计算机系统的加固

1、第一部分：windows xp/2003安全加固2一、系统的安全加固：22组策略配置:23.本地安全策略设置:34本地账户策略：45. 修改注册表配置：45.1 通过更改注册表45.2 修改数据包的生存时间(ttl)值45.3 防止syn洪水攻击45.4禁止响应icmp路由通告报文55.5防止icmp重定向报文的攻击55.6不支持igmp协议55.7修改3389默认端口:55.8 设置arp缓存老化时间设置55.9禁止死网关监测技术55.10 不支持路由功能66. 禁用服务67解除NetBios与TCP/IP协议的绑定68. 使用tcp/ip筛选79禁止WebDAV7二、iis 加固方案：71

2、. 仅安装必要的 iis 组件（禁用不需要的如ftp 和 smtp 服务）72. 仅启用必要的服务和 web service 扩展，推荐配置7三、sql服务器安全加固12第二部分：杀毒软件选型14一、杀毒软件选型14二、六款网络版杀毒软件与最终选型结15三、三种杀毒软件的功能特点1631瑞星全功能安全软件2010三大亮点细看16第三部分：入侵检测系统选型27一、为什么需要入侵检测系统27二、 如何评价入侵检测系统28三、中小企业入侵检测系统选中小企业入侵检测系统选型29五、部署Strata guard入侵检测防御系统31第四部分：数据备份42一、数据备份概述42二、目前数据备份主要方式42三、

3、备份数据的重要性43四、GOEST系统备份方法45第一部分：windows xp/2003安全加固我们通过一下几个方面对系统进行安全加固：1 系统的安全加固：我们通过配置目录权限，系统安全策略，协议栈加强，系统服务和访问控制加固您的系统，整体提高服务器的安全性。2 IIS手工加固：手工加固iis可以有效的提高iweb站点的安全性，合理分配用户权限，配置相应的安全策略，有效的防止iis用户溢出提权。3 系统应用程序加固：提供应用程序的安全性，例如sql的安全配置以及服务器应用软件的安全加固。一、系统的安全加固：1目录权限的配置：1.1 除系统所在分区之外的所有分区都赋予Administrator

4、s和SYSTEM有完全控制权，之后再对其下的子目录作单独的目录权限，如果WEB站点目录，你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限，如果想使网站更加坚固，可以分配只读权限并对特殊的目录作可写权限。1.2 系统所在分区下的根目录都要设置为不继承父权限，之后为该分区只赋予Administrators和SYSTEM有完全控制权。1.3 因为服务器只有管理员有本地登录权限，所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权，其下的子目录同样。另外还有一个隐藏目录也需要同样操作。因为如果你安装有PCAnyW

5、here那么他的的配置信息都保存在其下，使用webshell或FSO可以轻松的调取这个配置文件。1.4 配置Program files目录，为Common Files目录之外的所有目录赋予Administrators和SYSTEM有完全控制权。1.5 配置Windows目录，其实这一块主要是根据自身的情况如果使用默认的安全设置也是可行的，不过还是应该进入SYSTEM32目录下，将 cmd.exe、ftp.exe、net.exe、scrrun.dll、shell.dll这些杀手锏程序赋予匿名帐号拒绝访问。16审核MetBase.bin，C:WINNTsystem32inetsrv目录只有admi

6、nistrator只允许Administrator用户读写。2组策略配置:在用户权利指派下，从通过网络访问此计算机中删除Power Users和Backup Operators；启用不允许匿名访问SAM帐号和共享；启用不允许为网络验证存储凭据或Passport；从文件共享中删除允许匿名登录的DFS$和COMCFG；启用交互登录：不显示上次的用户名；启用在下一次密码变更时不存储LANMAN哈希值；禁止IIS匿名用户在本地登录；3.本地安全策略设置:开始菜单管理工具本地安全策略A、本地策略审核策略审核策略更改成功失败审核登录事件成功失败审核对象访问失败审核过程跟踪无审核审核目录服务访问失败审核特权

7、使用失败审核系统事件成功失败审核账户登录事件成功失败审核账户管理成功失败注：在设置审核登陆事件时选择记失败，这样在事件查看器里的安全日志就会记录登陆失败的信息。B、本地策略用户权限分配关闭系统：只有Administrators组、其它全部删除。通过终端服务拒绝登陆：加入Guests、User组通过终端服务允许登陆：只加入Administrators组，其他全部删除C、本地策略安全选项交互式登陆：不显示上次的用户名启用网络访问：不允许SAM帐户和共享的匿名枚举启用网络访问：不允许为网络身份验证储存凭证启用网络访问：可匿名访问的共享全部删除网络访问：可匿名访问的命全部删除网络访问：可远程访问的注册

