随着计算机技术和网络技术的飞速发展，互联网(Internet)在人们的 日常生活、学习和工作中发挥的作用也越来越大。由互联网所带来的各种网 络业务也在办公和生活中获得了普及和推广。互联网在给人们带来极大方便 的同时，也给蠕虫病毒提供了良好的温床。
蠕虫病毒是一种破坏性极大、传染性极强的计算机病毒，它的传播通常 不需要人为的激活，而通过网络来扩散特定的信息和错误。局域网条件下的 共享文件夹、电子邮件(E-mail)、网络中的恶意网页、大量存在着漏洞 的服务器等都成为蠕虫病毒传播的良好途径。蠕虫病毒的肆意传播经常会给 网络带来灾难，并在全世界的范围内造成重大破坏。蠕虫病毒的迅速传播会 造成互联网严重堵塞和域名服务器(DNS)的瘫痪，从而造成浏览互联网网 页及收发电子邮件的速度大幅减缓。同时，蠕虫病毒还会造成业务数据破坏、 银行自动提款机运作中断、机票等网络预订系统运作中断和信用卡等收付款 系统出现故障。
由于蠕虫病毒传播迅速、破坏巨大而又难以彻底根除，如何防范蠕虫病 毒向网络扩散一直是网络安全的焦点之一。目前，一些厂商纷纷推出各种防 病毒软件来查杀计算机中的蠕虫病毒。但是由于很多计算机在感染蠕虫病毒 前并没有安装防病毒软件，因此即使防病毒软件可以清除蠕虫病毒，蠕虫病 毒仍然已经向网络扩散。而且即使计算机安装了防病毒软件并清除了蠕虫病 毒，如果计算机没有安装计算机系统补丁，仍然不能阻止计算机再次感染蠕 虫病毒，也不能阻止蠕虫病毒向网络扩散，从而不能保证网络的可靠性。并 且，某些蠕虫病毒感染计算机后会获得计算机的最高权限，因此可以关闭防 病毒软件，从而使得防病毒软件失效，不能正常查杀蠕虫病毒。

有鉴于此，本发明的主要目的是提供一种防范蠕虫病毒向网络扩散的系 统，以提高网络的可靠性。
本发明的另一目的是提供一种防范蠕虫病毒向网络扩散的方法，以提高 网络的可靠性。
为达到上述目的，本发明的技术方案是这样的：
一种防范蠕虫病毒向网络扩散的系统，包括至少一个终端，该系统包括：
安全配置服务器，用于配置蠕虫病毒特征，并向安全认证服务器发送所述 蠕虫病毒特征；
终端代理模块，用于从终端收集与蠕虫病毒特征相对应的终端信息，并向 安全认证服务器发送所述终端信息；
安全认证服务器，用于根据所述蠕虫病毒特征对终端信息进行认证，当认 证通过时，向网络接入服务器发送终端蠕虫病毒认证通过消息；并用于在认证 不通过时，向网络接入服务器发送终端蠕虫病毒认证不通过消息；
网络接入服务器，根据终端蠕虫病毒认证通过消息打开终端的上网权限， 并用于根据终端蠕虫病毒认证不通过消息关闭终端的上网权限。
所述安全配置服务器进一步用于配置终端安全条件特征，并向安全认证服 务器发送所述终端安全条件特征；
所述终端代理模块进一步用于收集与终端安全条件特征相对应的终端安全 条件信息，并向安全认证服务器发送所述终端安全条件信息；
所述安全认证服务器进一步用于根据终端安全条件特征对终端安全条件信 息进行认证，如果认证通过，则向网络接入服务器发送终端安全条件认证通过 消息，如果认证不通过，则向网络接入服务器发送终端安全条件认证不通过消 息；
所述网络接入服务器，用于当收到终端安全条件认证通过消息和蠕虫病毒 认证通过消息后打开终端的上网权限，当收到终端安全条件认证不通过消息时 关闭终端的上网权限。
所述蠕虫病毒特征为蠕虫病毒特征码、蠕虫病毒文件名、蠕虫病毒进程信 息、蠕虫病毒感染端口号、蠕虫病毒感染注册表信息中的一种或者一种以上的 任意组合。
所述终端安全条件特征包括终端补丁条件、终端硬件条件、终端浏览器安 全级别条件、终端软件及其版本条件、终端进程条件中的一种或者一种以上的 任意组合。
一种防范蠕虫病毒向网络扩散的方法，安全配制服务器预先配置蠕虫病毒 特征，并向安全认证服务器发送所述蠕虫病毒特征，该方法包括：
A、终端代理模块收集与蠕虫病毒特征相对应的终端信息，并向安全认证 服务器发送所述终端信息；
