信息安全体系培训材料

平安体系知识要点OSI模型及TCP/IP协议簇；主要网络平安协议和机制；网络平安特性；网络体系结构；影响网络平安的主要因素；网络平安常见防护措施；主机平安技术；数据库平安技术；应用系统平安技术；大纲平安事件回放信息平安现状信息平安建设的重要性信息平安技术体系信息平安管理体系信息平安保障体系信息平安防护措施日常平安习惯建议某运营商充值卡被盗平安小贴士：加强第三方帐号管理典型平安事件回放典型平安事件回放某运营商门户网站被黑08年磁碟机〔千足虫〕07年熊猫烧香06年震荡波05年阻击波平安事件回放平安小贴士：杀〔防〕毒软件不可少一个主机感染SQL

Slammer病毒导致整个网络中断平安事件回放平安小贴士：杀〔防〕毒软件不可少网银大盗假工行网站网吧QQ号被窃取厦门网上水货案平安事件回放平安小贴士：时刻警惕“网络钓鱼〞AV终结者MSN机器人平安事件回放平安小贴士：不下载来路不明软件及程序物理平安相关平安小贴士：做好灾备，保证业务连续性；平安事件回放社会工程学骗取充值渗透测试案例平安小贴士：时刻提高平安意识；平安事件回放系统漏洞导致的损失2004年，Mydoom所造成的经济损失已经到达261亿美元。2005年，Nimda电脑病毒在全球各地侵袭了830万部电脑，总共造成5亿9000万美元的损失。2006年，美国联邦调查局公布报告估计：“僵尸网络〞、蠕虫、特洛伊木马等电脑病毒给美国机构每年造成的损失达119亿美元。2007年熊猫烧香造成巨大损失。2021年磁碟机造成熊猫烧香10倍损失。大纲平安事件回放信息平安现状信息平安建设的重要性信息平安技术体系信息平安管理体系信息平安保障体系信息平安防护措施日常平安习惯建议信息平安现状信息平安的概述从历史的角度看平安信息平安背景趋势什么是信息平安欧共体对信息平安的定义：网络与信息平安可被理解为在既定的密级条件下，网络与信息系统抵御意外事件或恶意行为的能力。这些事件和行为将危及所存储或传输到达数据以及经由这些网络和系统所提供的效劳的可用性、真实性、完整性和保密性。我国平安保护条例的平安定义：计算机信息系统的平安保护，应当保障计算机及其相关的和配套的设备、设施〔含网络〕的平安，运行环境的平安，保障信息的平安，保障计算机功能的正常发挥，以维护计算机信息系统的平安运行。◆信息平安的定义CIA？？？信息平安的特征〔CIA〕ISO17799中的描述Informationsecurityischaracterizedhereasthepreservationof:ConfidentialityIntegrityAvailability信息在平安方面三个特征：机密性：确保只有被授权的人才可以访问信息；完整性：确保信息和信息处理方法的准确性和完整性；可用性：确保在需要时，被授权的用户可以访问信息和相关的资产。平安的根本要求完整性：〔Integrity〕拥有的信息是否正确；保证信息从真实的信源发往真实的信宿，传输、存储、处理中未被删改、增添、替换。机密性：〔Confidentiality〕谁能拥有信息，保证国家秘密和敏感信息仅为授权者享有可用性：〔Availability〕信息和信息系统是否能够使用保证信息和信息系统随时可为授权者提供效劳而不被非授权者滥用。可控性：〔Controllability〕是否能够监控管理信息和系统保证信息和信息系统的授权认证和监控管理。不可否认性：〔Non-repudiation〕为信息行为承担责任，保证信息行为人不能否认其信息行为。相对性：没有百分百的平安综合性：涉及管理及技术多个层面单一性：网络平安产品功能相对单一动态性：技术跟进和维护支持的重要性管理难度大平安特征

