硕士学位论文《企业网络安全病毒防范体系建立研究与实现》

1、学校代码： 学 号： 硕 士 学 位 论 文 （专 业 学 位） 企业网络安全病毒防范体系建立研究与实现企业网络安全病毒防范体系建立研究与实现 院 系： 软件学院 专 业： 软件工程 姓 名： * 指 导 教 师： * 完 成 日 期： 2007 年 2 月 29 日 企业网络安全病毒防范体系建立研究与实现 目录 i 目录 摘摘 要要.1 1 abstractabstract.2 2 第一章第一章 绪绪 论论.4 4 第二章第二章 公司环境分析公司环境分析.5 5 2.1 公司简介 .5 2.2 内部网络环境 .5 2.2.1 网络概述.5 2.2.2 网络结构.6 2.2.3 网络应用.7

2、2.3 外部网络环境分析 .7 2.3.1 病毒入侵带来的安全隐患.8 2.3.2 系统漏洞带来的安全隐患.12 2.4 安全需求分析 .14 第三章第三章 防范体系分析防范体系分析.1515 3.1 安全方案设计原则 .15 3.2 安全服务、机制与技术 .16 3.3 网络安全体系结构 .16 3.3.1 物理安全.16 3.3.2 网络结构.17 3.3.3 网络系统安全.17 3.3.4 系统安全.21 3.3.5 信息安全.21 3.3.6 应用安全.21 3.3.7 安全管理.22 3.4 安全解决配置方案 .22 第四章第四章 防范体系实施防范体系实施.2424 4.1 采用网络

3、版杀毒软件进行查毒、防毒； .24 4.2 可靠的防火墙技术及配置； .25 4.3 文件备份系统的实施 .27 企业网络安全病毒防范体系建立研究与实现 目录 ii 4.4 采用自行开发的内部文件传输系统交流文件。 .28 第五章第五章 结结 论论.3232 参考文献参考文献.3333 致致 谢谢.3434 企业网络安全病毒防范体系建立研究与实现 摘要 1 摘摘 要要 本文致力于用已学过的理念和方法对北京 sw 公司的网络安全系统问题进行研究，并建 立一款符合公司本身的病毒防御体系。论文在入侵检测技术理论的支持下，通过对大量资 料、数据的分析，对企业所面临的外部和内部网络安全问题进行了分析和判

4、断，以 u 盘病 毒的攻击方法、中毒现象进行了调研和分析，并在理论层面对公司现存网络病毒体系提出 了建议。从而保护公司网络资源与技术专利的安全性，确保商业及技术机密不会被竞争对 手盗用的同时员工还可以非常方便的调用、共享资源。 本文在结构上分为四章，以公司现有病毒防御体系为主体，分别对“网络环境（其中 包括外部网络、内部网络） 、 “现存防范体系的隐患” 、 “新建网络安全病毒体系” 、 “实施及 支持系统”进行了较为详细的分析论述。第一章是现有网络环境分析，内部环境通过对本 公司现有防范体系进行分析，找出漏洞，外部环境从国内现有的网络病毒入手，着重分析 了目前国内最流行的病毒种类，发作机理，

5、中毒的表现特征等。第二章针对现有防范体系 的漏洞，做出一套完全适合公司的防范体系，从而可以更好的保护公司资源，防止信息泄 漏。第三章介绍了该网络防护系统的实施及支持系统，其保证措施是进行内部网络与外部 网络的融合、进一步放大技术优势；还有就是采取的一系列措施，其中包括：1、采用网络 版杀毒软件进行查毒、防毒；2、可靠的防火墙技术及配置；3、文件备份系统的实施；4、 采用自行开发的内部文件传输系统交流文件。最后，预测一下未来网络安全可能出现的的 安全隐患和问题以及避免这些隐患和解决问题的方法。 关键词：网络安全，病毒，防范体系 企业网络安全病毒防范体系建立研究与实现 abstract 2 abs

6、tractabstract this paper aims at studying the network security system of a beijing-based company using the concepts and methods we have learned, and creating an anti-virus system meeting the needs of the company itself. with the support of the intrusion detection theory, and through the analysis of

7、extensive materials and data, the paper has analyzed and judged the external and internal network security issues faced by companies, has surveyed and analyzed the attack methods and infection symptoms of the usb disk viruses, and has provided recommendations on the existing network virus protection

8、 system of the company at the theoretical level, so as to protect the security of the companys network resources and technological patents, and to ensure that the business and technical secrets of the company can not be stolen by competitors but the employees can use and share the resources very con

9、veniently at the same time. the paper is structured into four chapters, providing detailed analyses and discussions of “network environment” (including both external network and internal network), “potential risks of the existing protection system”, “the newly built network security external environ

10、ment is analyzed through network viruses currently seen in china, focusing on the currently most epidemic virus varieties in china, their triggering mechanisms, and their infection symptoms, etc. chapter two offers a protection system totally suitable to the company against the vulnerabilities of th

11、e existing protection system, so as to better protect the resources of the company, and to prevent information leakage. chapter three describes the implementation and support system of the network protection system, and its underlying measures are to converge the internal network and external networ

12、k and to further augment the technological advantage; in addition, a 企业网络安全病毒防范体系建立研究与实现 abstract 3 series of other measures have also been taken, including: 1. using the web versions of anti-virus software to scan and to prevent viruses; 2. reliable firewall technology and configuration; 3. impleme

13、ntation of the fire backup system; 4. using the internal file transmission system developed by ourselves to transmit files. finally, the paper has made a forecast of the possible network security risks and problems in the future as well as the methods to avoid these risks and to solve the problems.

