主持人：各位老师，下午好。欢迎大家来参加我们的“校园网管理与安全论坛技术沙龙”。现在已经是第二期了，2007年年底做了802.13的第一期。非常感谢北大网络中心的老师和同事给我们提供了这么好的环境。《中国教育网络》为本次沙龙独家报道媒体。
　以下为北京大学计算中心钱杰教授关于北京大学校园网桌面用户安全和ARP防治系统主题报告实录（以下实录参照pdf文档阅读效果更好）。

　　钱杰：各位老师，下午好。现在由我给大家介绍一下关于北大校园网安全和ARP的防治技术。今天主要讲4个方面：
　　1、安全现状、措施
　　2、桌面防病毒系统的一些管理经验
　　3、防病毒软件的问题
　　4、北大ARP系统采取的一些技术手段

　　1、安全现状、措施
　　目前是这样的，一个系统没有打补丁马上就会有病毒，现在的木马程序很多，会盗用用户的一些信息，比如QQ号、网游帐号等。防病毒软件比较单一，现在官方只有一种。另外有关用户方面，用户对计算机安全的了解知识差异比较大、水平参差不齐，这也是问题之一。我们采取的主要措施有，FATNET5000系列防火墙(音)、SUPER65090防火墙模块(音)，他们主要负责防止一些基本的病毒，另外就是保护关键的服务器。我们用这个主要是做一些流量控制，特别是做一些限流。另外是网管安全管理系统，主要是做定位的，就是根据用户的帐号以及目前的IP地址，从哪个交换机端口上来的，通过这套系统可以准确地定位。微软官方补丁，这个很多学校都有，因为是免费的。另外有一个部署是IBS，通过它来发现一些异常的事件。主要的一些安全设备和措施是这些。

　　2、桌面防病毒系统的一些管理经验
　　主要是采用企业版的一些，使用用户数达到了15000多。这个系统是这样的，有一台管理服务器，可以对用户进行一些管理，比如本地的扫描是多长时间一次。另外管理服务器会通过推的方式会及时地送到客户端上，另外可以通过它来察看目前客户端的安全状况，来做分析和统计。目前采用了两种方式，一种是“推”、一种是“拉”。前者就是管理服务器去官方网站上去更新，及时向所有的在线用户进行推送，这个有一个问题，那么后者就可以解决不在线的用户，用户一开机就可以看到，或者说可以定时。就是两者相结合的模式，更新后，就是一种是进入管理服务器，另一种是下载(不清楚)。假如不在线的用户没有得到，那么它会主动“拉”，会自动地到这个服务器上去取，而且都是定时来做的，我们使用这个都快3年了，7月份到期。

　　我们也进行了跟踪，分别是对办公区和个人用户。办公区的情况是这样的，主要是以正版系统为主，系统漏洞就解决掉了，因为有微软的支持，这主要是以公告为主要形式。总的来说，办公区的使用情况是很好的。学生区和教师家属区是这样的，学生主要是以生活娱乐为主，而且盗版系统占主流，系统做的比较多，装的软件比较多，所以总体来说效果不是很理想。
　　装企业版有这样几个优点：
　　(1)比个人版省些资源、快一些
　　(2)防病毒软件比较稳定，主要体现在它的隔离技术
　　在没有正确处理方式的前提下，它不会删除，只会隔离。
　　(3)使用方法简单
　　(4)每天一次更新
　　根据我们的经验来看，这还是很适合企业办公用的。
　　存在的问题：防木马能力比较弱，主要是采取特征码的方式，变异之后可以查出来。

　　我们测试了一些比较主流的防病毒软件，第一种就是卡巴斯基，学生用它的比较多。国内目前的木马特别多，刚才说的有主动防御的功能，体现在对系统可以实时监控，可以把自己的动态链接库注册到系统的一些外壳上，它可以监控到这个行为。而且一般的病毒会改写注册表，它对这个行为也能检测到。它的更新频率比较高，是每天多次更新的，5、6次的都有。更新次数多，那么就存在误判率的问题，它相对还是比较高的，你能够感觉到这个软件的运行。因为它有主动防御的功能，所以比较适合个人用户。但缺点是，假如一个有问题的系统，如果再装它，可能会出一些意想不到的问题，可能系统会起不来。

　　麦咖非(音)具有扫描的技术，而且有一项功能，就是缓冲区保护的功能，这对一些盗版的系统有一定的作用。原理是通过函数的方式，可能这个行为已经发生了，那么发生之后这个函数被它截获，之后会判断这个负函数的受载，它是放在这个情况下来判断的。那么假如是一个系统问题，那么它会结束当前的进程，那么还会有一定的问题。另外它有一个功能，就是有一个访问规则，它的配备非常灵活，就是制定一些端口、文件夹、共享资源，通过这些的访问来主动地防止一些入侵，它可以让你自己定一些规则。

