办公网络安全手册

chnyberscuritywek 办公网络安全隐患篇1.办公⽹络病毒⽊⻢隐患随着计算机的使⽤率越来越⾼，计算机中潜藏的病毒也层出不穷。通过相关的技术统计，这些计算机病毒的数量已经超过了上万种，甚⾄⽬前还在以⼀个惊⼈的速度在增加，最终导致的信息破坏性也愈演愈烈，在此基础上出现的⽹络病毒其存在性要⽐计算机病毒更加恶劣，发⽣的破坏程度也远远⼤于计算机病毒。只要⽂件的硬盘服务器碰上病毒，受到感染之后就会引发不同程度的系统毁坏甚⾄威胁到信息的安全性，最终使得电脑启动不起来，相关的数据以及应⽤⽆法得到使⽤，⽹络系统破坏会引发不同程度的经济利益损失。除了破坏性，⽹络病毒还存在再⽣的技能。它可以在⽹络的辅助之下进⾏病毒的传播与扩散，只要办公⽹络内的公共应⽤被传染了病毒，那么这些病毒就会以⼀种极快速的速度在⽹络中⽣存,电脑应⽤程序也会受到⼀定程度的感染。因为被⽹络病毒感染之后引发的利益损失是⽆法估算的，因此⼀旦受到⽹络病毒的危害，办公⽹络受到影响，进⾏病毒破解需要花费的时间要⽐单机进⾏病毒破解⻓⼏⼗倍，进⼀步引发的损失也是不可估量的。2.病毒木马的呈现方式(1)系统病毒系统病毒的前缀为:win32、PE、win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的*.exe和*.dll文件,并通过这些文件进行传播。如CIH病毒。(2)蠕虫病毒蠕虫病毒的前缀是:worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件)等。(3)木马病毒、黑客病毒木马病毒其前缀是:Trojan,黑客病毒前缀名一般为Hack。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了,一般的木马如QQ消息尾巴木马Trojan.QQ3344o(4)脚本病毒脚本病毒的前缀是:script。脚本病毒的公有特性是使用脚本语言编写,通过网页进行传播的病毒,如红色代码(script.REdlof)。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.C.S)等。(5)后门病毒后门病毒的前缀是:Backdoor。该类病毒的公有特性是通过网络传播,给系统开后门,给办公电脑带来安全隐患。如IRC后门Backdoor.IRCBot。(6)病毒种植程序病毒这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2c)、MSN射手(Dropper.worm.smibag)等。(7)破坏性程序病毒破坏性程序病毒的前缀是:Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格2式化c盘(Harm.formatc.f)、杀手命令(Hmand.killer)等。(8)玩笑病毒玩笑病毒的前缀是:Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏假象来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(Joke.Girlghost)病毒。(9)捆绑机病毒捆绑机病毒的前缀是:Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑QQ(Binder.QQpass.QQBin)、系统杀手(Bind-er.killsys)等。3.病毒木马的危害(1)破坏内存病毒木马破坏内存的方法主要是大量占用计算机内存、禁止分配内存、修改内存容量和消耗内存4种。病毒在运行时占用大量的内存和消耗大量的内存资源,导致系统资源匮乏,进而导致死机。