计算机病毒及其防范技术 978-7-302-16923-9 第十三章 计算机病毒防治策略新

计算机病毒防治策略上海交通大学信息安全工程学院2018/8/9 1本章学习重点 掌握病毒防治的基本准则 掌握单机用户病毒防治策略 掌握企业级用户病毒防治策略 了解病毒未来防治措施 了解计算机病毒相关法律法规 2018/8/9 2计算机病毒防治策略 为什么需要策略？技术不能完全解决问题策略是对技术的补充策略可以使有限技术发挥最大限度的作用2018/8/9 3计算机病毒防治策略的基本准则 拒绝访问能力 来历不明的各种应用软件，尤其是通过网络传过来的应用软件，不得进入计算机系统。 病毒检测能力 计算机病毒总是有机会进入系统，因此，系统中应设置检测病毒的机制来阻止外来病毒的侵犯。 控制病毒传播的能力 被病毒感染将是一个必然事件。关键是，一旦病毒进入了系统，应该具有阻止病毒在系统中到处传播的能力和手段。2018/8/9 4 清除能力 如果病毒突破了系统的防护，即使它的传播受到了控制，但也要有相应的措施将它清除掉。 恢复能力 “在病毒被清除以前，就已经破坏了系统中的数据 ”，是非常可怕但是又非常可能发生的事件。因此，系统应提供一种高效的方法来恢复这些数据，使数据损失尽量减到最少。 替代操作 可能会遇到这种情况：当发生问题时，手头又没有可用的技术来解决问题，但是任务又必须继续执行下去。为了解决这种窘况，系统应该提供一种替代操作方案：在系统未恢复前用替代系统工作，等问题解决以后再换回来。2018/8/9 5国家层面上的病毒防治策略 第一，落实病毒防治的规章制度 第二，建立我国的计算机病毒预警系统 第三，建立快速、有效的病毒应急体系 第四，建立动态的系统风险评估措施 第五，建立病毒事故分析制度 2018/8/9 6 第六，制定备份和恢复计划，减少损失 第七，进一步加强计算机安全培训 第八，提高国内运营商自身的安全性 第九，加强技术防范措施2018/8/9 7单机用户病毒防治策略 单机系统的特点： 只有一台计算机 上网方式简单（只通过单一网卡与外界进行数据交互） 威胁相对较低 损失相对较低 个人用户的特点： 相对简单 防范意识相对较差 防范技术更是特别的薄弱2018/8/9 8一般技术措施 1）经常从软件供应商那边下载、安装安全补丁程序和升级杀毒软件。 2）新购置的计算机和新安装的系统，一定要进行系统升级，保证修补所有已知的安全漏洞。 3）使用高强度的口令。 4）经常备份重要数据。特别是要做到经常性地对不易复得数据（个人文档、程序源代码等等）完全备份。 5）选择并安装经过公安部认证的防病毒软件，定期对整个硬盘进行病毒检测、清除工作。 6）安装防火墙（软件防火墙），提高系统的安全性。2018/8/9 9 7）当计算机不使用时，不要接入互联网，一定要断掉连接。 8）不要打开陌生人发来的电子邮件，无论它们有多么诱人的标题或者附件。同时也要小心处理来自于熟人的邮件附件。 9）正确配置、使用病毒防治产品。 10）正确配置计算机系统，减少病毒侵害事件。充分利用系统提供的安全机制，提高系统防范病毒的能力。 11）定期检查敏感文件。对系统的一些敏感文件定期进行检查，保证及时发现已感染的病毒和黑客程序。2018/8/9 10上网基本策略 第一、采用匿名方式浏览。 第二、在进行任何的交易或发送信息之前阅读网站的隐私保护政策。 第三、安装个人防火墙，保护隐私信息。 第四、使用个人防火墙防病毒程序以防黑客攻击和检查黑客程序（一个连接外部服务器并将你的信息传递出去的软件）。 第五、网上购物时，确定你采用的是安全的连接方式。 第六、在线时不要向任何人透露个人信息和密码。2018/8/9 11 第七、经常更改你的密码。 第八、在不需要文件和打印共享时，关闭这些功能。 第九、扫描计算机并查找安全漏洞，提高计算机防护蠕虫病毒和恶意代码的能力。 