1、第10章 网络安全管理,10.1计算机网络安全基础 10.2防火墙技术 10.3网络防病毒技术 10.4网络安全策略,上一章,返回目录,内容提要: 计算机网络安全定义、原因、特征 计算机网络安全类别、威胁、防范措施 Windows平台下IIS应用安全 网络安全的评估标准、保护策略 防火墙定义、特点、类型 计算机病毒和网络病毒 网络安全策略,10.1计算机网络安全基础,10.1.1 计算机网络安全概述 10.1.2 计算机安全 10.1.3 计算机网络的安全 10.1.4网络安全的评估标准 10.1.5 网络安全保护策略,10.1.1 计算机网络安全概述,1. 计算机网络安全定义 网络安全是指网
2、络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。主要包括以下几个基本内容: (l)运行系统安全,即保证信息处理和传输系统的安全 (2)网络上系统信息的安全 (3)网络上信息传播的安全,即信息传播后果的安全 (4)网络上信息内容的安全,即狭义的“信息安全” 2. 引起网络安全的原因 (1)操作系统的脆弱性,10.1.1 计算机网络安全概述,其体系结构本身就是不安全的一种因素。 另一个原因在于它可以创建进程,即使在网络的节点上同样也可以进行远程进程的创建与激活,更令人不安的是被创建的进程具有可以继续创建过程的权力。
3、 网络操作系统提供的远程过程调用(RPC)服务以及它所安排的无口令入口也是黑客的通道。 (2)计算机系统的脆弱性 计算机系统的脆弱性主要来自于操作系统的不安全性,在网络环境下,还来源于通信协议的不安全性。 存在超级用户,如果入侵者得到了超级用户口令,整个系统将完全受控于入侵者。,10.1.1 计算机网络安全概述,计算机可能会因硬件或软件故障而停止运转,或被入侵者利用并造成损失。 (3)协议安全的脆弱性 当前计算机网络系统都使用的TCPIP协议以及FTP、E-mail、NFS等都包含着许多影响网络安全的因素,存在许多漏洞。 (4)其他因素 数据库管理系统安全的脆弱性 人为的因素,10.1.1 计
4、算机网络安全概述,(5)各种外部威胁 物理威胁:包括温度、湿度、雷击、静电、水灾、火灾、地震、电磁、辐射、空气污染和设备故障等 网络威胁 身份鉴别 编程 系统漏洞 3. 计算机网络安全的特征 (1)保密性(security):信息不泄露给非授权的用户、实体或过程,并被其利用的特性 (2)完整性(integrity):数据未经授权不能进行改变,10.1.1 计算机网络安全概述,的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 (3)可用性(availability):可被授权实体访问并按需求使用的特性,即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常
5、运行等都属于对可用性的攻击。 (4)实用性(utility):保证信息具有实用的特性。如:信息加密的蜜钥不能丢失。否者,丢失了密钥的信息就丧失了其实用性。 (5)真实性(authenticity):指信息的饿可信度。即保证信息具有完整、准确、在传递和存储过程中不被篡改等特性,还应具有对信息内容的控制权。,10.1.1 计算机网络安全概述,(6)占有性(possession):指存储信息的主机、磁盘和信息载体等不被盗用,并具有该信息的占有权,即保证不丧失对信息的所有权和控制权。 4. 计算机网络安全威胁的发展趋势 是Windows组件的漏洞增多以及严重信息系统漏洞的不断涌现势必成为企业亟待解决的
6、重要安全问题。 是在2003年下半年提交的10大恶意代码中54%都为混合式威胁。 Blaster是最“得逞”的蠕虫之一,它针对Windows系统中核心组件的安全漏洞发动攻击。 另一种趋势也非常明显。,10.1.1 计算机网络安全概述,在2003年下半年,针对隐私与机密信息的恶意威胁增长得最快。 5. 我国网络及安全情况 我国网民人数增加很快;另一方面,虽然我国各级政府、企事业单位、网络公司等陆续设立自己的网站,电子商务也正以前所未有的速度迅速发展,但许多应用系统却处于不设防状态,存在着极大的信息安全风险和隐患。,10.1.2 计算机安全,1. 什么是计算机安全 计算机安全的主要目标是保护计算机
