全省广播电视技术能手竞赛培训(网络安全理论知识)

全省广播电视技术能手竞赛网络安全理论知识培训目录1、网络安全基础理论网络安全、信息安全和网络空间安全的概念信息系统等级保护与风险评估基本知识病毒与木马防范技术防火墙与网闸的基本概念网络安全域基本概念及划分原则《新闻出版广播影视网络安全管理办法》《新闻出版广播影视网络安全事件应急预案》2、网络安全专业知识制播网络防范病毒和恶意程序相关技术网络安全事件应急处置方法基础理论部分——网络安全、信息安全和网络空间安全>>>1网络安全知识体知识域网络架构安全知识子域网络架构安全基础网络架构安全设计网络协议安全无线局域网协议安全OSI七层模型及安全架构TCP/IP安全网络安全设备其他网络安全设备防火墙入侵检测系统网络安全知识域：网络协议安全知识子域：OSI七层模型及安全架构了解开放系统互联（OSI）模型的七层网络通信结构及通信过程，了解每一层的功能了解OSI安全架构的核心内容：基于8类安全机制提供5类安全服务ISO/OSI七层模型结构物理层网络层传输层会话层表示层应用层数据链路层应用层（高）数据流层第一层：物理层作用定义物理链路的电气、机械、通信规程、功能要求等；电压，数据速率，最大传输距离，物理连接器；线缆，物理介质；将比特流转换成电压；典型物理层设备光纤、双绞线、中继器、集线器等；常见物理层标准（介质与速率）100BaseT,OC-3,OC-12,DS1,DS3,E1,E3数据链路层物理层网络层传输层会话层表示层应用层第二层：数据链路层作用物理寻址，网络拓扑，线路规章等错误检测和通告（但不纠错）将比特聚成帧进行传输流量控制（可选）寻址机制使用数据接收设备的硬件地址（物理地址）寻址（如MAC地址）典型数据链路层设备网卡、网桥和交换机数据链路层协议PPP,HDLC,FR,Ethernet,TokenRing,FDDI数据链路层物理层网络层传输层会话层表示层应用层第二层：以太网协议标准（两个子层）LLC（LogicalLinkControl）IEEE802.2为上层提供统一接口；使上层独立于下层物理介质；提供流控、排序等服务；MAC（MediaAccessControl）IEEE802.3烧录到网卡ROM；48比特；唯一性；LLCMAC物理层网络层传输层会话层表示层应用层第三层：网络层作用逻辑寻址路径选择寻址机制使用网络层地址进行寻址（如IP地址）网络层典型设备路由器三层交换机数据链路层物理层网络层传输层会话层表示层应用层第四层：传输层作用提供端到端的数据传输服务建立逻辑连接寻址机制应用程序的界面端口（如端口号）传输层协议TCPUDPSPX数据链路层物理层网络层传输层会话层表示层应用层TCP是面向连接的，有比较高的可靠性，一些要求比较高的服务一般使用这个协议，如FTP、Telnet、HTTPUDP是一个简单的面向数据报的运输层协议，不提供可靠性，它只是把应用程序传给IP层的数据报发送出去，但是并不能保证它们能到达目的地。如客户端与DNS服务器之间传输时用的是UDP第五层：会话层作用不同应用程序的数据隔离会话建立，维持，终止同步服务会话控制（单向或双向）数据链路层物理层网络层传输层会话层表示层应用层第六层：表示层作用数据格式表示协议转换字符转换数据加密/解密数据压缩等表示层数据格式ASCII,MPEG,TIFF,GIF,JPEG数据链路层物理层网络层传输层会话层表示层应用层第七层：应用层作用应用接口网络访问流处理流控错误恢复应用层协议FTP,Telnet,HTTP,SNMP,SMTP,DNS数据链路层物理层网络层传输层会话层表示层应用层分层结构的优点降低复杂性促进标准化工作各层间相互独立，某一层的变化不会影响其他层协议开发模块化简化理解与学习数据封装与分用数据封装应用数据发送时从高层向低层逐层加工后传递数据解封装数据接收时从低层向高层逐层传递OSI安全体系结构OSI安全体系结构定义了系统应当提供的五类安全服务，以及提供这些服务的八类安全机制；某种安全服务可以通过一种或多种安全机制提供，某种安全机制可用于提供一种或多种安全服务OSI安全体系结构定义的安全服务五类安全服务鉴别、访问控制、数据保密性、数据完整性、抗抵赖八种安全服务加密、数字签名、访问控制、数据完整性、鉴别流量填充（用于对抗通信流量分析，在加密时才是有效的）路由控制（可以指定路由选择说明，回避某些特定的链路或子网）公证知识域：网络协议安全知识子域：TCP/IP安全了解TCP/IP协议模型及各层典型协议的功能理解基于TCP/IP的典型安全协议了解IPv6的安全特点OSI模型与TCP/IP协议的对应物理层网络层传输层会话层表示层应用层数据链路层网络互联层传输层应用层网络接口层TCP/IP协议应用层传输层网络互联层网络接口层应用协议应用协议应用协议应用协议TCPUDPICMPIPIGMPARP硬件接口RARP网络接口层主要协议ARPRARP安全问题损坏：自然灾害、动物破坏、老化、误操作干扰：大功率电器/电源线路/电磁辐射电磁泄漏：传输线路电磁泄漏欺骗：ARP欺骗嗅探：常见二层协议是明文通信的（以太、arp等）拒绝服务：macflooding，arpflooding等网络互联层应用层传输层网络互联层网络接口层应用协议应用协议应用协议应用协议TCPUDPICMPIPIGMPARP硬件接口RARP网络互联层协议核心协议-IP协议IP是TCP/IP协议族中最为核心的协议IP协议的特点不可靠（unreliable）通信无连接（connectionless）通信版本包头长度服务类型数据包长度标识标记偏移生存期协议类型包头校验和源IP地址目的IP地址可选项用户数据网络互联层安全问题拒绝服务：分片攻击（teardrop）/死亡之ping欺骗：IP源地址欺骗窃听：嗅探伪造：IP数据包伪造传输层应用层传输层网络互联层网络接口层应用协议应用协议应用协议应用协议TCPUDPICMPIPIGMPARP硬件接口RARP传输层协议-TCP协议传输控制协议：提供面向连接的、可靠的字节流服务提供可靠性服务数据包分块、发送接收确认、超时重发、数据校验、数据包排序、控制流量……16源端口号16位目的端口号32位序号32位确认序号偏移量保留位UAPRSF16窗口指针16位校验和16位紧急指针数据TCP是面向连接的，有比较高的可靠性，一些要求比较高的服务一般使用这个协议，如FTP、Telnet、HTTP传输层协议-UDP协议用户数据报协议：提供面向事务的简单不可靠信息传送服务特点无连接、不可靠协议简单、占用资源少，效率高……16源端口号16位目的端口号16UDP报文长度16位校验和数据UDP是一个简单的面向数据报的运输层协议，不提供可靠性，它只是把应用程序传给IP层的数据报发送出去，但是并不能保证它们能到达目的地。如客户端与DNS服务器之间传输时用的是UDP传输层安全问题拒绝服务：synflood/udpflood/Smurf欺骗：TCP会话劫持窃听：嗅探伪造：数据包伪造应用层协议应用层协议定义了运行在不同端系统上的应用程序进程如何相互传递报文典型的应用层协议域名解析：DNS电子邮件：SMTP/POP3文件传输：FTP网页浏览：HTTP……应用层协议安全问题拒绝服务：超长URL链接欺骗：跨站脚本、钓鱼式攻击、cookie欺骗窃听：数据泄漏伪造：应用数据篡改暴力破解：应用认证口令暴力破解等……基于TCP/IP协议簇的安全架构下一代互联网协议-IPv6IPv6安全特性地址数量大量增加（32->128）报文头部格式简化，路由表简化、处理速度快内置安全特性（IPSec）移动性支持QoS和性能良好扩展性……知识域：网络协议安全知识子域：无线局域网协议安全了解无线局域网的基本组成与特点了解WEP、802.11i、WAPI等无线局域网安全协议防火墙的概念：防火墙（Firewall），是一种位于内部网络与外部网络之间的信息安全防护设备，依照特定的规则，允许或是限制传输的数据通过。网闸的概念：网闸（GAP）全称安全隔离网闸，是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备。防火墙与网闸的基本概念防火墙与网闸的概念及功能区别网闸与防火墙都是网络边界安全产品，两者区别如下：1、从硬件架构来说，网闸是双主机+隔离硬件，防火墙是单主机系统，网闸系统自身的安全性要高得多；

