安全的艺术课件

网络与信息安全

目录

系统安全设置

安全状态检测

病毒及流氓清除

安全事件处理基本流程

安全风险预防

服务器安全防护概要

系统安全设置:基本安全

♦基本安全设置

■系统补丁----WindowsUpdate

■杀毒软件——优先使用网络杀毒、全网防毒

■防火墙----Sp2/ZoneAlarm

■安全级别——默认级别或以上

♦病毒免疫

■ActiveX标志免疫——Guardio等

■流氓程序目录/文件免疫——文件/目录权限、软件策略

■恶意程序文件免疫——软件策略

♦网站免疫

■站点限制免疫——Internet选项的站点限制

■HOSTS免疫—HOSTS文件及作用

一、系统安全设置：工具安全

♦使用较安全的浏览器

Maxthon/Gexplorer/

FireFox/Opera

♦使用安全文件管理器

TotalCommander

♦使用安全的系统工具

改造的Taskmgr.exe>Registry

Workshop------改造原理和方法

系统安全设置:认知安全

♦警惕安全问题的误区

几大典型误区——

・把流氓当救星（160个流氓典型）

・病毒扫描可以防毒（某杀软的自动扫描问题）

•多套杀毒共享可增强效果

・经常发现本地病毒是杀软有效的表现

・正版的就是最好的

・能杀就行，疏于防护

•格式化系统能够彻底清除病毒

•“功能增强”、“助手”、“免费”都是好东西

二、安全状态检测：常规检测

♦常规进程检测

任务管理器、Autoruns......

♦隐藏进程检测

IceSword>Syscheck

♦端口及连接检测

Netstat-an；Syscheck；TCPView

♦文件检测

IceSword>WindowsPE>Total

Commander

日期、类型与位置、大小

二、安全状态检测：自动加载检测]]

♦自动加载项目实时检测

Regedit>RegistryWorkshop>

lceSword>Syscheck

♦自动加载项目离线检测

WindowsPE、第二操作系统

危险自动加载项目位置示例---Winpooch规则

二、安全状态检测：流氓检测]]

♦流氓程序的若干表现

以“专家”、“助手”、“增强”、“秘书”“XX霸”等项目出现

部分以安全工具的面目出现，贼喊捉贼

系统资源高度占用

添加不明进程

植入驱动

Hook系统函数

干扰输入操作

接管搜索引擎

植入浏览器工具栏、右键菜单

接管浏览器部分功能

阻挠用户顺利卸载

卸载后保留后门文件

与免费或共享软件大量捆绑

部分流氓软件存在官方背景

二、安全状态检测：流氓检测]]

♦流氓程序检测

流氓进程检测

流氓文件检测

注册表流氓项目检测

浏览器流氓插件检测

流氓行为在线搜索检测

综合检测工具：HijackThis

二、安全状态检测：病毒行为跟踪分析

♦静态跟踪分析

Whatchanged-----系统更改状态监测

AdvancedRegistryTracer----注册表更改状态监测

Dir/sc:\>list.txt命令+FC命令对照系统状态更改

文件二进制比较

目录同步比较

♦动态跟踪分析

Regmon

FileMon

TcpView

防火墙规则捕获

♦代码级分析

■OllyDebug>W32SAM

三、病毒及流氓清除：常规清除

♦在线清除

尝试卸载

进程清除

注册表项清除（关闭瑞星！）

病毒文件清除

安全模式的运用

三、病毒及流氓清除：离线清除

♦离线清除

适应场合：顽固流氓程序

典型：CNNIC>3721

第二系统处理

如第二套Windows等

PE光盘引导处理

如“深山红叶袖珍PE工具箱”

改名的妙用

三、病毒及流氓清除：Rootkit清除

'♦隐藏进程（Rootkit）清除

・使用IceSword禁止线程创建后检测、清除

•使用SysCheck还原系统函数入口

・使用Totalcommander查看文件

・使用专杀工具处理

三、病毒及流氓清除：Rootkit清除W

♦顽固文件清除

・充分运用软件限制策略

・使用KillBox

・通过第二套系统清除

・使用PE光盘清除

四、安全事件处理基本流程

诊断威胁进程

项■清除威胁■^T

■设置阻断文件■标志免疫

策略■清除威胁■策略免疫

■目录/文件

■临时改名加载项免疫

欺骗

五、安全风险预防：重视日常备份

♦重视早期安全部署

♦重视用户数据转移

■严禁在系统分区保存用户数据——转移的方法

♦多层次、多方面备份

■系统状态备份---SystemState

■注册表备份——EruNT

■系统分区备份---Ghost

■用户数据备份---自动同步工具BackupOnDemand

♦恰当选择安全工具

杀毒软件的选择——网络杀毒、卡巴斯基等

防火墙的选择——SP2/ZoneAlarm等

其他辅助工具的选择

(Winpooch、SysShieled.....)

♦适当关心安全动态

补丁升级

安全产品升级

重大安全事件的及时响应处理

五、安全风险预防一一安全威胁类型分析

安全威胁类型

五、安全风险预防：风险评估

五、安全风险预防：创建企业内部安全服专

网络

杀毒校园网安博士网络杀毒

在线卓尔免费在线杀毒

杀毒

Windows部署企业内部

kUpdate升级服务器

：分布式安全部署

立体安全卓尔UTffl

防毒堵

防及殿部件

GatG防火靖

UTM安全网关内容过滤

机密信息

卓尔UTM200/3Q0/500ypn

IPS

个人及SOHO用户

买得起用得好妒全网关

卓尔UTM：http://www.zrinfo.net/

五、安全风险预防：网络法律法规

.•中华人民共和国计算机信息网络国际联网管理暂行规定

\第十条个人、法人和其他组织（以下统称用户）使用的计算机或者计算机信

息网络，需要进行国际联网的，必须通过接入网络进行国际联网。前款规定的计算

机或者计算机信息网络，需要接入接入网络的，应当征得接入单位的同意，并办理登

记手续。

•第十三条从事国际联网业务的单位和个人，应当遵守国家有关法律、行政法

规，严格执行安全保密制度，不得利用国际联网从事危害国家安全、泄露国家秘密等

违法犯罪活动，不得制作、查阅、复制和传播妨碍社会治安的信息和淫秽色情等信息

•第十四条违反本规定第六条、第八条和第十条的规定的，由公安机关责令停

止联网，给予警告，可以并处15000元以下的罚款；有违法所得的，没收违法所得。

•第十五条违反本规定，同时触犯其他有关法律、行政法规的，依照有关法律

、行政法规的规定予以处罚；构成犯罪的，依法追究刑事责任。

■

•中华人民共和国计算机信息网络国际联网管理暂行规定实施办法

•中华人民共和国计算机信息系统安全保护条例

•互联网电子公告服务管理规定

・互联网电子邮件服务管理办法

六、服务器安全防护概要]

,•安装过程中的安全策略：

\NTFS、干净的软件&工具、及时密码

•系统基本安全策略：

文件和目录权限、软件限制策略、防火墙、IP筛选、路由和远程访问策略、自

动升级、口令策略、审核与日