周 曉

（上海申通地鐵集團(tuán)有限公司運(yùn)營管理中心，200070，上海∥工程師）

隨著上海軌道交通網(wǎng)絡(luò)化運(yùn)營的發(fā)展，軌道交通客運(yùn)量不斷增長(zhǎng)，自動(dòng)售檢票（AFC）系統(tǒng)的數(shù)據(jù)量不斷擴(kuò)大，系統(tǒng)的安全越顯重要。如何保證業(yè)務(wù)系統(tǒng)工作安全、正常、可靠，是信息系統(tǒng)的一個(gè)重要任務(wù)。

在所有計(jì)算機(jī)安全問題中，計(jì)算機(jī)病毒是最為嚴(yán)重的。這個(gè)問題同樣存在于AFC系統(tǒng)之中。經(jīng)粗略統(tǒng)計(jì)，在上海軌道交通已運(yùn)營的11條線路的AFC車站終端設(shè)備中，或多或少有電腦病毒存在，且多次發(fā)作，影響運(yùn)營。因此，必須結(jié)合目前AFC系統(tǒng)運(yùn)營的實(shí)際情況加以分析，并建立一套完善的、多級(jí)的AFC車站終端設(shè)備病毒防護(hù)解決方案。

1 現(xiàn)狀分析

運(yùn)營方面：目前，上海軌道交通AFC車站終端設(shè)備由閘機(jī)、半自動(dòng)售票機(jī)、自動(dòng)售票機(jī)和自動(dòng)充值機(jī)等組成，這些設(shè)備將收集到的信息匯總至車站計(jì)算機(jī)后，統(tǒng)一發(fā)送到中央服務(wù)器。在這一過程中，數(shù)據(jù)收集的有效性、正確性和數(shù)據(jù)傳輸?shù)耐暾允顷P(guān)鍵。如果病毒發(fā)作，不僅造成數(shù)據(jù)收集不及時(shí)或不準(zhǔn)確，還會(huì)造成設(shè)備無法繼續(xù)運(yùn)行、甚至運(yùn)營參數(shù)被惡意篡改影響乘客的正?？劭?。

硬件方面：終端設(shè)備的硬件配置相對(duì)較低，硬盤和內(nèi)存容量較小、CPU（中央處理器）處理能力低，正常的運(yùn)行程序已占用絕大部分系統(tǒng)資源，可給予第三方病毒防護(hù)軟件運(yùn)行使用的資源不多。

網(wǎng)絡(luò)方面：雖然各AFC線路的網(wǎng)絡(luò)拓?fù)湟阎饾u改造為三層網(wǎng)絡(luò)架構(gòu)，但二層網(wǎng)絡(luò)架構(gòu)依然存在。二層網(wǎng)絡(luò)架構(gòu)通過廣播進(jìn)行通信傳輸，病毒的傳播性隨之由點(diǎn)蓋面。三層網(wǎng)絡(luò)雖然能將廣播域縮小，但無法控制同一廣播域內(nèi)的病毒傳播，且由于在改造前部分設(shè)備已經(jīng)感染了病毒，因此在三層網(wǎng)絡(luò)架構(gòu)的車站中病毒依然猖獗。

操作系統(tǒng)方面：目前車站終端設(shè)備主要使用DOS、Linux、Windows XPE 和 Windows NT 等4種操作系統(tǒng)。針對(duì)DOS系統(tǒng)和Linux系統(tǒng)的病毒目前較少，但一旦中毒，清除這2類操作系統(tǒng)病毒的工作量卻最大。后2類操作系統(tǒng)由于都是精簡(jiǎn)版的，很多組件和服務(wù)無法開啟，導(dǎo)致很多清除病毒工具及內(nèi)網(wǎng)防護(hù)工具無法運(yùn)行。因此，操作系統(tǒng)的限制，對(duì)整個(gè)AFC車站終端設(shè)備的病毒防護(hù)是最具挑戰(zhàn)的。

應(yīng)用方面：各類車站終端設(shè)備除了相應(yīng)的作業(yè)應(yīng)用外，有的還需開啟數(shù)據(jù)庫應(yīng)用和報(bào)文傳輸應(yīng)用，這些應(yīng)用對(duì)網(wǎng)絡(luò)帶寬和內(nèi)存、CPU的使用率都有一定的要求。因此，病毒防護(hù)工具對(duì)應(yīng)用的影響必須很小，且可接受。