2、网闸工作在应用层，而大多数防火墙工作在网络层，对内容检查控制的级别低；虽然有代理型防火墙能够做到一些内容级检查，但是对应用类型支持有限，基本上只支持浏览、邮件功能；同时网闸具备很多防火墙不具备的功能，数据库、文件同步、定制开发接口；

3、在数据交换机理上也不同，防火墙是工作在路由模式，直接进行数据包转发，网闸工作在主机模式，所有数据需要落地转换，完全屏蔽内部网络信息；4、最后，防火墙内部所有的TCP/IP会话都是在网络之间进行保持，存在被劫持和复用的风险；网闸上不存在内外网之间的会话，连接终止于内外网主机。综上所述，无论从功能还是实现原理上讲，网闸和防火墙是完全不同的两个产品，防火墙是保证网络层安全的边界安全工具（如通常的非军事化区），而安全隔离网闸重点是保护内部网络的安全。两种产品定位不同，不能相互取代，两者在发挥作用方面没有重复，只有互补。防火墙与网闸的基本概念安全隔离与信息交换系统（网闸）防火墙在保证网络隔离的前提下进行有限的信息交换。在保证网络通畅访问的同时，进行一些安全过滤（IP、端口）。防火墙与网闸的安全概念区别面临的威胁网闸的处理及结果防火墙的处理及结果物理层窃听、攻击、干扰物理通路的切断使之无法实施无法避免链路、网络及通讯层威胁物理通路的切断使之上的协议终止，相应的攻击行为无法奏效通过白名单+黑名单的机制，控制IP、端口等手段可避免部分协议层攻击行为应用攻击（CC、溢出、越权访问等）由于物理通路的切断、单向控制及其之上的协议的终止，使此类攻击行为无法进入内网（安全域）。专有定制的应用服务提供，使大多数对网闸的非安全域一端的处理单元的通用攻击行为无法奏效。即便是将外网端的处理单元攻陷，其攻击者也无法通过不受任何一端控制的安全通道进入内网（安全域）。包过滤型防火墙，无处理，无法抵挡高端应用级防火墙可抵挡部分应用攻击数据（敏感关键字、病毒、木马等）信息摆渡的机制使的数据如同一个人拿着U盘在两台计算机之间拷贝文件，并且在拷贝之前会基于文件的检查（内容审查、病毒查杀等），可使数据的威胁减至最低。可过滤部分明文关键字防火墙与网闸的安全功能区别知识域：网络安全设备知识子域：防火墙理解防火墙的作用、功能及分类理解包过滤技术、状态检测技术和应用代理技术等防火墙主要技术原理掌握防火墙的典型部署方式理解防火墙的局限性防火墙的作用与功能控制在网络连接点上建立一个安全控制点，对进出数据进行限制隔离将需要保护的网络与不可信任网络进行隔离，隐藏信息并进行安全防护记录对进出数据进行检查，记录相关信息安全网域一防火墙的分类按防火墙形态硬件防火墙软件防火墙按技术实现包过滤（透明模式）代理按体系结构分双宿/多宿主机防火墙屏蔽主机防火墙屏蔽子网防火墙其他分类方法防火墙的实现技术包过滤技术代理网关技术状态检测技术自适应代理技术防火墙的实现技术-包过滤实现机制：依据数据包的基本标记来控制数据包网络层地址：IP地址（源地址及目的地址）传输层地址：端口（源端口及目的端口）协议：协议类型安全网域一防火墙的实现技术-包过滤优点:只对数据包的IP地址、TCP/UDP协议和端口进行分析，规则简单，处理速度较快易于配置对用户透明，用户访问时不需要提供额外的密码或使用特殊的命令缺点：检查和过滤器只在网络层，不能识别应用层协议或维持连接状态安全性薄弱，不能防止IP欺骗等防火墙的实现技术-代理网关每一个内外网络之间的连接都要通过防火墙的介入和转换，加强了控制分类电路级代理应用代理防火墙的实现技术-电路级代理建立回路，对数据包进行转发优点能提供NAT，为内部地址管理提供灵活性，隐藏内部网络等适用面广缺点仅简单的在两个连接间转发数据，不能识别数据包的内容防火墙的实现技术-应用代理工作在应用层使用代理技术，对应用层数据包进行检查对应用或内容进行过滤，例如：禁止FTP的“put”命令安全网域一防火墙的实现技术-应用代理优点可以检查应用层内容，根据内容进行审核和过滤提供良好的安全性缺点支持的应用数量有限性能表现欠佳防火墙的实现技术-NAT什么是NAT一种将私有（保留）地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。NAT技术设计初衷增加私有组织的可用地址空间解决现有私有网络接入的IP地址编号问题防火墙的实现技术-NATNAT实现方式静态地址转换动态地址转换端口转换000安全网域一NAT的优缺点优点管理方便并且节约IP地址资源隐藏内部IP地址信息可用于实现网络负载均衡缺点外部应用程序却不能方便地与NAT网关后面的应用程序联系。防火墙实现技术--状态检测数据链路层物理层网络层表示层会话层传输层检测引擎应用层动态状态表动态状态表动态状态表在数据链路层和网络层之间对数据包进行检测创建状态表用于维护连接上下文应用层表示层会话层传输层数据链路层物理层网络层应用层表示层会话层传输层数据链路层物理层网络层防火墙实现技术--状态检测状态检测技术的特点安全性高，可根据通信和应用程序状态确定是否允许包的通行性能高，在数据包进入防火墙时就进行识别和判断适应性好对用户、应用程序透明防火墙实现技术-自适应代理技术特点根据用户定义安全规则动态“适应”传输网络数据代理服务可以从应用层转发，也可以从网络层转发高安全要求：则在应用层进行检查明确会话安全细节：则在链路层数据包转发兼有高安全性和高效率防火墙部署方式路由模式透明模式混合模式防火墙的工作模式-路由模式内部网络/24GW:54外部网络/24GW:防火墙InternetIntranet/2454/24防火墙的工作模式-透明模式内部网络/24GW:54外部网络路由器InternetIntranet54/24防火墙的工作模式-混合模式内部网络/2454外部网络/24GW:防火墙InternetIntranetIntranet内部网络00/24GW:53路由模式透明模式防火墙的典型部署区域划分：可信网络、不可信网络、DMZ区可信网络不可信的网络防火墙路由器InternetIntranetDMZ非军事化区防护墙的策略设置没有明确允许的就是禁止先阻止所有数据包需要的给予开放没有明确禁止的就是允许对明确禁止的设置策略防火墙的策略设置可信网络可向DMZ区和不可信网络发起连接请求可信网络不可信的网络防火墙路由器InternetIntranetDMZ非军事化区防火墙的策略设置DMZ区可接受可信网络和不可信网络的连接请求DMZ区不可向可信网络发起连接请求DMZ区与不可信网络的连接请求根据业务需要确定可信网络不可信的网络防火墙路由器InternetIntranetDMZ非军事化区防火墙部署结构防火墙的部署位置可信网络与不可信网络之间不同安全级别网络之间两个需要隔离的区域之间防火墙