(2)破坏文件病毒破坏文件的方式主要包括重命名、删除、替换内容、颠倒或复制内容、丢失部分程序代码、写入时间空白、分割或假冒文件、丢失文件簇和丢失数据文件等。受到病毒破坏的文件,如果不及时杀毒,将不能使用。(3)影响电脑运行速度病毒在电脑中一旦被激活,就会不停的运行,占用了电脑大量的系统资源,使电脑的运行速度明显减慢。(4)影响操作系统正常运行电脑病毒还会影响操作系统的正常运行,主要表现方式包括自动重启电脑、无故死机、不执行命令、干扰内部命令的执行、打不开文件、虚假报警、占用特殊数据区、强制启动软件和扰乱各种输出/入口等。(5)破坏硬盘电脑病毒攻击硬盘主要表现包括破坏硬盘中存储的数据、不读/写盘、交换操作和不完全写盘等。3(6)破坏系统数据区由于硬盘的数据区中保存了很多的文件及重要数据,电脑病毒对其进行破坏通常会引起毁灭性的后果。病毒主要攻击的是硬盘主引导扇区、BOOT扇区、FAT表和文件目录等区域,当这些位置被病毒破坏的时候,只能通过专业的数据恢复来还原数据了。二、黑客攻击1.办公网络黑客攻击隐患当今单位办公网络使用的是以太网。这种形式的网络存在一个缺陷,就是只要在同一个办公环境内,他们之间可以任意的进行数据传输,但是一旦出现其他节点,那么这些信息就会被其他节点所接受,最终使得重要的保密信息泄露或者被篡改。不仅如此,单位为了进一步扩大市场,必然会将办公自动化的网络与外网网络相连接。在一定程度上就为外网或者互联网上的黑客提供了方便,这些不法分子只需要在这些网络中的随便一个节点实施监听,就可以轻松获取到他想取得的信息数据。这也就更进一步的引发信息的外露,信息的安全性得不到保障,使单位以及国家的信息安全受到更大的威胁。42.黑客攻击的呈现形式(1)钓鱼网站钓鱼网站是一种比较常见的攻击手法,黑客会模仿一些知名网站、交易所、项目官网,域名也极其相似,比如将后缀从标准的.com变成.cn或.io,或者改变某一单词样式,a改为e,或者加上一个点。最可怕的就是黑客支付了足够的费用,让他们的恶意链接排名高于他们所模仿的网站的正确版本,这样我们使用搜索功能所查到的网站,很大可能就是钓鱼网站。降低这种攻击方法的有效方式就是,将这些常用网站,经过仔细确认之后加到我们的浏览器书签里。(2)信息炸弹信息炸弹是指使用一些特殊工具软件,短时间内向目标服务器发送大量超出系统负荷的信息,造成目标服务器超负荷、网络堵塞、系统崩溃的攻击手段。比如向未打补丁的windows95系统发送特定组合的UDP数据包,会导致目标系统死机或重启;向某型号的路由器发送特定数据包致使路由器死机;向某人的电子邮件发送大量的垃圾邮件将此邮箱"撑爆"等。目前常见的信息炸弹有邮件炸弹、逻辑炸弹等。(3)拒绝服务拒绝服务又叫分布式D.0.S攻击,它是使用超出被攻击目标处理能力的大量数据包消耗系统可用系统、带宽资源,最后致使网络服务瘫痪的一种攻击手段。作为攻击者,首先需要通过常规的黑客手段侵入并控制某个网站,然后在服务器上安装并启动一个可由攻击者发出的特殊指令来进行控制,攻击者把攻击对象的IP地址作为指令下达给进程的时候,这些进程就开始对目标主机发起攻击。这种方式可以集中大量的网络服务器带宽,对某个特定目标实施攻击,因而威力巨大,顷刻之间就可以使被攻击目标带宽资源耗尽,导致服务器瘫痪。比如1999年美国明尼苏达大学遭到的黑客攻击就属于这种方式。(4)网络监听系统内的⼀台主机并取得超级⽤⼾权限后，若要登录其他上连接于同⼀⽹段的主机，通常被⽤做获取⽤⼾⼝令。3.黑客攻击的危害(1)危害单位安全。5黑客可凭借高超的黑客技术,非法闯入单位的办公网络,干扰办公系统的正常工作,窃取、调阅和篡改有关资料,造成敏感信息泄密等。例如:2000年2月7日,全球闻名的美国搜索引擎网站"雅虎",由于受到黑客入侵,大部分服务陷于瘫痪。在随后的3天里,又有多家美国网站先后被黑客袭击,导致服务中断。