信息安全管理1

病毒防护1目录第一章：病毒基础知识第二章：计算机病毒的传播途径第三章：建立有效的病毒防范管理机制第四章：建立有效的应急响应机制第五章：防病毒技术介绍第六章：防病毒相关服务2第一章：病毒基础知识1.1计算机病毒定义1.2计算机病毒的特性1.3病毒历史及发展趋势的演变1.4典型病毒的结构1.5计算机病毒的分类1.6计算机病毒的危害1.7计算机病毒的触发方式1.8感染计算机病毒后的现象1.9目前病毒新技术和新特点3广义定义:

能够引起计算机故障,破坏计算数据的程序统称为计算机病毒。标准定义：计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

1.1计算机病毒定义4传染性：正常的计算机程序一般是不会将自身的代码强行连接到其它程序上，而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。

隐蔽性：病毒通常附在正常程序中或磁盘隐蔽处，与正常程序通常是难以区分的。1.2计算机病毒的特性5潜伏性：大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动其表现（破坏）模块。

破坏性：任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。

不可预见性：从对病毒的检测方面来看，病毒还有不可预见性。61.3病毒历史及发展趋势的演变病毒年表年代病毒情况198311月，第一例病毒被专家们在试验中证实1987

引导型病毒开始在世界上传播，并受到重视1989

我国首次发现病毒1989可执行文件型病毒出现1992出现直接修改系统关键中断的内核的EWDIR2病毒1992伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作。7年代病毒情况1994变形病毒出现1996我国发现“病毒生成机软件”1996感染LotusAmiPro的文件的宏病毒(APM/GreenStripe)出现1997

采用JAVA、ACTIVE技术的恶意程序出现19982月，台湾省的陈盈豪编写出了CIH-1.2版19992月，“美丽杀”病毒爆发2000I-WORM/LoveLetter“爱虫”网络蠕虫病毒2003冲击波病毒8病毒发展演变趋势图9典型的计算机病毒一般由三个功能模块组成，即：引导模块，传染模块，破坏模块。

但是，不是所有的病毒均由此结构组成，如有的SQL甚至没有病毒体（即病毒文件），只驻留于内存。1.4典型病毒的结构10引导模块：将病毒主体导入内存并为传染模块提供运行环境。传染模块：将病毒代码传到其它的载体上去.一般情况下传染模块分为两部分，前部是一个条件判别程序，后部才是传染程序主体。破坏模块：同传染模块一样，破坏模块也带有条件判别部分，因病毒均有潜伏期，破坏模块只在符合条件时才进行活动。

111.5计算机病毒的分类按照通常习惯分为一下几种：A）引导型B）文件型C）脚本病毒D）儒虫病毒E）木马病毒F）逻辑炸弹12引导型病毒1．感染目标：通过文件感染硬盘的引导区部分；2．传播途径：通过软盘,光盘等介质进行传播；3．典型病毒：Stone13文件型病毒1．感染目标：通过可执行的文件感染目标系统文件；2．传播途径：各种存储介质，网络共享，电子邮件；3.典型病毒：幽灵王14脚本语言:

脚本语言是介于HTML和Java、C++和VisualBasic之间的语言。它的语法和规则没有可编译的编程程序那样严谨和复杂。

脚本病毒就是指在脚本语言中加入病毒代码，利用网页的等脚本载体传播的病毒。

脚本型病毒15宏病毒

MicrosoftWord中对宏定义为：“宏就是能组织到一起作为一独立的命令使用的一系列Word命令，它能使日常工作变得更容易。”

感染目标：通过可执行的文件感染目标系统文件；传播途径：各种存储介质，网络共享，电子邮件；

16蠕虫病毒

蠕虫是指具有通过网络进行自我繁殖功能的程序，传染机理是利用网络和电子邮件进行复制和传播。这一病毒利用了微软视窗操作系统或者其他软件系统的漏洞，计算机感染这一病毒后，会不断自动上网，并利用文件中的地址信息或者网络共享进行传播和网络攻击。

17木马病毒

特洛伊木马病毒，也叫黑客程序或后门病毒，病毒通过一套隐藏在合法程序中的命令，指示计算机进行不合法的运作。换句话说就是指采用正常用户无法察觉的方法潜入到对方内部实施某种破坏（盗窃）行为。木马程序的本质就是一个远程控制软件：远程控制软件是在远方机器知道，允许的情况下，对远方机器进行远程控制的软件。