的部署方式单防火墙（无DMZ）部署方式单防火墙（DMZ）部署方式双防火墙部署方式单防火墙（无DMZ）部署方式区域划分：可信网络、不可信网络结构简单，易于实施内部网络/24GW:54外部网络/24GW:防火墙InternetIntranet/2454/24单防火墙（DMZ）部署方式区域划分：可信网络、不可信网络、DMZ区提供对外服务安全区域可信网络不可信的网络防火墙路由器InternetIntranetDMZ非军事化区双防火墙的部署方式能提供更为安全的系统结构实施复杂性和费用较高可信网络不可信的网络防火墙Internet非军事化区防火墙防火墙的不足和局限性难于管理和配置，易造成安全漏洞防外不防内，不能防范恶意的知情者只实现了粗粒度的访问控制很难为用户在防火墙内外提供一致的安全策略不能防范病毒知识域：网络安全设备知识子域：入侵检测系统理解入侵检测系统的作用、功能及分类了解入侵检测系统的主要技术原理掌握入侵检测系统的典型部署方式理解入侵检测系统的局限性入侵检测系统的作用与功能入侵检测系统的作用防火墙的重要补充构建网络安全防御体系重要环节克服传统防御机制的限制入侵检测系统功能监测并分析用户和系统的活动核查系统配置和漏洞对操作系统进行日志管理，并识别违反安全策略的用户活动针对已发现的攻击行为作出适当的反应，如告警、中止进程等入侵检测系统的分类按入侵检测形态硬件入侵检测软件入侵检测按目标系统的类型网络入侵检测主机入侵检测按系统结构集中式分布式入侵检测的技术架构事件产生器：采集和监视被保护系统的数据事件分析器：分析数据，发现危险、异常事件，通知响应单元响应单元：对分析结果作出反应事件数据库：存放各种中间和最终数据入侵检测工作过程数据检测技术误用检测技术建立入侵行为模型(攻击特征)假设可以识别和表示所有可能的特征基于系统和基于用户的误用异常检测技术设定“正常”的行为模式假设所有的入侵行为是异常的基于系统和基于用户的异常误用检测优点准确率高算法简单关键问题有所有的攻击特征，建立完备的特征库特征库要不断更新无法检测新的入侵异常检测误报率、漏报率较高优点可检测未知攻击自适应、自学习能力关键问题“正常”行为特征的选择统计算法、统计点的选择基于网络的入侵检测系统入侵检测系统布署入侵检测系统布署基于主机的入侵检测系统入侵检测系统的局限性对用户知识要求较高，配置、操作和管理使用较为复杂网络发展迅速，对入侵检测系统的处理性能要求越来越高，现有技术难以满足实际需要高虚警率，用户处理的负担重由于警告信息记录的不完整，许多警告信息可能无法与入侵行为相关联，难以得到有用的结果在应对对自身的攻击时，对其他数据的检测也可能会被抑制或受到影响知识域：网络安全设备知识子域：其它网络安全设备了解安全隔离与信息交换系统的原理、特点及适用场景了解入侵防御系统（IPS）的原理与特点了解安全管理平台（SOC）的主要功能了解统一威胁管理系统（UTM）的功能与特点了解网络准入控制（NAC）的功能、组成及控制方式安全隔离与信息交换系统（网闸）组成外部处理单元、内部处理单元、仲裁处理单元特点断开内外网之间的会话（物理隔离、协议隔离）同时集合了其他安全防护技术入侵防御系统(IPS)接入方式：串行工作机制：检测+阻断不足：单点故障、性能瓶颈、误报可信网络不可信的网络&服务InternetIntranetIPS安全管理平台（SOC）SOC的含义狭义：安全设备集中管理中心广义：IT资源集中管理中心SOC的主要功能风险管理服务管理系统管理专业安全系统统一威胁管理系统（UTM）接入方式：串行工作机制：检测+阻断+病毒防护+流控+……不足：单点故障、性能瓶颈、误报、……可信网络不可信的网络&服务InternetIntranetUTM网络准入控制作用：对接入终端进行授权组成：策略服务器、接入设备、终端检查认证服务器RadiusServer接入设备终端设备知识域：网络架构安全知识子域：网络架构安全基础理解网络架构安全的含义理解网络架构安全设计的主要工作知识子域：网络架构安全设计理解网络安全域划分应考虑的主要因素理解IP地址规划方法理解VLAN划分的作用与策略理解路由交换设备安全配置常见的要求理解网络边界访问控制策略的类型理解网络冗余配置应考虑的因素网络架构安全网络是信息系统的基础支撑环境IATF中“保护网络和基础设施”主要内容骨干网络保护网络边界保护网络和基础设施保护计算环境网络架构安全设计合理划分网络安全区域规划网络IP地址、Vlan设计安全配置路由交换设备网络边界访问控制策略网络冗余配置安全域划分安全域划分安全域是遵守相同安全策略的用户和系统的集合安全域划分的目的把大规模负责系统安全问题化解为更小区域的安全保护问题网络抗渗透的有效防护方式，安全域边界是灾难发生时的抑制点安全域的划分方法业务和功能特性安全性要求现有状况（有网络结构、地域和机房等）IP地址规划规划要点自顶向下的方法为所设计的网络中的节点、网络设备分配合适的IP地址综合考虑网络层次规划、路由协议规划、流量规划IP地址分配静态IP地址分配动态IP地址分配NATVLAN设计将网内设备的逻辑地划分成一个个网段从而实现虚拟工作组通过VLAN隔离技术，可以把一个网络系统中众多的网络设备分成若干个虚拟的工作组安全作用建立VLAN之间的访问机制，阻止蠕虫和恶意病毒的广泛传播建立VLAN区域安全和资源保护，将受限制的应用程序和资源置于更为安全的VLAN中VLAN设计VLAN的作用控制网络的广播风暴提高网络安全性简化网络管理设计要点根据业务需要划分虚拟工作组、保护重要资源，建立VLAN之间的访问机制VLAN划分方法基于端口划分的VLAN基于MAC地址划分VLAN基于网络层划分VLAN根据IP组播划分VLAN路由交换设备的安全配置设备操作系统版本关闭空闲的物理端口访问控制（严格口令及关闭服务）日志保护配置备份……网络边界访问控制具有不同安全级别的网络之间的分界线都可以定义为网络边界网络边界的范例内部网络与互联网之间内部网络与外部网络之间重要部门与其他部门之间组织机构总部与分支机构之间作用防止单点故障可以提高网络的健全性、稳定性考虑因素接入互联网时，同时采用不同电信运营商线路，相互备份且互不影响核心层、汇聚层的设备和重要的接入层设备均应双机热备保证网络带宽和网络设备的业务处理能力具备冗余空间，满足业务高峰期和业务发展需要网络冗余配置网络安全总结协议安全TCP/IP协议各层安全性问题及解决网络安全设备防火墙入侵检测网络安全架构设计信息安全是指网络与信息系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。要求系统安全可用、服务正常，信息资源完整。信息安全信息安全需求保密性