8、表路径全部删除网络访问：可远程访问的注册表路径和子路径全部删除帐户：重命名来宾帐户重命名一个帐户帐户：重命名系统管理员帐户重命名一个帐户4本地账户策略： 在账户策略-密码策略中设定：密码复杂性要求启用密码长度最小值 6位强制密码历史 5次最长存留期 30天在账户策略-账户锁定策略中设定：账户锁定 3次错误登录锁定时间 20分钟复位锁定计数 20分钟5. 修改注册表配置： 5.1 通过更改注册表local_machinesystemcurrentcontrolsetcontrollsa-restrictanonymous = 1来禁止139空连接5.2 修改数据包的生存时间(ttl)值hkey_

9、local_machinesystemcurrentcontrolsetservicestcpipparametersdefaultttl reg_dword 0-0xff(0-255 十进制,默认值128)5.3 防止syn洪水攻击hkey_local_machinesystemcurrentcontrolsetservicestcpipparameterssynattackprotect reg_dword 0x2(默认值为0x0)5.4禁止响应icmp路由通告报文hkey_local_machinesystemcurrentcontrolsetservicestcpipparameter

10、sinterfacesinterfaceperformrouterdiscovery reg_dword 0x0(默认值为0x2)5.5防止icmp重定向报文的攻击hkey_local_machinesystemcurrentcontrolsetservicestcpipparametersenableicmpredirects reg_dword 0x0(默认值为0x1)5.6不支持igmp协议hkey_local_machinesystemcurrentcontrolsetservicestcpipparameters5.7修改3389默认端口:运行 Regedt32 并转到此项：HKEY

11、_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp, 找到“PortNumber”子项，您会看到值 00000D3D，它是 3389 的十六进制表示形式。使用十六进制数值修改此端口号，并保存新值。5.8 设置arp缓存老化时间设置hkey_local_machinesystemcurrentcontrolsetservices:tcpipparametersarpcachelife reg_dword 0-0xffffffff(秒数,默认值为120秒)arpcacheminreference

12、dlife reg_dword 0-0xffffffff(秒数,默认值为600)5.9禁止死网关监测技术hkey_local_machinesystemcurrentcontrolsetservices:tcpipparametersenabledeadgwdetect reg_dword 0x0(默认值为ox1)5.10 不支持路由功能 hkey_local_machinesystemcurrentcontrolsetservices:tcpipparametersipenablerouter reg_dword 0x0(默认值为0x0)6. 禁用服务Application Experien

13、ce Lookup ServiceAutomatic UpdatesBITSComputer BrowserDHCP ClientError Reporting ServiceHelp and SupportNetwork Location AwarenessPrint SpoolerRemote RegistrySecondary LogonServerSmartcardTCP/IP NetBIOS HelperWorkstationWindows AudioWindows TimeWireless Configuration7解除NetBios与TCP/IP协议的绑定控制面版网络绑定Net

14、Bios接口禁用 2000：控制面版网络和拨号连接本地网络属性TCP/IP属性高级WINS禁用TCP/IP上的NETBIOS8. 使用tcp/ip筛选在网络连接的协议里启用TCP/IP筛选，仅开放必要的端口（如80）9禁止WebDAV在注册表：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW3SVCParameters加以下注册表值：数值名称：DisableWebDAV数据类型：DWORD数值数据：1二、iis 加固方案： 1. 仅安装必要的 iis 组件（禁用不需要的如ftp 和 smtp 服务）2. 仅启用必要的服务和 web servi

15、ce 扩展，推荐配置ui 中的组件名称设置设置逻辑后台智能传输服务 (bits) 服务器扩展启用bits 是 windows updates 和自动更新所使用的后台文件传输机制。如果使用 windows updates 或自动更新在 iis 服务器中自动应用 service pack 和热修补程序，则必须有该组件。公用文件启用iis 需要这些文件，一定要在 iis 服务器中启用它们。文件传输协议 (ftp) 服务禁用允许 iis 服务器提供 ftp 服务。专用 iis 服务器不需要该服务。frontpage 2002 server extensions禁用为管理和发布 web 站点提供 fro

16、ntpage 支持。如果没有使用 frontpage 扩展的 web 站点，请在专用 iis 服务器中禁用该组件。internet 信息服务管理器启用iis 的管理界面。internet 打印禁用提供基于 web 的打印机管理，允许通过 http 共享打印机。专用 iis 服务器不需要该组件。nntp 服务禁用在 internet 中分发、查询、检索和投递 usenet 新闻文章。专用 iis 服务器不需要该组件。smtp 服务禁用支持传输电子邮件。专用 iis 服务器不需要该组件。万维网服务启用为客户端提供 web 服务、静态和动态内容。专用 iis 服务器需要该组件。万维网服务子组件ui