信息平安现状信息平安的概述从历史的角度看平安信息平安背景趋势第一阶段：通信保密上世纪40年代－70年代重点是通过密码技术解决通信保密问题，保证数据的保密性与完整性主要平安威胁是搭线窃听、密码学分析主要保护措施是加密第二阶段：计算机平安上世纪70－80年代重点是确保计算机系统中硬件、软件及正在处理、存储、传输的信息的机密性、完整性和可控性主要平安威胁扩展到非法访问、恶意代码、脆弱口令等主要保护措施是平安操作系统设计技术〔TCB〕第三阶段：信息系统平安上世纪90年代以来重点需要保护信息，确保信息在存储、处理、传输过程中及信息系统不被破坏，强调信息的保密性、完整性、可控性、可用性。主要平安威胁开展到网络入侵、病毒破坏、信息对抗的攻击等VPN虚拟专用网防火墙内容检测防病毒入侵检测第四阶段：信息平安保障人，借助技术的支持，实施一系列的操作过程，最终实现信息保障目标。信息平安现状信息平安的概述从历史的角度看平安信息平安背景趋势系统漏洞多，容易被攻击，被攻击时很难发现；有组织有方案的入侵无论在数量上还是在质量上都呈现快速增长趋势；病毒蠕虫泛滥。攻击工具化。有制度、措施、标准，大局部流于形式，缺乏平安宣传教育。◆信息系统平安领域存在的挑战信息平安背景趋势新一代恶意代码〔蠕虫、木马〕2002信息平安背景趋势◆黑客攻击技术多种攻击技术的融合

攻击工具体系化信息平安背景趋势信息平安背景趋势

黑客大聚会信息平安背景趋势

攻击经验切磋谁会攻击我们？信息平安面临威胁分析国家由政府主导，有很好的组织和充足的财力；利用国外的服务引擎来收集来自被认为是敌对国的信息黑客攻击网络和系统以发现在运行系统中的弱点或其它错误的一些个人恐怖分子/计算机恐怖分子代表使用暴力或威胁使用暴力以迫使政府或社会同意其条件的恐怖分子或团伙有组织的犯罪有协调的犯罪行为，包括赌博、诈骗、贩毒和许多其它的行为其它犯罪团体犯罪社团之一，一般没有好的组织或财力。通常只有很少的几个人，甚至完全是个人的行为国际媒体向纸业和娱乐业的媒体收集并散发——有时是非授权的——新闻的组织。包括收集任何时间关于任何一个人的任意一件新闻工业竞争者在市场竞争中运行的国内或国际企业常以企业间谍的形式致力于非授权收集关于竞争对手或外国政府的信息有怨言的员工怀有危害局域网络或系统想法的气愤、不满的员工粗心或未受到良好训练的员工那些或因缺乏训练，或因缺乏考虑，或因缺乏警惕的人给信息系统带来的威胁。这是内部威胁与敌人的另一个例子。

威胁来源〔NSA的观点〕平安威胁分析信息平安的相对性平安没有100%完美的健康状态永远也不能到达；平安工作的目标：将风险降到最低大纲平安事件回放信息平安现状信息平安建设的重要性信息平安技术体系信息平安管理体系信息平安保障体系信息平安防护措施日常平安习惯建议信息平安建设的重要性业务需求合规性要求平安影响个人绩效大纲平安事件回放信息平安现状信息平安建设的重要性信息平安技术体系信息平安管理体系信息平安保障体系信息平安防护措施日常平安习惯建议结构性平安脆弱性永远存在，突破任何防御只是时间问题注重结构平安的动态信息平安模型，Pt>Dt+Rt〔防护的时间>检测的时间＋响应的时间〕一个结构性平安的例子：银行金库的防护Pt时间DtRt静态脆弱性平安相对被动，而动态的结构性平安防患未然信息平安技术防病毒和恶意代码技术防火墙技术与VPN技术防非法访问行为技术密码技术和PKI技术平安域间的访问控制入侵检测技术漏洞扫描技术平安审计跟踪技术防火墙技术具有阻断功能的所有技术灾难备份恢复技术还击技术大纲平安事件回放信息平安现状信息平安建设的重要性信息平安技术体系信息平安管理体系信息平安保障体系信息平安防护措施日常平安习惯建议网络小组组长a病毒防护人员IP和机房管理入侵检测人员FW管理人员系统小组组长b漏洞弥补人员服务开关管理系统运行管理设备进出网络开发小组组长c分析设计文档编码测试联调应用部署维护安全设计文档CSO经理一人与副经理制定策略；协调本部门的工作；协调各职能部门的工作副经理二人：审计检查；实施策略安全专员X人：网络小组二人，组长a;系统小组二人，组长b;开发小组二人，组长c;信息安全部职能部门安全专员X人：每个职能部门一人，如总裁办、投资银行等各有一人。职责：1、在本部门推行、检察安全策略和制度的执行；2、本部门征求并反映本部门建议和意见；3、给出本部门每个员工的安全分数作为奖惩依据。组织机构示意图信息平安管理内容1.风险评估2.平安策略3.物理平安4.设备管理运行管理软件平安管理7.信息平安管理8.人员平安管理9.应用系统平安管理10.操作平安管理11.技术文档平安管理12.灾难恢复方案13.平安应急响应信息平安管理的制度IP地址管理制度防火墙管理制度病毒和恶意代码防护制度效劳器上线及日常管理制度口令管理制度开发平安管理制度应急响应制度制度运行监督