維護(hù)方面：大多為現(xiàn)場(chǎng)維護(hù)工作，如需進(jìn)入系統(tǒng)更新文件，一般都通過U盤進(jìn)行拷貝，且不能受控。AFC網(wǎng)絡(luò)是一個(gè)相對(duì)封閉的系統(tǒng)，無外網(wǎng)連接，產(chǎn)生病毒最大的可能性就是通過U盤感染設(shè)備并傳播到其他設(shè)備。

綜上所述，目前車站終端設(shè)備完全沒有安全防護(hù)的機(jī)制，而且在硬件、網(wǎng)絡(luò)、操作系統(tǒng)、應(yīng)用和后期維護(hù)中，限制了安全防護(hù)工具的使用，滋長(zhǎng)了病毒的傳播。

2 測(cè)試歷程

AFC車站終端設(shè)備的病毒防護(hù)這一概念于2008年就已提出并開始了相關(guān)的測(cè)試工作，歷經(jīng)5年，直到2012年初才有了適用的產(chǎn)品。其主要的測(cè)試歷程如下：

2008年，經(jīng)過近10年的AFC系統(tǒng)運(yùn)營后，技術(shù)人員注意到AFC系統(tǒng)內(nèi)的病毒問題，并自發(fā)進(jìn)行研究。嘗試了傳統(tǒng)的病毒防護(hù)軟件客戶端及入侵檢測(cè)系統(tǒng)等傳統(tǒng)防護(hù)手段，實(shí)現(xiàn)了對(duì)車站計(jì)算機(jī)系統(tǒng)以上部分進(jìn)行初級(jí)病毒防護(hù)，但對(duì)車站計(jì)算機(jī)系統(tǒng)以下的部分無從下手。自發(fā)研究遇到了瓶頸，并于2009年年底暫停研究。

2010年，國家信息系統(tǒng)安全等級(jí)保護(hù)評(píng)定中心對(duì)清分系統(tǒng)（ACC）進(jìn)行安全評(píng)測(cè)，ACC被定為二級(jí)信息系統(tǒng)。由于ACC直接接收車站終端設(shè)備的交易數(shù)據(jù)，本次測(cè)評(píng)中對(duì)車站終端設(shè)備的安全防護(hù)提出了具體要求。雖與多家國內(nèi)外知名廠商進(jìn)行了合作與嘗試，但因終端設(shè)備的操作系統(tǒng)太過“精簡(jiǎn)”，廠商的應(yīng)用程序均無法順利安裝和運(yùn)行而再次失敗。

2011年末，開始對(duì)國外（A公司）和國產(chǎn)（JM公司）各一款新型安全防護(hù)軟件產(chǎn)品進(jìn)行相關(guān)的測(cè)試研究，并最終于2012年取得成功。

3 A公司的解決方案

A公司的產(chǎn)品全稱為Hard Disk Firewall（簡(jiǎn)為HDF），是用于保護(hù)電腦系統(tǒng)文檔（System File）的完整性和加強(qiáng)信息安全的技術(shù)解決方案。它的思路是：通過一個(gè)系統(tǒng)文檔的保護(hù)鎖，阻止包括病毒、惡意軟件、黑客和內(nèi)賊等入侵，使其不能破壞和感染計(jì)算機(jī)，保證文檔、系統(tǒng)、應(yīng)用和運(yùn)作的完整性。

3.1 HDF與傳統(tǒng)防護(hù)軟件的區(qū)別

HDF的工作機(jī)制是：識(shí)別程序中惡意行為的特征來攔截病毒程序進(jìn)入磁盤，阻止其進(jìn)行自身復(fù)制和傳播。HDF在程序執(zhí)行過程中對(duì)系統(tǒng)讀、寫、刪、改等操作行為進(jìn)行識(shí)別，并判別是否是惡意程序，通過阻止惡意操作來達(dá)到保護(hù)系統(tǒng)的目的。