17、中的组件名称安装选项设置逻辑active server page启用提供 asp 支持。如果 iis 服务器中的 web 站点和应用程序都不使用 asp，请禁用该组件；或使用 web 服务扩展禁用它。internet 数据连接器禁用通过扩展名为 .idc 的文件提供动态内容支持。如果 iis 服务器中的 web 站点和应用程序都不包括 .idc 扩展文件，请禁用该组件；或使用 web 服务扩展禁用它。远程管理 (html)禁用提供管理 iis 的 html 界面。改用 iis 管理器可使管理更容易，并减少了 iis 服务器的攻击面。专用 iis 服务器不需要该功能。远程桌面 web 连接禁用包

18、括了管理终端服务客户端连接的 microsoft activex? 控件和范例页面。改用 iis 管理器可使管理更容易，并减少了 iis 服务器的攻击面。专用 iis 服务器不需要该组件。服务器端包括禁用提供 .shtm、.shtml 和 .stm 文件的支持。如果在 iis 服务器中运行的 web 站点和应用程序都不使用上述扩展的包括文件，请禁用该组件。webdav禁用webdav 扩展了 http/1.1 协议，允许客户端发布、锁定和管理 web 中的资源。专用 iis 服务器禁用该组件；或使用 web 服务扩展禁用该组件。万维网服务启用为客户端提供 web 服务、静态和动态内容。专用 i

19、is 服务器需要该组件3. 将iis目录&数据与系统磁盘分开，保存在专用磁盘空间内。4. 在iis管理器中删除必须之外的任何没有用到的映射（保留asp等必要映射即可）5. 在iis中将http404 object not found出错页面通过url重定向到一个定制htm文件6. web站点权限设定（建议）web 站点权限：授予的权限：读 允许写 不允许脚本源访问 不允许目录浏览 建议关闭日志访问 建议关闭索引资源 建议关闭执行 推荐选择 仅限于脚本7. 建议使用w3c扩充日志文件格式，每天记录客户ip地址，用户名，服务器端口，方法，uri字根，http状态，用户代理，而且每天均要审查日志。（

20、最好不要使用缺省的目录，建议更换一个记日志的路径，同时设置日志的访问权限，只允许管理员和system为full control）。 8. 程序安全:1) 涉及用户名与口令的程序最好封装在服务器端，尽量少的在asp文件里出现，涉及到与数据库连接地用户名与口令应给予最小的权限; 2) 需要经过验证的asp页面，可跟踪上一个页面的文件名，只有从上一页面转进来的会话才能读取这个页面。 3)防止asp主页.inc文件泄露问题;4) 防止ue等编辑器生成some.asp.bak文件泄露问题。安全更新应用所需的所有 service pack 和定期手动更新补丁。安装和配置防病毒保护推荐nav 8.1以上版本

21、病毒防火墙（配置为至少每周自动升级一次）。安装和配置防火墙保护推荐最新版blackice server protection防火墙（配置简单，比较实用）监视解决方案根据要求安装和配置 mom代理或类似的监视解决方案。加强数据备份web数据定时做备份，保证在出现问题后可以恢复到最近的状态。9. 删除不必要的应用程序映射ISS中默认存在很多种应用程序映射，除了ASP的这个程序映射，其他的文件在网站上都很少用到。在“Internet 服务管理器”中，右击网站目录，选择“属性”，在网站目录属性对话框的“主目录”页面中，点击配置按钮，弹出“应用程序配置”对话框，在“应用程序映射”页面，删除无用的程序映射

22、。如果需要这一类文件时，必须安装最新的系统修补补丁，并且选中相应的程序映射，再点击编辑按钮，在“添加/编辑应用程序扩展名映射”对话框中勾选“检查文件是否存在”选项。这样当客户请求这类文件时，IIS会先检查文件是否存在，文件存在后才会去调用程序映射中定义的动态链接库来解析。保护日志安全日志是系统安全策略的一个重要环节，确保日志的安全能有效提高系统整体安全性。修改IIS日志的存放路径默认情况下，IIS的日志存放在%WinDir%/System32/LogFiles，黑客当然非常清楚，所以最好修改一下其存放路径。在 “Internet服务管理器”中，右击网站目录，选择“属性”，在网站目录属性对话框的

23、“Web站点”页面中，在选中“启用日志记录”的情况下，点击旁边的属性按钮，在“常规属性”页面，点击浏览按钮或者直接在输入框中输入日志存放路径即可。三、sql服务器安全加固安装最新的mdac（1. 密码策略由于sql server不能更改sa用户名称，也不能删除这个超级用户，所以，我们必须对这个帐号进行最强的保护，当然，包括使用一个非常强壮的密码，最好不要在数据库应用中使用sa帐号。新建立一个拥有与sa一样权限的超级用户来管理数据库。同时养成定期修改密码的好习惯。数据库管理员应该定期查看是否有不符合密码要求的帐号。比如使用下面的sql语句：use masterselect name,passwo