14、keywords: network security; virus; protection system 企业网络安全病毒防范体系建立研究与实现 第一章 绪论 4 第一章第一章 绪绪 论论 本方案为 sw 公司局域网网络安全病毒防御体系的建立方案，包括原有网络 系统分析、安全需求分析、安全目标的确立、安全体系结构的设计等。本安全 解决方案的目标是在不影响企业局域网当前业务的前提下，实现对他们局域网 全面的安全管理。 1.将安全策略、硬件及软件等方法结合起来，构成一个统一的防御系统， 有效阻止非法用户进入网络，减少网络的安全风险。 2.定期进行漏洞扫描，及时发现问题，解决问题。 3.通过入侵检测

15、等方式实现实时安全监控，提供快速响应故障的手段，同 时具备很好的安全取证措施。 4.使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢 复到破坏前的状态，最大限度地减少损失。 5.在工作站、服务器上安装相应的防病毒软件，由中央控制台统一控制和 管理，实现全网统一防病毒。 企业网络安全病毒防范体系建立研究与实现 第二章 公司环境分析 5 第二章第二章 公司环境分析公司环境分析 2.1 公司简介公司简介 北京 sw 公司是一个位于冶金行业，新发展起来的较大公司，随着市场经济 的迅速发展和在中国加入 wto 之后，sw 公司历经十二年的创业历程，从一开始 的几台电脑到现在组成的内部网局域

16、系统，同许多企业一样，面临着国内同行 业的激烈竞争，这不仅是产品种类、质量、价格和售后服务的竞争，也是企业 对多变市场的适应和应变能力的一场竞争，是一场企业间整体综合实力的较量。 而如何为公司提供一个安全、高效的网络安全平台，以确保可以更好的收集信 息，公布信息是目前迫在眉睫的问题。 从网络安全威胁看，公司网络的威胁主要包括外部的攻击和入侵、内部的 攻击或误用、企业内的病毒传播，以及安全管理漏洞等方面。 这个企业的局域网是一个信息点较为密集的千兆局域网络系统，它所联接 的现有近千个信息点为在整个企业内办公的各部门提供了一个快速、方便的信 息交流平台。不仅如此，通过专线与 internet 的连

17、接，打通了一扇通向外部世 界的窗户，各个部门可以直接与互联网用户进行交流、查询资料等。通过公开 服务器，企业可以直接对外发布信息或者发送电子邮件。高速交换技术的采用、 灵活的网络互连方案设计为用户提供快速、方便、灵活通信平台的同时，也为 网络的安全带来了更大的风险。因此，在原有网络上实施一套完整、可操作的 安全解决方案不仅是可行的，而且是必需的。 2.2 内部网络环境内部网络环境 2.2.1 网络概述网络概述 sw 公司目前拥有 420 余台台式计算机（主要是 dell optiplex 320 台式机） 与 70 余台移动计算机（ibm thinkpad 系列） ，共分为财务、设计、业务三个

18、分 支部门，其中公司的核心“设计部门”区域有 380 多台计算机（包括移动计算 机） ， “财务部门”有将近 25 台计算机，余下大部分的计算机属于平时日常事务 处理，而全部计算机中的三分之二没有和 internet 及局域网连接，属于独立工 作的，从而导致部门间由于业务需求，数据及文件的传递需要依靠 u 盘来完成， 并且大都没有更新微软 xp 系统的漏洞补丁，极易遭受病毒攻击。 公司的局域网物理跨度不大，通过百兆交换机在主干网络上提供 100m 的独 企业网络安全病毒防范体系建立研究与实现 第二章 公司环境分析 6 享带宽，通过下级交换机与各部门的工作站和服务器连结，并为之提供 10m 的

19、独享带宽。利用与中心交换机连结的 cisco 2600 路由器，部分用户可通过 10mb 光纤接口，直接访问 internet。 由于公司发展过程中，对于网络资源利用的随意性，接入因特网的情况比 较混乱，很多不需因特网服务的员工也开通了，而部分电脑甚至没有安装杀毒 软件，这些电脑也成为影响公司网络安全的极大因素。公司计算机目前采用的 防病毒软件是大都是江民和瑞星两种，而由于众多的计算机是独立办公，没有 联接互联网络，无法更新病毒库，防病毒软件形同虚设，这样更是滋生了病毒 的成长。在目前电脑化办公的环境中，计算机中了病毒而导致的工作延误是最 大的问题。光系统维护，每天重装系统、安装各类办公软件，