7、资源免受毁坏、替换、盗窃和丢失。这些计算机资源包括计算机设备、存储介质、软件和计算机输出材料和数据。 计算机部件中经常发生的一些电子和机械故障有: (1)磁盘故障 (2)IO控制器故障 (3)电源故障 (4)存储器故障 (5)介质、设备和其它备份故障 (6)芯片和主板故障等,10.1.2 计算机安全,2. 计算机房场地的安全要求 机房建筑和结构从安全的角度,还应该考虑: (1)电梯和楼梯不能直接进入机房。 (2)建筑物周围应有足够亮度的照明设施和防止非法进入的设施。 (3)外部容易接近的进出口,而周边应有物理屏障和监视报警系统,窗口应采取防范措施,必要时安装自动报警设备。 (4)机房进出口须设
8、置应急电话。 (5)机房供电系统应将动力照明用电与计算机系统供电线路分开,机房及疏散通道应配备应急照明装置。,10.1.2 计算机安全,(6)计算机中心周围100m内不能有危险建筑物。 (7)进出机房时要更衣、换鞋,机房的门窗在建造时应考虑封闭性能。 (8)照明应达到规定标准。 3. 设备防盗 (1)早期的防盗,采取增加质量和胶粘的方法,即将设备长久固定或粘接在一个地点。 (2)视频监视系统是一种更为可靠的防护设备,能对系统运行的外围环境、操作环境实施监控(视)。对重要的机房,还应采取特别的防盗措施,如值班守卫,出入口安装金属防护装置保护安全门、窗户。,10.1.2 计算机安全,4.机房的三度
9、要求 (1)温度:温度适宜,应该安装空调来保持恒定的温度。 (2)湿度:湿度适宜,最好有加湿器等附加设备保持一定的湿度。 (3)洁净度:机房的整洁可令上机者精神饱满,提高工作效率。 5. 防静电措施 (1)静电是由物体间的相互磨擦、接触而产生的。静电产生后,由于它不能泄放而保留在物体内,产生很高的电位(能量不大),而静电放电时发生火花,造成火灾或损坏芯片。计算机信息系统的各个关键电路,诸如CPU、ROM、RAM等大都采用MOS工艺的大规模集成电路,对静电极为,10.1.2 计算机安全,敏感,容易因静电而损坏。这种损坏可能是不知不觉造成的。 (2)机房内一般应采用乙烯材料装修,避免使用挂毯、地毯
10、等吸尘、容易产生静电的材料。 6. 电源 (1)电源线干扰 有六类电源线干扰:中断、异常中断、电压瞬变、冲击、噪声、突然失效事件。 (2)保护装置 电源保护装置有金属氧化物可变电阻(MOV)、硅雪崩二极管(SAZD)、气体放电管(GDT)、滤波器、电压调整变压器(VRT)和不间断电源(UPS)等。,10.1.2 计算机安全,(3)紧急情况供电 重要的计算机房应配置预防电压不足(电源下跌)的设备,这种设备有如下两种: UPS 应急电源 (4)调整电压和紧急开关 电源电压波动超过设备安全操作允许的范围时,需要进行电压调整。允许波动的范围通常在5%的范围内。 7. 接地与防雷 (1)地线种类 地线主
11、要包括:保护地、直流地、屏蔽地、静电地、雷击,10.1.2 计算机安全,地五种。 (2)接地系统 计算机房的接地系统是指计算机系统本身和场地的各种接地的设计和具体实施。要求:各自独立的接地系统,交、直流分开的接地系统,共地接地系统,直流地、保护地共用地线系统,建筑物内共地系统等。 (3)接地体接地体包括:地桩,水平栅网,金属接地板,建筑物基础钢筋等。 (4)防雷措施 机房的外部防雷应使用接闪器、引下线和接地装置,吸引,10.1.2 计算机安全,雷电流,并为其泄放提供一条低阻值通道。 机器设备应有专用地线,机房本身有避雷设施,设备(包括通信设备和电源设备)有防雷击的技术设施,机房的内部防雷主要采
12、取屏蔽、等电位连接、合理布线或防闪器、过电压保护等技术措施以及拦截、屏蔽、均压、分流、接地等方法,达到防雷的目的。机房的设备本身也应有避雷装置和设施。 8. 计算机场地的防火、防水措施 为避免火灾、水灾,应采取如下具体措施: (1)隔离:当发生火灾、水灾时,能很好隔离事故地段,防止灾情扩大。,10.1.2 计算机安全,(2)火灾报警系统:当发生火灾时,能及时地报警,以便及时的采取有效的措施。 (3)灭火设施:当火灾发生时,有方便的设施能及时地处理火灾。 (4)管理措施:有效的管理才能预防火灾、消灭火灾。,10.1.3 计算机网络的安全,1. 计算机网络安全的类别 根据国家计算机安全规范,可把计