在情况最严重的2月9日,全美国因特网的运行性能下降了26.8%o2006年10月16日,中国黑客李俊发布了熊猫烧香木马进行攻击,并在短短时间内,致使中国数百万企业用户及个人电脑受到感染,并波及到周边国家。(2)造成经济损失黑客在利用工具获取办公网络权限或窃取重要信息后,会对办公网络进行破坏或对企业进行勒索。1999年,梅利莎病毒(Melissa)使世界上300多家公司的电脑系统崩溃,该病毒造成的损失接近4亿美金,它是首个具有全球破坏力的病毒。2000年5月,菲律宾学生奥内尔·古兹曼炮制的"爱虫"病毒造成高达100亿美元的损失。三、数据破坏1.办公网络数据破坏的隐患变化甚⾄是损坏。计算机⾥的重要的数据、档可抗⼒因素导致数据被破坏时，单位的数据安全⾯临极⼤的威胁。⽽恢复或者重建这些数据可能需要耗费⼤量的⼈⼒、物⼒与财⼒，更甚者，有些是⽆法恢复的，2.办公网络数据破坏的呈现方式(1)硬盘驱动器损坏一个硬盘驱动器的物理损坏意味着数据丢失。设备的运行损耗、存储介质失效、运行环境以及人为的破坏等,都能对硬盘驱动器设备造成影响。(2)人为误操作由于操作失误,使用者可能会误删除系统的重要文件,或者修改影响系统运行的(3)病毒办公电脑感染病毒而导致数据破坏,造成重大经济损失,计算机病毒的复制能力强,感染性强,特别是网络环境下,传播性更快,容易造成数据破坏范围的进一步扩大。3.办公网络数据破坏的危害办公⽹络数据遭到破坏后，会导致许多不利后果，例如：数据破坏导致单位的声誉受损，导致单位办公⽹络不能正常运⾏，导致单位财产受到损失。办公网络安全事件篇一、办公电脑病毒木马事件1.问题防范(1)安装杀毒软件杀毒软件,也称反病毒软件或防毒软件,是用于消除电脑病毒、特洛伊木马和恶意软件等计算机威胁的一类软件。杀毒软件通常集成监控识别、病毒扫描和清除、自动升级、主动防御等功能,是查杀电脑病毒的重要工具。(2)实时更新病毒库任何一种杀毒软件都是根据病毒的特征来判断文件是否为病毒和是否已经感染病毒的,而这些病毒的特征会被记录在一个文件中,这个文件就是病毒库。以往杀毒软件一般是每隔几天就会更新病毒库,随着电脑病毒数量的剧增,杀毒软件更新病毒库的速度加快了,更新速度甚至是以小时来计算,因此,可开启病毒库自动更新功能,实时更新病毒库。7(3)提高防病毒意识①要警惕各类网站,不安装陌生程序②陌生的电子邮件尽量不要打开,更不要打开附件③警惕通信软件(QQ、企业微信)附带的病毒传播④U盘接入办公环境要先进行病毒查杀后再打开S在办公环境中,尽量不要共享或者使用别人的共享(文件夹、应用等),若必须使用,应先对文件进行病毒查杀后再打开。6不要将工作U盘带家自用,或者将家用U盘带办公电脑使用2.问题处理当察觉到办公电脑有了感染病毒的征兆,要牢记三点:冷静面对、仔细观察、认真分析,判断办公电脑是机器故障还是感染病毒。办公电脑是否中病毒的判断:(1)经常死机病毒可以运行大量恶意程序,造成办公电脑不稳定,占用大量的内存和磁盘空间造成硬盘空间不够、网络速度变慢,可造成办公电脑出现卡顿、死机现象。内存质量差、硬件超频性能差、运行大容量软件、硬件配置低,也可造成办公电脑出现卡顿、经常死机现象。因此,在办公电脑出现卡顿、经常死机现象时,应首先判断是否因为安装、运行大容量软件造成磁盘剩余空间不足,或硬件配置低、内存质量差等原因。若以上问题都排除,再将该类故障都归咎为病毒感染进行处理。(2)系统无法启动病毒可以修改硬盘的引导信息,或删除了某些启动文件,如引导型病毒引导文件损坏,可造成系统无法启动的现象。硬盘损坏或参数设置不正确、系统文件人为误删除等也可造成系统无法启动的现象。因此,在办公电脑出现系统无法启动现象时,应首先判断硬盘是否存在坏道、是否在PE模式下人为误删除了启动引导文件。若以上问题都排除,再将该类故障都归咎为病毒感染进行处理。