。。。。。。PDCA循环：Plan—Do—Check—Act方案实施检查改进PDAC

信息平安管理原那么领导重视√指明方向和目标√权威√预算保障，提供所需的资源√监督检查√组织保障信息平安管理原那么

全员参与√信息平安不仅仅是IT部门的事；√让每个员工明白随时都有信息平安问题；√每个员工都应具备相应的平安意识和能力；√让每个员工都明确自己承担的信息平安责任；信息平安管理原那么

文件化√文件的作用：有章可循，有据可查√文件的类型：手册、标准、指南、记录信息平安管理原那么

沟通意图，统一行动重复和可追溯提供客观证据用于学习和培训

文件的作用：有章可循，有据可查持续改进√信息安全是动态的，时间性强√持续改进才能有最大限度的安全√组织应该为员工提供持续改进的方法和手段

√实现信息安全目标的循环活动信息平安管理原那么信息平安工作的目的进不来拿不走改不了跑不了看不懂大纲平安事件回放信息平安现状信息平安建设的重要性信息平安技术体系信息平安管理体系信息平安保障体系信息平安防护措施日常平安习惯建议IATF：信息保障技术框架信息平安相关标准ISO17799/ISO27001CCSCCISO17799/ISO27001是目前最广为接受的信息平安管理标准ISO17799:2005〔BS7799-1:1999〕CodeofPracticeforInformationSecurityManagement信息平安管理实施指南 (指导如何进行平安管理实践)ISO27001:2005〔BS7799-2:2002〕SpecificationforInformationSecurityManagementSystem信息平安管理体系标准 (建立的信息平安管理体系必须符合的要求)评估标准CC信息产品通用测评准那么CC(CommonCriteria)/ISO15408ISO/IEC15408旨在支持IT产品和系统中IT平安特征的技术性评估CC还可以用于描述用户对平安性的技术需求CC囊括了平安产品的生命周期〔设计、生产、使用〕SCC〔信息系统平安评估准那么〕标准标准共包括四个局部第一局部：简介和一般模型第二局部：技术准那么第三局部：管理准那么第四局部：工程准那么第一部分简介和一般模型第二部分技术准则技术组件技术架构能力级第三部分管理准则管理组件管理能力级第四部分工程准则工程组件工程能力级大纲平安事件回放信息平安现状信息平安建设的重要性信息平安技术体系信息平安管理体系信息平安保障体系信息平安防护措施日常平安习惯建议TCP/IP简介TCP/IP代表传输控制协议和网际协议，除了这两个重要协议外，还有许多相关的协议和工具，它们组合在一起共同构成了TCP/IP协议集〔协议栈〕。网络体系架构ISO/OSI参考模型

TCP/IP参考模型应用层表示层会话层传输层网络层数据链路层物理层应用层传输层网络层网络接口层TCP/IP协议栈

HTTPSMTPTELNETDNSSNMPTCPUDPICMPIPIGMPARPRARP应用层传输层网络层网络接口层用户数据经过协议栈的封装过程IP协议IP:是TCP/IP协议族中至关重要的组成局部,但它提供的是一种不可靠、无连接的的数据报传输效劳。不可靠〔unreliable)：不能保证一个IP数据报成功地到达其目的地。错误处理方法：扔掉该数据报，向其发送者传送一个ICMP消息。无连接〔connectionless)：IP并不维护关于连续发送的数据报的任何状态信息。每个数据报单独处理，在传送过程中可能出现错序。MTU链路层封装的帧都有一个大小上的限度,即最大传输单元MTU.取自RFC1191的一些典型的MTU,如果IP数据报大于链路层的MTU,将执行分段操作IP地址在互联网中，通过IP层软件提供一种通用的地址格式，在统一管理下进行分配，确保一个地址对应一台主机。通称IP层所用的地址为互联网地址或IP地址。IPV4规定地址总长32比特，分为5类。特殊意义的IP地址•保存地址，只用于内部通信