第十、不厌其烦地安装补丁程序。 第十一、尽量关闭不需要的组件和服务程序。 第十二、尽量使用代理服务器。2018/8/9 12企业病毒防治策略 一个好的企业级病毒防御策略包括以下几个步骤：开发和实现一个防御计划使用一个好的反病毒扫描程序加固每个单独系统的安全配置额外的防御工具2018/8/9 13如何建立防御计划 第一，对预算的管理 第二，精选一个计划小组 第三，组织操作小组 第四，制定技术编目 标 示信息 功能 /操作系 统序列号 机器名称 用 户 名称 位置 PC 服 务 器 其他PC-W-0001 Account-01 Account-01 AD Win98SE-W-0001 Server-01 Manager ITD Win2K ServerSE-W-0002 Server-02 Manager ITD WinNT4.0LI-L-0001 Linux Linux SD Linux2018/8/9 14 第五，确定防御范围 第六，讨论和编写计划 第七，测试计划 第八，实现计划 第九，提供质量保证测试 第十，保护新加入的资产 十一，对快速反应小组的测试 十二，更新和复查的预定过程2018/8/9 15执行计划 软件部署 分布式更新 沟通方式 最终用户的培训 应急响应 （面对一次病毒事故需要考虑的步骤）第一，向负责人报告事故 第二，收集原始资料2018/8/9 16 第三，最小化传播 第四，让最终用户了解最新的危险 第五，收集更多的事实 第六，制定并实现一个最初的根除计划 第七，验证根除工作正在进行 第八，恢复关闭的系统 第九，为恶意程序的再次发作做好准备 第十，确认公众关系的影响 十一，做一次更加深入的分析 2018/8/9 17反病毒扫描引擎相关问题 何时进行扫描？实时扫描因为任何原因访问到的文件定时扫描按需扫描只扫描进入的新文件2018/8/9 18额外的防御工具 防火墙 入侵检测 系统 蜜罐 端口监视和扫描程序 漏洞扫描程序 Internet内容扫描程序 其他工具 ： SmartWhols、程序锁定、 Filemon和 Regmon、替罪羊文件 良好的备份2018/8/9 19真正的防范措施 审核所有的代码 最终的认证 更安全的操作系统应用程序 防止未授权的代码被篡改 ISP扫描 仅允许执行已提交的内容 国家安全机构 更严厉的惩罚 2018/8/9 20Vxer的相关法律法规 在美国， 1994年制定的联邦计算机处罚法案特别规定了在未得到授权许可的条件下对一台受保护的计算机 “故意传播程序、信息、代码、命令或导致相关结果的行为造成了损失的 ”属犯罪行为。对于触法者将被处以监禁。如果不是故意的，将处以 1年以下的监禁和罚金。如果被证明为故意所为，那么将被罚款并处以 10年左右的监禁。法案特别规定，如果发现病毒作者不构成犯罪，也可以采取民事措施。 据报道， 2003年 6月 3日，我国台湾地区的有关部门通过了一项法律修正草案，其中包括这样一条： “制作计算机病毒程序导致他人损害者，可处 5年以下有期徒刑、拘役或科或并科 20万元新台币以下罚金 ”。 我国的 刑法 第 286条规定，故意制作、传播计算机病毒后果严重的，处 5年以下有期徒刑或拘役，后果特别严重的，处 5年以上有期徒刑。2018/8/9 21防病毒相关法律法规 计算机病毒防治管理办法 第十九条 计算机信息系统的使用单位有下列行为之一的，由公安机关处以警告，并根据情况责令其限期改正；逾期不改正的，对单位处以一千元以下罚款，对单位直接负责的主管人员和直接责任人员处以五百元以下罚款： （一）未建立本单位计算机病毒防治管理制度的； （二）未采取计算机病毒安全技术防治措施的； （三）未对本单位计算机信息系统使用人员进行计算机病毒防治教育和培训的； （四）未及时检测、清除计算机信息系统中的计算机病毒，对计算机信息系统造成危害的； （五）未使用具有计算机信息系统安