信息安全管理1

1、1病毒防护病毒防护2目录目录第一章：病毒基础知识第一章：病毒基础知识第二章：计算机病毒的传播途径第二章：计算机病毒的传播途径第三章：建立有效的病毒防范管理机制第三章：建立有效的病毒防范管理机制第四章：建立有效的应急响应机制第四章：建立有效的应急响应机制第五章：防病毒技术介绍第五章：防病毒技术介绍第六章：防病毒相关服务第六章：防病毒相关服务3第一章：病毒基础知识第一章：病毒基础知识4广义定义广义定义: : 能够引起计算机故障,破坏计算数据的程序统称为计算机病毒。标准定义：标准定义： 计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指

2、令或者程序代码。 1.1 1.1 计算机病毒定义计算机病毒定义5传染性： 正常的计算机程序一般是不会将自身的代码强行连接到其它程序上，而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。 隐蔽性： 病毒通常附在正常程序中或磁盘隐蔽处，与正常程序通常是难以区分的。 1.2 1.2 计算机病毒的特性计算机病毒的特性6潜伏性：大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动其表现（破坏）模块。 破坏性：任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。 不可预见性：从对病毒的检测方面来看，病毒还有不可预见性。 71.3 1

3、.3 病毒历史及发展趋势的演变病毒历史及发展趋势的演变病毒年表病毒年表年代病毒情况198311月，第一例病毒被专家们在试验中证实 1987 引导型病毒开始在世界上传播 ，并受到重视1989 我国首次发现病毒1989可执行文件型病毒出现1992出现直接修改系统关键中断的内核的EWDIR2病毒 8年代病毒情况1994变形病毒出现1996我国发现“病毒生成机软件”1996感染Lotus AmiPro 的文件的宏病毒 (APM/GreenStripe) 出现 1997 采用JAVA、ACTIVE技术的恶意程序出现 19982月，台湾省的陈盈豪编写出了CIH-1.2版19992月，“美丽杀”病毒爆发9病

4、毒发展演变趋势图病毒发展演变趋势图10 典型的计算机病毒一般由三个功能模块组成，即：引导模块，传染模块，破坏模块。 但是，不是所有的病毒均由此结构组成，如有的SQL甚至没有病毒体（即病毒文件），只驻留于内存。 1.4 1.4 典型病毒的结构典型病毒的结构11引导模块：将病毒主体导入内存并为传染模块提供运行环境。传染模块：将病毒代码传到其它的载体上去.一般情况下传染模块分为两部分，前部是一个条件判别程序，后部才是传染程序主体。破坏模块：同传染模块一样，破坏模块也带有条件判别部分，因病毒均有潜伏期，破坏模块只在符合条件时才进行活动。 121.5 1.5 计算机病毒的分类计算机病毒的分类按照通常习惯

5、分为一下几种：A）引导型B）文件型C）脚本病毒D）儒虫病毒E）木马病毒F）逻辑炸弹13引导型病毒引导型病毒1感染目标：通过文件感染硬盘的引导区部分；2传播途径：通过软盘,光盘等介质进行传播；3典型病毒：Stone14文件型病毒文件型病毒1感染目标：通过可执行的文件感染目标系统文件；2传播途径：各种存储介质，网络共享，电子邮件；3. 典型病毒：幽灵王15脚本语言脚本语言: : 脚本语言是介于HTML和Java、C+和Visual Basic之间的语言。它的语法和规则没有可编译的编程程序那样严谨和复杂。 脚本病毒就是指在脚本语言中加入病毒代码，利用网页的等脚本载体传播的病毒。 脚本型病毒脚本型病毒

6、16宏病毒宏病毒 MicrosoftWord中对宏定义为：“宏就是能组织到一起作为一独立的命令使用的一系列Word命令，它能使日常工作变得更容易。”感染目标：通过可执行的文件感染目标系统文件；传播途径：各种存储介质，网络共享，电子邮件；17蠕虫病毒蠕虫病毒 蠕虫是指具有通过网络进行自我繁殖功能的程序，传染机理是利用网络和电子邮件进行复制和传播。这一病毒利用了微软视窗操作系统或者其他软件系统的漏洞，计算机感染这一病毒后，会不断自动上网，并利用文件中的地址信息或者网络共享进行传播和网络攻击。 18木马病毒木马病毒 特洛伊木马病毒，也叫黑客程序或后门病毒，病毒通过一套隐藏在合法程序中的命令，指示计算