13、算机的安全大致分为三类。一是实体安全,包括机房、线路,主机等;二是网络与信息安全,包括网络的畅通、准确及其网上的信息安全;三是应用安全,包括程序开发运行、输入输出、数据库等的安全。下面重点探讨第二类网络与信息的安全问题。网络信息安全可以归结为以下几类:(1)基本安全类包括访问控制、授权、认证、加密和内容安全等。 (2)管理与记账类 包括安全策略管理、企业范围内的集中管理、记账、实时监控,报警等功能。,10.1.3 计算机网络的安全,(3)网络互联设备安全类 网络互联设备包括路由器、通信服务器、交换机等,网络互联设备安全正是针对上述这些互联设备而言的,它包括路由安全管理、远程访问服务器安全管理、
14、通信服务器安全管理以及交换机安全管理等。 (4)连接控制类 主要为发布企业消息的服务器提供可靠的连接服务,包括负载均衡、高可靠性以及流量管理等。 2. 网络安全的威胁 (1)非授权访问(unauthorized access):一个非授权的人的入侵。,10.1.3 计算机网络的安全,(2)信息泄露(disclosure of information):造成将有价值的和高度机密的信息暴露给无权访问该信息的人的所有问题。 (3)拒绝服务(denial of service):使得系统难以或不可能继续执行任务的所有问题。 3. 防范措施 (1)用备份和镜像技术提高数据完整性:预防发生网络故障时能迅速
15、恢复网络服务功能 (2)防毒,捕捉闯入者 (3)补丁程序,修补系统漏洞 (4)提高物理安全,10.1.3 计算机网络的安全,(5)构筑因特网防火墙 (6)废品处理守则 (7)仔细阅读日志 (8)加密 (9)提防虚假的安全 (10)执行身份鉴别 4. 网络安全攻击类型 网络安全攻击类型主要包括:报文窃听(Packet Sniffers),IP欺骗(IP Spoofing),服务拒绝(Denial of Service),密码攻击(Password Attacks),中间人攻击(Man-in-the-Middle Attacks),应用层攻击(Application Layer Attacks),
16、,10.1.3 计算机网络的安全,(Trust Exploitation),端口重定向(Port Redirection),未授权访问(Unauthorized Access),病毒与特洛伊木马应用(Virus and Trojan Horse Applications)等。 5. 确保网络安全的措施由于网络安全的目的是保障用户的重要信息的安全,因此限制直接接触十分重要。 6. Windows平台下IIS应用安全IIS是微软Web服务的集成软件可以提供WWW、FTP、SMTP等服务。用户可以很方便的建立自己基于Windows的IIS服务器,但其安全性比其它系统弱。 (1)IIS安全机制IIS的
17、安全依赖于Windows系统的安全。,10.1.3 计算机网络的安全,IIS的用户也是Windows的用户 IIS目录的权限依赖于Windows NTFS系统权限 (2)IIS安全安装 不要安装在系统目录上 修改IIS默认安装路径 安装在NTFS分区中 定制服务 (3)IIS安全配置 虚拟目录配置,10.1.3 计算机网络的安全,文件目录配置 文件目录权限 应用程序映射 限制IIS服务接受URL请求的长度 保护日志安全 6. 影响网络信息安全的因素现今的网络信息安全存在的威胁主要表现在以下几个方面:(1)非授权访问。指对网络设备及信息资源进行非正常使用或越权使用等。(2)冒充合法用户。主要指利
18、用各种假冒或欺骗的,10.1.3 计算机网络的安全,的手段非法获得合法用户的使用权限,以达到占用合法用户资源的目的。(3)破坏数据的完整性。指使用非法手段,删除、修改、重发某些重要信息,以干扰用户的正常使用。(4)干扰系统正常运行。指改变系统的正常运行方法,减慢系统的响应时间等手段。(5)病毒与恶意攻击。指通过网络传播病毒或恶意Java、XActive等。 (6)线路窃听。指利用通信介质的电磁泄漏或搭线窃听等手段获取非法信息。,10.1.4网络安全的评估标准,1、我国评价标准 (1)用户自主保护级 (2)系统审计保护级 (3)安全标记保护级 (4)结构化保护级: (5)访问验证保护级: 2.