傳統(tǒng)的基于病毒庫的殺毒軟件是在病毒進(jìn)入磁盤之后，利用病毒特征碼對(duì)其進(jìn)行分析。根據(jù)病毒特征庫對(duì)病毒的定義對(duì)目標(biāo)文件進(jìn)行掃描分析，以確定目標(biāo)文件是否為病毒或包含病毒。這種做法需要對(duì)病毒特征庫頻繁更新，并依據(jù)病毒特征庫對(duì)系統(tǒng)進(jìn)行掃描查毒。該機(jī)制會(huì)給系統(tǒng)帶來大量資源開銷，病毒特征庫需占用較大的硬盤存儲(chǔ)空間，掃描時(shí)占用大量的CPU處理能力、內(nèi)存空間和磁盤IO開銷，降低系統(tǒng)性能，影響業(yè)務(wù)系統(tǒng)的使用。此外，如果病毒特征庫不足夠新的話，將不能正確識(shí)別新病毒，無法做到對(duì)系統(tǒng)的全面保護(hù)。

此外，對(duì)于利用系統(tǒng)零日漏洞對(duì)電腦發(fā)起的攻擊行為，基于病毒特征庫的殺毒軟件是無能為力的，因?yàn)闅⒍拒浖o法識(shí)別這種攻擊行為。在這種情況下，通過識(shí)別攻擊行為特征的防護(hù)方式，能提供非常重要的最終基線來防范入侵之病毒和惡意軟件。

3.2 HDF的特點(diǎn)

（1）HDF充分融入 Microsoft Windows（支持Windows 2000、Windows XP、嵌入式 Windows XP、Windows Server 2003、Windows Server 2008、Windows Vista、Windows 7）及Linux操作系統(tǒng)，并與所有病毒防護(hù)軟件、防火墻產(chǎn)品兼容。

（2）對(duì)于微軟已不再提供更新服務(wù)的操作系統(tǒng)，使用HDF可以保護(hù)文件系統(tǒng)的完整性，保護(hù)系統(tǒng)不被新型病毒攻擊其已知漏洞。

（3）HDF能有效防止通過U盤進(jìn)行的病毒傳播。

（4）HDF核心組件只有80K大小，運(yùn)行時(shí)占用內(nèi)存不超過5M，CPU使用率不超過1%。

（5）HDF隱置于內(nèi)核的機(jī)制保證其自身的安全性，通過設(shè)置可信賴的進(jìn)程對(duì)特定文件進(jìn)行操作，重點(diǎn)是文件系統(tǒng)的安全性。HDF也同時(shí)保護(hù)白名單（信任程序列表）不會(huì)被篡改。

（6）積極的安全解決方案。在不影響系統(tǒng)性能的情況下有效地打擊系統(tǒng)漏洞攻擊行為，避免系統(tǒng)受蠕蟲、間諜軟件、木馬、傀儡網(wǎng)絡(luò)等感染。

（7）增強(qiáng)企業(yè)計(jì)算機(jī)軟件的管理，不能隨便安裝應(yīng)用程序于公司計(jì)算機(jī)系統(tǒng)里，只有經(jīng)過授權(quán)的用戶和系統(tǒng)管理員才可安裝軟件，同時(shí)有助于降低用戶支持和幫助的成本。

（8）可自動(dòng)保證操作和文檔系統(tǒng)的完整性，維持和加強(qiáng)計(jì)算機(jī)有效性狀態(tài)。

（9）相比傳統(tǒng)的防病毒解決方案，其總擁有成本（TCO）要低得多。

（10）HDF提供詳細(xì)的審核日志和幫助監(jiān)察文檔系統(tǒng)的完整性。

3.3 測(cè)試案例

本次測(cè)試使用車站及現(xiàn)實(shí)環(huán)境中流行的蠕蟲、木馬程序?qū)y(cè)試設(shè)備進(jìn)行模擬攻擊，通過調(diào)整HDF軟件不同工作模式，來反映HDF軟件對(duì)系統(tǒng)的保護(hù)以及安全審計(jì)作用。

測(cè)試用病毒樣本：Win32.SillyFDC，WORM＿SPYBOT。

測(cè)試結(jié)果：

（1）HDF軟件開啟保護(hù)模式——兩種病毒均無法感染系統(tǒng)，無法把病毒宿主文件復(fù)制到目標(biāo)設(shè)備中，且軟件對(duì)病毒的攻擊行為在審計(jì)日志中進(jìn)行了記錄。

（2）HDF軟件處于非保護(hù)模式——兩種病毒能感染系統(tǒng)，宿主文件能復(fù)制到目標(biāo)設(shè)備中，軟件能發(fā)現(xiàn)病毒的攻擊行為并在審計(jì)日志中進(jìn)行記錄。