20、也是一个相当繁 琐的事情。 2.2.2 网络结构网络结构 本企业的局域网按访问区域可以划分为三个主要的区域：internet 区域、 内部网络、公开服务器区域。内部网络又可按照所属的部门、职能、安全重要 程度分为许多子网，包括：财务子网、领导子网、设计子网、中心服务器子网、 办公子网等。在安全方案设计中，我们基于安全的重要程度和要保护的对象， 可以在 catalyst 型交换机上直接划分四个虚拟局域网（vlan） ，即：中心服务 器子网、财务子网、领导子网、其他子网。不同的局域网分属不同的广播域， 由于财务子网、领导子网、中心服务器子网、设计子网属于重要网段，因此在 中心交换机上将这些网段各自

21、划分为一个独立的广播域，而将其他的工作站划 分在一个相同的网段。 通过查询相关资料了解到 cisco 2600 是一个外型紧凑的单一设备，足以满 足公司分支部门的需求，其通过一个可选的 16 端口 10/100 ether switch 网络 模块，可以在一个设备中集成路由和交换功能，从而获得较高的灵活性和较低 的端口密度。这种解决方案可以通过一个第二层设备在各个台式机和其他网络 资源之间提供高速的连接，并且可以在路由器的第三层建立 wan 连接。见图一 所示。 企业网络安全病毒防范体系建立研究与实现 第二章 公司环境分析 7 图一 cisco2600 应用 2.2.3 网络应用网络应用 本企

22、业的局域网可以为用户提供如下主要应用： 文件共享、办公自动化、www 服务、电子邮件服务； 文件数据的统一存储； 针对特定的应用在数据库服务器上进行二次开发(比如公司内部网络办 公软件)； 提供与 internet 的访问； 通过公开服务器对外发布企业信息、发送电子邮件等； sw 公司是一家集设计、制造、施工为一体的高新技术企业，设计研发部门 是核心部门，设计已经实现了数字化，全部电脑出图，绘图软件使用 autodesk 公司的二维设计软件 autocad 2006，每个项目的出图量折合为电子文档的文件 数量约为 600 个左右，因此，电子文档的管理，备份也希望实现网络自动化。 2.3 外部网

23、络环境分析外部网络环境分析 随着 internet 网络急剧扩大和上网用户迅速增加，风险变得更加严重和复 杂。原来由单个计算机病毒入侵事故引起的损害可能传播到其他系统，引起大 范围的瘫痪和损失；另外加上缺乏安全控制机制和对 internet 安全政策的认识 不足，这些风险正日益严重。 针对本企业局域网中存在的安全隐患，在进行安全方案设计时，病毒入侵 的安全风险我们必须要认真考虑，并且要针对面临的风险，采取相应的安全措 企业网络安全病毒防范体系建立研究与实现 第二章 公司环境分析 8 施。 根据江民反病毒中心公布的2007 年度十大病毒排行及疫情报告1：排 名第一位的 ani 病毒病毒采用新的挂

24、马方式，利用 windows 系统文件处理漏洞 的恶意代码，自我复制，双击盘符即可激活病毒；而利用微软系统自动播放功 能传播的 u 盘寄生虫病毒同样让广大用户苦不堪言，自动播放文件 autorun.inf 一般存在于 u 盘、mp3、移动硬盘和硬盘各个分区的根目录下，当 用户双击 u 盘等设备的时候，就会优先运行 autorun.inf 文件，而该文件就会 立即执行所要加载的病毒程序，从而破坏用户计算机，使用户计算机遭受损失。 资料显示仅半年时间全国就有一千四百万台计算机感染了病毒，其中木马 病毒为祸最广，占感染电脑总数的 67，而病毒疫情比较严重的地区中，北京 地区排名第四位。 因此，利用系

25、统漏洞进行攻击和利用 u 盘传播病毒成为当前病毒的主流技 术。 2007 年虽然已经过去了，但是在网络安全界还是给我们留下了一些遗憾。 在年底评出的“十大病毒排行榜” ，u 盘病毒居然成为年度毒之王。在通过 web 传播的病毒成为主流的现在，通过 u 盘这种传统介质传播的病毒“u 盘寄生虫” 竟然可以获得“2007 年度毒王”的称号，说明很多用户乃至整个反病毒行业， 对这方面的重视都很不够。据了解，目前绝大部分厂商都没有推出完善的 u 盘 反病毒方案。 bitscn.net*中国网管博客 必备利器暗藏威胁 u 盘病毒何时能休 bitscn_com 现在，几乎所有个人电脑拥有 usb 接口：u

26、盘等移动存储设备已经成为商 务人士必备的产品，而年轻人钟爱的 ipod、拍照手机、dv、dc 等，也大多是通 过 usb 接口与电脑连接。但与此同时，由于现有杀毒产品的缺陷，利用 usb 设 备传播的病毒已成为个人网络安全的重大隐患。最近一个调查显示，全球 46% 的网管员认为，随身携带的闪存盘已经成为一个新的安全隐患。 bitscn.net* 中国网管博客 u 盘病毒个人用户的网络安全造成的威胁，主要表现在窃取私密信息，造 成用户网络交易和网游虚拟财产的损失。例如著名的 u 盘病毒 worm_sillydc， 企业网络安全病毒防范体系建立研究与实现 第二章 公司环境分析 9 感染该病毒后，会