19、国际评价标准 其他子系统(如数据库和网络)也一直用橙皮书来解释评估。橙皮书把安全的级别从低到高分成4个类别:D类、C类、B类和A类,每类又分几个级别,共7小类。 (1)D级是最低的安全级别,10.1.4网络安全的评估标准,(2)C1是C类的一个安全子级。 (3)C2又称受控的安全访问控制级。 (4)B级中有三个级别,B1级即标志安全保护 (5)B2级,又叫结构保护级别(Structured Protection) (6)B3级,又叫做安全域级别(Security Domain) (7)A级,又称验证设计级别(Verified Design),10.1.5 网络安全保护策略,所谓安全保护策略是指
20、一个网络对安全问题所采取的原则,对安全使用网络资源的具体要求,以及保证网络系统安全运行的措施。 1. 安全缺口 为什么会存在安全缺口呢?有下面四个因素: (1)网络设备种类繁多当前使用的有各种各样的网络设备,从Windows NT和UNIX 服务器到防火墙、路由器和Web服务器,每种设备均有其独特的安全状况和保密功能; (2)访问方式的多样化般来说,网络环境存在多种进出方式,许多过程拔号登录点以及新的Internet访问方式可能会使安全策略的设立复杂化; (3)网络的不断变化网络不是静态的,一直都处于发展,10.1.5 网络安全保护策略,变化中。启用新的硬件设备和操作系统,实施新的应用程序和W
21、eb服务器时,安全配置也有不尽相同; (4)用户保安专业知识的缺乏许多组织所拥有的对网络进行有效保护的保安专业知识十分有限,这实际上是造成安全缺口最为主要的一点。 2. 计算机网络的安全策略 (1)物理安全策略 (2)访问控制策略 入网访问控制 网络的权限控制 目录级安全控制,10.1.5 网络安全保护策略,属性安全控制 网络服务器安全控制 网络监测和锁定控制 网络端口和节点的安全控制 维护网络时的责任 3.在制定网络安全策略时应当考虑如下因素:L 对于内部用户和外部用户分别提供哪些服务程序 l 初始投资额和后续投资额 l 方便程度和服务效率l 复杂程度和安全等级的平衡l 网络性能,10.2防
22、火墙技术,10.2.1 防火墙基础 10.2.2 企业防火墙的构建,10.2.1 防火墙基础,1.防火墙的概念 从本质上说,防火墙遵从的是一种允许或阻止业务往来的网络通信安全机制,也就是提供可控的过滤网络通信,只允许授权的通信。图10-1简单地表示了防火墙在网络中的位置。,图10-1防火墙在网络中的位置,10.2.1 防火墙基础,2.防火墙的作用 (1)限制人们从一个特别的控制点进入 (2)防止侵入者接近其他防御设施 (3)限定人们从一个特别的点离开 (4)有效的阻止破坏者对计算机系统进行破坏 3.防火墙的优缺点 (1)优点 防火墙能强化安全策略 防火墙能有效地记录Internet上的活动 防
23、火墙限制暴露用户点 防火墙是一个安全策略的检查站,10.2.1 防火墙基础,(2)防火墙的不足之处 不能防范恶意的知情者 防火墙不能防范不通过它的连接 防火墙不能防备全部的威胁 防火墙不能防范病毒 5.防火墙类型 防火墙的类型一般有以下几种: (1)数据包过滤型,10.2.1 防火墙基础,包过滤一直是一种简单而有效的方法。,图10-2 使用包过滤路由器对数据包进行过滤 包过滤技术可以允许或不允许某些包在网络上传递,它依据以下的判据:l 将包的目的地址作为判据l 将包的源地址作为判据L 将包的传送协议作为判据,10.2.1 防火墙基础,包过滤系统只能可以进行类似以下情况的操作:l 不让任何用户从
24、外部网用Telnet登录l允许任何用户使用SMTP往内部网发电子邮件l只允许某台机器通过NNTP往内部网发新闻 包过滤优点 如果站点与因特网间只有一台路由器,那么不管站点规模有多大,只要在这台路由器上设置合适的包过滤,站点就可获得很好的网络安全保护。 包过滤的缺点l在机器中配置包过滤规则比较困难l对系统中的包过滤规则的配置进行测试也较麻烦,10.2.1 防火墙基础,l许多产品的包过滤功能有这样或那样的局限性,要找一个 (2)代理服务型 代理服务是运行在防火墙主机上的一些特定的应用程序或者服务程序。也可以是一些可以访问因特网并可被内部主机访问的堡垒主机。图10-3中形象地表示了代理实现的过程。,