　　NORS32(音)进入市场比较晚，优点也比较多。这个软件很小，可能也就10M多。然后消耗的系统资源很少，也比较快，并且非常简单，不需要什么配置，非常好用。另外是非常好用，就是你感觉不到它的存在，它里面有虚拟的技术，就是对未知病毒的预测比较好，另外是病毒库比较小。可能一种行为会产生100、200种病毒，它做的病毒特别小，没有主动防御的功能，因为如果涉及到主动防御，可能要用户来参与。防御软件能检测出来，但不能判断它是否是合法的，这个主要适合初级用户用，不过有些专业人员也喜欢这款软件。

　　至于是买企业版还是个人版，要看个人的需要。像卡巴斯基里面涉及到病毒库更新的问题，而且购置成本、运行成本都比较低，而且更新也比较及时。赛门铁克的灵活性比较差，是集中管理，而且在校园网外的更新比较困难，不过可以通过其他技术来进入校园网内更新，这些问题可以被克服。因为校园网一般是疏散的管理模式，不像企业。所以像管理软件有些是套装的，很多功能都是绑在一起的，我们不介意使用这些套装产品，一旦用户装上这个东西之后会出现一些问题，像上不了网的问题等。校园网针对用户端的性质，就是选什么样的软件，我们还是选择多种防病毒软件，不一定只选一种，不同的用户根据自己的需要来选择。像不太了解计算机的用户，我们建议大家选赛门铁克的，它主要是以防御为主。其中有一些理工科的学生有一些计算机知识的，建议他们选择像卡巴斯基这样的有主动防御功能的软件。对办公区，我们是考虑到软件的应用性和稳定性，还是建议使用NORS32(音)这样的软件。就是说，目前我们想做的事，也就是采购计划是这样的，像32买5000点，卡巴斯基想买10000多点，当然不一定能实现，只是我们的计划。随着木马越来越流行，现在一些防病毒软件也加了有关系统环节的防御功能。
　　目前我们想做的事就是校园采购计划，试用期我们大概都是一次买三年的，当然有一些选购计划，但不一定买这么多。像其他一些辅助工具，现在有些用户过分寄希望于防病毒软件，觉得有了这个软件之后就可以预防病毒。还有一些有动手能力的用户可能会装一些有主动防御的一些软件，像安全卫士之类的，那么装了这些东西之后，必须对他们有一定的了解，所以还有其他的情况，比如系统环节，那么系统自带的一些防御系统，还有其他第三方的，现在也有好多这样的软件。

　　下面我介绍一下北大ARP防治的方案，一开始是想做全自动的方案，因为这些工作我们都已经有网管安全系统，可以把这些关系找到，前期想做这个，但发现有一些问题，也有一些网络接入的问题。另外一个，假如一个用户对应多口，它可能觉得这个口有问题了，那么会搭在另一个口上。那时的ARP病毒没有这么猖獗，主要是通过系统自动去找这些病毒，然后通过确认。或者是通过用户的使用报告，像ABS这样的网络功能库，投错了我们会进行疑似ARP病毒的检测，之后通过这个列表。现在我们通过绑定的方式，是绑定客户端的地址，这个动作也是一个程序来做的，每隔5分钟做一次。还有就是像机器狗之类的到某个网站上去升级，我们在学生宿舍区、图书馆这些用量比较大的地方，采取这种方式之后效果比较好，就是我们的人员没有这么累了。这是针对路由器的，ARP还有一类是针对主机的。像ARP防火墙之类的一些常用的客户端，也是一个绑定。下面我们将开发一个ARP的程序，我们把现有的认证客户端进行扩展，写个驱动把这些功能加进去，或者以后还会加一些其他的东西，比如补丁或程序等。

　　中了ARP病毒之后，它的进入比较快，不好完全清除，我们建议重装系统，然后格式化硬盘，可能一些资料保存在D盘，那么不要打开D盘的东西，然后需要安装补丁等建议。谢谢大家！

　　主持人：谢谢。刚好前段时间听说北大在考虑防病毒软件的选型和设置，那么北大的这个经验可能会对大家都有帮助，所以就抓这个机会在这开个会。现在大家有没有什么问题？前面两个方面都是软件选型的报告，那么每个报告之后我们提两个问题吧，中间有一个自由讨论。在线的已经有68个用户了，来自不同的学校，可能每个学校还有多个用户参加。不知道现在网上的各位老师效果怎样？声音或图象是否清楚？那么，关于刚才的报告，大家有没有什么问题？那我问一个问题吧，您刚才说卡巴斯基的开销(音)比较大，是说打开主动防御之后还是主动防御没打开的时候比较大？

　　答：打开的时候，因为它会监视系统的每一个动作。

　　问：就是把主动防御的功能关掉之后呢？
　　答：应该好一点。