24、rd from syslogins where password is null2. 数据库日志的记录核数据库登录事件的失败和成功，在实例属性中选择安全性，将其中的审核级别选定为全部，这样在数据库系统和操作系统日志里面，就详细记录了所有帐号的登录事件。3. 管理扩展存储过程xp_cmdshell是进入操作系统的最佳捷径，是数据库留给操作系统的一个大后门。请把它去掉。使用这个sql语句：use mastersp_dropextendedproc xp_cmdshell注：如果你需要这个存储过程，请用这个语句也可以恢复过来。sp_addextendedproc xp_cmdshell, xpsql

25、70.dllole自动存储过程（会造成管理器中的某些特征不能使用），这些过程包括如下（不需要可以全部去掉：sp_oacreate sp_oadestroy sp_oageterrorinfo sp_oagetpropertysp_oamethod sp_oasetproperty sp_oastop去掉不需要的注册表访问的存储过程，注册表存储过程甚至能够读出操作系统管理员的密码来，如下：xp_regaddmultistring xp_regdeletekey xp_regdeletevalue xp_regenumvaluesxp_regread xp_regremovemultistring

26、 xp_regwrite4. 防tcp/ip端口探测在实例属性中选择tcp/ip协议的属性。选择隐藏 sql server 实例。请在上一步配置的基础上，更改原默认的1433端口。在ipsec过滤拒绝掉1434端口的udp通讯，可以尽可能地隐藏你的sql server。对网络连接进行ip限制使用操作系统自己的ipsec可以实现ip数据包的安全性。请对ip连接进行限制，保证只有自己的ip能够访问，拒绝其他ip进行的端口连接。通过以上的配置，禁止了服务器开放不必要的端口，防止服务被植入后门程序，通过配置目录权限可以防止入侵者拿到welshell后提权，加强了服务器的安全性，避免了对服务器的攻击和加

27、强了TCP协议栈。通过iis的配置提高了iis的安全性和稳定性。修改了sql server的默认端口，可以防止恶意用户对服务器进行扫描尝试暴力破解sa账户提供数据库的安全性。对服务器实现了整体的安全加固。第二部分：杀毒软件选型一、杀毒软件选型选择何种杀毒软件,是一个企业网众多网管普遍关心的问题，尽管企业单位的信息化发展不同，用户数目不同，不过对于杀毒软件的选择，也是有规律可循的。我认为，我们需要从技术支撑、性能、服务等多方面综合考虑进行选择。第一，看技术支撑。对于技术力量相对薄弱的企业网来说，可选易安装，易管理的产品。目的就是让使用者不需花费太多时间和心思就能轻松管理杀毒软件。在策略的制定方面

28、，期待产品能给管理者提供一个标准的模板,在此基础上按照自己的需求进行调整，而不需要管理员自己一步一步地去建立。对技术力量比较雄厚的企业网来说，在选择杀毒软件的时候，可以尽可能地考虑后期如何把杀毒软件整合到企业网的整体安全体系中等因素。在管理方面，应当根据自己的需求主动建立安全策略。第二，看性能。选择一款合适的杀毒软件，要看其性能。现在的杀毒软件一般都是从病毒样本中提取特征码,然后添加到病毒代码库中，从本质上来说没有区别。因此评价一款杀毒软件是否适合本校,还需要从监控系统、主动防御、系统以及软件安全漏洞修复、产品自我保护强度、扫描速度、反病毒功能以及资源占用情况等性能进行考虑（可参照第三，看服务

29、。服务是防病毒软件的生命。对防病毒软件来说，买产品相当于是买服务。病毒代码库是否能及时更新、是否可进行现场支持等因素也非常重要。在此方面，一些厂商以很低的价格把产品推广到企业网，但是在后续的服务方面却跟不上，所以学校在与厂商谈判的时候，一定要在服务方面给予充分关注。第四，易部署。在产品的安装部署上，应当相对比较简单。策略的制定要相对简单，分发要及时有效。让管理员不必再花大量时间做一些无用功。在选型的同时，还要考虑其他因素，比如学校自身优势。当然这个因素只能针对部分的学校，而不是针对所有的学校。比如为杀毒厂商提供企业内发现的病毒样本。这也是一个很重要的选型筹码，毕竟现在的杀毒软件还是依靠病毒的特

30、征码来判断病毒的。此外，尽可能让厂商提供测试，正所谓真金不怕火炼。在测试的时候，要考虑到用户所能使用到的操作系统版本（包括语言以及server pack），还要考虑到病毒服务器的承载能力，使在正式投入使用后不会因用户量过多而导致服务器崩溃。务必强调的是，选购杀毒产品之前，企业单位需要进行一些前期的准备工作。比如调查用户的需求、喜好。只有明确数量，才能在选购产品时有的放矢，最大程度地利用好有限的资金。同时，还要考虑企业网的硬件环境，如果网内设备的性能不是很好，那么对于那些占用系统资源大的产品就可以暂时不考虑了。只有合理地利用好自身的资源，明确自身的需求，才能真正选择出一款适合本校的产品。二、六款