•主机号全“0〞全“1〞的地址在TCP/IP协议中有特殊含义，不能用作一台主机的有效地址。 网络地址:主机号所有位都为“０〞的地址表示网络本身 回送地址保存做回路loopback)测试，大多数系统使用ARP•在局域网中，现在用的最多的是以太网协议。每个以太网卡都有唯一的以太网物理地址。(也叫MAC地址)。ARP解决如何将IP地址翻译成MAC地址的问题。•ARP地址翻译通过查地址翻译表来实现的。ICMP协议•InternetControlMessageProtocol，本身是IP的一局部 –ICMP报文用于报告在传输报文的过程中发生的各种情况•在IP协议栈实现TCP数据包格式20字节UDP数据包格式TCP连接的三次握手过程TCP的知名端口0保存20FTP-data21FTP-command22SSH23Telnet25SMTP53DNS80WWWHTTP110POP3139NetBIOSUDP的知名端口•0保存•49login•53DNS•69TFTP•80WWWHTTP•110POP3•161SNMP•213IPX•2049NFS信息平安防护措施常见威胁防护日常应用程序防护Windows系统防护数据库平安防护常见威胁防护黑客攻击病毒蠕虫木马僵尸网络恶意代码什么是黑客黑客起源的背景起源地：美国精神支柱：对技术的渴求对自由的渴求历史背景：越战与反战活动马丁·路德金与自由嬉皮士与非主流文化飞客与计算机革命平安攻防技术黑客简史罗伯特•莫里斯1988年，莫里斯蠕虫病毒震撼了整个世界。由原本寂寂无名的大学生罗伯特·莫里斯制造的这个蠕虫病毒入侵了大约6000个大学和军事机构的计算机，使之瘫痪。此后，从CIH到美丽杀病毒，从尼姆到达红色代码，病毒、蠕虫的开展愈演愈烈。平安攻防技术黑客简史凯文•米特尼克凯文•米特尼克是美国20世纪最著名的黑客之一，他是?社会工程学?的创始人1979年他和他的伙伴侵入了北美空防指挥部。1983年的电影?战争游戏?演绎了同样的故事，在片中，以凯文为原型的少年黑客几乎引发了第三次世界大战。平安攻防技术黑客简史中国的“黑客文化〞平安攻防技术黑客简史中国缺乏欧美抚育黑客文化的土壤缺少庞大的中产阶层缺少丰富的技术积累中国的黑客文化更多带有“侠〞的色彩侠之大者，为国为民侠之小者，除暴安良中国“黑客〞重要历史事件1998年印尼事件1999年南联盟事件2000年安氏网站被黑事件绿色兵团南北分拆事件中美五一黑客大战事件平安攻防技术黑客简史黑客的分类灰帽子破解者破解已有系统发现问题/漏洞突破极限/禁制展现自我计算机为人民效劳漏洞发现-袁哥等软件破解-0Day工具提供-Numega白帽子创新者设计新系统打破常规精研技术勇于创新没有最好，只有更好MS-BillGatesGNU-R.StallmanLinux-Linus善黑帽子破坏者随意使用资源恶意破坏散播蠕虫病毒商业间谍人不为己，天诛地灭入侵者-K.米特尼克CIH-陈英豪攻击Yahoo者-匿名恶渴求自由平安攻防技术黑客简史2001年中美黑客大战事件背景和经过4.1撞机事件为导火线4月初，以PoizonB0x、pr0phet为代表的美国黑客组织对国内站点进行攻击，约300个左右的站点页面被修改4月下旬，国内红〔黑〕客组织或个人，开始对美国网站进行小规模的攻击行动，4月26日有人发表了“五一卫国网战〞战前声明，宣布将在5月1日至8日，对美国网站进行大规模的攻击行动。各方都得到第三方支援各大媒体纷纷报道，评论，中旬结束大战PoizonB0x、pr0phet更改的网页中经网数据有限公司中国科学院心理研究所国内某政府网站国内某大型商业网站国内黑客组织更改的网站页面美国劳工部网站美国某节点网站美国某大型商业网站美国某政府网站采用的常用攻击手法红客联盟负责人在5月9日网上记者新闻发布会上对此次攻击事件的技术背景说明如下：“我们更多的是一种不满情绪的发泄，大家也可以看到被攻破的都是一些小站，大局部都是NT/Win2000系统，这个行动在技术上是没有任何炫耀和炒作的价值的。