B、安全认证服务器根据所述蠕虫病毒特征对所述终端信息进行认证，如果 认证通过，向网络接入服务器发送终端蠕虫病毒认证通过消息；当认证不通过 时向网络接入服务器发送终端蠕虫病毒认证不通过消息；
C、网络接入服务器根据终端蠕虫病毒认证通过消息打开终端的上网权限； 网络接入服务器根据终端蠕虫病毒认证不通过消息关闭终端的上网权限。
所述蠕虫病毒特征为蠕虫病毒特征码、蠕虫病毒文件名、蠕虫病毒进程信 息、蠕虫病毒感染端口号、蠕虫病毒感染注册表信息中的一种或者一种以上的 任意组合。
进一步预先配置终端安全条件特征，并向安全认证服务器发送所述终端安 全条件特征；在步骤A进一步收集与终端安全条件特征相对应的终端安全条件 信息，并向安全认证服务器发送所述终端安全条件信息；步骤B中安全认证服 务器进一步根据终端安全条件特征对终端安全条件信息进行认证，如果认证通 过向网络接入服务器发送终端安全条件认证通过消息；步骤C中当收到终端安 全条件认证通过消息和蠕虫病毒认证通过消息后打开终端的上网权限。
步骤B中进一步在认证不通过后向网络接入服务器发送终端安全条件认证 不通过消息；步骤C中进一步当收到终端安全条件认证不通过消息时关闭终端 的上网权限。
所述终端安全条件特征包括终端补丁条件、终端硬件条件、终端浏览器安 全级别条件、终端软件及其版本条件、终端进程条件中的一种或者一种以上的 任意组合。
步骤B中认证不通过后，安全认证服务器进一步向终端发送蠕虫病毒告警 消息，终端向安全配置服务器发送杀毒请求消息，安全配置服务器根据杀毒请 求消息对终端进行清除蠕虫病毒。
步骤B中认证不通过后，安全认证服务器进一步向安全配置服务器发送蠕 虫病毒认证不通过消息，安全配置服务器主动对终端进行清除蠕虫病毒。
步骤C中对终端安全条件信息认证不通过后，安全认证服务器进一步向终 端发送安全条件告警消息，终端根据所述安全条件告警消息向安全配置服务器 发送安全配置请求消息，安全配置服务器根据所述安全配置请求消息对终端进 行安全配置。
步骤C中对终端安全条件信息认证不通过后，安全认证服务器进一步向安 全配置服务器发送安全条件认证不通过消息，安全配置服务器根据安全条件认 证不通过消息主动对终端进行安全配置。
所述安全认证服务器向终端发送安全条件告警消息为：安全认证服务器向 终端发送补丁告警消息；所述终端向安全配置服务器发送安全配置请求消息， 安全配置服务器根据安全配置请求消息对终端进行安全配置为：终端向安全配 置服务器发送补丁配置请求消息，安全配置服务器根据补丁配置请求消息对终 端进行补丁配置。
所述安全认证服务器向安全配置服务器发送安全认证不通过消息为：安全 认证服务器向安全配置服务器发送补丁告警消息；所述安全配置服务器主动对 终端进行安全配置为：安全配置服务器主动对终端进行补丁配置。
该方法进一步包括，将终端划分为不少于一个的群组，所述配置终端安全 条件特征，并向安全认证服务器发送终端安全条件特征为：配置各群组的安全 条件特征，并向安全认证服务器发送所述各群组的安全条件特征；步所述终端 代理模块收集与终端安全条件特征相对应的终端安全条件信息为：终端代理模 块收集与该终端所在群组的安全条件特征相对应的终端安全条件信息；所述安 全认证服务器根据终端安全条件特征对终端安全条件信息进行认证为：安全认 证服务器根据该终端所在群组的安全条件特征对终端安全条件信息进行认证。
所述预先配置蠕虫病毒特征进一步包括配置新的蠕虫病毒特征。
从以上的技术方案可以看出，本发明中在安全配置服务器配置蠕虫病毒 特征，并向安全配置服务器发送蠕虫病毒特征，终端代理模块收集终端的与 蠕虫病毒特征相对应的终端信息，并向安全认证服务器发送该终端信息，安 全认证服务器根据蠕虫病毒特征对终端信息进行认证。只有认证通过后，网 络接入服务器才打开终端的上网权限，用户才能接入网络。所以应用本发明 后，强制隔离了已经感染蠕虫病毒的计算机接入网络，所以防止了蠕虫病毒 向网络扩散，因此极大地提高了网络的可靠性。