31、网络版杀毒软件与最终选型结为了选择适合公司具体情况（价格低、功能强8-)）的杀毒软件，对国内外六款网络版杀毒软件进行了安装试用。国外：Symantec、卡巴斯基国内：瑞星、KV国内代理：趋势、朝华安博士网络需求：1系统中心至少1服务器300客户端（所有的网络版杀毒软件所指的“服务器”都指操作系统而言，不是单位同事所理解的管理整个网络版杀毒软件的“服务器”）杀毒能力只能依据互联网的评测资料得出以下结论。卡巴斯基 Symantec 趋势 KV 瑞星 朝华三、三种杀毒软件的功能特点31瑞星全功能安全软件2010三大亮点细看瑞星全功能安全软件2010是一款基于瑞星“云安全”系统设计的新一代杀毒软件。其

32、“整体防御系统”可将所有互联网威胁拦截在用户电脑以外，深度应用“云安全”的全新木马引擎、“木马行为分析”和“启发式扫描”等技术保证将病毒彻底拦截和查杀。再结合“云安全”系统的自动分析处理病毒流程，能第一时间极速将未知病毒的解决方案实时提供给用户。并且瑞星2010能够完美兼容于即将上市的Windows 7操作系统，带给用户不一样的使用体验。瑞星介绍其“云安全”是专门针对中国网络环境设计的新一代互联网化安全技术，在通过一年时间的运行证明，由1.5亿中国用户铸就的“云安全”系统，其全面拦截功能领先全球！具有全面拦截、彻底查杀以及极速响应等亮点功能的瑞星全功能安全软件2010已经正式上市，下面就来逐一

33、看看这些突出点是如何发挥其强大性能的。 1、全面拦截 瑞星全功能安全软件2010版，依据整体防御系统，将来自互联网（Web）、U盘、文件（文件型或Word文档）等危险拦截在用户电脑之外，不再让用户的电脑成为病毒生存的毒窝。也就是说，用户使用瑞星2010全功能安全软件后，电脑感染病毒的机会将大大减小，用户的电脑将更加干净。首先瑞星2010采用了业界最强的“木马入侵拦截（防挂马）”功能，将病毒传播最主要的方式斩断。根据瑞星“云安全”系统数据分析，目前互联网上90%以上的病毒是通过挂马网站方式传播的。所谓挂马网站就是黑客入侵正常的网站，在网页代码中植入恶意代码，当用户访问这些网页时，就会执行恶意代码

34、，从而自动下载大量最新木马病毒到电脑中，导致系统被破坏，账号密码等关键信息被盗。 据瑞星介绍，“木马入侵拦截”功能是基于网页木马行为分析的技术，通过检测网页中的恶意程序和恶意代码，可以有效地拦截网页恶意脚本或病毒，阻止病毒通过挂马网站进行传播。此功能是支持瑞星“云安全”计划的主要技术之一。 通过对恶意网页行为的监控，阻止木马病毒通过网站入侵用户电脑，将木马病毒威胁拦截在电脑之外。木马入侵拦截突破了原来网页脚本扫描只能通过特征进行查杀的技术壁垒。解决了原网页脚本监控无法对加密变形的病毒脚本进行处理的问题。由于采用的是行为分析技术，所以面对今年频频曝出的0day漏洞攻击面前，瑞星用户能够不用升级就

35、可以将最新挂马网站攻击拦截。 经过瑞星“云安全”系统的统计，自2008年7月至2009年7月这1年的时间，瑞星全功能安全软件共为用户拦截挂马网站攻击20亿次，截获的挂马网站有2004.9万个。如此巨大的成果足以证明“木马入侵拦截”功能的强大有效性。另外，瑞星2010 提供了独家“应用程序加固”功能，保护Word、IE等程序被各种漏洞攻击。当前，互联网上最流行的病毒感染方式是挂马，这部分的攻击通过防挂马基本可以拦截。另外一类就是利用应用程序本身的漏洞进行攻击，例如利用Office的漏洞，当运行恶意的word文档时会自动释放病毒进行盗窃行为。作为瑞星整体防御系统的一部分，瑞星全功能安全软件2010

36、推出了强大的“应用程序加固”功能。 应用程序加固是瑞星2010版的一个新功能，在第一次安装的时候，会扫描出用户计算机系统内有哪些程序需要加固。当一个应用程序启动后，就会自动检测该程序的任何不正常行为（例如：word.exe 不会去执行一个启动rundll.exe的操作），如果发现有这个不正常行为瑞星就会立即阻止。 这对于一些存在大量文档类工作的人群是非常有帮助的，比如一些国家政府机关，网络是内外分开的，平时通过外网感染病毒的几率较小。但有大量的文档操作，如果运行的word文档被黑客恶意修改后，就能通过word盗取或破坏重要信息。应用程序加固功能是针对一些被病毒经常利用，作为入侵途径的应用程序，