25、图10-3 代理实现的过程,10.2.1 防火墙基础,应用代理的优点、缺点: l 在网络连接建立之前可以对用户身份进行认证 l 代理服务允许用户“直接”访问因特网 l 所有通过防火墙的信息流可以被记录下来 l 易于配置 l 支持内部网络的信息隐藏 l 与分组过滤规则相比简单易于控制和管理 l 对每种类型的服务都需要一个代理 l 网络性能不高 l 防火墙对用户不透明 l,10.2.1 防火墙基础,l客户应用可能需要修改l需要多个防火墙主机l 代理服务落后于非代理服务l 代理服务不能保护你不受协议本身缺点的限制l代理服务对某些服务来说是不合适的 (3)子网过滤型防火墙 最简单的形式为两个过滤路由器
26、,每一个都连接到参数网,一个位于参数网(又称为DMZ)与内部的网络之间,另一个位于参数网与外部网络之间。,10.2.1 防火墙基础,非军事区(De-Militarized Zone,DMZ):也称为周界网络,是在内外部网之间另加的一层安全保护网络层,图10-4 子网过滤型防火墙体系结构,10.2.1 防火墙基础,堡垒主机 内部路由器 外部路由器 (4)防火墙的各种变化和组合 l 使用多堡垒主机 l 合并内部路由器与外部路由器 l 合并堡垒主机与外部路由器 l 合并堡垒主机与内部路由器 l 使用多台内部路由器 l 使用多台外部路由器 l 使用多个参数网络,10.2.1 防火墙基础,l 使用双重宿
27、主主机与子网过滤 (5)防火墙实现策略(cont.)对防火墙系统而言,共有两层网络安全策略:网络服务访问策略:是高层策略 防火墙设计策略:是低层策略 (6)对防火墙技术的展望:几点趋势 防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展 过滤深度不断加强,从目前的地址、服务过滤,发展到 URL(页面)过滤,关键字过滤和对Active X、Java等的过滤,并逐渐有病毒扫除功能,10.2.1 防火墙基础, 单向防火墙(又叫网络二极管)将作为一种产品门类而出现 利用防火墙建立专用网(VPN)是较长一段时间的用户使用的主流,IP的加密需求越来越强,安全协议的开发是一大热点 对网络攻击
28、的检测和告警将成为防火墙的重要功能安全管理工具不断完善,特别是可疑活动的日志分析工具等将成为防火墙产品中的一部分,10.2.1 防火墙基础,(7)选择防火墙的原则 防火墙产品往往有上千种,如何在其中选择最 符合需要的产品;是消费者最关心的事。在选购防火墙软件时,应该考虑以下几点。 防火墙应该是一个整体网络的保护者 防火墙必须能弥补其它操作系统的不足 防火墙应该为使用者提供不同平台的选择防火墙应能向使用者提供完善的售后服务,10.2.2 企业防火墙的构建,1.企业网络的现状 信息化已成为国际性发展趋势,作为国民经济信息化的基础,企业信息化建设受到国家和企业的广泛重视。 2.企业网络的安全要求 网
29、络互联融入到社会的各个方面,网络的安全,包括网上信息数据安全和网络设备服务的运行安全,日益成为与国家、政府、企业、个人的利益休戚相关的大事。 3.企业网络安全的威胁 企业网络面临的安全威胁大体可分为两种:一是对网络数据的威胁;二是对网络设备的威胁。 4.网络安全元素,10.2.2 企业防火墙的构建,物理安全的目的是保护路由器、交换机、工作站、各种网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击;验证用户的身份和使用权限,防止用户越权操作;确保网络设备有一个良好的电磁兼容工作环境;建立完备的机房安全管理制度;妥善保管备份磁带和文档资料;防止非法人员进入机房进行偷窃和破坏