同时，在安全配置服务器配置终端安全条件特征，并向安全配置服务器 发送终端安全条件特征，终端代理模块收集终端的与终端安全条件特征相对 应的终端安全信息，并向安全认证服务器发送该终端安全信息，安全认证服 务器根据终端安全条件特征对终端安全信息进行认证。只有认证通过后，网 络接入服务器才打开终端的上网权限，用户才能接入网络。所以应用本发明 后，避免了防护能力薄弱和容易感染蠕虫病毒的计算机接入网络，从而进一 步保证了网络的安全性。
同时，当终端因感染蠕虫病毒而认证不通过时，安全配置服务器对终端 进行主动杀毒或者引导终端进行杀毒，从而方便终端查杀蠕虫病毒；当终端 因不满足终端安全条件特征而认证不通过时，安全配置服务器对终端进行主 动安全配置或者引导终端进行安全配置，从而提高了终端的防病毒能力，进 而防范未知蠕虫病毒的感染。

图1为本发明一实施例的防范蠕虫病毒向网络扩散的系统结构示意图。
图2为本发明一实施例的防范蠕虫病毒向网络扩散的流程示意图。

为使本发明的目的、技术方案和优点表达得更加清楚明白，下面结合附 图及具体实施例对本发明再作进一步详细的说明。
图1所示为本发明一实施例的防范蠕虫病毒向网络扩散的系统结构示 意图。如图1所示，该系统包括至少一个的终端101、与终端101分别对应 的终端代理模块102、交换机103、网络接入服务器104、安全配置服务器 105和安全认证服务器106，其中：
安全配置服务器105，用于配置蠕虫病毒特征，并向安全认证服务器106 发送蠕虫病毒特征；
终端代理模块102，用于收集终端101的与蠕虫病毒特征相对应的终端 信息，并向安全认证服务器106发送该终端信息；
安全认证服务器106，用于根据蠕虫病毒特征对终端信息进行认证，如 果认证通过则向网络接入服务器104发送终端蠕虫病毒认证通过消息，如果 认证不通过则向网络接入服务器104发送终端蠕虫病毒认证不通过消息；
网络接入服务器104，根据终端蠕虫病毒认证通过消息/终端蠕虫病毒认 证不通过消息打开/关闭终端的上网权限。交换机103用于终端代理模块102 和网络接入服务器104之间的信息交互。
通过分析目前已经出现的各种蠕虫病毒可得到蠕虫病毒特征。蠕虫病毒 特征可为蠕虫病毒特征码、蠕虫病毒文件名、蠕虫病毒进程信息、蠕虫病毒 感染端口号、或蠕虫病毒感染注册表信息等信息。而且，当有新的蠕虫病毒 出现的时候，可以把这些新出现的蠕虫病毒的特征再配置到安全配置服务器 105，并再向安全认证服务器106发送新出现的蠕虫病毒的特征，而且终端 代理模块102也同样向安全认证服务器106发送与新出现的蠕虫病毒特征相 对应的终端信息，安全认证服务器106同样对这些终端信息进行认证。同理， 如果认证通过，则向网络接入服务器104发送终端蠕虫病毒认证通过消息； 如果认证不通过，则向网络接入服务器104发送终端蠕虫病毒认证不通过消 息。网络接入服务器再根据终端蠕虫病毒认证通过消息/终端蠕虫病毒认证 不通过消息而打开/关闭终端的上网权限。所以，当有新的蠕虫病毒出现时， 应用本发明也可以及时防范新出现的蠕虫病毒向网络扩散。
当终端101因感染蠕虫病毒而无法通过安全认证服务器106的认证时， 安全认证服务器106根据终端信息和蠕虫病毒特征判断出终端101所感染的 蠕虫病毒种类，并向安全配置服务器105发送主动杀毒消息。安全配置服务 器105根据接收到的主动杀毒消息主动对终端101清除蠕虫病毒。可选地， 也可由安全认证服务器106向终端101发送蠕虫病毒告警消息，终端101根 据蠕虫病毒告警消息手动清除蠕虫病毒，其中该蠕虫病毒告警消息包括查杀 该种蠕虫病毒的方法。
所以，可以强制隔离受蠕虫病毒感染的计算机，防范蠕虫病毒向网络扩 散。并且方便地对蠕虫病毒进行清除。