37、通过监控它们的操作行为，确定是否存在恶意代码利用它们的防御脆弱点进行入侵，并阻止正在进行的入侵行为从而达到病毒防御的目的。瑞星2010中提供的“木马入侵拦截”和“应用程序加固”功能联合使用几乎可以将所有挂马网站和未知漏洞攻击有效拦截。如果有最新病毒通过其他任何方式感染用户电脑，那么瑞星2010将借助整体防御系统底层的利器木马行为防御，将其彻底删除。 瑞星2010版中的“木马行为防御”功能采用的是“动态行为启发式检测技术”，所谓动态，就是当未知木马病毒运行后，在其进行破坏行为时（如病毒正在，替换系统文件、写启动项、记录键盘信息等）进行动态拦截并清除未知病毒。瑞星2010版“动态行为启发检测技术”

38、，不仅丰富了程序行为的定义，同时也结合静态启发检测技术提高恶意程序判别的准确率。另外，瑞星2010 还特别针对系统的薄弱环节进行加固，防止系统被病毒破坏。系统加固对系统动作、注册表、关键进程和系统文件进行监控，从而防止恶意程序对操作系统进行修改系统进程，操作注册表，破坏关键进程和系统文件等危险行为。例如：“修改系统日期及时间”、“关闭电脑”、“使用摄像头”、“安装驱动”和“底层磁盘访问”等常见恶意行为的监控。 2、彻底查杀 这一特点就非常容易说明了，当然在用户电脑中如果发现任何病毒木马时，绝不能手下留情，统统杀干净才算完成其使命。瑞星2010版最新加入了全新木马引擎，对于目前互联网上变化无穷的

39、木马病毒，“新木马引擎”可以快速彻底地将木马查杀。据瑞星安全专家现场演示查杀病毒的速度比2009版提高40-60%。并且安全专家还介绍随着技术的进一步优化，查杀速度将得到进一步提升，越来越快并不是梦。 另外，瑞星2010版还拥有“启发式扫描”，这就是针对目前网上最活跃的流行木马病毒所设计，有了该功能的帮助瑞星发现未知病毒的能力将比以往版本更加强大，同时结合瑞星“云安全”系统的巨大病毒样本库，就能更加精准的判断未知病毒，比其他单一使用一种技术的杀毒软件精准度提高数倍。3、极速响应 提到这一亮点更是离不开瑞星强大的“云安全”系统，经过一年多的正式运行，该系统已经实现了用户上传可疑程序样本，挂马网站

40、过滤，分析处理、验证并升级一整套处理流程的自动化能力，云安全系统能够快速响应用户任何时候遇见的问题，据瑞星统计，在2010版公测期间，其最快的响应速度是用户上报文件后，五分钟为用户解决问题。一旦你在使用中遇见任何瑞星杀毒软件无法处理的问题时，不妨一试上传云安全系统看看能不能为自己及时提供解决方案。 瑞星全功能安全软件2010还对软件进行了大量优化，遇见问题尽量采用自动化处理方式，大大减少用户手动操作的几率，使用更为简单。安装瑞星全功能安全软件2010的同时，还会同时带来瑞星基于智能主动防御技术的账号保险柜，不仅可以主动保护数百种网游、流行软件、炒股和网银软件等，而且允许用户自定义添加软件的保护

41、，简单实用。最后想要保护用户肯定要先懂得如何自保，瑞星全功能安全软件2010特别强化了这一点，不仅采用分级功能保护，而且对于冰刃一类的驱动级安全工具，也可以有效自我保护，使病毒无法关闭或破坏杀毒软件，时刻站在网络防御的第一线为用户上网保驾护航。因为想要试用于是今天下载了一个最新版瑞星全功能安全软件2010，惊喜发现居然可以免费使用半年，喜欢瑞星的朋友们马上动手吧！ 32江民杀毒软件KV2010 江民杀毒软件KV2010系江民反病毒资深研发团队历时一年之久，悉心打造的一款新型全功能杀毒软件。采用全新动态启发式杀毒引擎，融入指纹加速功能，杀毒功能更强、速度更快。KV2010也是国内首家完美兼容微软