信息没有泄露给未授权的对象。完整性

信息在利用、传输、贮存等过程中不被篡改、丢失或者损坏。 系统未被非法操纵，按既定的目标运行。可用性

授权人需要时，能够获得、使用信息。服务连续性，系统未中断、被攻击、破坏，正常运行。包含环境、系统、设备、应用、数据等信息系统和网络系统各个方面的安全，即网络空间中涉及到的基础设施、信息资源、系统软件、应用软件、业务数据、法律法规等与网络领域相关的安全问题。网络空间既是人的生存环境，也是信息的生存环境，网络空间安全是人和信息对网络空间的基本要求。网络空间安全问题错综复杂。网络空间是所有信息系统的集合，人在其中与信息相互作用、相互影响。网络空间安全这里面包括两个部分：第一、防治、保护、处置包括互联网、电信网、广电网、物联网、工控网、在线社交网络、计算系统、通信系统、控制系统在内的各种通信系统及其承载的数据不受损害。第二、防止对这些信息通信技术系统的滥用所引发的政治安全、经济安全、文化安全、国防安全。一个是保护系统本身，另外是防止利用信息系统带来了别的安全问题。所以针对这些风险，要采取法律、管理、技术、自律等综合手段来应对，而不是像过去说信息安全主要是技术手段。基础理论部分——信息系统等级保护与风险评估>>>1

等级保护背景等级保护工作的五个阶段等级保护现场测评实施内容现场需要配合的内容一、等级保护背景

等级保护的“起源”美国是最早开展计算机系统安全标准研究，并推出第一个操作系统安全评价准则的国家。1985年，美国国防部所属的国家计算机安全中心NCSC出版了《可信计算机评价准则》，简称TCSEC，又称为“桔皮书”，后来美国国防部又发布了可信数据库解释(TDI)、可信网络解释(TNI)等一系列相关的说明和指南，由于这些文档发行时封面均为不同的颜色，因此常被称为“彩虹系列”。TCSEC将计算机系统的安全划分为4个等级、7个级别，从低到高依次为D、C1、C2、B1、B2、B3和A级，其中DOS（D级）、windows/linux/aix(C2级)。一、等级保护背景

等级保护的“起源”安全等级操作系统备注A形式化认证B1、B2、B3osf/1全面的访问控制、可信恢复；良好的结构化设计、形式化安全模型；强制存取控制。C1、C2windowsnt/solaris/hp-ux/aix/较完善的自主存取控制、审计；主存取控制。Ddos最低安全性。一、等级保护背景

等级保护的定义信息安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。一、等级保护背景

等级保护的发展中华人民共和国计算机信息系统安全保护条例

（1994年国务院147号令）“第九条计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。”一、等级保护背景

等级保护的发展1995年2月《中华人员共和国警察法》第二章第六条第十二款规定：“公安机关人民警察依法履行监督管理计算机信息系统的安全保护工作”。一、等级保护背景

等级保护的发展1999年，在公安部的指导下，发布了我国第一个信息安全等级保护国家标准：《计算机信息系统安全等级保护划分准则》（GB17859-1999）定义了信息系统的五个安全级别：第一级用户自主保护级；第二级系统审计保护级；第三级安全标记保护级；第四级结构化保护级；第五级访问验证保护级；一、等级保护背景

等级保护的发展国家信息化领导小组关于加强信息安全保障工作的意见

（中办发【2003】27号）“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。”强调了等级保护工作要从国家信息安全保障的基本制度高度加以重视和落实。一、等级保护背景

等级保护的发展2004年9月，公安部会同国家保密局、国家密码管理局和国务院信息办联合出台了《关于信息安全等级保护工作的实施意见》

（公通字【2004】66号），其中明确了信息安全等级保护制度的原则、基本内容、职责分工、工作要求以及实施计划等。一、等级保护背景

等级保护的发展2007年6月，公安部联合相关部门出台了《信息安全等级保护管理办法》（公通字【2007】43号），明确了信息安全等级保护制度的基本内容、流程及工作要求。一、等级保护背景

等级保护的发展从2010年开始，公安部每年组织全国公安网安部门对各单位、各部门等级保护工作开展专项检查工作，通过检查、摸清了各行业、各部门等级保护工作情况，掌握了重要行业、部门开展等级保护的工作成效和经验，及时发现和纠正了有些部门工作中存在的问题，有力促进了国家信息安全等级保护制度在重要行业、部门的贯彻落实。一、等级保护背景

等级保护的发展中华人民共和国计算机信息系统安全保护条例

（1994年国务院147号令）

等级保护背景等级保护工作的五个阶段等级保护现场测评实施内容现场需要配合的内容二、等级保护工作的标准步骤

等级保护的五个工作环节：二、等级保护工作的标准步骤

系统定级：信息系统定级应按照自主定级、专家评审、主管部门审批、公安机关审核的流程进行。定级工作是等级保护工作的基础，信息系统划分合理、定级准确是等级保护后续各个工作顺利开展的前提和基础。二、等级保护工作的标准步骤