30、活动。 5.企业网络安全的实现 (1)网络隔离 (2)防火墙 6.提高企业内部网安全性的几个步骤: (1)限制对网关的访问和网关上的账号数,不允许在网络上进行根注册,10.2.2 企业防火墙的构建,(2)不信任任何人,网关不信任任何机器 (3)不要用NFS向网关传输或接收来自网关的任何文件系统 (4)不要在网关上使用NIS(网络信息服务) (5)制订和执行一个非网关机器上的安全性方针 (6)关闭所有多余服务和删除多余程序 (7)删除网关的所有多余程序(远程登录、rlogin、FTP等等) (8)定期阅读系统记录 7.企业Intranet安全解决方案,10.2.2 企业防火墙的构建,8.网络信息
31、安全产品 为了实施上面提出的安全体系,可采用防火墙产品来满足其要求。采用NetScreen 公司的硬件防火墙解决方案NetScreen-10 & NetScreen-100可以满足以下功能。 (1)访问控制 (2)普通授权与认证 (3)内容安全 (4)加密 (5)网络设备安全管理,10.2.2 企业防火墙的构建,(6)集中管理实施一个企业一种安全策略,实现集中管理、集中监控等。 (7)提供记账、报警功能实施移动方式的报警功能,包括E-mail、SNMP等。 9.企业防火墙应用方案示例 (1)本方案的目的与要求 所有内部网络与外部网络之间的信息通新信都通过防火墙 保证现有运行环境完整,不影响正常
32、工作 外部网络应能找到域名解析服务器;邮件能穿过防火墙,10.2.2 企业防火墙的构建,到达指定目的地 根据IP地址、协议类型、端口等进行数据包过滤 能够限定指定的内部主机和网络与外部网络通信 双向NAT功能,保护了内网地址及对外服务器的IP 通过IP与MAC地址绑定防止IP盗用 防止IP欺骗; 防DoS攻击;可以对特定网页地址进行过滤 (2)本方案的防火墙安装 防火墙的广域网端口与路由器连接,10.2.2 企业防火墙的构建,防火墙DMZ端口接邮件服务器、DNS服务器、代理服务器,WWW服务器防火墙Trusted端口接内部主网配置NetScreen防火墙内部网络地址,图10-5 企业防火墙应用
33、方案示例,10.2.2 企业防火墙的构建,(3)防火墙策略设置 DMZ区中的邮件服务器对外只开放SMTP,POP3端口,只允许内部网络的特定IP地址远程控制本机 DMZ区中的DNS服务器对外只开放DNS域名解析服务,只允许内部网络的特定IP地址远程控制本机 DMZ区中的WEB服务器对外只开放HTTP的80服务端口,只允许内部网络的特定IP地址远程控制本机 DMZ区中的FTP服务器对外只开放FTP的21服务端口,只允许内部网络的特定IP地址远程控制本机 对于内部网络主机开放由内部网络发起的网络连接,并且只允许HTTP、FTP、DNS、SMTP、POP3协议通过,10.2.2 企业防火墙的构建,对
34、内部网中可以远程控制DMZ区的主机进行IP与MAC地址绑定,以防止IP地址欺骗 随着网络攻击手段不断多样化,简单的采用多种孤立的安全手段已不能满足我们的需求。上例虽然可以在一定程度上降低网络攻击对企业网络的风险,但是无法彻底杜绝这种风险。企业网络安全是一个系统的、全局的管理问题.网络上的任何一个漏洞,都会导致全网的安全问题,我们应该应用系统工程的观点、方法,分析网络的安全及具体措施。,10.3网络防病毒技术,10.3.1 计算机病毒和网络病毒 10.3.2 网络计算机病毒的防治措施,10.3.1 计算机病毒和网络病毒,1.计算机病毒和网络病毒 计算机病毒是一种“计算机程序”,它不仅能破坏计算机
35、系统,而且还能够传播、感染到其它系统。它通常隐藏在其它看起来无害的程序中,能生成自身的复制并将其插入其它的程序中,执行恶意的行动。 2.计算机病毒的生命周期 (1)开发期 (2)传染期 (3)传染期 (4)发作期 (5)发现期,10.3.1 计算机病毒和网络病毒,(6)消化期 (7)消亡期 3.计算机病毒的特性 (1)计算机病毒的程序性(可执行性) (2)计算机病毒的传染性 (3)计算机病毒的潜伏性 (4)计算机病毒的可触发性 (5)计算机病毒的破坏性 (6)攻击的主动性,10.3.1 计算机病毒和网络病毒,(7)病毒的针对性 (8)病毒的非授权性 (9)病毒的隐蔽性 (10)病毒的衍生性 (
