一种能把自己（或经演变）注入其他程序的计算机程序”。现根据《中华人民共和国计算机信息系统安全保护条例》计算机病毒被明确定义为“编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。计算机病毒具有相当多可怕的特点：寄生、传染、潜伏、隐蔽、破坏等，在信息化社会发展的道路上，这类病毒事件接连不断，它对计算机资源的损失和破坏力不但会造成资源和财富的巨大浪费，而且有可能造成社会性的灾难。

笔者所在的部门为高等学府的计算机实验中心，拥有超过500台计算机，全天候开放，除了承担全院的计算机课程实验课外，还承担着考证培训、毕业设计、自主学习的任务，是教学活动的重要场所。互联网的开放也使各种新型计算机病毒以及其他危险程序不断涌现，之前已有“灰鸽子”、“熊猫烧香”等事件让机房处于瘫痪状态，给教学和管理带来很大的麻烦。为了保证实验教学正常运行，如何在实际工作中对病毒进行防治，是实验室管理者值得探讨的一个重要课题。

计算机病毒按种类分为系统病毒、蠕虫病毒、木马病毒、黑客病毒、脚本病毒、宏病毒、种植程序病毒、破坏性程序病毒、捆绑机病毒等，计算机机房常见的病毒多为前三种。病毒的传统传染渠道通常有以下几种：硬盘传染、可读写移动磁盘传染、网络传染等。常见病毒除了破坏性大、善于伪装外，还有以下2个显著特点：1）传染性—当一段称之为“病毒”的程序代码进入计算机并得以执行之后，它会疯狂搜索其他符合传染条件的程序或存储介质，如果目标确定就将其自身插入其中自我繁殖，如果一台计算机已经染毒不及时处理，病毒就会循序扩散，其速度之快令人难以预防；2）潜伏性—有些精巧的病毒程序进入系统之后不马上发作，可以一段时间隐藏在合法文件中对系统其它文件进行感染，不用专用软件检测程序还检查不出来，一旦像定时炸弹一样爆发，就让程序员措手不及。

病毒对计算机资源的破坏力之大超出我们的想象，表现如下：运行一段时间后计算机系统运行速度无故减慢；CPU和内存的使用率突然增高；频繁发生蓝屏重启死机的事故；文件丢失或者损坏，无法复制粘贴和删除；磁盘卷标发生变化，系统对磁盘访问异常或者不识别磁盘；更改系统时间甚至逆向计时；文件时间和属性等发生变化；用户口令执行错误；异常要求用户输入密码；虚拟报警；外部设备工作异常等等。处于校园网中的机房不仅是计算机之间直接相互联通，而且开放网络，学生之间经常通过可移动磁盘交换文件，病毒可以从多个入口进入机器。一旦有一两台计算机感染病毒，就很可能会造成大批量计算机同时感染病毒，只要出现以上的某种危害现象，都足以严重影响到教学质量。

计算机病毒如此来势汹汹，一旦发作就如黄河决堤不可收拾。提高计算机操作系统的安全性能将大部分的病毒扼杀在摇篮里，即使不小心感染病毒，采取有效的方法也能将病毒去除。为了防治计算机病毒，得从源头开始了解。计算机实验室感染病毒一般来自3个方面。一方面来自操作人员。公共计算机实验室的开放时间长，上机人数多，还要开放网络。学生携带U盘、移动硬盘、光盘等介质在计算机播放使计算机感染病毒的机会特别大；二是来自开放网络的威胁，只要是网线连通外网，就能获得网络上的信息，这些信息没有经过筛选，造成浏览网页、下载文件、打开邮件等任何步骤都可能中毒。来自网络的威胁不仅来自本地网络的用户，还可以来自网络上的任何一台计算机，它可以对网络通信协议造成威胁，也可以对物理传输线路实施攻击，不仅攻击软件系统，也攻击硬件系统；三是来自系统漏洞的威胁。尽管操作系统和应用软件已经打了上千个补丁，但每天都会有新的漏洞被发现，病毒如此无孔不入，让系统不存在绝对的安全。另外如果过于强调提高系统的安全性又会使系统多数时间用于病毒检测，从而失去实用性和方便性。

计算机机房由于机器数量大，不可能一台台装机。系统维护的时候一般是先做好一台母机，通过网络克隆的方式安装到全部机器。为尽量保证系统的安全，安装母机时最好断网，即使是内网也有在同一网络的计算机，要断绝一切感染病毒的可能。装系统时使用光盘启动，并且使用正版系统盘，光盘保证是可用的没有携带病毒的。由于是学生用机，一般不用保留文件资源，建议在安装之前把整个硬盘格式化了，杜绝了残留的文件资源隐藏病毒的可能。这一点非常重要，如果为了备份而保留一个哪怕是很小的软件，刚装完系统就发现隐藏的病毒，那又得从头开始。