系统定级：根据《信息安全技术信息系统安全等级保护定级指南》（GB/T22240－2008）：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。二、等级保护工作的标准步骤

系统定级：根据《信息安全技术信息系统安全等级保护定级指南》（GB/T22240－2008）：第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。二、等级保护工作的标准步骤

系统定级：二、等级保护工作的标准步骤

系统定级：二、等级保护工作的标准步骤

系统定级：（S:业务信息类A:系统服务类G:通用安全类）二、等级保护工作的标准步骤

系统定级：S:业务安全类用户身份鉴别、数据校验、数据加密、访问控制策略等

A:服务保障类

异地储存、备用供电、机房监控、系统监控、系统资源分配等G:通用安全类安全审计、行为抵赖、安全管理制度等二、等级保护工作的标准步骤

系统备案：

确定为二级以上的信息系统，由信息系统运营使用单位到所在地设区的市级以上公安机关网络安全保卫部门办理备案手续，公安机关按照《信息安全等级保护备案实施细则》（公信安【2007】1360号）要求，对备案材料进行审核，定级准确、材料符合要求的颁发由公安部统一监制的备案证明。已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。新建第二级以上信息系统，在投入运行后30工作日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。二、等级保护工作的标准步骤

系统备案：

等级保护备案软件

备案单位基本系统表

备案系统基本情况表

备案系统定级报告二、等级保护工作的标准步骤

安全整改工作：

信息系统安全保护等级确定后，运营使用单位按照《关于开展信息系统等级保护安全整改建设工作的指导意见》（公信安【2009】1429号）等有关管理规范和技术标准，选择《信息安全等级保护管理办法》（公通字【2007】43号）要求的信息安全产品，制定并落实安全管理制度。落实安全责任，建设安全设施，落实安全技术措施。对新建、改建、扩建的信息系统应按照等级保护的管理规范和技术标准进行信息系统的规划设计、建设施工。

二、等级保护工作的标准步骤

安全整改工作：

二、等级保护工作的标准步骤

安全整改工作：

二、等级保护工作的标准步骤

等级测评：信息系统建设整改完成后，运营使用单位选择符合要求的测评机构，依据《信息安全等级保护管理办法》（公通字【2007】43号），定期对信息系统安全等级状况开展等级测评，测评机构通过等级测评工作的开展，检测出信息系统中存在的安全问题，分析安全风险、提出整改建议，按照公安部提供的最新报告模板编写等级测评报告。二、等级保护工作的标准步骤

等级测评：信息安全等级保护管理办法

（公通字[2007]43号）“第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。”二、等级保护工作的标准步骤

监督检查：公安机关依据管理办法和《公安机关信息安全等级保护检查工作规范（试行）》（公信安[2008]736号），监督检查运营使用单位开展等级保护工作，定期对第三级以上的信息安全系统进行检查。信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查，第四级信息系统应当每半年至少进行一次自查，第五级信息系统应当依据特殊安全需求进行自查。

等级保护背景等级保护工作的五个阶段等级保护现场测评工作介绍现场需要配合的内容三、等级保护工作实施内容

等级保护的具体实施流程等级测评项目启动编制测评方案工具和文档准备信息收集和分析结果确认和资料归还现场测评和结果记录方案确认和资源协调三、等级保护工作实施内容

等级保护的具体实施流程等级测评项目启动编制测评方案工具和文档准备信息收集和分析结果确认和资料归还现场测评和结果记录方案确认和资源协调分析测评结果报告编制阶段形成等级测评结论编制测评报告三、等级保护工作实施内容

等级保护的具体测评对象1）主机房（包括其环境、设备和设施等）和备份机房，应将放置了服务于信息系统的局部（包括整体）或对信息系统的局部（包括整体）安全性起重要作用的设备、设施的辅机房选取作为测评对象；2）整个系统的网络拓扑结构；3）对整个信息系统或其局部的安全性起作用的网络互联设备，如核心交换机、汇聚层交换机、路由器等；4）安全设备，包括防火墙、入侵检测设备、应用网关和防病毒网关等；三、等级保护工作实施内容

等级保护的具体测评对象5）承载被测系统主要业务或数据的服务器（包括其操作系统和数据库）；6）管理终端和主要业务应用系统终端；7）能够完成被测系统不同业务使命的业务应用系统；8）业务备份系统；9）信息安全主管人员、各方面的负责人员（机房、系统、网络、数据库、研发）、具体负责安全管理的当事人、业务负责人；10）涉及到信息系统安全的所有管理制度和记录。（包括系统建设类、系统运维管理类）三、等级保护工作实施内容

等级保护的具体测评方法三、等级保护工作实施内容安全测试工具介绍（远程用）NSIP(NSFOCUSIntelligentProfile)是绿盟科技智能Profile漏洞识别技术的简称，该技术在国内甚至在国际上都是非常领先的漏洞识别技术，它在提高极光的评估速度和准确率方面都起到了很大的促进作用。NSIP漏洞识别技术就是采用多种技术通过不同途径收集目标系统的多种信息，这些信息就是目标系统的Profile，在进行漏洞评估过程中，Profile不断地对中间的结果数据进行调整，保障了最后评估结果的准确性。极光产品具备业界强劲的底层扫描引擎——NSSE（NSFOCUSScanningEngine）。通过NSIP技术、开放端口服务的智能识别、检测规则依赖关系的自动扫描等技术的运用，再加上由NSFOCUS安全小组研究员精心编写的准确的漏洞检测规则，极光在检测速度和检测准确性之间找到了最佳的平衡点。极光加载全部检测规则，对同样的目标系统进行检测时，扫描速度为常见同类产品3－5倍，同时仍能保证误报率低于5%。三、等级保护工作实施内容安全测试工具介绍（现场用）江苏国瑞信安科技有限公司依据国家等级保护相关标准及要求，深入研究公安网安部门等级保护工作思路、方式，仔细分析在等级保护推进过程中出现的信息系统定级不准、测评机构测评质量难把关、信息系统安全整改难监管---上述问题也是王安部门寻求解决的，率先推出信息安全等级保护监察管理系统及信息系统等级保护检查工具箱（两者合称：信息安全等级保护监察装备），借助信息化手段解决问题。各级网安部门部署信息安全等级保护监察管理系统，作为网安部门开展等级保护工作提供“工作平台、管理平台、分析平台”。三、等级保护工作实施内容安全测试工具介绍（现场用）Metasploit是一款开源的安全漏洞检测工具，可以帮助安全和IT专业人士识别安全性问题，验证漏洞的缓解措施，并管理专家驱动的安全性进行评估，提供真正的安全风险情报。这些功能包括智能开发，密码审计，Web应用程序扫描，社会工程学等。Burp