18逻辑炸弹

指被设置在合法程序中，通过事件或条件引发后，会破坏程序和数据的子程序段。

19新出现的病毒JAVA等网页病毒；利用P2P软件传播的病毒；PDA等掌上电脑病毒；手机病毒等。

20按其它分类方式划分按照计算机病毒的破坏性质分类：1.良性病毒2.恶性病毒

21造成数据毁坏、丢失；破坏系统如硬盘、主板等硬件；影响网络正常功能，甚至网络瘫痪；破坏系统软件；为系统留“后门”，为黑客窃取数据提供途径；降低计算机系统性能。1.6计算机病毒的危害22年份病毒名称感染数量损失金额（美元）2000爱虫88亿2001尼姆达>8百万台60亿2001红色代码>1百万台26亿2002求职信>6百万台90亿2003SQLSlammer>20万台约9.5－12亿2003冲击波>140万台损失还在继续近年病毒爆发的情况及损失23特定日期或时间触发；感染触发；键盘触发；启动触发；访问磁盘次数触发；CPU型号/主板型号触发。

1.7计算机病毒的触发方式241.8感染计算机病毒后的现象计算机启动和运行与速度以往相比明显减慢；文件莫名其妙有丢失；在系统异常重启和出现异常错误；键盘、打印、显示有异常现象；有特殊文件自动生成；25磁盘空间自动产生坏簇或磁盘空间减少;没做写操作时出现“磁盘有写保护”信息;在系统进程中出现可疑的进程；在启动项中发现可疑启动项；网络数据流出现异常或出现大量有共性的异常数据包。261.密码破解技术应用此技术的病毒可对win2000以上的操作系统的密码进行破解。此类病毒一般会带有约几百单词数量（有时会更大的）的字典库

，可对“弱口令”进行破解，因此需要至少六位的数字字母混合的系统口令。例：爱情后门病毒1.9目前病毒新技术和新特点272.漏洞技术利用操作系统和软件系统（主要是微软的软件系统）漏洞进行攻击;即发送不正常的数据包，使获得的系统出现错误，从而使病毒夺取对方电脑的控制权。

例：冲击波利用rpc漏洞，震荡波利用LSASS漏洞

283.端口监听技术（原多见于木马程序）Moodown.y病毒利用自身的SMTP发信引擎来发送病毒邮件，监听82端口，等待攻击者连接，可自动下载并执行新的病毒。振荡波病毒的最新变种监听1023端口（支持USER、PASS、PORT、RETR和QUIT命令），并实现一个tftp服务器，并进行攻击。294.多线程扫描技术现在常见病毒多采用此技术，此技术可加速网络病毒的传播速度。如I-Worm.Sasser.e（振荡波.e）开辟128个线程扫描网络，传播病毒。30主动通过网络和邮件系统传播传播速度极快扩散面广变种多、快网络时代病毒的新特性：31使用传统手段难于根治、容易引起多次疫情具有病毒、蠕虫和后门（黑客）程序的多种特性病毒向能对抗反病毒软件和有特定目的的方向发展32第二章：计算机病毒的传播2.1计算机病毒的工作环节2.2计算机病毒的传播途径2.3有防护的内部网络中的病毒传播2.4物理隔离网络中的病毒传播2.5政府机关网络病毒问题的现状332.1计算机病毒的工作环节完整的计算机病毒工作环节应包括以下几个方面：传染源：病毒总是依附于某些储存介质，如电子邮件、软盘、硬盘等构成传染源。

传染媒介：病毒传染的媒介由工作的环境来定，可能是网络，也可能是可以移动的存储介质，例如软磁盘等。病毒激活：是指将病毒装入内存，并设置触发条件，一旦触发条件成熟，病毒就开始其作用，如：自我复制到传染对象，进行各种破坏活动等。34病毒触发：计算机病毒一旦被激活，立刻发生作用，触发的条件是多样化的，可以是内部时钟，系统的日期，用户标志符，也可能是系统的一次通信等。病毒表现：表现是病毒的主要目的之一，有时在屏幕显示出来，有时则表现为破坏系统数据。可以这样说，凡是软件技术能够触发到的地方，都在其表现范围内。病毒传染：传染是病毒性能的一个重要标志。在传染环节中，病毒复制一个自身副本到传染对象中去。

