网络攻击网络病毒防范处理,网络安全可控性

网络攻击网络病毒防范处理,网络安全可控性5/9/20241网络攻击网络病毒防范处理,网络安全可控性主要内容1、集团网络现状2、网络安全需求分析3、网络安全可控性分析4、常见网络攻击及防范5、常见网络病毒及防范5/9/20242网络攻击网络病毒防范处理,网络安全可控性现状出口:

中兴US2010双机热备—电信30M+网通10M+DMZ二级分公司：2MSDH专线 三级分公司：VPN核心三层：中兴T160G双机,起STP汇聚层：中兴US5928，双线路，划VLAN接入层：中兴US2852客户端：XPSP2，域管理，norton11企业版，safe3605/9/20243网络攻击网络病毒防范处理,网络安全可控性防火墙（双机）Internet接入switch核心三层交换机SDH专线防火墙路由器路由器DDOS九州通网络拓朴三层交换机应用服务器终端防火墙2MB光纤30MB光纤10MB光纤VPN应用服务器终端集团总部二级公司三级公司VPNVPN应用服务器终端防火墙VPN双三层交换机冗余汇聚层交换机三层交换机防火墙/VPN外部服务器DMZ区说明：一级骨干网络； 二级内部网络； 三级内部网络； 四级内部网络。双防火墙冗余双核心交换机冗余汇聚层交换机10MB光纤5/9/20244网络攻击网络病毒防范处理,网络安全可控性需求分析5/9/20245网络攻击网络病毒防范处理,网络安全可控性安全可控的网络

当企业建设一个相对封闭的内部网络时，一定要保证对该网络做到完全控制，所谓完全控制，在这里包含以下几层含义:1、连入网络的节点的监控。内部网络是相对封闭的环境，对于网络中的节点信息和与连入内部网络的节点，要做详细的监控和及时的防范。2、非法对外访问的监控。内部网络中的节点通过非正当渠道对外访问，如通过Modem拨号的方式连入外部网络的方式，及时发现并做到安全防范。3、网络数据实时监控和审计。针对内部网络中的传输数据，通过网络设备做到实时监控，实时发现可疑信息并报警，同时做相应的安全审计，从而为事后的电子取证提供有力的依据。4、实时病毒监控。对内部网络进行实时的病毒防范，对网络中病毒的防护状况做实时监控，包括重要的服务器、工作站和工作PC等网络安全系统。5、全网的统一监控。对全网的安全数据做到统一管理，统一下发安全策略，统一分析安全数据，得出全网安全状况和风险级别。5/9/20246网络攻击网络病毒防范处理,网络安全可控性网络安全可控性1、网络安全管理制度的建设2、网络使用人员安全意识的培养3、网络安全防护系统建设5/9/20247网络攻击网络病毒防范处理,网络安全可控性如何构建整体安全方案整体的安全方案分成三部分技术方案 安全产品是网络安全的基石，通过在网络中安装一定的安全设备，能够使得网络的结构更加清晰，安全性得到显著增强；同时能够有效降低安全管理的难度，提高安全管理的有效性。服务方案在安全服务方案中，采用不同的安全服务，定期对网络进行检测、改进，以达到动态增进网络安全性，最大限度发挥安全设备作用的目的。支持方案技术支持是整个安全方案的重要补充。其主要作用是在用户网络发生重要安全事件后，通过及时、高效的安全服务，达到尽快恢复网络应用的目的5/9/20248网络攻击网络病毒防范处理,网络安全可控性一、技术方案1、防火墙2、入侵检测3、网络防病毒软件控制中心以及客户端软件4、邮件防病毒服务器5、反垃圾邮件系统6、动态口令认证系统7、网络管理软件8、QOS流量管理9、重要终端个人防护软件…5/9/20249网络攻击网络病毒防范处理,网络安全可控性二、安全服务解决方案1、网络拓扑分析2、中心机房管理制度制订以及修改3、操作系统补丁升级4、防病毒软件病毒库定期升级5、服务器定期扫描、加固6、防火墙日志备份、分析7、入侵检测等安全设备日志备份8、服务器日志备份9、设备备份系统10、信息备份系统11、定期总体安全分析报告5/9/202410网络攻击网络病毒防范处理,网络安全可控性三、技术支持解决方案1、故障排除2、灾难恢复3、查找攻击源4、实时检索日志文件5、即时查杀病毒6、即时网络监控5/9/202411网络攻击网络病毒防范处理,网络安全可控性分布实施建议意见1、第一阶段（1）技术方面，采用防火墙、网络防病毒软件、页面防篡改系统来建立一个结构上较完善的网络系统。（2）服务方面，进行网络拓扑分析、建立中心机房管理制度、建立操作系统以及防病毒软件定期升级机制、对重要服务器的访问日志进行备份，通过这些服务，增强网络的抗干扰性。（3）支持方面，要求服务商提供故障排除服务，以提高网络的可靠性，降低网络故障对网络的整体影响。2、第二阶段在第一阶段安全建设的基础上，进一步增加网络安全设备，采纳新的安全服务和技术支持来增强网络的可用性。（1）技术方面，采用入侵检测、邮件防病毒软件、动态口令认证系统、并在重要客户端安装个人版防护软件。（2）服务方面，对服务器进行定期扫描与加固、对防火墙日志进行备份与分析、对入侵检测设备的日志进行备份、建立设备备份系统以及文件备份系统。（3）支持方面，要求服务商提供灾难恢复、实时日志检索、实时查杀病毒、实时网络监控等技术支持。3、第三阶段在这一阶段，采取的措施以进一步提高网络效率为主。（1）技术方面，采用反垃圾邮件系统、网络管理软件、QOS流量管理软件。（2）服务方面，采用白客渗透测试，要求服务商定期提供整体安全分析报告。（3）支持方面，要求能够实时或者事后查找攻击源。5/9/202412网络攻击网络病毒防范处理,网络安全可控性常见网络病毒及防范一、常见病毒感染方式