装完系统和驱动之后，安装各种应用软件之前应尽快安装防病毒软件。这个是防病毒的主要手段，病毒已经进入计算机之后是依靠防病毒软件来清除的。市面上杀毒软件很多，可以本着兼容性、占用内存小、操作方便等原则来选取。本机房使用过卡巴斯基、诺顿等杀毒软件都各有千秋，其中Macfee、AVG软件在机房得到全面推广。这两款杀毒软件都是免费升级软件，Macfee软件采取微软公司的源代码，操作界面非常友好，除了能侦测和清除病毒，还有VShield自动监视系统。AVG软件占用内存小，使用更灵活，配合硬盘保护卡使用能更合理地运用计算机资源。

计算机病毒如此无孔不入，对系统打上必要的补丁也是阻止病毒传播的一个重要手段。学生用机一般使用windows操作系统，如果从官方网站上下载补丁的速度过慢，可以使用第三方集成的微软升级补丁包以离线升级的方式来完成升级。以后在系统批量维护时也应该定时更新补丁。除了操作系统的补丁之外，对于网络中一些重要的系统，比如数据库系统、网关系统等也应该及时更新相应的补丁。

保护卡是机房管理与维护的主要措施。笔者工作的实验室通过配合使用上海万欣公司的网络版保护卡和机房管理系统大大提高管理效率。网络版的保护不仅可以网络克隆参数和数据，更重要是日常的安全保护。学生机一般设为系统分区和数据分区，由于实验室是对全院学生开放，数据随时可能被修改和删除，所以没有意义长时间保存数据，为使计算机处于安全状态，通过保护卡将系统分区设为每次开机还原，数据分区设为每天一次还原，换句话说，任何对硬盘分区的修改都是无效的，这样起到对操作系统保护的作用。

管理人员还要针对教学系统的使用要求，做出一些必要的安全策略。首先要开始系统防火墙，在内外网间建立起一个安全的网关，从而保护内网不受非法用户的侵入；其次设定好系统管理员的密码，如果学生用机都以管理员身份登录的话，可以将开机设为不显示欢迎界面，从而隐藏开机密码，或者直接让学生设置成普通用户登录系统；禁止文件共享，或者为共享文件夹设置一个密码；禁止SSDPSRV服务，这个服务主要用于启动家庭网络设备上的UPnP设备，服务同时启动5000端口，可能造成DDOS攻击，让CPU使用率达到100%，立刻造成计算机崩溃，它还会不断往外界发送数据包，影响网络传输速率；禁止at命令、禁用资源管理器；取消其他不必要的服务，例如关闭远程协助、远程桌面等功能；通过组策略禁用可移动磁盘等等。通过这些措施优化学生用机，使系统本身就具备一定的安全能力。

上述方法基本都是从预防方面来控制病毒入侵计算机。日常管理中还是要加强对网络进行监控。当一个机房开放一定时间后，发现有计算机大面积运行速度变慢、卡机甚至是死机的现象，要留意是否是计算机在通过网络广播大量的数据，发送攻击数据包使计算机的CPU超负荷工作，如果有计算机每秒发送上百个数据包，那一定是网络中毒了，而且机器还在寻找下一个传染目标，最直接的方法就是重启计算机还原系统的数据。另外，也要督促学生文明上机，不上不健康的网页和下载不明来源的文件。这类网站和文件数量太多，而且经常会易名变化，有条件最好开启程序监控系统，将其拉入禁止程序库，禁得了一个是一个。

如果上述方法和实时杀毒监控软件都杀不了病毒，就关掉交换机进入DOS下查杀病毒，不过速度会比较慢，而且需要一台台查杀。之前如果有系统备份的话，为了不浪费时间，重新ghost一遍来得更干净彻底。

病毒和反病毒作为一种技术对抗长期存在，防病毒是IT工作者不休的话题。作为一名计算机实验室的管理员，要从优化计算机系统和硬件配置、加强日常的程序监控和网络监控等措施来组织病毒在计算机实验室传播。由于计算机病毒变化不断，需要管理人员对各种危害性大的、新型的病毒进行全面的了解，才能找到有效的对抗方法，及时解决突发情况，保证教学正常运行。

参考文献

[1]冯味.计算机病毒及网络安全的对策研究[J].网络通讯与安全，2007，8.

[2]王齐.高校计算机实验室病毒的防范策略[J].科技信息，2008(28).

[3]李冰.网络攻击的六大趋势[J].科技广场，2002.