352.2目前存在病毒的传播途径36网络病毒攻击图工作站工作站网站服务器网站服务器邮件中恶意附件攻破多个网站服务器以前攻破的网站服务器浏览器进攻文件共享Internethub路由器372.3有防护的办公网络中的病毒传播病毒传入途径：终端漏洞导致病毒传播；邮件接收导致病毒传播；外部带有病毒的介质直接接入网络导致病毒传播；内部用户绕过边界防护措施，直接接入因特网导致病毒被引入；网页中的恶意代码传入；大型内部网络，一般均有防火墙等边界防护措施，但是还经常会出现病毒，病毒是如何传入的呢？38系统漏洞传播；系统邮件传播；储存介质传播；共享目录传播；病毒在此类网络内的传播途径392.4物理隔离网络中病毒的传播外部带有病毒的介质接入网络导致病毒传播；内部用户私自在将所使用的终端接入因特网导致病毒被引入；国家机关和军队、银行等为了保护网络，一般均采用物理隔离措施，这类网络理论上应该是安全的，不过也有病毒的出现，这类网络，病毒主要是靠几种途径传入的：40系统漏洞传播；储存介质传播；邮件传播；物理隔离网络病毒内病毒的传播途径：41新病毒传入问题老病毒根除问题一般网络的病毒问题主要有两个方面，即：2.5政府机关网络病毒问题的现状42政府机关网络防病毒可能需要面临的问题：难以确定网络内设备的用户联网状况;无法快速准确定位病毒源;了解病毒源后，无法方便的对病毒源进行阻断。难以监控系统安全补丁安装情况;缺乏有效的技术手段保证管理制度的贯彻。43第三章：建立有效的病毒防范管理机制3.1建立防病毒管理机构3.2防病毒管理机制的制定和完善3.3制定防病毒管理制度3.4用技术手段保障管理的有效性3.5加强培训以保障管理机制执行44无论什么样先进的病毒保障系统，使用者、控制者最终都是人。所以防病毒首要的事情是建立防病毒管理机构，以领导、协调防病毒工作和处理应急响应事件。3.1建立防病毒管理机构45防病毒管理机构组成图46机构内各组织的防病毒工作的协调管理；防病毒责任的分配；系统内部各单位间的防病毒组织的合作。防病毒管理机构应注意的问题47防病毒需求分析：只有明了自己的安全需求才能有针对性地构建适合于自己的安全体系结构，正确的安全分析需求是保证网络系统的安全的根源。防病毒风险管理：风险管理是对需求分析结果中存在的威胁和业务需求进行风险评估，以可以接受的投资，进行最大限度的病毒防范工作。3.2防病毒管理机制的制定和完善48制定防病毒策略:根据组织和部门的防病毒需求和风险评估的结论，制定切实可行的计算机网络防病毒策略。定期防病毒审核:安全审核的首要任务是审核组织的安全策略是否被有效地和正确地执行。因为网络防病毒是一个动态的过程，防病毒的需求可能会发生变化；为了在防病毒需求发生变化时，策略和控制措施能够及时反映这种变化，必须进行定期安全审核。

49防病毒管理机制的实行过程

A．制定计划B．进行实施C．监控审评D．维护改进501.网络管理员管理制度

3.3制定防病毒管理制度防病毒日常管理责任防病毒策略管理责任病毒应急响应事件责任2.网络一般用户管理制度

513.账户及口令管理制度4.设备管理规章制度入网设备防病毒管理制度服务器管理制度便携机管理制度介质管理52管理制度需要注意的问题：减少从第三方的系统下载软件；组建一支队伍，监测和调查病毒事件；病毒库必须随时更新；重要的数据必须备份，并每月检查一次；533.4用技术手段保障管理的有效性通过技术手段可保障管理制度有效贯彻执行，通过技术手段，可以对以下的管理进行加强：保证补丁安装执行情况；监督最先感染上病毒的区域；54保障网络隔离的制度得以施行；监督外来未知设备随意接入内网的情况；使用广域网病毒监控： 完成各分区病毒软件安装情况监视 完成各分区病毒感染情况历史统计分析55防病毒机制运行参考图