27、自动连线到指定的远程网站，让远程网站恶意使用者从被感 染的系统中窃取信息，并让远程控制者在遭感染的系统中执行特定命令，为进 一步窃取资料打开方便之门。从危害角度来讲，u 盘病毒已经和其它通过 web 传播的病毒不相上下。而 u 盘经常在不同电脑上频繁插拔的特点，也为病毒的 传播大开方便之门。 中国_网管联盟 bitscn.com 但是，现在业内对于 u 盘病毒的防护手段还不甚完善。趋势科技的工程师 指出，现有的针对 u 盘病毒的解决方案都只是以一个插件的形式出现，并未真 正嵌入杀毒软件内部，这样，就不能实现与主程序同步防护。但由于在 u 盘插 入电脑后即开始工作，其所附带的病毒也能同时侵入系统

28、，有可能在打开杀毒 软件杀毒之前，个人私密信息就已经泄露。同时，一些厂商的 u 盘病毒解决方 案还是沿用以病毒码为基准分析的方法，在病毒库更新时间上也存在滞后性。 除此之外，现有的反 u 盘病毒解决方案对于 autorun.inf 这个文件并没有进行 有针对性的处理，杀毒后残留的 autorun.inf 文件会造成双击无法打开 u 盘， 给用户今后的使用带来很大的不便。 wwwbitscncom 为此，趋势科技特别在其 08 年新产品趋势科技网络安全专家（tis） 2008 内部，嵌入了首个应用了主动防御技术的反 u 盘病毒解决方案，为个人用 户提供了全方位的安全保护。 中国_网管联盟 bit

29、scn.com 如何降服 u 盘病毒 bbs.bitscn.com 为了对付 u 盘病毒，趋势科技在新推出的网络安全专家（tis）2008 产品 中提供了完整的针对 u 盘病毒的解决方案，整合三项防范技术：免疫、查杀、 启发式检测，形成了有效的应对方案。 wwwbitscncom 一般人使用 u 盘的习惯都是：插入 u 盘，在“我的电脑”里找到 u 盘图标 企业网络安全病毒防范体系建立研究与实现 第二章 公司环境分析 10 后启动杀毒软件杀毒，然后开始使用。这个看似正常的过程其实却蕴含着感染 病毒的风险。这是因为，u 盘都有插入电脑后自动运行的功能，而这个本意是 方便使用者的功能经常会被病毒制

30、造者利用，使病毒用户系统完全不知情的情 况下自动执行，第一时间进入了用户的系统：从插入 u 盘到开始杀毒之间的短 短几分钟时间，病毒可能已经攻破了用户的安全防线。趋势科技本次推出的解 决方案中的“免疫”技术就专门针对这个问题，自动禁用包括光盘在内的所有 移动设备的自动播放功能（u 盘病毒自启动的方式） ，让 u 盘病毒无法自动激活， 封锁了病毒侵入计算机的通路。由于该解决方案是嵌入到杀毒软件内部的，会 与系统防火墙同步运行，所以用户不用单独执行任何操作，即可避免从插入 u 盘到查杀病毒之间的防御“真空” 。 www_bitscn_com 中国.网管联盟 “查杀”技术会自动搜索并删除所有磁盘根目

31、录下的 autorun.inf 文件， 并根据这个文件的信息反向查杀已知和未知的病毒体文件和进程，使病毒无处 藏身。此外，病毒残留的 autorun.inf 文件导致用户无法再用双击图标的方法 打开 u 盘， “查杀”技术把该文件彻底删除，这个问题也就迎刃而解，使得杀毒 之后的 u 盘可以完好如初。 bitscn.net*中国网管博客 而“启发式检测”则可以检测可疑 autorun.inf 文件，并阻止对该文件访 问，以阻止 u 盘病毒通过 autorun.inf 激活,抑制 u 盘病毒的传播，使之无路可 逃。这三项技术的互相支撑，使用户真正避免了 u 盘病毒的侵袭，全方位保障 用户的网络安全

32、。同时，由于该解决方案被嵌入趋势科技网络安全专家（tis） 2008 的主程序，u 盘插入后系统就自动开始对其中病毒的监控，无需另外启动 杀毒程序进行查杀。这样一来，插入 u 盘后直接就可以放心使用，使用户可以 安心、方便地使用移动存储设备。 bitscn_com 据了解，本次趋势科技网络安全专家（tis）2008 所包含的 u 盘病毒解决 方案，是业内首次将“启发式检测”这种主动防御功能应用于 u 盘病毒防范， 比传统的防护方案响应速度上更快，防范效果更好。对付 u 盘病毒，拥有主动 防御的趋势科技网络安全专家（tis）2008 显然让使用者更省心省力。 企业网络安全病毒防范体系建立研究与实

33、现 第二章 公司环境分析 11 计算机会计信息系统实现网络处理后，由于系统的入口增多，操作人员和信息使用者 干预系统的机会增大，系统面临的安全隐患也必然增多。尤其随着 internet/intranet 的应用， 外部日益扩大的网络环境对会计信息系统本身及其安全又将产生更大的影响，不仅影响传 统的会计业务处理及信息的披露方式，而且安全方面会产生更多的不确定因素。除了计算 机软硬件的不安全因素之外，会计信息系统还将面临人文方面的更大风险，例如来自不法 之徒的风险就有： 1 利用网络及安全管理的漏洞窥探用户口令或电子帐号，冒充合法用户作案，篡改磁 性介质记录窃取资产。 2 利用网络远距离窃取企业的