7、机进行不合法的运作。换句话说就是指采用正常用户无法察觉的方法潜入到对方内部实施某种破坏（盗窃）行为。木马程序的本质就是一个远程控制软件：远程控制软件是在远方机器知道，允许的情况下，对远方机器进行远程控制的软件。 19逻辑炸弹逻辑炸弹 指被设置在合法程序中，通过事件或条件引发后，会破坏程序和数据的子程序段。 20新出现的病毒新出现的病毒 JAVA等网页病毒； 利用P2P软件传播的病毒； PDA等掌上电脑病毒； 手机病毒等。 21按其它分类方式划分按其它分类方式划分按照计算机病毒的破坏性质分类：1.良性病毒2.恶性病毒 22造成数据毁坏、丢失； 破坏系统如硬盘、主板等硬件；影响网络正常功能，甚至网

8、络瘫痪；破坏系统软件；为系统留“后门”，为黑客窃取数据提供途径； 降低计算机系统性能。1.6 1.6 计算机病毒的危害计算机病毒的危害23年份 病毒名称 感染数量损失金额（美元）2000爱虫88亿2001尼姆达8百万台60亿2001红色代码 1百万台26亿2002求职信6百万台90亿近年病毒爆发的情况及损失24 特定日期或时间触发； 感染触发； 键盘触发； 启动触发； 访问磁盘次数触发； CPU型号/主板型号触发。 1.7 1.7 计算机病毒的触发方式计算机病毒的触发方式251.8 感染计算机病毒后的现象计算机启动和运行与速度以往相比明显减慢；文件莫名其妙有丢失；在系统异常重启和出现异常错误；

9、键盘、打印、显示有异常现象；有特殊文件自动生成；26磁盘空间自动产生坏簇或磁盘空间减少;没做写操作时出现“磁盘有写保护”信息;在系统进程中出现可疑的进程；在启动项中发现可疑启动项；网络数据流出现异常或出现大量有共性的异常数据包。271.密码破解技术 应用此技术的病毒可对win2000以上的操作系统的密码进行破解。此类病毒一般会带有约几百单词数量（有时会更大的）的字典库 ，可对“弱口令”进行破解，因此需要至少六位的数字字母混合的系统口令。例：爱情后门病毒例：爱情后门病毒1.9 目前病毒新技术和新特点282. 2. 漏洞技术漏洞技术 利用操作系统和软件系统（主要是微软的软件系统）漏洞进行攻击;即发

10、送不正常的数据包，使获得的系统出现错误，从而使病毒夺取对方电脑的控制权。 例：冲击波利用例：冲击波利用rpcrpc漏洞，震荡波利用漏洞，震荡波利用LSASSLSASS漏洞漏洞 293.3.端口监听技术（原多见于木马程序）端口监听技术（原多见于木马程序）Moodown.y病毒利用自身的SMTP发信引擎来发送病毒邮件，监听82端口，等待攻击者连接，可自动下载并执行新的病毒。振荡波病毒的最新变种监听1023端口（支持USER、PASS、PORT、RETR和QUIT命令），并实现一个tftp服务器，并进行攻击。304.4.多线程扫描技术多线程扫描技术 现在常见病毒多采用此技术，此技术可加速网络病毒的传

11、播速度。 如I-Worm.Sasser.e（振荡波.e）开辟128个线程扫描网络 ，传播病毒。31主动通过网络和邮件系统传播传播速度极快 扩散面广 变种多、快网络时代病毒的新特性：32使用传统手段难于根治、容易引起多次疫情 具有病毒、蠕虫和后门（黑客）程序的多种特性病毒向能对抗反病毒软件和有特定目的的方向发展33第二章：计算机病毒的传播第二章：计算机病毒的传播2.1 2.1 计算机病毒的工作环节计算机病毒的工作环节2.2 2.2 计算机病毒的传播途径计算机病毒的传播途径2.3 2.3 有防护的内部网络中的病毒传播有防护的内部网络中的病毒传播2.4 2.4 物理隔离网络中的病毒传播物理隔离网络中