1、利用系统和程序的漏洞

2、通过诱惑和欺骗让用户执行带毒程序二、防范

1、及时打补丁

2、安装杀毒软件并且保持最新的更新

3、养成良好的上网习惯

4、不运行来路不明的程序

5、对常见进程和上网的程序心中有数，至少使用一款软件防火墙

6、使用高强度的密码5/9/202413网络攻击网络病毒防范处理,网络安全可控性发现电脑异常的一般解决步骤（不一定是病毒，前提是安装了杀毒软件并更新到最新）：

1、用管理员帐号进入安全模式

2、清空C:\DocumentsandSettings\用户名\LocalSettings\Temp、C:\DocumentsandSettings\用户名\LocalSettings\TemporaryInternetFiles和C:\WINDOWS\Temp目录下的所有文件

3、打开safe360，在“高级-启动项状态”中，删除可疑的启动文件

4、使用safe360扫描和清理木马

5、右击“我的电脑-管理-服务和应用程序-服务”，禁用可疑的服务

6、重启5/9/202414网络攻击网络病毒防范处理,网络安全可控性ARP欺骗攻击ARP（AddressResolutionProtocol）地址解析协议用于将计算机的网络地址转化为物理地址简单的说就是：这种病毒自身可以伪造一些ARP回应包。这些包的源IP地址一般是重要设备的IP地址(比如网关），而那个源MAC地址可能是自己的MAC，也可能是一个无用的MAC地址。而目的IP地址和目的MAC地址都是广播地址，这样的话，这个新的ARP条目就会发送到网络中的任何一个设备中。然后，这些设备就会更新自己的ARP缓存，这样一来呢，就达到欺骗的效果了。以后我们的机器在往重要的设备上发送数据的时候，就会先检查自己的ARP缓存啊，确实存在这么一个ARP条目，殊不知已经是被掉包的了。所以呢，我们发送的数据就不会按照我们原来的意愿，到达真正的目的地。中毒特征：网络不定时掉线、网络不通、部分机器掉线，将交换机重启可以暂时正常、使用arp–a发现网关mac地址改变5/9/202415网络攻击网络病毒防范处理,网络安全可控性IP欺骗及防范技术

——会话劫持一般欺骗会话劫持5/9/202416网络攻击网络病毒防范处理,网络安全可控性ARP欺骗攻击解决措施:

1、在命令行模式下输入arp-a命令来查看当前本机储存在本地系统ARP缓存中IP和MAC对应关系的信息，使用arp–d删除缓存，或者用arp–s绑定重要设备的MAC