42、WINDOWS7操作系统的2010版杀毒软件。KV2010颠覆了传统的防杀毒模式，在智能主动防御、“沙盒技术”、内核级自我保护、虚拟机脱壳、云安全防毒系统、启发式扫描等领先的核心杀毒技术基础上，创新“前置威胁预控”安全模式，在防杀病毒前预先对系统进行全方位安全检测和防护，检测三大类29项可能存在的安全潜在威胁，提供安全加固和解决方案。功能亮点:1、 全新引擎，动态启发式杀毒，指纹加速，杀毒更快、更强 KV2010采用全新动态启发式引擎，采用动态启发和静态启发相结合的方式扫描未知病毒，提高了对未知病毒的启发识别能力；扫描时采用了指纹加速技术，在首次扫描后的正常文件中加入指纹识别功能，下次再扫描时

43、忽略不扫，大大加快了扫描速度和效率。2、29项安全防护，封堵所有病毒入侵通道，病毒无隙可入 新增“江民安全专家”，在防杀病毒前预先对系统进行全方位安全检测和防护，检测三大类29项可能存在的安全潜在威胁，提供安全加固和解决方案。 1)、病毒入侵的防御能力 分析所有的病毒入口，检测这些入口是否有相应的安全防护并提供加固方案，这些病毒入口分别为：网页、邮件、移动U盘、网络下载、WINDOWS和第三方软件漏洞、网络共享、蓝牙等十余种病毒入侵通道。 2)、病毒入侵的抵卸能力 分析病毒入侵后，系统是否具有相应的抵卸能力：当病毒向外发送重要系统信息时，系统是否开启主动防御和隐私保护功能并提供解决方案；当病毒

44、试图永久驻留硬盘时，系统是否开启文件监视功能；病毒入侵后试图偷取银行、网游帐号密码时，是否具有密码保护功能并提供解决方案；当病毒试图在线好友发送带毒网址时，是否开启即时通讯监视功能；检测是否具有僵尸网络程序的防护功能，防止黑客抓取“肉鸡”；反病毒隐身术，是否具有对Rootkit病毒的检测和防护功能，并提供解决方案；对具有反杀毒软件能力的病毒的防护，检测是否开启杀毒软件的自我保护功能，并提供加固或解决方案。 3)、检测系统本地安全指数。检测病毒库更新情况，最后一次杀毒的时间，系统需要修复的项；流行木马扫描、未知病毒扫描，并提供加固或解决方案。3、24小时监控网页挂马，恶意网址动态入库，网络畅游无

45、忧 江民恶意网页监控系统24小时不间断监控全国网页挂马情况，提取被挂马的恶意网址，并动态加入到杀毒软件恶意网址库，及时有效屏蔽恶意网址，这样，即使用户不小心点击到恶意网页，也可以有效阻挡病毒于系统之外。4、增强智能主动防御沙盒模式，增强虚拟机脱壳，未知病毒克星 采用沙盒模式的智能主动防御，能够接管未知病毒的所有可疑动作，在确认为系病毒行为后执行回滚操作，彻底消除病毒留下的所有痕迹。增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描。5、全新三层防火墙，从应用层、协议层、内核层三层防范黑客攻击 全新江民三层防火墙，实时监控网络数据流，创新三层规则防范黑客，将传

46、统防火墙从应用层、协议层两层黑客防范，扩展至系统内核层三层防范。应用层防黑客利用系统、第三方软件漏洞远程攻击，协议层防范基于各种网络协议的异常数据攻击（如DDOS），预先设置上百种安全规则，避免各种来自网络的异常扫描、嗅探、入侵、开启后门，网络包捕获监视和处理端口异常数据包，确保网络畅通。 内核层监视并防范异常恶意驱动程序调用API，发现有异常行为即报警并阻断动作，避免黑客利用底层驱动绕开防火墙的阻拦，入侵或远程控制目标电脑。6、增强云安全防毒系统，海量可疑文件数据处理中心，搜集病毒样本更多，升级速度更快能够监测并捕获更多的可疑文件或病毒样本，江民病毒自动分析系统自动分析可疑文件并自动入库，数

47、据处理能力更强大，病毒库更新速度更快。7、增强网页防马墙功能，动态更新网页挂马规则库 基于木马行为规则的江民网页防马墙，能够监控和阻断更多的未知恶意网页和木马入侵，网页挂马规则库动态更新，与恶意网址库构成对恶意网页的双重安全保障，确保用户安全浏览网页。8、增强系统漏洞管理功能，自动扫描、修复系统漏洞，新增第三方软件漏洞扫描、自动修复功能。 系统漏洞管理功能能够自动扫描、修复微软操作系统以及OFFICE漏洞，新增第三方软件漏洞扫描和自动修复，可以自动修复Flash、RealPlayer、Adobe PDF等黑客常用的第三方软件漏洞，避免病毒通过漏洞入侵电脑。9、江民新电脑保护系统，系统灾难一键恢