12、的病毒传播2.5 2.5 政府机关网络病毒问题的现状政府机关网络病毒问题的现状342.1 2.1 计算机病毒的工作环节计算机病毒的工作环节完整的计算机病毒工作环节应包括以下几个方面：传染源：病毒总是依附于某些储存介质，如电子邮件、软盘、硬盘等构成传染源。 传染媒介：病毒传染的媒介由工作的环境来定，可能是网络，也可能是可以移动的存储介质，例如软磁盘等。 病毒激活：是指将病毒装入内存，并设置触发条件，一旦触发条件成熟，病毒就开始其作用，如：自我复制到传染对象，进行各种破坏活动等。 35病毒触发：计算机病毒一旦被激活，立刻发生作用，触发的条件是多样化的，可以是内部时钟，系统的日期，用户标志符，也可能

13、是系统的一次通信等。 病毒表现：表现是病毒的主要目的之一，有时在屏幕显示出来，有时则表现为破坏系统数据。可以这样说，凡是软件技术能够触发到的地方，都在其表现范围内。 病毒传染：传染是病毒性能的一个重要标志。在传染环节中，病毒复制一个自身副本到传染对象中去。 362.2 2.2 目前存在病毒的传播途径目前存在病毒的传播途径37网络病毒攻击图工作站工作站工作站工作站网站服务器网站服务器网站服务器网站服务器 邮件中恶意附件邮件中恶意附件 攻破多个网站服务器攻破多个网站服务器 以前攻破的网站服务器以前攻破的网站服务器 浏览器进攻浏览器进攻 文件共享文件共享Internethub路由器路由器382.3

14、2.3 有防护的办公网络中的病毒传有防护的办公网络中的病毒传播播病毒传入途径：终端漏洞导致病毒传播；邮件接收导致病毒传播；外部带有病毒的介质直接接入网络导致病毒传播；内部用户绕过边界防护措施，直接接入因特网导致病毒被引入；网页中的恶意代码传入； 大型内部网络，一般均有防火墙等边界防护措施，但是还经常会出现病毒，病毒是如何传入的呢？39系统漏洞传播；系统邮件传播；储存介质传播；共享目录传播；病毒在此类网络内的传播途径402.4 2.4 物理隔离网络中病毒的传播物理隔离网络中病毒的传播外部带有病毒的介质接入网络导致病毒传播；内部用户私自在将所使用的终端接入因特网导致病毒被引入； 国家机关和军队、银

15、行等为了保护网络，一般均采用物理隔离措施，这类网络理论上应该是安全的，不过也有病毒的出现，这类网络，病毒主要是靠几种途径传入的：41系统漏洞传播；储存介质传播；邮件传播；物理隔离网络病毒内病毒的传播途径：42新病毒传入问题老病毒根除问题一般网络的病毒问题主要有两个方面，即：2.5政府机关网络病毒问题的现状43政府机关网络防病毒可能需要面临的问题：难以确定网络内设备的用户联网状况;无法快速准确定位病毒源;了解病毒源后，无法方便的对病毒源进行阻断。难以监控系统安全补丁安装情况;缺乏有效的技术手段保证管理制度的贯彻。44第三章：建立有效的病毒防范管理机制3.1 3.1 建立防病毒管理机构建立防病毒管

16、理机构3.2 3.2 防病毒管理机制的制定和完善防病毒管理机制的制定和完善3.3 3.3 制定防病毒管理制度制定防病毒管理制度3.4 3.4 用技术手段保障管理的有效性用技术手段保障管理的有效性3.5 3.5 加强培训以保障管理机制执行加强培训以保障管理机制执行45 无论什么样先进的病毒保障系统，使用者、控制者最终都是人。所以防病毒首要的事情是建立防病毒管理机构，以领导、协调防病毒工作和处理应急响应事件。3.1 建立防病毒管理机构46防病毒管理机构组成图47机构内各组织的防病毒工作的协调管理； 防病毒责任的分配；系统内部各单位间的防病毒组织的合作。防病毒管理机构应注意的问题48防病毒需求分析防

17、病毒需求分析：只有明了自己的安全需求才能有针对性地构建适合于自己的安全体系结构，正确的安全分析需求是保证网络系统的安全的根源。 防病毒风险管理防病毒风险管理：风险管理是对需求分析结果中存在的威胁和业务需求进行风险评估，以可以接受的投资，进行最大限度的病毒防范工作。 3.2 防病毒管理机制的制定和完善49制定防病毒策略制定防病毒策略:根据组织和部门的防病毒需求和风险评估的结论，制定切实可行的计算机网络防病毒策略。 定期防病毒审核定期防病毒审核:安全审核的首要任务是审核组织的安全策略是否被有效地和正确地执行。因为网络防病毒是一个动态的过程，防病毒的需求可能会发生变化；为了在防病毒需求发生变化时，策