优选地，还可进一步在安全配置服务器105上配置终端101的终端安 全条件特征，并向安全认证服务器106发送终端安全条件特征；终端代理模 块102进一步用于收集与终端安全条件特征相对应的终端安全条件信息，并 向安全认证服务器106发送终端安全条件信息；安全认证服务器106进一步 用于根据终端安全条件特征对终端安全条件信息进行认证，如果认证通过， 则向网络接入服务器104发送终端安全条件认证通过消息，如果认证不通 过，则向网络接入服务器104发送终端安全条件认证不通过消息；网络接入 服务器104，进一步用于当收到终端安全条件认证通过消息后打开终端的上 网权限，即只有当收到终端蠕虫病毒认证通过消息和终端安全条件认证通过 消息后才打开用户的上网权限，否则关闭用户的上网权限。
终端101的终端安全条件特征可包括终端补丁条件、终端硬件条件、终 端浏览器安全级别条件、终端软件及其版本条件、终端进程条件等。终端补 丁条件是指为获得上网权限，终端需要安装的补丁；终端硬件条件是指为获 得上网权限，终端硬件需要满足的条件；终端浏览器安全级别条件是指为获 得上网权限，终端的浏览器需要满足的安全设置；终端软件及其版本条件是 指为获得上网权限，终端上需要安装的软件及其版本号；终端进程条件是指 为获得上网权限而对终端进程的限制，即终端需要有的进程或不能存在的进 程。
在安全配置服务器上105设置这些安全条件特征后，安全配置服务器 105向安全认证服务器106发送安全条件特征。终端代理模块102收集终端 101的与终端安全条件特征相对应的终端安全条件信息，并向安全认证服务 器106发送终端安全条件信息。例如：当前终端已有的补丁信息、当前终端 的硬件信息、当前终端的浏览器安全级别信息、当前终端的软件及其版本条 件信息、当前终端的进程信息等。安全认证服务器106根据终端安全条件特 征对终端安全条件信息进行认证，如果认证通过，则向网络接入服务器104 发送该终端安全认证通过消息，如果认证不通过，则向网络接入服务器104 发送该终端安全认证不通过消息。
当终端101因终端安全条件信息不满足安全条件特征而无法通过安全 认证服务器106的认证时，安全认证服务器106根据终端安全条件信息和终 端安全条件特征判断出终端101不满足安全条件的原因，其中这些原因可包 括补丁不足或者没有打补丁、浏览器安全级别条件不够等。可以在安全配置 服务器105上提供补丁，当终端101因补丁不足或者没有打补丁而无法通过 安全认证服务器106的认证时，安全认证服务器106向安全配置服务器105 发送安装补丁消息，安全配置服务器根据接收到的安装补丁消息主动对终端 101安装补丁程序。可选地，也可由安全认证服务器106向终端代理模块102 发送安全条件认证不通过消息，该安全条件认证不通过消息中包括提示下载 补丁信息等提示消息，终端代理模块102再根据提示消息引导用户手动安装 补丁程序。同理，当终端101因终端浏览器安全级别条件不满足等原因而无 法通过安全认证服务器106的认证时，也可以通过终端代理模块102提示用 户进行手动配置。
所以，通过对终端安全条件特征的认证使得补丁不完整、浏览器安全级 别设置过低等防护蠕虫病毒能力薄弱的终端不能接入网络，进一步提高了网 络的安全性。
优选地，可以预先将终端101划分为至少一个的群组，然后针对不同群 组在安全配置服务器105上配置各群组的安全条件特征，并向安全认证服务 器106发送各群组的安全条件特征；终端代理模块102收集与该终端所在群 组的安全条件特征相对应的终端安全条件信息；安全认证服务器根据106该 终端所在群组的安全条件特征对终端安全条件信息进行认证。从而提高配置 速度，并且非常方便对具有相同或者类似状况的终端的认证，而且也便于对 所有终端进行安全状况分析和输出企业的整体报表。