〞主要采用当时流行的系统漏洞进行攻击被利用的典型漏洞用户名泄漏，缺省安装的系统用户名和密码ASP源代码泄露可远程连接的数据库用户名和密码SQLserver缺省安装微软Windows2000登录验证机制可被绕过Bind远程溢出，Lion蠕虫SUNrpc.sadmind远程溢出，sadmin/IIS蠕虫Wu-Ftpd格式字符串错误远程平安漏洞拒绝效劳(syn-flood,ping)被利用的典型漏洞用户名泄漏，缺省安装的系统用户名和密码入侵者利用黑客工具扫描系统用户获得用户名和简单密码被利用的典型漏洞Windows2000登录验证机制可被绕过Example采用漏洞扫描工具选择会用的方式入侵获取系统一定权限提升为最高权限安装系统后门获取敏感信息或者其他攻击目的入侵系统的常用步骤端口判断判断系统选择最简方式入侵分析可能有漏洞的效劳获取系统一定权限提升为最高权限安装多个系统后门去除入侵脚印攻击其他系统获取敏感信息作为其他用途较高明的入侵步骤常见的平安攻击方法直接获取口令进入系统：网络监听，暴力破解利用系统自身平安漏洞特洛伊木马程序：伪装成工具程序或者游戏等诱使用户翻开或下载，然后使用户在无意中激活，导致系统后门被安装WWW欺骗：诱使用户访问纂改正的网页电子邮件攻击：邮件炸弹、邮件欺骗网络监听：获取明文传输的敏感信息通过一个节点来攻击其他节点：攻击者控制一台主机后，经常通过IP欺骗或者主机信任关系来攻击其他节点以隐蔽其入侵路径和擦除攻击证据拒绝效劳攻击和分布式拒绝效劳攻击(和)“拒绝效劳攻击〔DenialofService〕〞的方法，简称DoS。它的恶毒之处是通过向效劳器发送大量的虚假请求，效劳器由于不断应付这些无用信息而最终筋疲力尽，而合法的用户却由此无法享受到相应效劳，实际上就是遭到效劳器的拒绝效劳。DOS&&DDOSSQL注入攻击SQLInjection是指SQL指令植入式攻击，主要是属于InputValidation〔输入验证〕的问题。一个利用写入特殊SQL程序代码攻击应用程序的动作。影响的系统包括MSSQL、MySQL、Oracle、Sybase与DB2等。SQLInjection原理select*frommemberwhereUID=‘“&request(〞ID“)&〞’AndPasswd=‘“&request(〞Pwd“)&〞’如果正常使用者帐号是A123456789，密碼1234，那么select*frommemberwhereUID='A123456789'AndPasswd='1234'输入的帐号与密码等资料会取代ASP(orPHP、JSP)中的变量，并由两个单引号('')所包住，即：select*frommemberwhereUID='"&request("ID")&"'AndPaswd='"&request("Pwd")&"'攻击实例可以输入用户名abcdefg(任意输入)，密码asdf(任意输入)'or1=1即后台的语句为select*frommemberwhereUID='abcdefg'AndPasswd='asdf'or1=1--'，那么攻击者可以轻易进入系统。防止SQLInjection可以过滤输入条件中可能隐含的sql指令，如INSERT、SELECT、UPDATE等针对输入条件进行标准，如无必要，应改为仅可接受大小写英文字母与数写等。针对特殊的查询参数进行过滤，如--、‘等可利用replace(xx,“’〞,“‘’〞)进行替换，在程序编写时，应时常检查程序是否存在有非预期输入资料的漏洞。缓冲区溢出攻击缓冲区溢出技术原理