18、略和控制措施能够及时反映这种变化，必须进行定期安全审核。 50 A制定计划B进行实施C监控审评D维护改进511. 网络管理员管理制度 3.3 制定防病毒管理制度防病毒日常管理责任防病毒策略管理责任病毒应急响应事件责任2. 网络一般用户管理制度 523. 账户及口令管理制度4. 设备管理规章制度入网设备防病毒管理制度服务器管理制度便携机管理制度介质管理53管理制度需要注意的问题：减少从第三方的系统下载软件；组建一支队伍，监测和调查病毒事件；病毒库必须随时更新；重要的数据必须备份，并每月检查一次；543.4 用技术手段保障管理的有效性 通过技术手段可保障管理制度有效贯彻执行，通过技术手段，可以对以

19、下的管理进行加强： 保证补丁安装执行情况；1. 监督最先感染上病毒的区域；55 保障网络隔离的制度得以施行； 监督外来未知设备随意接入内网的情况； 使用广域网病毒监控：完成各分区病毒软件安装情况监视完成各分区病毒感染情况历史统计分析56防病毒机制运行参考图 安安全全组组件件网网络络组组件件控控制制平平台台应应急急响响应应服服务务/ /代代码码级级服服务务管管理理日日志志报报警警高高级级警警告告自自动动处处理理手手动动处处理理安安全全管管理理需需求求分分析析安安全全管管理理策策略略实实施施安安全全管管理理制制度度/ /策策略略调调整整信信息息中中心心厂厂商商产产品品改改进进管管理理反反馈馈报报警

20、警反反馈馈产产品品反反馈馈57 防病毒管理机制的执行需要很多技术手段，有些技术手段属于专业反病毒范畴，反病毒服务商了解病毒技术细节，更能准确的通过技术培训提高下属网管网络反病毒全面知识。 3.5 加强培训以保障管理机制执行58具体的培训可以分为以下几种：针对普通人员的培训针对网管（或网络安全员）的培训1. 针对突发病毒的培训59第四章：建立有效的病毒应急响应机制4.1 建立应急响应中心建立应急响应中心4.2 病毒事件分级病毒事件分级4.3 制定应急响应处理预案制定应急响应处理预案4.4 应急响应流程应急响应流程4.5 应急响应的事后处理应急响应的事后处理604.1建立应急响应中心 为了在病毒突

21、发事件中协调各方关系，分清职责，统一处理病毒事件，应建立病毒事件应急响应中心。病毒应急响应中心组织机构的建立可参考防病毒管理机构。61应急响应中心特别要注意以下几个方面：设立总负责人，负责协调管理应急事件建立应急相应小组（小组成员可包括单位相关人员和安全服务商的相关人员）分清各方职责联系方式必须准确有效624.2病毒事件分级分级应参考以下几个标准：扩散范围扩散速度危害程度防治复杂程度634.3制定应急响应处理预案 根据病毒的等级，制定相应的病毒应急响应处理预案，此预案可包括以下几点：病毒预案库应急响应启动标准应急处理流程注意：制定好的应急预案应进行测试后方投入使用64启动应急响应预案的几个参考

22、条件：有15的电脑同时感染同种类型的病毒，且现场人员确认无法在2小时内清除；病毒已经网络系统的正常运行，且现场人员无法立刻解决；出现的病毒现有的杀毒软件无法解决；1. 未知原因的网络阻塞。654.4应急响应流程应急响应具体流程如下：接收初步的资料 查明原因，总结特征 确认是否为大规模病毒事件 提供该事件的公告原稿 消息发布 事件库升级或程序升级，放到部中心网站 1. 启动应急响应预案处理 66启动应急响应预案流程图启动应急响应预案流程图病毒应急响应组织资料初步接收查明原因是否为大规模病毒爆发事件结束启动相应的预案YN应急事件来源总协调人病毒联合防范组织技术支撑系统总负责人67 通常的病通常的病