36、11)病毒的寄生性(依附性) (12)病毒的不可预见性 (13)计算机病毒的欺骗性 (14)计算机病毒的持久性 4.计算机病毒的分类,10.3.1 计算机病毒和网络病毒,(1)按照计算机病毒攻击的系统分类 攻击DOS系统的病毒。这类病毒出现的最早。 攻击Windows系统的病毒。由于Windows的图形用户界面(GUI)和多任务操作系统深受用户的欢迎, Windows正逐渐取代DOS,从而成为病毒攻击的主要对象。目前发现的首例破坏计算机硬件的CIH病毒就是一个Windows95/98病毒。 攻击UNIX系统的病毒。当前,UNIX系统应用非常广泛,并且许多大型的操作系统均采用 UNIX作为其主要
37、的操作系统,所以UNIX病毒的出现,对人类的信息处理也是一个严重的威胁。 攻击OS/2系统的病毒。世界上已经发现第一个攻击OS/2系统的病毒,它虽然简单,但也是一个不祥之兆。,10.3.1 计算机病毒和网络病毒,(2)按照病毒的攻击机型分类 攻击微型计算机的病毒。这是世界上传染最为广泛的一种病毒。 攻击小型机的计算机病毒。小型机的应用范围是极为广泛的,它既可以作为网络的一个节点机, 也可以作为小的计算机网络的主机。起初,人们认为计算机病毒只有在微型计算机上才能发生而小型机则不会受到病毒的侵扰,但自1988年11月份Internet网络受到worm程序的攻击后,使得人们认识到小型机也同样不能免遭
38、计算机病毒的攻击。 攻击工作站的计算机病毒。近几年,计算机工作站有了较大的进展,并且应用范围也有了较大的发展,所以不难想象,攻击计算机工作站的病毒的出现也是对信息系统的一大威胁。,10.3.1 计算机病毒和网络病毒,(3)按照计算机病毒的链结方式分类 源码型病毒 嵌入型病毒 外壳型病毒 操作系统型病毒 (4)按照计算机病毒的破坏情况分类 良性计算机病毒 恶性计算机病毒 (5)按照计算机病毒的寄生部位或传染对象分类,10.3.1 计算机病毒和网络病毒,磁盘引导区传染的计算机病毒 操作系统传染的计算机病毒 可执行程序传染的计算机病毒 (6)按照计算机病毒激活的时间分类按照计算机病毒激活的时间可分为
39、定时的和随机的。定时病毒仅在某一特定时间才发作,而随机病毒一般不是由时钟来激活的。 (7)按照传播媒介分类 单机病毒 网络病毒,10.3.1 计算机病毒和网络病毒,(8)按照寄生方式和传染途径分类 文件病毒 引导扇区病毒 多裂变病毒 秘密病毒 异形病毒 宏病毒 5. 计算机病毒的传播 (1)计算机病毒的传播途径 通过不可移动的设备进行传播,10.3.1 计算机病毒和网络病毒,通过移动存储设备进行传播最广泛的传播途径 通过网络进行传播反病毒所面临的新课题 通过点对点通讯系统和无线通道传播 预计将来会成为两大传播渠道 (2)计算机病毒的传播媒介 存储介质:磁存储介质、光存储介质、固定、移动存储介质
40、等。 网络:邮件(SoBig)、网页(RedLof)、局域网(Funlove)、远程攻击(Blaster)、网络下载等。,10.3.1 计算机病毒和网络病毒,6.计算机病毒的特点和破坏行为 (1)计算机病毒的特点 根据对计算机病毒的产生、传染和破坏行为的分析,总结出病毒有以下几个主要特点。 刻意编写人为破坏 自我复制能力 夺取系统控制权 隐蔽性 潜伏性 不可预见性,10.3.1 计算机病毒和网络病毒,(2)计算机病毒的破坏行为 攻击系统数据区 攻击文件 攻击内存 干扰系统运行,使运行速度下降 干扰键盘、喇叭或屏幕 攻击CMOS 干扰打印机 网络病毒破坏网络系统,非法使用网络资源,破坏电子邮件,