(3)出现大量来历不明的文件8病毒可复制文件,可造成办公电脑出现大量来历不明的文件。某些软件的安装会产⽣⼤量临时⽂件、某些软件的配置及运⾏也可产⽣⼤量⽂件。因此,在办公电脑出现大量来历不明的文件时,应首先判断是不是某些软件安装产生的大量临时文件、是不是某些软件的配置信息及运行记录。若以上问题都排除,再将该类故障都归咎为病毒感染进行处理。(4)键盘或鼠标无端地锁死病毒可运行恶意程序,可导致键盘或鼠标被锁死。键盘或鼠标损坏、主板上键盘或鼠标接口损坏、所运行的程序太大、长时间系统繁忙,也可导致键盘或鼠标不起作用。因此,在办公电脑出现键盘或鼠标无端地锁死的情况时,应首先判断是不是键盘或鼠标损坏、主板上键盘或鼠标接口损坏、所运行的程序太大、长时间系统繁忙。若以上问题都排除,再将该类故障都归咎为病毒感染进行处理。(5)系统自动执行操作病毒感染后可在后台执行非法操作,表现为系统自动重启、文件或程序自动打开。用户在注册表或启动组中设置了有关程序的自动运行、某些软件安装或升级后需自动重启系统等也可导致系统自动执行操作。因此,在办公电脑出现系统自动执行操作的情况时,应首先判断是不是用户在注册表或启动组中设置了有关程序的自动运行、某些软件安装或升级后自动重启系统。若以上问题都排除,再将该类故障都归咎为病毒感染进行处理。办公电脑中病毒后的处理:(1)立即断开网络或关机,但不能重启电脑第一步需要根据病毒症状表现轻重来决定只是断开网络还是立即关机。如果病毒症状表现较轻,基本不影响正常操作,此时应该立即断开网络。因为病毒发作后,可能向外发送你的个人信息、病毒等,使危害进一步扩大。断开⽹络的⽅法⽐较多，最简单的办法就是拨下⽹线，这也是最⼲脆的办法。如果部署了防⽕墙设备，可以在防⽕墙中直接断开⽹络，如果没有防⽕墙，那么可如果病毒症状表现较重,比如硬盘灯狂闪,操作失常,安全软件失效等等,此时应该立即关机,如关机失败则强行断电关机,然后进入PE备份文件。无论如何,都不能重启电脑,否则可能使病毒从启动开始全面控制电脑,这样可能会造成更大的损失。(2)备份重要文件如果病毒表现较轻,断开网络后,把电脑中重要的数据、邮件、文档,包括C盘以外的分区上的重要文件,立即备份到其它设备上,例如移动硬盘、光盘等。尽管要备份的这些文件可能包含病毒,但这要比杀毒软件在查毒时将其删除要好的多。更何况病毒发作后,很有可能就进不了系统,因此中毒后及时备份重要文件是减轻损失最重要的做法之一。如果平时就注意备份重要文件,这一步会很轻松的完成。如果病毒发作后造成电脑无法工作或关机重启,那就需要使用外在启动设备,比如光盘,U盘等,启动到PE下进行备份。如果手头没有PE启动工具,那只好暂时关机等待,等有了这些工具再来备份文件。(3)恢复或重装系统后全面杀毒在备份好重要文件后,我们先进行恢复或重装系统,然后全面杀毒。这里需要注意以下三点:①如果病毒感染了MBR或破坏了分区表,可能恢复系统后无法正常启动、分区丢失或无法安装系统,这种情况比较少,但一旦遇到危害较大。如果平时没有备份分区表和MBR就比较麻烦了,所以推荐一定要备份一下。如果有备份,则先想办法(比如使用DiskGenius软件)恢复MBR和分区表。②恢复或安装系统后,一定不要随便打开C盘以外其他分区,避免再次中毒的可能。先安装和更新杀毒软件到最新病毒库,然后对电脑所有硬盘进行全面查杀;建议先对杀毒软件进行必要的设置,例如扫描压缩包中的文件、扫描电子邮件等,同时设置对带病毒文件的处理方式,例如可以将其设为"清除病毒"或"隔离",而不是直接"删除文件",这样做的目的是防止将重要的文件因为误操作而被删除。如果确认重要文件已备份,其他分区已没有需要的文件,也可以考虑重新分区或直接格式化各分区。③如果已经注意了前面两点,恢复备份后还有毒,可能本机的备份已被病毒破坏,可以考虑恢复储存在移动硬盘或光盘上的备份。