經(jīng)測(cè)試，A公司的解決方案能實(shí)現(xiàn)車站終端設(shè)備的病毒防護(hù)，在開啟保護(hù)模式下能拒絕病毒的入侵；在已經(jīng)帶毒的環(huán)境下，可通過臨時(shí)關(guān)閉保護(hù)模式執(zhí)行帶毒程序，同時(shí)對(duì)其行為特征進(jìn)行審計(jì)，以做出相應(yīng)的限制策略以及安全的恢復(fù)。

4 JM公司專網(wǎng)防護(hù)方案

JM公司專網(wǎng)防護(hù)軟件針對(duì)專用設(shè)備的安全需求，采用一種全新的安全解決思路，從根本上解決專用設(shè)備的病毒防范問題。

專網(wǎng)防護(hù)與傳統(tǒng)的防火墻、防病毒、入侵檢測(cè)系統(tǒng)等基于網(wǎng)絡(luò)防護(hù)的安全產(chǎn)品不同，其通過控制中心將用戶使用、安裝過的程序或軟件加入到白名單，并下發(fā)到網(wǎng)絡(luò)內(nèi)運(yùn)行的設(shè)備主機(jī)中，在設(shè)備主機(jī)正常工作模式下通過白名單對(duì)運(yùn)行程序或軟件進(jìn)行安全審核，從而從根本上保障Windows系統(tǒng)的安全。即使非法入侵者擁有Windows系統(tǒng)管理員最高權(quán)限并進(jìn)入了操作系統(tǒng)，也不能對(duì)經(jīng)過專網(wǎng)防護(hù)技術(shù)保護(hù)的系統(tǒng)運(yùn)行或安裝木馬、后門等惡意軟件或程序。專網(wǎng)防護(hù)保證了核心或重要數(shù)據(jù)的安全性不被破壞和遭受任何有害操作，可提升系統(tǒng)的安全等級(jí)，構(gòu)造一個(gè)安全的操作系統(tǒng)平臺(tái)。

4.1 專網(wǎng)安全防護(hù)軟件與殺毒軟件的區(qū)別

傳統(tǒng)殺毒軟件對(duì)病毒的預(yù)防措施類似于對(duì)公共場(chǎng)所采取的安全措施。公共場(chǎng)所允許各類人員自由進(jìn)入，但會(huì)通過一些手段對(duì)人員進(jìn)行相應(yīng)的檢查，并設(shè)立監(jiān)控設(shè)備對(duì)人員進(jìn)行監(jiān)控，發(fā)現(xiàn)可疑情況后進(jìn)行處理。殺毒軟件通過一些靜態(tài)監(jiān)控及行為監(jiān)控手段實(shí)時(shí)監(jiān)控計(jì)算機(jī)中各種程序的運(yùn)行情況，并在發(fā)現(xiàn)確認(rèn)病毒或可疑行為時(shí)采取相應(yīng)的措施。專網(wǎng)防護(hù)軟件則采用另外一種安全措施。即這些場(chǎng)所只允許需要的人員進(jìn)入，而其他人員，無論是否有危險(xiǎn)、還是非常好的人，只要沒有需要，都不允許進(jìn)入。這是一種更為可靠的安全措施。

4.2 專網(wǎng)安全防護(hù)軟件的特點(diǎn)

（1）安全性高：只允許用戶需要的軟件運(yùn)行，其他病毒、惡意程序，以及與業(yè)務(wù)無關(guān)的軟件都無法運(yùn)行，提供極高的安全性。

（2）資源占用更加小且穩(wěn)定：在程序啟動(dòng)過程時(shí)進(jìn)行信任檢查，且信任檢查進(jìn)行預(yù)處理，資源占用更加?。辉谶\(yùn)行過程中資源需求固定，不會(huì)有突發(fā)性大量的資源占用而影響業(yè)務(wù)程序的運(yùn)行。

（3）兼容性高：在入口處對(duì)程序進(jìn)行信任檢查，并在運(yùn)行時(shí)嚴(yán)格測(cè)試，后續(xù)使用一般不需要程序更新，提供了良好的兼容性。