Suite

是用于攻击web

应用程序的集成平台。它包含了许多工具，并为这些工具设计了许多接口，以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP

消息，持久性，认证，代理，日志，警报的一个强大的可扩展的框架。Sqlmap是一种开源的渗透测试工具，可以自动检测和利用SQL注入漏洞以及接入该数据库的服务器。它拥有非常强大的检测引擎、具有多种特性的渗透测试器、通过数据库指纹提取访问底层文件系统并通过外带连接执行命令。

支持的数据库：MySQL,

Oracle,

PostgreSQL,

Microsoft

SQL

Server,

Microsoft

Access,

IBM

DB2,

SQLite,

Firebird,

Sybase

and

SAP

MaxDB

三、等级保护工作实施内容安全测试接入点案例a)在接入点JA接入扫描器，模拟Internet用户，探测DMZ1区网站服务器对Internet暴露的安全漏洞情况。并根据漏洞扫描的结果接入渗透测试工具集，试图利用服务器的安全漏洞入侵服务器。b)在接入点JB接入扫描器，探测DMZ1区上网站服务器对内部XXX用户网段暴露的安全漏洞情况。并根据漏洞扫描的结果接入渗透测试工具集，试图利用服务器的安全漏洞入侵服务器。

等级保护背景等级保护工作的五个阶段等级保护现场测评工作介绍现场需要配合的内容四、现场需要配合的内容项目实施主要节点现场首次会议现场检查记录现场结果汇总确认现场末次会议

甲方需配合的内容：

核对《信息系统资产调研表》

核对最新的网络拓扑图

核对应用系统开发文档

核对安全管理文档合集

签署《测评授权书》

签署《安全测试授权书》

四、现场需要配合的内容项目实施主要节点现场首次会议现场检查记录现场结果汇总确认现场末次会议甲方需要配合的内容：机房基础设施建设情况介绍提供机房防雷/消防验收文档网络系统全局结构介绍登陆网络设备进行配置核查登陆服务器数据库进行配置核查登陆应用后台进行功能核查安全管理制度文档和执行流程查看开放安全测试接入点四、现场需要配合的内容项目实施主要节点现场首次会议现场检查记录现场结果汇总确认现场末次会议甲方需要配合的内容：现场测评记录表格确认现场问题汇总表确认

四、现场需要配合的内容项目实施主要节点现场首次会议现场检查记录现场结果汇总确认现场末次会议甲方需要配合的内容：系统运行状态确认现场检查结果确认签字基础理论部分——病毒与木马防范技术>>>1计算机病毒、木马及防范技术目录病毒的起源和发展病毒的定义及分类VBS病毒的起源与发展及其危害蠕虫病毒缓冲区溢出与病毒攻击的原理木马程序计算机日常使用的安全建议一、病毒的起源和发展病毒的起源和发展1949年，计算机的先驱者冯.诺依曼在论文《复杂自动机组织论》中，提出了计算机程序能够在内存中自我复制；20世纪60年代初，美国贝尔实验室，三个年轻的程序员编写了一个名为“磁芯大战”的游戏，游戏中通过复制自身来摆脱对方的控制，这就是病毒的第一个雏形。20世纪70年代，美国作家雷恩在《P1的青春》一书中阐述了一种能够自我复制的计算机程序，并第一次称之为“计算机病毒”。1983年11月，在国际计算机安全学术研讨会上，美国计算机专家首次将病毒程序在VAX/750计算机上进行实验，世界上第一个计算机病毒就这样诞生在实验室中。20世纪80年代后期，巴基斯坦有两个以编软件为生的兄弟，为了打击盗版软件，设计出了一个名为“巴基斯坦智囊”的病毒，该病毒只传染软盘引导区，成为世界上流行的第一个真正的病毒。一、病毒的起源和发展计算机病毒是一组人为设计的程序，这种特殊的程序隐藏在计算机系统中，能够把自身或自身的一部分复制到其它程序上，给计算机系统造成一定损害甚至严重破坏。这种程序的活动方式与生物学上的病毒非常相似，所以被称为计算机病毒。计算机病毒的危害主要体现在以下方面： 破坏文件分配表或目录区 删除文件、修改或破坏文件中的数据 大量复制自身，减少磁盘可用的存储空间 修改或破坏系统信息 非法格式化磁盘，非法加密或解密用户文件 在磁盘上产生坏扇区 降低系统运行速度病毒的起源和发展二、病毒的定义和分类

计算机病毒是一个程序，一段可执行码，具有独特的复制能力。计算机病毒可以快速地传染，并很难解除。它们把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，病毒就随着文件一起被传播了。

计算机病毒确切定义是能够通过某种途径潜伏在计算机存储介质（或程序）里，当达到某种条件时即被激活具有对计算机资源进行破坏的一组程序或指令的集合。病毒的定义和分类

一、

病毒的定义计算机病毒的特点1）可执行性

当用户运行正常程序时，病毒伺机窃取到系统的控制权，得以抢先运行。2）破坏性

无论何种病毒程序，一旦侵入系统都会对操作系统的运行造成不同程度的影响。3）传染性

把自身复制到其他程序中的特性。

是计算机病毒最重要的特征，是判断一段程序代码是否为计算机病毒的依据。

病毒可以附着在其它程序上，通过磁盘、光盘、计算机网络等载体进行传染，被传染的计算机又成为病毒的生存的环境及新传染源。病毒的定义和分类4）潜伏性

病毒发作是由触发条件来确定。为了防止用户察觉，计算机病毒会想方设法隐藏自身。通常粘附在正常程序之中或磁盘引导扇区中，或者磁盘上标为坏簇的扇区中，以及一些空闲概率较大的扇区中，即非法可存储性。5）针对性

针对不同的操作系统、不同的应用软件。6）衍生性

具有依附其他媒体而寄生的能力。

在传播的过程中自动改变自己的形态，从而衍生出另一种不同于原版病毒的新病毒，这种新病毒称为病毒变种。7）抗反病毒软件性

有变形能力的病毒能更好地在传播过程中隐蔽自己，使之不易被反病毒程序发现及清除，并具有反杀的能力。病毒的定义和分类病毒的传播方式：

通过文件系统传播；

通过电子邮件传播；

通过局域网传播；

通过即时通讯软件和点对点软件等常用工具传播；

利用系统、应用软件的漏洞进行传播；

利用系统配置缺陷传播，如弱口令、完全共享等；

利用欺骗等社会工程的方法传播。病毒的定义和分类三、

VBS病毒的起源与发展

及其危害VBS病毒的起源与发展及其危害VBS病毒的运行基础是微软公司提供的脚本程序：WSH（WindowsScriptingHost）。WSH通用的中文译名为“Windows脚本宿主”。应该说，WSH的优点在于它使用户可以充分利用脚本来实现计算机工作的自动化。计算机病毒制造者也正是利用脚本语言来编制病毒，并利用WSH的支持功能，让这些隐藏着病毒的脚本在网络中传播。“ILoveYou”病毒便是一个典型的代表。一、