56防病毒管理机制的执行需要很多技术手段，有些技术手段属于专业反病毒范畴，反病毒服务商了解病毒技术细节，更能准确的通过技术培训提高下属网管网络反病毒全面知识。

3.5加强培训以保障管理机制执行57具体的培训可以分为以下几种：针对普通人员的培训针对网管（或网络安全员）的培训针对突发病毒的培训58第四章：

建立有效的病毒应急响应机制4.1建立应急响应中心4.2病毒事件分级4.3制定应急响应处理预案4.4应急响应流程4.5应急响应的事后处理594.1建立应急响应中心为了在病毒突发事件中协调各方关系，分清职责，统一处理病毒事件，应建立病毒事件应急响应中心。病毒应急响应中心组织机构的建立可参考防病毒管理机构。60应急响应中心特别要注意以下几个方面：设立总负责人，负责协调管理应急事件建立应急相应小组（小组成员可包括单位相关人员和安全服务商的相关人员）分清各方职责联系方式必须准确有效614.2病毒事件分级分级应参考以下几个标准：扩散范围扩散速度危害程度防治复杂程度624.3制定应急响应处理预案根据病毒的等级，制定相应的病毒应急响应处理预案，此预案可包括以下几点：病毒预案库应急响应启动标准应急处理流程注意：制定好的应急预案应进行测试后方投入使用63启动应急响应预案的几个参考条件：有15％的电脑同时感染同种类型的病毒，且现场人员确认无法在2小时内清除；病毒已经网络系统的正常运行，且现场人员无法立刻解决；出现的病毒现有的杀毒软件无法解决；未知原因的网络阻塞。644.4应急响应流程应急响应具体流程如下：接收初步的资料查明原因，总结特征确认是否为大规模病毒事件提供该事件的公告原稿消息发布事件库升级或程序升级，放到部中心网站启动应急响应预案处理65启动应急响应预案流程图66通常的病毒应急反应预案流程图674.5应急响应的事后处理事后处理过程可参考如下步骤：提交病毒应急响应事后报告找出网络防病毒的薄弱点教训总结视情况启动处罚程序68第五章：防病毒介绍5.1目前主要的防病毒技术概述5.2网络防病毒的措施概述5.3网络防病毒5.4补丁加固5.5边界接入检查和节点控制5.6病毒预警技术69病毒特征码识别技术自动解压技术实时监视技术启发式查毒技术带毒杀毒技术病毒队列技术

5.1目前主要的防病毒技术概述705.2防病毒软件的结构扫描应用扫描引擎病毒定义库防病毒软件的3个组成部分防病毒软件71

扫描应用用户接口日志文件报警功能扫描引擎搜索病毒的逻辑算法CPU仿真器精密编程逻辑病毒定义库：内有病毒的特征码72常见的本地网络防病毒构架5.3网络防病毒73监控平台单元构成74常见的广域网网络防病毒构架75防病毒网关由于目前的防火墙并不能防止目前所有的病毒进入内网，所以在某些情况下，需要在网络的数据出入口处和网络中重要设备前配置防病毒网关，以防止病毒进入内部网络。76防病毒网关按照功能上分有两种:保护网络入口的防病毒网关保护邮件器的防病毒网关防病毒网关按照部署形式分为：透明网关代理网关77透明网关代理网关78邮件服务器的防病毒保护对邮件服务器系统自身加固邮件防病毒网关邮件防病毒由于目前的病毒大部分均是通过邮件传播的，所以对于邮件服务器的保护是十分重要的。79客户端防病毒引导安全系统安装安全系统日常加固日常使用安全80服务器防病毒服务器防病毒时，除了注意主机还应注意防病毒应该注意的问题外，还应该注意到服务器的可用性和稳定性，也需要注意对重要数据经常备份等问题。81集中监控中心集中监控中心功能图82升级服务中心83补丁加固是今年来网络面临的新问题，对于大型机关和企业网络，靠有限的人力人工去进行终端的安全加固是不现实的。为此，微软提出了两个解决方案：SMS：MicrosoftSystemManagement

SUS：SoftwareUpdateServices

5.4补丁加固84

SMS技术是基于主域控制技术，通过域控制器对管辖的计算机的安全补丁进行统一的升级和管理。此方法存在的问题是国内一般不使用主域控制形式进行网络管理,另外，对于终端使用多操作系统的网络使用此技术升级所需的工作量也比较大。SMS技术85SUS技术此技术应用了当前微软WindowsUpdate的技术，即客户端可通过内网建立的SUSServer自动下载升级补丁。采用此方法的优点是简单方便，但是此系统也有不易实施的缺点。86目前存在第三方的补丁分发技术，此类技术一般是辅助SUS进行安全补丁统一监控升级。第三方技术

网络补丁分发系统应用构架

875.5边界接入检查和节点控制边界接入检查和节点控制的目的：保障网络隔离彻底有效；进行外来笔记本电脑随意接入控制；对感染病毒计算机快速定位，并安全、迅速、有效的切断其与网络的连接；对未安装防病毒软件的终端进行统计、远程强制安装；有效进行网络IP设备资源管理；88可监控移动设备（笔记本电脑等）和新增设备未经过安全过滤和检查，就接入内部网络；可监控违反规定将专网专用的计算机（带出网络）连入到其他网络的行为；IP管理功能、IP和MAC绑定功能；可监控网络终端的补丁安装情况，可对未安装防病毒系统的终端进行强制安装；对安全事件源的实时、快速、精确定位，并可强制断开其网络连接。边界接入检查和节点控制需要的功能：89边界检查和节点控制系统部署图90病毒预警技术一般是采用分布式的结构，进行集中管理报警，分散控制。病毒预警的具体可采