34、商业秘密以换取钱财，或利用网络传播计算机病毒以破 坏企业的信息系统。 3 建立在计算机网络基础上的电子商贸使贸易趋向“无纸化”，越来越多的经济业务的 原始记录以电子凭证的方式存在和传递。不法之徒通过改变电子货币帐单、银行结算单及 其它帐单，就有可能将公私财产的所有权进行转移。 计算机网络带来会计系统的开放与数据共享，而开放与共享的基础则是安全。企业一 方面通过网络开放自己，向全世界推销自己的形象和产品，实现电子贸易、电子信息交换， 但也需要守住自己的商业秘密、管理秘密和财务秘密，而其中已实现了电子化且具有货币 价值的会计秘密、理财秘密是最重要的。我们有必要为它创造一个安全的环境，抵抗来自 系统

35、内外的各种干扰和威协，做到该开放的放开共享，该封闭的要让黑客无奈。 一、网络安全审计及基本要素 安全审计是一个新概念，它指由专业审计人员根据有关的法律法规、财产所有者的委 托和管理当局的授权，对计算机网络环境下的有关活动或行为进行系统的、独立的检查验 证，并作出相应评价。 没有网络安全，就没有网络世界。任何一个建立网络环境计算机会计系统的机构，都 会对系统的安全提出要求，在运行和维护中也都会从自己的角度对安全作出安排。那么系 统是否安全了呢？这是一般人心中无数也最不放心的问题。应该肯定，一个系统运行的安 全与否，不能单从双方当事人的判断作出结论，而必须由第三方的专业审计人员通过审计 作出评价。

36、因为安全审计人员不但具有专门的安全知识，而且具有丰富的安全审计经验， 只有他们才能作出客观、公正、公平和中立的评价。 安全审计涉及四个基本要素：控制目标、安全漏洞、控制措施和控制测试。其中，控 制目标是指企业根据具体的计算机应用，结合单位实际制定出的安全控制要求。安全漏洞 是指系统的安全薄弱环节，容易被干扰或破坏的地方。控制措施是指企业为实现其安全控 制目标所制定的安全控制技术、配置方法及各种规范制度。控制测试是将企业的各种安全 控制措施与预定的安全标准进行一致性比较，确定各项控制措施是否存在、是否得到执行、 企业网络安全病毒防范体系建立研究与实现 第二章 公司环境分析 12 对漏洞的防范是否

37、有效，评价企业安全措施的可依赖程度。显然，安全审计作为一个专门 的审计项目，要求审计人员必须具有较强的专业技术知识与技能。 安全审计是审计的一个组成部分。由于计算机网络环境的安全将不仅涉及国家安危， 更涉及到企业的经济利益。因此，我们认为必须迅速建立起国家、社会、企业三位一体的 安全审计体系。其中，国家安全审计机关应依据国家法律，特别是针对计算机网络本身的 各种安全技术要求，对广域网上企业的信息安全实施年审制。另外，应该发展社会中介机 构，对计算机网络环境的安全提供审计服务，它与会计师事务所、律师事务所一样，是社 会对企业的计算机网络系统的安全作出评价的机构。当企业管理当局权衡网络系统所带来

38、的潜在损失时，他们需要通过中介机构对安全性作出检查和评价。此外财政、财务审计也 离不开网络安全专家，他们对网络的安全控制作出评价， 帮助注册会计师对相应的信息处 理系统所披露信 息的真实性、可靠性作出正确判断。 二、网络安全审计的程序安全 审计程序是安全监督活动的具体规程，它规定安全审计工作的具体内容、时间安排、 具体的审计方法和手段。与其它审计一样，安全审计主要包括三个阶段：审计准备阶段、 实施阶段以及终结阶段。 安全审计准备阶段需要了解审计对象的具体情况、安全目标、企业的制度、结构、一 般控制和应用控制情况，并对安全审计工作制订出具体的工作计划。在这一阶段，审计人 员应重点确定审计对象的安

39、全要求、审计重点、可能的漏洞及减少漏洞的各种控制措施。 1 了解企业网络的基本情况。例如，应该了解企业内部网的类型、局域网之间是否设 置了单向存取限制、企业网与 internet 的联接方式、是否建立了虚拟专用网（vpn）？ 2 了解企业的安全控制目标。安全控制目标一般包括三个方面：第一，保证系统的运 转正常，数据的可靠完整；第二，保障数据的有效备份与系统的恢复能力；第三， 对系统 资源使用的授权与限制。当然安全控制目标因企业的经营性质、规模的大小以及管理当局 的要求而有所差异。 3 了解企业现行的安全控制情况及潜在的漏洞。审计人员应充分取得目前企业对网络 环境的安全保密计划，了解所有有关的控

40、制对上述的控制目标的实现情况，系统还有哪些 潜在的漏洞。 安全审计实施阶段的主要任务是对企业现有的安全控制措施进行测试，以明确企业是 否为安全采取了适当的控制措施，这些措施是否发挥着作用。审计人员在实施环节应充分 利用各种技术工具产品，如网络安全测试产品、网络监视产品、安全审计分析器。 安全审计终结阶段应对企业现存的安全控制系统作出评价，并提出改进和完善的方法 和其他意见。安全审计终结的评价，按系统的完善程度、漏洞的大小和存在问题的性质可 以分为三个等级：危险、不安全和基本安全。危险是指系统存在毁灭性数据丢失隐患（如 企业网络安全病毒防范体系建立研究与实现 第二章 公司环境分析 13 缺乏合理