通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以到达攻击的目的。ARP工作原理主机A主机D

主机B网关

网关C

ARP攻击手法本地ARP攻击

利用ARP的应答包无检验的缺陷

ARP欺骗攻击的核心就是向目标主机发送伪造的ARP应答，并使目标主机接收应答中伪造的IP与MAC间的映射对，并以此更新目标主机缓存。ARP攻击防范MAC地址绑定:繁琐但是有效划分VLAN：限制攻击的范围静态ARP:效果不明显AntiARPSniffer:对ARP欺骗进行监听社会工程学攻击

社交工程是使用计策和假情报去获得密码和其他敏感信息的科学，研究一个站点的策略其中之一就是尽可能多的了解这个组织的个体，因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。举个例子：一组高中学生曾经想要进入一个当地的公司的计算机网络，他们拟定了一个表格，调查看上去显得是无害的个人信息，例如所有秘书和行政人员和他们的配偶、孩子的名字，这些从学生转变成的黑客说这种简单的调查是他们社会研究工作的一局部。利用这份表格这些学生能够快速的进入系统，因为网络上的大多数人是使用宠物和他们配偶名字作为密码。社会工程学攻击目前社会工程学攻击主要包括两种方式：打请求密码和伪造Email1、打请求密码尽管不像前面讨论的策略那样聪明，打寻问密码也经常奏效。在社会工程中那些黑客冒充失去密码的合法雇员，经常通过这种简单的方法重新获得密码。2、伪造Email使用telnet一个黑客可以截取任何一个身份证发送Email的全部信息，这样的Email消息是真的，因为它发自于一个合法的用户。在这种情形下这些信息显得是绝对的真实。黑客可以伪造这些。一个冒充系统管理员或经理的黑客就能较为轻松的获得大量的信息，黑客就能实施他们的恶意阴谋。物理攻击与防范

物理平安是保护一些比较重要的设备不被接触。物理平安比较难防，因为攻击往往来自能够接触到物理设备的用户。暴力攻击暴力攻击的一个具体例子是，一个黑客试图使用计算机和信息去破解一个密码。一个黑客需要破解—段单一的被用非对称密钥加密的信息，为了破解这种算法，一个黑客需要求助于非常精密复杂的方法，它使用120个工作站，两个超级计算机利用从三个主要的研究中心获得的信息，即使拥有这种配备，它也将花掉八天的时间去破解加密算法，实际上破解加密过程八天已是非常短暂的时间了。TCP/IP的每个层次都存在攻击TelnetSMTPDNSFTPUDPTCPIP以太网无线网络SATNETARPNET应用程序攻击拒绝服务攻击数据监听和窃取硬件设备破坏电磁监听混合型、自动的攻击