48、复，恢复系统到正常状态 江民新电脑保护系统，在系统遇到病毒、误操作等灾难事件导致系统崩溃时，可以一键恢复系统至事故前正常状态，为用户电脑安全设下最后一道安全屏障。10、病毒扫描、查杀速度更快为了大幅提升扫描速度，KV2010创新了四大扫描加速技术，指纹加速扫描，超线程扫描技术，创新哈希（Hash）定位技术，精准判定病毒位置，新增流行木马“秒杀”技术，迅速清除流行木马及其变种（内置于江民安全专家内）。11、占用系统资源更少、防杀病毒效率更高KV2010采用四大技术，减少系统资源占用，在确保杀毒和防御效果的前提下，给用户最好的使用体验。创新病毒库动态加载技术，智能读取病毒库，减少资源占用；杀毒模块

49、智能连接技术，减少中间环节，降低资源占用；采用智能内存分配技术，充分提高内存使用效率，自动平衡占用，消除系统各种“卡”“滞”现象。3.3 360杀毒产品功能简介7月17日，奇虎360正式发布360杀毒，并同时宣布360杀毒永远对用户免费。360杀毒将作为360安全卫士v5.0版本的一个全新功能模块推出。目前360安全卫士v5.0beta版已发布，大家可以去抢鲜体验一下360最新的杀毒功能。下载地址：360杀毒产品特点1、 功能强大的反病毒引擎以及实时保护技术强大的反病毒引擎，通过Virus Bulletin等全球多家权威检测机构认证依托360安全卫士庞大的用户群和恶意软件采集体系，具有全面的病

50、毒特征库和极高的病毒检测率采用虚拟环境启发式分析技术发现和阻止未知病毒实时监控并阻止潜在的病毒及后门程序威胁实时扫描和过滤邮件中的病毒2、 快速升级和响应病毒特征库每小时级升级，确保对爆发性病毒的快速响应对感染木马强力的查杀可靠的服务器集群保证升级的速度3、 超低系统资源占用，人性化免打扰设置系统资源占用极低独特的游戏模式，畅玩游戏同时安全无忧4、全面的隐私保护和控制功能，上网冲浪无忧可以设置全面的隐私保护规则，阻止恶意软件在上网浏览及收发邮件时窃取并发送用户的隐私信息支持多种身份信息的保护，自动检测和识别HTTP请求和SMTP请求中的身份证号码、电话号码、银行卡号、Email地址等敏感个人信

51、息并予以阻止。V5.0beta功能简介:全新专业级免费杀毒功能，杀毒+杀木马双剑合璧强劲查杀数十万种病毒，与原有木马查杀功能相配合，彻底解决系统安全威胁超低资源占用，人性化游戏免打扰模式，畅玩同时安全无忧病毒特征库每小时级升级，确保对爆发性病毒的快速响应全面隐私保护和控制，阻止恶意软件窃取用户隐私，上网冲浪无忧漏洞补丁支持windowsserver2003，服务器亦可轻松修复系统漏洞新增对windowsserver2003补丁检测，服务器修复漏洞更轻松补丁即下即装，更方便快捷系统全面体检，所有安全隐患一网打尽漏洞补丁、恶评插件、流行木马全部安全隐患，只需数秒全盘检出新增自动检测设置，无需打开3

52、60安全卫士界面亦可了解系统详情第三部分：入侵检测系统选型一、为什么需要入侵检测系统随着网络的普及，网络安全事件的发生离我们越来越近，我们可能遇到如下情况：公司的网络系统被入侵了，造成服务器瘫痪，但不知道什么时候被入侵的;客户抱怨公司的网页无法正常打开，检查发现是服务器被攻击了，但不知道遭受何种方式的攻击;公司机密资料被窃，给公司造成巨大的损失，但是检查不出是谁干的;公司网络瘫痪，检查出遭受蠕虫病毒攻击，但是不知道如何清除和避免再次遭到攻击;公司网络被入侵了，安全事件调查中缺乏证据。根据调查数据显示，以上情况给网络管理员带来极大的困扰，也给企业带来了巨大的安全风险。如何及时的、准确的发现违反安

53、全策略的事件，并及时处理，是广大用户迫切需要解决的问题。1.1 防火墙的局限众多的企业、组织与政府部门都在组建和发展自己的网络，为了保证网络资源的安全，企业一般采用防火墙作为安全保障体系的第一道防线，通过访问控制，防御黑客攻击，提供静态防护。但是随着越来越多的系统本身漏洞以及应用系统的漏洞被发现，以及攻击者的入侵方式更加隐蔽，新的攻击方式层出不穷，所以单纯的依靠防火墙已经无法完全防御不断变化的入侵攻击的发生。传统的防火墙主要有以下的不足：1、防火墙作为访问控制设备，无法检测或拦截嵌入到普通流量中的恶意攻击代码，比如针对WEB服务的注入攻击等。2、防火墙无法发现内部网络中的攻击行为。由于防火墙具有以上一些缺陷，所以部署了防火墙的安全保障体系还有进一步完善的需要。1.2 入侵