（4）維護(hù)容易：通過服務(wù)器端可方便全面地管理信任程序，并提供學(xué)習(xí)機(jī)制，客戶端實(shí)現(xiàn)無界面操作。

（5）無需升級(jí)客戶端：客戶端軟件擺脫傳統(tǒng)殺毒軟件病毒庫日常更新概念，不需要每天進(jìn)行升級(jí)，只有在特殊情況下的軟件程序更新，不會(huì)影響客戶端業(yè)務(wù)程序的運(yùn)行。

（6）完備的遠(yuǎn)程控制：通過控制中心可以實(shí)現(xiàn)遠(yuǎn)程部署、設(shè)置、升級(jí)等操作，能減輕管理員的工作負(fù)擔(dān)，提高工作效率。

（7）分級(jí)、分組管理：專網(wǎng)安全防護(hù)系統(tǒng)采用分級(jí)、分組管理模式，通過部署控制中心、子控制中心的模式實(shí)現(xiàn)對(duì)客戶端多地點(diǎn)、多網(wǎng)段的統(tǒng)一管理，減少了繁復(fù)的重復(fù)工作，可提高管理效率，有效降低企業(yè)開銷；同時(shí)能實(shí)現(xiàn)分布式部署，分擔(dān)主節(jié)點(diǎn)的工作壓力，避免單點(diǎn)故障。

（8）完善的客戶端脫機(jī)運(yùn)行機(jī)制：當(dāng)客戶端處于脫離網(wǎng)絡(luò)的情況時(shí)，客戶端程序會(huì)根據(jù)已有的安全程序白名單來執(zhí)行安全策略，不會(huì)因?yàn)槊摍C(jī)狀態(tài)而中斷安全檢查，更不會(huì)為此而影響業(yè)務(wù)系統(tǒng)的使用。

4.3 專網(wǎng)安全防護(hù)軟件的體系結(jié)構(gòu)

4.3.1 控制中心端

控制中心是專網(wǎng)防護(hù)系統(tǒng)管理與控制的核心部分，在部署專網(wǎng)防護(hù)系統(tǒng)時(shí)必須首先安裝。控制中心除對(duì)網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行日常的管理與控制外，還實(shí)時(shí)記錄專網(wǎng)防護(hù)體系內(nèi)每臺(tái)計(jì)算機(jī)上的信息。專網(wǎng)防護(hù)中采用了全新的控制中心管理頁面，通過登錄該頁面，可對(duì)全網(wǎng)內(nèi)的客戶端進(jìn)行統(tǒng)一管理。

4.3.2 客戶端

專網(wǎng)防護(hù)的客戶端分為服務(wù)器客戶端和普通客戶端兩種類型。服務(wù)器客戶端是針對(duì)安裝了服務(wù)器版操作系統(tǒng)的計(jì)算機(jī)而設(shè)計(jì)的，普通客戶端則是針對(duì)安裝了普通版本操作系統(tǒng)的計(jì)算機(jī)而設(shè)計(jì)的。在安裝專網(wǎng)防護(hù)客戶端時(shí)，安裝程序會(huì)進(jìn)行智能判斷，自動(dòng)安裝合適的客戶端，無需用戶干預(yù)安裝過程。客戶端的主要功能是禁止任何除操作系統(tǒng)必備文件及信認(rèn)程序列表（白名單）中的軟件或程序在部署專網(wǎng)防護(hù)客戶端的計(jì)算機(jī)上運(yùn)行。

專網(wǎng)防護(hù)客戶端以無界面的后臺(tái)方式運(yùn)行，專網(wǎng)防護(hù)設(shè)置不允許客戶端計(jì)算機(jī)修改，必須通過控制中心統(tǒng)一管理，以最大程度保證客戶端電腦的安全?？蛻舳嗽诎惭b后，用戶可以通過客戶端控制的只有升級(jí)操作。

客戶端隸屬于控制中心，其可自動(dòng)查找網(wǎng)內(nèi)的控制中心。一般情況下，客戶端若采用WEB頁面的安裝方式，安裝完畢后即可自動(dòng)連接到上級(jí)控制中心。

4.4 測(cè)試案例

本次測(cè)試使用車站及現(xiàn)實(shí)環(huán)境中流行的蠕蟲、木馬程序，使用帶毒U盤對(duì)終端設(shè)備進(jìn)行操作，來模擬對(duì)測(cè)試設(shè)備的攻擊。通過對(duì)專網(wǎng)防護(hù)軟件的審計(jì)日志進(jìn)行分析來反映專網(wǎng)安全防護(hù)軟件對(duì)設(shè)備的保護(hù)能力。