WorkstationViaEmailFileServerWorkstationMailServerInternet混合型攻击:蠕虫WebServerViaWebPageWorkstationWebServerMailGateway防病毒防火墙入侵检测风险管理攻击的开展趋势漏洞趋势严重程度中等或较高的漏洞急剧增加,新漏洞被利用越来越容易(大约60%不需或很少需用代码)混合型威胁趋势将病毒、蠕虫、特洛伊木马和恶意代码的特性与效劳器和Internet漏洞结合起来而发起、传播和扩散的攻击,例：红色代码和尼姆达等。攻击的开展趋势主动恶意代码趋势制造方法：简单并工具化技术特征：智能性、攻击性和多态性,采用加密、变换、插入等技术手段巧妙地伪装自身，躲避甚至攻击防御检测软件.表现形式：多种多样,没有了固定的端口，没有了更多的连接,甚至开展到可以在网络的任何一层生根发芽，复制传播，难以检测。受攻击未来领域即时消息：MSN,Yahoo,ICQ,OICQ等对等程序(P2P)移动设备攻击的开展趋势如何应对攻击比较完善的信息平安保障体系？健全法制加强管理完善技术培养人才常见威胁防护黑客攻击病毒蠕虫木马僵尸网络恶意代码病毒病毒的流行在衰退？病毒的特点：不能作为独立的可执行程序执行具有自动产生和自身拷贝的能力能够产生有害的或恶意的动作感染的机制和目标感染可执行文件COM文件EXE文件DLL、OCX、SYS病毒的传播机制移动存储〔U盘病毒〕电子邮件及其下载〔梅利莎…〕共享目录〔熊猫烧香〕熊猫烧香又称“武汉男生〞，感染型的蠕虫病毒。发作现象：感染文件类型：exe，com，pif，src，html，asp等。中止大量的反病毒软件进程；删除扩展名为gho的文件；被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。病毒的防御–人装防病毒软件不要随意关闭防病毒软件不要随意运行软件不要下载和安装来自于外部资源的程序不要随意将个人设备连接到公司的网络中要学习识别病毒感染的迹象中病毒后可能的迹象运行缓慢系统崩溃电子邮件被退回反病毒软件报警系统文件或其他文件的属性或大小变化应用程序执行异常。。。。常见威胁防护黑客攻击病毒蠕虫木马僵尸网络恶意代码蠕虫蠕虫是一种可以自我复制的代码，通过网络传播，通常无需人为干预就能传播蠕虫的组成侵占目标系统缓冲区溢出攻击文件共享攻击电子邮件其他错误配置传播引擎〔文件传输协议等〕目标选择算法扫描引擎有效载荷〔后门、代理、应用计算等〕蠕虫案例-Nimda2001年9月18日爆发多种不同的探测技术IISWeb目录穿越漏洞具有IE漏洞的浏览器访问被感染页面Outlook电子邮件客户端传播Windows文件共享传播Nimda扫描网络中感染了CodeRedII和Sadmind蠕虫的主机的后门，并去除之蠕虫的防御以虫治虫反病毒软件需要和其他手段相配合及时安装补丁并配置好系统阻断任意的输出连接建立时间响应机制千万不要摆弄蠕虫等类似的恶意代码常见威胁防护黑客攻击病毒蠕虫木马僵尸网络恶意代码木马木马由两个程序组成，一个是客户端，一个效劳器端〔被攻击的机器上运行〕，通过在宿主机器上运行效劳器端程序，在用户毫无觉察的情况下，可以通过客户端程序控制攻击者机器、删除其文件、监控其操作等。木马攻击效果演示木马攻击常见威胁防护黑客攻击病毒蠕虫木马僵尸网络恶意代码僵尸网络僵尸网络僵尸网络是指采用一种或多种传播手段，将大量主机感染僵尸程序，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。据CNCERT报告，2007年抽样监测发现我国大陆有3624665个IP地址的主机被植入僵尸程序。僵尸网络的传播途径主动攻击漏洞邮件病毒即时通信软件恶意网站脚本特洛伊木马僵尸网络僵尸网络的危害发起拒绝效劳〔DDOS〕攻击发送垃圾邮件传播恶意代码从僵尸主机上收集敏感信息在线银行账号/密码，信用卡信息，注册码，在线游戏账号/装备僵尸网络常见威胁防护黑客攻击病毒蠕虫木马僵尸网络恶意代码恶意软件恶意软件是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵害用户合法权益的软件，但不包含我国法律法规规定的计算机病毒。浏览器脚本攻击〔1〕资源枯竭浏览器劫持利用浏览器漏洞窃取CookieCookie欺骗跨站脚本攻击URL恶意脚本网站内容恶意脚本欢送访问，此页面自动跳转防御恶意代码的小结使用非超级用户帐号密切注意浏览器及Email软件的有关漏洞和补丁小心来源不明的恶意网站不要点击邮件中的不明网页链接设置浏览器平安级别防御恶意代码的其他方法反病毒工具行为监控软件反间谍软件工具如何预防上述常见威胁提高计算机病毒的防范意识，多到反病毒网站上看一看养成使用计算机的良好习惯尽可能使用正版软件不要执行来历不明的软件或程序不要轻易翻开陌生邮件不要因为对方是你的朋友就轻易执行他发过来的软件或者程序尽可能少访问一些小的网站或不良网站如何预防上述常见威胁不要随便留下你的个人资料轻易不要使用效劳器上网浏览、聊天等有规律的备份系统关键数据使用非超级用户帐号密切注意浏览器及Email软件的有关漏洞和补丁取消共享文件夹的写权限或对共享文件夹设置口令删除或停用不必要的帐户，设置高强度的用户口令信息平安防护措施常见威胁防护日常应用程序防护Windows系统防护数据库平安防护日常应用程序防护QQMSNIE诺顿WinRAR登陆时的密码保护功能本地信息平安设置网络信息平安设置通过ＱＱ平安中心设置日常应用程序防护QQMSNIE诺顿WinRAR不显示自定义图释、闪屏和传情动漫禁止共享文件夹设置平安选项卡设置病毒扫描、文件类型过滤和共享背景日常应用程序防护QQMSNIE诺顿WinRAR设置区域平安级别添加受信任的站点日常应用程序防护QQMSNIE平安诺顿WinRAR启用文件实时保护功能设置文件系统保护高级选项对系统进行扫描病毒库升级日常应用程序防护QQMSNIE平安诺顿WinRARWinRAR加密文件WinRAR加密文件WinRA