VBS的运行基础当微软在推出WHS后不久，在Windows95操作系统中就发现了利用WHS的病毒，随后又出现了更为厉害的“HapplyTime（欢乐时光）”病毒，这种病毒不断的利用自身的复制功能，把自身复制到计算机内的每一个文件夹内。

2000年5月4日在欧美地区爆发的“宏病毒”网络蠕虫病毒。由于通过电子邮件系统传播，宏病毒在短短几天内狂袭全球数以百万计的电脑。包括微软、Intel等公司在内的众多大型企业网络系统瘫痪，全球经济损失达数十亿美元。2004年爆发的“新欢乐时光”病毒也给全球经济造成了巨大损失。二、

VBS病毒的发展和危害VBS病毒的起源与发展及其危害

1、VBS脚本病毒如何感染、搜索文件VBS脚本病毒一般是直接通过自我复制来感染文件的，病毒中的绝大部分代码都可以直接附加在其他同类程序的中间，譬如新欢乐时光病毒可以将自己的代码附加在.htm文件的尾部，并在顶部加入一条调用病毒代码的语句，而爱虫病毒则是直接生成一个文件的副本，将病毒代码拷入其中，并以原文件名作为病毒文件名的前缀，vbs作为后缀。 2、VBS脚本病毒通过网络传播的几种方式及代码分析

通过E-mail附件传播

通过局域网共享传播三、

VBS病毒的发展和危害VBS病毒的起源与发展及其危害四、蠕虫病毒蠕虫病毒蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播，传染途径是通过网络和电子邮件蠕虫病毒是自包含的程序(或是一套程序)，它能传播自身功能的拷贝或自身（蠕虫病毒）的某些部分到其他的计算机系统中(通常是经过网络连接)蠕虫病毒的传染目标是互联网内的所有计算机，局域网条件下的共享文件夹、电子邮件email、网络中的恶意网页、大量存在着漏洞的服务器等都成为蠕虫传播的良好途径网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性会使得人们手足无策蠕虫与漏洞网络蠕虫最大特点是利用各种漏洞进行自动传播根据网络蠕虫所利用漏洞的不同，又可以将其细分邮件蠕虫主要是利用MIME(MultipurposeInternetMailExtensionProtocol，多用途的网际邮件扩充协议)漏洞MIME描述漏洞蠕虫与漏洞网页蠕虫（木马）主要是利用IFrame漏洞和MIME漏洞网页蠕虫可以分为两种用一个IFrame插入一个Mail框架，同样利用MIME漏洞执行蠕虫，这是直接沿用邮件蠕虫的方法用IFrame漏洞和浏览器下载文件的漏洞来运作的，首先由一个包含特殊代码的页面去下载放在另一个网站的病毒文件，然后运行它，完成蠕虫传播系统漏洞蠕虫利用RPC溢出漏洞的冲击波、冲击波杀手利用LSASS溢出漏洞的震荡波、震荡波杀手系统漏洞蠕虫一般具备一个小型的溢出系统，它随机产生IP并尝试溢出，然后将自身复制过去它们往往造成被感染系统性能速度迅速降低，甚至系统崩溃，属于最不受欢迎的一类蠕虫蠕虫的工作方式与扫描策略蠕虫的工作方式一般是“扫描→攻击→复制”蠕虫的工作方式与扫描策略蠕虫的扫描策略现在流行的蠕虫采用的传播技术目标，一般是尽快地传播到尽量多的计算机中扫描模块采用的扫描策略是：随机选取某一段IP地址，然后对这一地址段上的主机进行扫描没有优化的扫描程序可能会不断重复上面这一过程，大量蠕虫程序的扫描引起严重的网络拥塞对扫描策略的改进在IP地址段的选择上，可以主要针对当前主机所在的网段进行扫描，对外网段则随机选择几个小的IP地址段进行扫描对扫描次数进行限制，只进行几次扫描把扫描分散在不同的时间段进行蠕虫的工作方式与扫描策略蠕虫常用的扫描策略选择性随机扫描(包括本地优先扫描)可路由地址扫描(RoutableScan)地址分组扫描(Divide-ConquerScan)组合扫描(HybridScan)极端扫描(ExtremeScan)从传播模式进行安全防御对蠕虫在网络中产生的异常，有多种的的方法可以对未知的蠕虫进行检测，比较通用的方法是对流量异常的统计分析，主要包括对TCP连接异常的分析和ICMP数据异常分析的方法。从传播模式进行安全防御在蠕虫的扫描阶段，蠕虫会随机的或者伪随机的生成大量的IP地址进行扫描，探测漏洞主机。这些被扫描主机中会存在许多空的或者不可达的IP地址，从而在一段时间里，蠕虫主机会接收到大量的来自不同路由器的ICMP不可达数据包。流量分析系统通过对这些数据包进行检测和统计，在蠕虫的扫描阶段将其发现，然后对蠕虫主机进行隔离，对蠕虫其进行分析，进而采取防御措施。将ICMP不可达数据包进行收集、解析，并根据源和目的地址进行分类，如果一个IP在一定时间（T）内对超过一定数量（N）的其它主机的同一端口（P）进行了扫描，则产生一个发现蠕虫的报警（同时还会产生其它的一些报警）。用Sniffer进行蠕虫检测一般进行流量分析时，首先关注的是产生网络流量最大的那些计算机。利用Sniffer的HostTable功能，将所有计算机按照发出数据包的包数多少进行排序发包数量前列的IP地址为的主机，其从网络收到的数据包数是0，但其向网络发出的数据包是445个；这对HTTP协议来说显然是不正常的，HTTP协议是基于TCP的协议，是有连接的，不可能是光发不收的，一般来说光发包不收包是种类似于广播的五、缓冲区溢出病毒 缓冲区溢出是目前导致“黑客”型病毒横行的主要原因。从“红色代码”到“Slammer”，再到“冲击波”，都是利用缓冲区溢出漏洞的典型病毒案例。缓冲区溢出是一个编程问题，防止利用缓冲区溢出发起的攻击，关键在于程序开发者在开发程序时仔细检查溢出情况，不允许数据溢出缓冲区。此外，用户需要经常登录操作系统和应用程序提供商的网站，跟踪公布的系统漏洞，及时下载补丁程序，弥补系统漏洞。

缓冲区溢出导致“黑客”病毒横行缓冲区溢出与病毒攻击的原理冲击波病毒警惕程度：★★★★病毒类型：蠕虫病毒发作时间：随机传播途径：网络/RPC漏洞依赖系统：Windows2000WindowsXPWindowsServer2003RPCRPC（RemoteProcedureCallProtocol）远程过程调用协议