首先，在完成專網(wǎng)安全防護(hù)系統(tǒng)部署的測(cè)試設(shè)備中開啟學(xué)習(xí)模式自動(dòng)學(xué)習(xí)信任程序，并將這些程序提交到控制中心進(jìn)行安全過濾。其次，在閘機(jī)上刷卡進(jìn)出，同時(shí)查看軟件運(yùn)行時(shí)的負(fù)載情況，查看是否影響原業(yè)務(wù)。最后，在閘機(jī)上運(yùn)行病毒案例，查看專網(wǎng)防護(hù)軟件的防御情況，在控制中心查看防御記錄。

測(cè)試結(jié)果：

（1）該軟件可以在AFC終端設(shè)備的XPE操作系統(tǒng)上部署。

（2）完成軟件部署的設(shè)備工作正常，各項(xiàng)業(yè)務(wù)操作不受影響。

（3）進(jìn)行病毒模擬攻擊時(shí)，該軟件能阻止病毒入侵，審計(jì)日志能反映攻擊行為。

經(jīng)測(cè)試，JM專網(wǎng)安全防護(hù)產(chǎn)品能實(shí)現(xiàn)上海軌道交通AFC車站終端設(shè)備的病毒防護(hù)，但其Server管理端功能較為簡(jiǎn)單，需根據(jù)上海軌道交通的實(shí)際需求進(jìn)行定制，如報(bào)表和統(tǒng)計(jì)等功能。另外，dII文件中毒后的防護(hù)工作需要加強(qiáng)，AFC系統(tǒng)運(yùn)行參數(shù)文件的網(wǎng)絡(luò)下發(fā)環(huán)節(jié)需要完善。

5 測(cè)試工作總結(jié)及下階段工作

經(jīng)過一系列的測(cè)試，在平臺(tái)適用性方面，A公司的產(chǎn)品解決方案和JM公司的專網(wǎng)安全防護(hù)產(chǎn)品在上海軌道交通大部分閘機(jī)使用的XPE系統(tǒng)上可以完整部署，但均不支持Dos及Windows NT操作系統(tǒng)的閘機(jī)，好在Dos及Windows NT操作系統(tǒng)的車站終端設(shè)備數(shù)量較少，且都屬于停產(chǎn)設(shè)備，即將通過設(shè)備大修等方式進(jìn)行改造。從安全性和穩(wěn)定性方面來講，在已部署客戶端兩種產(chǎn)品的閘機(jī)上運(yùn)行病毒程序并嘗試部分網(wǎng)絡(luò)攻擊行為，兩種產(chǎn)品都進(jìn)行了阻止，并報(bào)告于控制中心，在審計(jì)日志中予以反映。整個(gè)測(cè)試過程中，AFC終端設(shè)備日常的業(yè)務(wù)流程、功能均可正常運(yùn)行，用戶的業(yè)務(wù)系統(tǒng)未受任何影響。

下一階段，將根據(jù)上海軌道交通運(yùn)營管理的實(shí)際需求，完善該類產(chǎn)品的服務(wù)器端功能需求，完善維護(hù)管理方面的功能，定制相關(guān)的統(tǒng)計(jì)分析報(bào)表。同時(shí)，針對(duì)AFC系統(tǒng)的特點(diǎn)，對(duì)參數(shù)類文件下發(fā)等業(yè)務(wù)流程在系統(tǒng)中的使用及監(jiān)管進(jìn)行研究。之后將對(duì)已運(yùn)營車站進(jìn)行測(cè)試，進(jìn)一步測(cè)試產(chǎn)品的適用性、穩(wěn)定性和可靠性。

［1］賴榮旭，鐘瑋.計(jì)算機(jī)病毒與防范技術(shù)［M］.北京：清華大學(xué)出版社，2011.

［2］王倍昌.計(jì)算機(jī)病毒揭秘與對(duì)抗［M］.北京：電子工業(yè)出版社，2011.

［3］馬宣興.網(wǎng)絡(luò)安全與病毒防范實(shí)驗(yàn)指導(dǎo)手冊(cè)［M］.上海：上海交通大學(xué)出版社，2011.