2、安装arp病毒防火墙

3、双向绑定

5/9/202417网络攻击网络病毒防范处理,网络安全可控性常见网络攻击及防范直接获取口令进入系统：网络监听，暴力破解利用系统自身安全漏洞特洛伊木马程序：伪装成工具程序或者游戏等诱使用户打开或下载，然后使用户在无意中激活，导致系统后门被安装WWW欺骗：诱使用户访问纂改过的网页电子邮件攻击：邮件炸弹、邮件欺骗网络监听：获取明文传输的敏感信息通过一个节点来攻击其他节点：攻击者控制一台主机后，经常通过IP欺骗或者主机信任关系来攻击其他节点以隐蔽其入侵路径和擦除攻击证据拒绝服务攻击和分布式拒绝服务攻击(D.o.S和D.D.o.S)5/9/202418网络攻击网络病毒防范处理,网络安全可控性TCP/IP的每个层次都存在攻击TelnetSMTPDNSFTPUDPTCPIP以太网无线网络SATNETARPNET应用程序攻击拒绝服务攻击数据监听和窃取硬件设备破坏电磁监听5/9/202419网络攻击网络病毒防范处理,网络安全可控性拒绝服务攻击（DoS）SYN（我可以连接吗？）ACK（可以）/SYN（请确认！）攻击者受害者伪造地址进行SYN请求为何还没回应就是让你白等不能建立正常的连接5/9/202420网络攻击网络病毒防范处理,网络安全可控性DoS攻击技术——DDoS技术5/9/202421网络攻击网络病毒防范处理,网络安全可控性混合型、自动的攻击

WorkstationViaEmailFileServerWorkstationMailServerInternet混合型攻击:蠕虫WebServerViaWebPageWorkstationWebServerMailGateway防病毒防火墙入侵检测风险管理攻击的发展趋势5/9/202422网络攻击网络病毒防范处理,网络安全可控性攻击的发展趋势漏洞趋势严重程度中等或较高的漏洞急剧增加,新漏洞被利用越来越容易(大约60%不需或很少需用代码)混合型威胁趋势将病毒、蠕虫、特洛伊木马和恶意代码的特性与服务器和Internet漏洞结合起来而发起、传播和扩散的攻击,例：红色代码和尼姆达等。主动恶意代码趋势制造方法：简单并工具化技术特征：智能性、攻击性和多态性,采用加密、变换、插入等技术手段巧妙地伪装自身，躲避甚至攻击防御检测软件.表现形式：多种多样,没有了固定的端口，没有了更多的连接,甚至发展到可以在网络的任何一层生根发芽，复制传播，难以检测。受攻击未来领域即时消息：MSN,Yahoo,ICQ,OICQ等对等程序(P2P)移动设备5/9/202423网络攻击网络病毒防范处理,网络安全可控性常见的安全防范措施5/9/202424网络攻击网络病毒防范处理,网络安全可控性常用的安全防范措施物理层网络层路由交换策略VLAN划分防火墙、隔离网闸入侵检测抗拒绝服务传输加密系统层漏洞扫描系统安全加固SUS补丁安全管理应用层防病毒安全功能增强管理层独立的管理队伍统一的管理策略5/9/202425网络攻击网络病毒防范处理,网络安全可控性

访问控制认证NAT加密防病毒、内容过滤流量管理常用的安全防护措施－防火墙5/9/202426网络攻击网络病毒防范处理,网络安全可控性入侵检测系统FirewallInternetServersDMZIDSAgentIntranet监控中心router攻击者发现攻击发现攻击发现攻击报警报警IDSAgent5/9/202427网络攻击网络病毒防范处理,网络安全可控性漏洞扫描系统Internet地方网管scanner监控中心地方网管地方网管地方网管地方网管5/9/202428网络攻击网络病毒防范处理,网络安全可控性市场部工程部router开发部InternetServersFirewall漏洞扫描产品应用5/9/202429网络攻击网络病毒防范处理,网络安全可控性系统安全加固基本安全配置检测和优化密码系统安全检测和增强系统后门检测提供访问控制策略和工具增强远程维护的安全性文件系统完整性审计增强的系统日志分析系统升级与补丁安装5/9/202430网络攻击网络病毒防范处理,网络安全可控性Windows系统安全加固使用Windowsupdate安装最新补丁；更改密码长