41、的数据备份机制与有效的病毒防范措施）和系统的盲目开放性（如有意和无意用 户经常能闯入系统，对系统数据进行查阅或删改） 。不安全是指系统尚存在一些较常见的问 题和漏洞，如系统缺乏监控机制和数据检测手段等。基本安全是指各个企业网络应达到的 目标，其大漏洞仅限于不可预见或罕预见性、技术极限性以及穷举性等，其他小问题发生 时不影响系统运行，也不会造成大的损失，且具有随时发现问题并纠正的能力。 三、网络安全审计的主要测试 测试是安全审计实施阶段的主要任务，一般应包括对数据通讯、硬件系统、软件系统、 数据资源以及安全产品的测试。 下面是对网络环境会计信息系统的主要测试。 1 数据通讯的控制测试数据通讯控制

42、的总目标是数据通道的安全与完整。具体说，能 发现和纠正设备的失灵，避免数据丢失或失真，能防止和发现来自 internet 及内部的非法 存取操作。为了达到上述控制目标，审计人员应执行以下控制测试：（1）抽取一组会计数 据进行传输，检查由于线路噪声所导致数据失真的可能性。 （2）检查有关的数据通讯记录， 证实所有的数据接收是有序及正确的。 （3）通过假设系统外一个非授权的进入请求，测试 通讯回叫技术的运行情况。 （4）检查密钥管理和口令控制程序，确认口令文件是否加密、 密钥存放地点是否安全。 （5）发送一测试信息测试加密过程，检查信息通道上在各不同点 上信息的内容。 （6）检查防火墙是否控制有效

43、。防火墙的作用是在 internet 与企业内部网 之间建立一道屏障，其有效性主要包括灵活性以及过滤、分离、报警等方面的能力。例如， 防火墙应具有拒绝任何不准确的申请者的过滤能力，只有授权用户才能通过防火墙访问会 计数据。 2 硬件系统的控制测试硬件控制测试的总目标是评价硬件的各项控制的适当性与有效 性。测试的重点包括：实体安全、火灾报警防护系统、 使用记录、后备电源、操作规程、灾害恢复计划等。审计人员应确定实物安全控制措施是 否适当、在处理日常运作及部件失灵中操作员是否作出了适当的记录与定期分析、硬件的 灾难恢复计划是否适当、是否制定了相关的操作规程、各硬件的资料归档是否完整。 3 软件系统

44、的控制测试软件系统包括系统软件和应用软件，其中最主要的是操作系统、 数据库系统和会计软件系统。总体控制目标应达到防止来自硬件失灵、计算机黑客、病毒 感染、具有特权职员的各种破坏行为，保障系统正常运行。对软件系统的测试主要包括： （1）检查软件产品是否从正当途径购买，审计人员应对购买订单进行抽样审查。 （2）检查 防治病毒措施，是否安装有防治病毒软件、使用外来软盘之前是否检查病毒。 （3）证实只 有授权的软件才安装到系统里。 4 数据资源的控制测试数据控制目标包括两方面：一是数据备份，为恢复被丢失、损 坏或被干扰的数据，系统应有足够备份；二是个人应当经授权限制性地存取所需的数据， 未经授权的个人

45、不能存取数据库。审计测试应检查是否提供了双硬盘备份、动态备份、业 企业网络安全病毒防范体系建立研究与实现 第二章 公司环境分析 14 务日志备份等功能，以及在日常工作中是否真正实施了这些功能。根据系统的授权表，检 查存取控制的有效性。 5 系统安全产品的测试随着网络系统安全的日益重要，各种用于保障网络安全的软、 硬件产品应运而生，如 vpn、防火墙、身份认证产品、ca 产品等等。企业将在不断发展 的安全产品市场上购买各种产品以保障系统的安全，安全审计机构应对这些产品是否有效 地使用并发挥其应有的作用进行测试与作出评价。例如，检查安全产品是否经过认证机构 或公安部部门的认征，产品的销售商是否具有

46、销售许可证产品的安全保护功能是否发挥作 用。 四、应该建立内部安全审计制度 为提高会计信息处理的准确性、真实性和合法性，强化企业的内部控制制度的落实， 防止会计信息系统出现各种安全隐患，应建立起计算机网络环境下对会计信息系统实施监 督的内部审计制度。内部审计是在单位最高负责人的直接领导下，对集网络、计算机及信 息处理为一体的会计信息系统进行职能管理，依照有关法律、法规及内部管理制度，对其 合法性、真实性、可靠性和效益性进行相对独立的监督、检查与评价的活动。其主要目的 是保护企业计算机会计信息系统所产生的会计记录的真实与可靠，保证网络上数据的传输 的数据的安全，并对系统安全情况作出评价。 网络系