(4)更改重要资料设定由于病毒、木马很多时候都是以窃取用户个人资料为目的,因此在进行了全面杀毒操作之后,必须将一些重要的个人资料,例如Email账户密码等重新设置。尤其是查杀出后发现是木马程序的,更加需要进行这项工作。有些邮箱可以设置邮件转发功能,如Gmail,这个时候也要检查一下,是否有设置邮件转发了。以上只是一般情况下的中毒后的对待方式,对于某些会造成特殊危害的病毒,可能需要根据具体情况去对待。电脑系统出现中毒比较厉害情况,造成资料的损失,不要只从技术上去补救完善,还要多从日常工作上找找原因,清除干扰的因素,避免再次出现损失。二、办公环境黑客攻击事件1.问题防范(1)关闭高危端口办公电脑高危端口是引发黑客攻击的重要原因,因此,关闭高危端口尤为重要。常见的高危端口有:21端口:主要用于FTP(FileTransferprotocol,文件传输协议)服务。内网ARP欺骗、溢出入侵常用端口。23端口:主要用于Telnet(远程登录)服务,是InternEt上普遍采用的登录和仿真程序。暴力破解攻击常用端口。5554端口:种针对微软lsass服务的新蠕虫病毒震荡波,该病毒可以利用TCP5554端口开启一个FTP服务,主要被用于病毒的传播。445端口:文件或打印机共享服务。蠕虫攻击、勒索病毒的常用端口。135端口:用于使用RPC协议并提供DCOM(分布式组件对象模型)服务。"冲击波"病毒攻击常用端口。139端口:通过这个端口进入的连接获得NetBOS/SMB服务。"IPC$漏洞"攻击常用端口。windows操作系统关闭高危端口的方法:①在"开始"菜单选择"运行",输入"gpedit.msc"后回车,打开本地组策略编辑器。依次展开"计算机配置-windows设置---安全设置--ip安全策略,在本地计算机"②以关闭139端口为例(其他端口操作相同):③在本地组策略编辑器右边空白处右键单击鼠标,选择"创建IP安全策略",弹出IP安全策略向导对话框,单击下一步;在出现的对话框中的名称处写"关闭端口"(可随意填写),点击下一步;对话框中的"激活默认响应规则"选项不要勾选,然后单击下 步;勾选"编辑属性",单击完成。1213④在出现的"关闭端口属性"对话框中,选择"规则"选项卡,去掉"使用添加向导"前边的勾后,单击"添加"按钮。14在弹出的"新规则属性"对话框中,选择"IP筛选器列表"选项卡,单击左下角的"添加",命名为"关闭139"。去掉使用添加向导的勾选,然后选择"添加"15在出现的"IP筛选器属性"对话框中,选择"地址"选项卡,"源地址"选择"任何","目标地址"选择"我的IP地址";选择"协议"选项卡,各项设置如图片中所示。设置好后点击"确定"。返回到"ip筛选器列表",点击"确定"。返回到"新规则属性"对话框179在"筛选器操作属性"中,选择"安全方法"选项卡,选择"阻止"选项;在"常规"选项卡中,对该操作命名,点确定18在组策略编辑器中,可以看到刚才新建的"关闭端口"规则,选中它并单击鼠标右键,选择"分配"选项,使该规则可开始应用。(2)经常升级系统版本任何一个版本的系统发布之后,在短时间内都不会受到攻击,一旦其中的问题暴露出来,黑客就会蜂拥而致。因此在维护系统的时候,可以定期在安全站点找到系统的新版本或者补丁程序进行安装,这样就可以保证系统中的漏洞在没有被黑客发现之前,就已经修补上了,从而保证了服务器的安全。windows10操作系统升级方法:①点击"开始"→"设置",进入到设置界面。20②在界面中找到"更新和安全"选项,点击进入"更新和安全"选项。③点击左侧的"windows更新"选项进入。21S等待windows系统更新下载完成。点击"立即重新启动"按钮完成更新。2.问题处理2.1办公电脑是否遭受黑客攻击的判断黑客攻击事件的表象有很多,而且因为黑客攻击手段常常伴随着木马病毒