23、毒应急反应预毒应急反应预案流程图案流程图人员到位应急处理启动应急响应预案工具到位分离关键的主机和网段数据备份和配置备份分离病毒源数据恢复清除病毒源文档提交漏洞加固经验总结相关处理安全问题解决结束684.5应急响应的事后处理事后处理过程可参考如下步骤：提交病毒应急响应事后报告 找出网络防病毒的薄弱点 教训总结1. 视情况启动处罚程序69第五章：防病毒介绍5.1 5.1 目前主要的防病毒技术概述目前主要的防病毒技术概述5.2 5.2 网络防病毒的措施概述网络防病毒的措施概述5.3 5.3 网络防病毒网络防病毒5.4 5.4 补丁加固补丁加固5.5 5.5 边界接入检查和节点控制边界接入检查和节点控

24、制5.6 5.6 病毒预警技术病毒预警技术70病毒特征码识别技术自动解压技术实时监视技术启发式查毒技术带毒杀毒技术病毒队列技术 5.1 目前主要的防病毒技术概述715.2防病毒软件的结构扫描应用扫描引擎病毒定义库防病毒软件的3个组成部分防病毒软件72 扫描应用用户接口日志文件报警功能 扫描引擎搜索病毒的逻辑算法CPU仿真器精密编程逻辑病毒定义库：内有病毒的特征码73常见的本地网络防病毒构架5.3网络防病毒74监控平台单元构成75常见的广域网网络防病毒构架76防病毒网关 由于目前的防火墙并不能防止目前所有的病毒进入内网，所以在某些情况下，需要在网络的数据出入口处和网络中重要设备前配置防病毒网关，

25、以防止病毒进入内部网络。77防病毒网关按照功能上分有两种:保护网络入口的防病毒网关1. 保护邮件器的防病毒网关防病毒网关按照部署形式分为：透明网关1. 代理网关78透明网关透明网关代理网关代理网关透明网关路由器用户用户用户79邮件服务器的防病毒保护邮件服务器的防病毒保护对邮件服务器系统自身加固邮件防病毒网关邮件防病毒 由于目前的病毒大部分均是通过邮件传播的，所以对于邮件服务器的保护是十分重要的。80客户端防病毒引导安全引导安全系统安装安系统安装安全全系统日常加系统日常加固固日常使用安日常使用安全全81服务器防病毒 服务器防病毒时，除了注意主机还应注意防病毒应该注意的问题外，还应该注意到服务器的

26、可用性和稳定性，也需要注意对重要数据经常备份等问题。82集中监控中心集 中 监 控 中 心多级集中管理远程终端控制病毒风险分析软件自动分发终端分组配置智能探测升级详细日志审计集中监控中心功能图集中监控中心功能图83升级服务中心84 补丁加固是今年来网络面临的新问题，对于大型机关和企业网络，靠有限的人力人工去进行终端的安全加固是不现实的。为此，微软提出了两个解决方案：SMSSMS：Microsoft System Management SUSSUS：Software Update Services 5.4补丁加固85 SMS技术是基于主域控制技术，通过域控制器对管辖的计算机的安全补丁进行统一的升

27、级和管理。此方法存在的问题是国内一般不使用主域控制形式进行网络管理,另外，对于终端使用多操作系统的网络使用此技术升级所需的工作量也比较大。SMS技术86SUS技术 此技术应用了当前微软Windows Update的技术，即客户端可通过内网建立的SUS Server自动下载升级补丁。采用此方法的优点是简单方便，但是此系统也有不易实施的缺点。87 目前存在第三方的补丁分发技术，此类技术一般是辅助SUS进行安全补丁统一监控升级。第三方技术 SUS ServerClientClientClient补丁监控中心补丁数据库交换机网络补丁分发系统应用构架 885.5边界接入检查和节点控制边界接入检查和节点控制的目的：保障网络隔离彻底有效；进行外来笔记本电脑随意接入控制；对感染病毒计算机快速定位，并安全、迅速、有效的切断其与网络的连接；对未安装防病毒软件的终端进行统计、远程强制安装；有效进行网络IP设备资源管理；89可监控移动设备（笔记本电脑等）和新增设备未经过安全过滤和检查，就接入内部网络； 可监控违反规定将专网专用的计算机（带出网络）连入到其他网络的行为；IP管理功能、IP和MAC绑定功能；可监控网络终端的补丁安装情况，可对未安装防病毒系统的终端进行强制安装；对安全事件源的实时、快速、精确定位，并可强制断开其网络连接。边界接入检查和节点控制需要的功能：90边界检查和节点