47、统内部安全审计是一种实时地发现漏洞的机制，安全审计人员的日常审计工作 将为会计信息系统的安全提供有效的保障。 2.3.1 病毒入侵带来的安全隐患病毒入侵带来的安全隐患 本人想通过分析 u 盘病毒的发作机理，中毒的表现特征来说明一下现在外 部网络环境的现状。 1.什么是自动运行及 autorun.inf 文件的作用 用过类似于“开天辟地” 、 “新视野大学英语”之类教学光盘的人应该清楚， 光盘放进去后会自动执行某个程序，实现这个自动功能的就是 autorun.inf， 只不过现在一些不法分子利用它来传播病毒。不过 u 盘插入后不会像光盘一样， 不经同意就自动执行程序，而只有你双击打开 u 盘或者

48、用右键菜单打开 u 盘才 可能会执行。 2.autorun.inf 文件内容 autorun.inf 文件里面的内容非常灵活，写法不唯一，不同病毒的 autorun.inf 文件的内容不尽相同。对病毒制造者来说，只要达到 100感染的 目的即可。下面让我们揭开 autorun.inf 看看内幕吧！（每行给出了解释） 以病毒“唯一的爱” （该病毒几乎具备上述全部邪恶特征，病毒原体“唯一 的爱.exe” ，伪装为 mp3 图标）为例，介绍其 autorun.inf 的内容： 企业网络安全病毒防范体系建立研究与实现 第二章 公司环境分析 15 autorun 该标志表示本 u 盘打开方式发生改变，并

49、按以下内容执行 open=479839e1.exe 定义双击打开 u 盘为执行病毒（此病毒名称是随机 生成的） shellopen=打开(&o) 重定义右键菜单中的打开项，替代正常的打开项 shellopencommand=479839e1.exe 将右键菜单中的“打开”项指向病 毒体 shellopendefault=1 “打开”为默认项，并显示为粗体（vista 下 无效） shellexplore=资源管理器(&x) 重定义右键菜单的“资源管理器”项， 替代正常项 shellexplorecommand=479839e1.exe 将右键菜单中的“资源管理器” 项指向病毒体 注意：对于某些

50、病毒的右键菜单中会有两个“打开” ，一个是黑体的一个是 正常字体。一些人认为点击正常字体的“打开”会是安全的。的确，就某些病 毒 autorun.inf 内容来看，这么做是安全，但是大家要相信病毒是狡猾的，绝 对不要抱以侥幸的心理，不管怎样这个右键菜单都很危险，不同的 autorun.inf 语句定义出来的结果是不同的，所以，绝不要认为用右键菜单打 开 u 盘会很安全。 3.那么怎么防御 u 盘病毒？ 养成从“文件夹”进入磁盘的好习惯 点击工具栏上的“文件夹” ，单击从左边文件夹栏中的“可移动磁盘”进入 u 盘，这样便可以绕过 autorun.inf，而不会染毒。而从 autorun.inf

51、的全部功 能来看，它是无法左右“文件夹”栏的，所以这一种方法是安全的。从资源管 理器的文件夹栏进入 u 盘亦可。 4.对于感染病毒的 u 盘的处理 删除病毒文件，病毒一般伪装为图片和快捷方式文件，区分病毒和非病毒 的方法很简单，病毒一般是 exe 可执行文件，因此只需要在文件夹选项里去掉 了 “隐藏已知文件的扩展名”前面的勾，病毒文件就暴露出来了。还有一些病 毒喜欢躲在回收站里，例如 ctfmon 病毒 autorun.inf 中有两句是 shellexecute=recycledctfmon.exe shellopen(0)command=recycledctfmon.exe 这就证明它躲在

52、回收站（recycled 文件夹）中。 u 盘属于 zip/fdd 型移动设备，理应没有回收站（recycled 文件夹）和系 统还原（system volume information 文件夹） ，您删除的任何文件将是完全删 企业网络安全病毒防范体系建立研究与实现 第二章 公司环境分析 16 除，而不会被放入所谓的“recycled”中。所以，一旦您在 u 盘上发现看似回 收站图标的文件夹，可以直接认为那是病毒的老巢，请不要进入，而是直接删 除！ 移动硬盘属于 hdd 型移动设备，属于硬盘系列，对于它而言，操作系统会 自动建立回收站（recycled 文件夹）和系统还原（system vol

53、ume information 文件夹） ，并且系统还原文件夹还不能被删除，如果您发现这两个 文件夹，不必惊慌！但是如果您还发现本目录下有 autorun.inf 文件，不论它 指向的病毒是否在回收站（recycled）中，回收站都有被感染过的可能（有的 新病毒会把老病毒从 autorun.inf 中踢出去，但是老病毒可能还呆在回收站中 并等候反扑） 。如果您确定移动硬盘回收站里没有什么重要文件，请不要进入回 收站，而是直接将其删除！当然，您也可以使用最新更新的杀毒软件对可移动 设备进行扫描，达到清除病毒的目的。不过之所以介绍那么多手动清除事项和 方法，是因为杀毒软件有可能无法查出新病毒和新变