它是一种通过网络从远程计算机程序上请求服务。病毒原理利用微软公司公布的RPC漏洞进行传播的，只要是计算机上有RPC服务并且没有打安全补丁的计算机都存在有RPC漏洞。DCOM分布式组件对象模型微软软件的一系列程序接口，利用这个接口，客户端程序对象能够请求来自网络中另一台计算机上的服务器程序对象。分布式组件对象模型基于组件对象模型（COM），COM提供了一套允许同一台计算机上的客户端和服务器之间进行通信的接口。病毒运行时......不停地利用IP扫描技术寻找网络上系统为XP的计算机,找到后就利用DCOMRPC缓冲区漏洞攻击该系统，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、不停重启、甚至导致系统崩溃。另外，该病毒还会对微软的一个升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统。病毒发作系统资源被大量占用，并且系统反复重启，不能收发邮件、不能正常复制文件、无法正常浏览网页，复制粘贴等操作受到严重破坏，且不能复制粘贴，有时会弹出RPC服务终止的对话框。病毒如何进行......1.将自身复制到window目录下，并命名为.msblast.exe。⒉病毒运行时会在系统中建立一个名为：“BILLY”的互斥量，目的是病毒只保证在内存中有一份病毒体，为了避免用户发现。⒊病毒运行时会在内存中建立一个名为：“msblast.exe”的进程，该进程就是活的病毒体。⒋病毒会修改注册表，以便每次启动系统时，病毒都会运行。会以20秒为间隔，每20秒检测一次网络状态，当网络可用时，病毒会在本地建立一个服务器并启动一个攻击传播线程，不断地随机生成攻击地址，进行攻击。另外该病毒攻击时，会首先搜索子网的IP地址，以便就近攻击。当病毒扫描到计算机后，就会向目标计算机端口发送攻击数据。成功后，便会监听目标计算机的端口，并绑定cmd.exe。然后蠕虫会连接到这个端口，发送命令，回连到发起进攻的主机，将msblast.exe传到目标计算机上并运行。病毒如何进行......六、木马程序特洛伊木马的定义特洛伊木马(TrojanHorse)，简称木马，是一种恶意程序，是一种基于远程控制的黑客工具，一旦侵入用户的计算机，就悄悄地在宿主计算机上运行，在用户毫无察觉的情况下，让攻击者获得远程访问和控制系统的权限，进而在用户的计算机中修改文件、修改注册表、控制鼠标、监视/控制键盘，或窃取用户信息古希腊特洛伊之战中利用木马攻陷特洛伊城；现代网络攻击者利用木马，采用伪装、欺骗(哄骗，Spoofing)等手段进入被攻击的计算机系统中，窃取信息，实施远程监控

特洛伊木马是一种秘密潜伏的能够通过远程网络进行控制的恶意程序。

控制者可以控制被秘密植入木马的计算机的一切动作和资源，是恶意攻击者进行窃取信息等的工具。他由黑客通过种种途径植入并驻留在目标计算机里。

木马可以随计算机自动启动并在某一端口进行侦听，在对目标计算机的的数据、资料、动作进行识别后，就对其执行特定的操作，并接受“黑客”指令将有关数据发送到“黑客大本营”。这只是木马的搜集信息阶段，黑客同时可以利用木马对计算机进行进一步的攻击！这时的目标计算机就是大家常听到的“肉鸡”了！2．特洛伊木马病毒的危害性

特洛伊木马和病毒、蠕虫之类的恶意程序一样，也会删除或修改文件、格式化硬盘、上传和下载文件、骚扰用户、驱逐其他恶意程序。

除此以外，木马还有其自身的特点：

窃取内容；

远程控制。特洛伊木马技术的发展木马的发展及成熟，大致也经历了两个阶段Unix阶段Windows阶段木马技术发展至今，已经经历了4代第一代木马只是进行简单的密码窃取、发送等，没有什么特别之处第二代木马在密码窃取、发送等技术上有了很大的进步，冰河可以说是国内木马的典型代表之一第三代木马在数据传输技术上，又做了不小的改进，出现了ICMP等类型的木马，利用畸形报文传递数据，增加了查杀的难度第四代木马在进程隐藏方面，做了很大的改动，采用了内核插入式的嵌入方式，利用远程插入线程技术，嵌入DLL线程；或者挂接PSAPI(ProcessStatusAPI)，实现木马程序的隐藏常见的特洛伊木马常见的特洛伊木马，例如BackOrifice和SubSeven等，都是多用途的攻击工具包，功能非常全面，包括捕获屏幕、声音、视频内容的功能。这些特洛伊木马可以当作键记录器、远程控制器、FTP服务器、HTTP服务器、Telnet服务器，还能够寻找和窃取密码。由于功能全面，所以这些特洛伊木马的体积也往往较大，通常达到100KB至300KB，相对而言，要把它们安装到用户机器上而不引起任何人注意的难度也较大。常见的特洛伊木马

对于功能比较单一的特洛伊木马，攻击者会力图使它保持较小的体积，通常是10KB到30KB，以便快速激活而不引起注意。这些木马通常作为键记录器使用，它们把受害用户的每一个键击事件记录下来，保存到某个隐藏的文件，这样攻击者就可以下载文件分析用户的操作了。常见的特洛伊木马BackOrifice是一个远程访问特洛伊木马的病毒，该程序使黑客可以经TCP/IP网络进入并控制windows系统并任意访问系统任何资源，通过调用cmd.exe系统命令实现自身的功能，其破坏力极大。SubSeven可以作为键记录器、包嗅探器使用，还具有端口重定向、注册表修改、麦克风和摄像头记录的功能。SubSeven还具有其他功能：攻击者可以远程交换鼠标按键，关闭/打开CapsLock、NumLock和ScrollLock，禁用Ctrl+Alt+Del组合键，注销用户，打开和关闭CD-ROM驱动器，关闭和打开监视器，翻转屏幕显示，关闭和重新启动计算机常见的特洛伊木马在2006年之前，冰河在国内一直是不可动摇的领军木马，在国内没用过冰河的人等于没用过木马，由此可见冰河木马在国内的影响力之巨大。该软件主要用于远程监控，自动跟踪目标机屏幕变化等。冰河原作者：黄鑫，冰河的开放端口7626据传为其生日号。1．自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）；2．记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息；3．获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据；4．限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制；5．远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式）等多项文件操作功能；6．注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能；常见的特洛伊木马灰鸽子（Hack.Huigezi）是一个集多种控制方法于一体的木马病毒，一旦用户电脑不幸感染，可以说用户的一举一动都在黑客的监控之下，要窃取账号、密码、照片、重要文件都轻而易举。自2001年，灰鸽子诞生之日起，就被反病毒专业人士判定为最具危险性的后门程序，并引发了安全领域的高度关注。2004年、2005年、2006年，灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒，灰鸽子也因此声名大噪，逐步成为媒体以及网民关注的焦点。特洛伊木马的定义木马与病毒一般情况下，病毒是依据其能够进行自我复制即传染性的特点而定义的特洛伊木马主要是根据它的有效载体，或者是其功能来