首先将终端划分为不少于一个的群组，在安全配置服务器配置各群组的 安全条件特征，并向安全认证服务器发送所述各群组的安全条件特征。可将 终端与终端代理模块组合为一个整体。图2为本发明一实施例的防范蠕虫病 毒的流程示意图。如图2所示，包括以下步骤：
步骤201：配置终端为通过DHCP机制动态获取IP地址后，终端初始 化并发送DHCP请求报文，该请求报文经用户侧设备转发到网络接入服务 器。
步骤202：网络接入服务器实现DHCP中继功能，将该请求报文转发至 DHCP服务器。
步骤203：DHCP服务器对该DHCP请求报文进行响应，产生DHCP响 应报文。
步骤204：DHCP服务器向网络接入服务器发送DHCP响应报文，通过 DHCP响应报文为用户分配IP地址。
步骤205：网络接入服务器接收到DHCP服务器发送过来的DHCP响 应报文后，转发到相应的终端，并在网络接入服务器内部形成IP地址、MAC 地址和VLAN端口的对应关系，在终端未通过安全认证以前，限制该终端 的上网权限。终端收到DHCP服务器发送过来的DHCP响应报文后，获得 IP地址和其它相关参数，并且同时获得缺省的用户权限。这些缺省的权限包 括：可以访问安全配置服务器、安全认证服务器等。
步骤206：终端上的终端代理模块收集终端的与蠕虫病毒特征相对应的 终端信息，例如蠕虫病毒特征码、蠕虫病毒文件名、蠕虫病毒进程信息、蠕 虫病毒感染端口号、蠕虫病毒感染注册表信息等消息。终端上的终端代理模 块同时还收集与该终端所在群组的安全条件相对应的终端安全条件信息，例 如：终端硬件信息、终端安装软件信息、终端进程信息、终端补丁信息等信 息。
步骤207：终端代理模块将与蠕虫病毒特征相对应的终端信息和与该终 端所在群组的安全条件相对应的终端安全条件信息发送到安全认证服务器。
步骤208：安全认证服务器接收到用户终端代理模块发送过来的信息后， 用安全配置服务器发送的蠕虫病毒特征和终端代理模块发送的与蠕虫病毒 特征相对应的终端信息进行比较，判断该终端是否已经感染蠕虫病毒。如果 已经感染蠕虫病毒，则执行步骤210及其后续步骤，如果没有感染蠕虫病毒， 则执行步骤209及其后续步骤。
步骤209：安全认证服务器根据终端安全条件信息判断终端的群组，并 用安全配置服务器发送的该群组的终端安全条件和终端安全条件信息进行 比较，判断该终端是否满足安全条件，如果满足则执行步骤214及其后续步 骤，否则执行步骤212及其后续步骤。
步骤210：安全认证服务器首先根据蠕虫病毒特征和与蠕虫病毒特征相 对应的终端信息判断出终端所感染的蠕虫病毒种类，并向终端发送蠕虫病毒 告警消息，其中在蠕虫病毒告警消息中指明蠕虫病毒的种类。
步骤211：终端收到蠕虫病毒告警信息后，向安全配置服务器发送请求 查杀该种蠕虫病毒的杀毒消息，安全配置服务器对终端进行杀毒处理等后续 处理并结束本流程。
步骤212：安全认证服务器首先根据终端所在群组的安全条件特征和终 端安全条件信息判断出终端安全条件不满足的原因，并向终端发送包括该原 因的安全条件告警消息。
步骤213：终端收到安全条件告警消息后，向安全配置服务器发送配置 请求消息，安全配置服务器对终端进行安全配置并结束本流程。
步骤214：安全认证服务器产生一个允许接入的数据包发送给网络接入 服务器。
步骤215～步骤216：网络接入服务器接收到该允许接入的数据包，打开 终端的访问权限，并向安全认证服务器发送该终端认证通过的消息。
步骤217～步骤218：安全认证服务器向终端发送认证成功的消息，通过 安全认证的终端可以正常上网。
以上过程中，终端是通过DHCP机制获得IP地址，也可以通过指定终 端的IP地址而让终端获得静态IP地址。
以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护 范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等， 均应包含在本发明的保护范围之内。