54、种，所以网管必须具备手 动杀毒的能力。 杀毒软件删除病毒后，如果没有删掉 autorun.inf，再次打开 u 盘就会出 现“打开方式”窗口，因为 autorun.inf 指向的文件不存在，打开方式窗口便 跳了出来。这个时候需要从“文件夹”栏进入 u 盘，手动删除 autorun.inf， 然后拔下并重新插入问题就解决了。 对于没有关闭自动播放的电脑，插入 u 盘或者移动硬盘之后，有一个自动 播放的功能列表，其中有一个“打开文件夹以查看文件”的功能，使用这个也 可以安全地进入 u 盘。 如果您的电脑感染过 u 盘病毒，隐藏文件无论如何也看不到了，可以通过 修改注册表解决： 运行注册表编辑器 r

55、egedit 进入 hkey_local_machinesoftwaremicrosoftwindowscurrentversion exploreradvancedfolderhiddenshowall，找到类型为 reg_dword 的 checkedvalue，把它由 0 改为 1。 本人认为，u 盘成为计算机病毒传播的主要途径之一，主要原因在于 u 盘 本身不会防毒，病毒很容易就会感染 u 盘，而当 u 盘插入电脑时还会自动播放， 病毒就会即刻被自动运行。加之大部分电脑用户都通过 u 盘进行数据互换，u 盘的广泛应用也为病毒的传播提供了温床，由于众多电脑用户使用 u 盘都没有 先进行病

56、毒扫描的习惯，病毒开始瞄准了这一空档藏身其中，而病毒写入 u 盘 时悄无声息，悄悄潜伏，危害更大，因此利用 u 盘传播病毒具有极高的感染率。 企业网络安全病毒防范体系建立研究与实现 第二章 公司环境分析 17 利用网络传播病毒：通过网络传播计算机病毒，其破坏性大大高于单机系 统，而且用户很难防范。从根本上完全杜绝和预防计算机病毒的产生和发展是 不可能的。目前面临的计算机病毒的攻击事件不但没有减少,而且日益增多,并 且,病毒的种类越来越多,破坏方式日趋多样化.每出现一种新病毒,就要有一些 用户成为病毒的受害者.面对此种形势,不能坐以待毙,而是要寻找一种解决方案,力 争将计算机病毒的危害性降至最低

57、。 一般来说，计算机网络的基本构成包括网络服务器和网络节点站。计算机 病毒一般首先通过各种途径进入到有盘工作站，也就进入网络，然后开始在网 上的传播。具体地说，其传播方式有以下几种。 （1）病毒直接从工作站拷贝到服务器中或通过邮件在网内传播； （2）病毒先传染工作站，在工作站内存驻留，等运行网络盘内程序时再传 染给服务器； （3）病毒先传染工作站，在工作站内存驻留，在病毒运行时直接通过映像 路径传染到服务器中； （4）如果远程工作站被病毒侵入，病毒也可以通过数据交换进入网络服务 器中。 一旦病毒进入文件服务器，就可通过它迅速传染到整个网络的每一个计算 机上。 由以上病毒在网络上的传播方式可见，

58、在网络环境下，网络病毒除了具有 可传播性、可执行性、破坏性等计算机病毒的共性外，还具有一些新的特点。 （1）感染速度快 在单机环境下，病毒只能通过介质从一台计算机带到另一台，而在网络中 则可以通过网络通讯机制进行迅速扩散。根据测定，在网络正常工作情况下， 只要有一台工作站有病毒，就可在几十分钟内将网上的数百台计算机全部感染。 （2）扩散面广 由于病毒在网络中扩散非常快，扩散范围很大，不但能迅速传染局域网内 所有计算机，还能通过远程工作站将病毒在一瞬间传播到千里之外。 （3）传播的形式复杂多样 计算机病毒在网络上一般是通过工作站到服务器到工作站的途径进 行传播的，但现在病毒技术进步了不少，传播的

59、形式复杂多样。 （4）难于彻底清除 单机上的计算机病毒有时可以通过带毒文件来解决。低级格式化硬盘等措 企业网络安全病毒防范体系建立研究与实现 第二章 公司环境分析 18 施能将病毒彻底清除。 而网络中只要有一台工作站未能清除干净，就可使整个网络重新被病毒感 染，甚至刚刚完成杀毒工作的一台工作站，就有可能被网上另一台带毒工作站 所感染。因此，仅对工作站进行杀毒，并不能解决病毒对网络的危害。 （5）破坏性大 网络病毒将直接影响网络的工作，轻则降低速度，影响工作效率，重则使 网络崩溃，破坏服务器信息，使多年工作毁于一旦。 （6）可激发性 网络病毒激发的条件多样化，可以是内部时钟、系统的日期和用户名，

60、也 可以是网络的一次通信等。一个病毒程序可以按照病毒设计者的要求，在某个 工作站上激发并发出攻击。 （7）潜在性 网络一旦感染了病毒，即使病毒已被清除，其潜在的危险性也是巨大的。 根据统计，病毒在网络上被清除后，85的网络在30天内会被再次感染。 例如尼姆达病毒，会搜索本地网络的文件共享，无论是文件服务器还是终 端客户机，一旦找到，便安装一个隐藏文件，名为riched20.dll到每一个包含 doc和eml文件的目录中，当用户通过word、写字板、outlook打开doc和 eml文档时，这些应用程序将执行riched20.dll文件，从而使机器被感染，同 时该病毒还可以感染远程服务器被启动的