41、发送垃圾信息,占用网络带宽等。,10.3.1 计算机病毒和网络病毒,7.病毒的发展趋势 在当前网络技术迅速发展和普及的过程中,计算机病毒也具有新的发展趋势,如: (1)多种技术手段的综合运用: (2)增强隐蔽性 (3)网络成为传播的主要手段 Mail、WWW浏览、网络共享等使用的越来越广泛 (4)反应时间缩短 漏洞被发现的时间到病毒出现的时间越来越短 (5)危害越来越大,10.3.2 网络计算机病毒的防治措施,1.网络计算机病毒的特点 (1)传染方式多样 (2)传染速度快 (3)清除难度大 (4)破坏性强 (5)网络病毒还具有可激发性 2.计算机网络病毒的防治措施 (1)建立、健全法律和管理制
42、度:做到有法可依。 (2)加强教育和宣传。 (3)采取更有效的技术措施:技术措施是防治网络病毒的最直接和有效的措施。例如:系统安全;软件过滤;文件,10.3.2 网络计算机病毒的防治措施,加密;生产过程控制;后备恢复等。 (4)在网络中,尽量多用无盘工作站,不用或少用有软驱的工作站。 (5)在网络中,要保证系统管理员有最高的访问权限,避免过多地出现超级用户。 (6)对非共享软件,将其执行文件和覆盖文件如*.COM、*.EXE、*.OVL等备份到文件服务器上,定期从服务器上拷贝到本地硬盘上进行重写操作。 (7)接收远程文件输入时,一定不要将文件直接写入本地硬盘,而应将远程输入文件写到软盘上,然后
43、对其进行查毒,确认无毒后再拷贝到本地硬盘上。,10.3.2 网络计算机病毒的防治措施,(8)工作站采用防病毒芯片,这样可防止引导型病毒。 (9)正确设置文件属性,合理规范用户的访问权限。 (10)建立健全的网络系统安全管理制度,严格操作规程和规章制度,定期作文件备份和病毒检测。 (11)目前预防病毒最好的办法就是在计算机中安装防病毒软件,这和人体注射疫苗是同样的道理。采用优秀的网络防病毒软件,如LAN Protect和LAN Clear for NetWare等。 (12)为解决网络防病毒的要求,已出现了病毒防火墙,在局域网与Internet,用户与网络之间进行隔离。,10.4网络安全策略,1
44、0.4.1 Windows 2000的安全性 10.4.1.1 初级安全篇 10.4.1.2中级安全篇 10.4.1.3高级安全篇 10.4.2 路由器和交换机安全策略 10.4.3 安全套接字层 10.4.4数据信息加密,10.4.1 Windows 2000的安全性,Windows2000是一种相对安全的操作系统,它包含有很多的安全功能和选项,如果合理的配置它们,那么Windows2000将会是一个很安全的操作系统。 10.4.1.1 初级安全篇 1.物理安全 服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。 2.停掉Guest 账号 3.限制不必要的用户数
45、量 4.创建2个管理员用账号 5.把系统administrator账号改名,10.4.1 Windows 2000的安全性,6.创建一个陷阱账号 7.删除“everyone”组对共享文件的完全控制权限,图10-6 共享文件夹的权限窗口 8.使用安全密码 9.设置屏幕保护密码,10.4.1 Windows 2000的安全性,10.使用NTFS格式分区 11.运行防毒软件 12.保障备份盘的安全 10.4.1.2中级安全篇 1.利用Win2000的安全配置工具来配置策略 2.关闭不必要的服务 3. 关闭不必要的端口,图10-7 TCP/IP筛选窗口,10.4.1 Windows 2000的安全性,
46、4.打开审核策略,图10-8 策略设置窗口 图10-9密码策略窗口 5.开启密码策略 6.开启账户策略 在图10-10的右窗格内进行密码的设置,10.4.1 Windows 2000的安全性,7.设定安全记录的访问权限,图10-10账户锁定策略窗口 8.把敏感文件存放在另外的文件服务器中 9.不让系统显示上次登陆的用户名 10.禁止建立空连接 11.到微软网站下载最新的补丁程序,10.4.1 Windows 2000的安全性,10.4.1.3高级安全篇 1.关闭DirectDraw 2.关闭默认共享,3.禁止dump file的产生 4.使用文件加密系统EFS,图10-11 共享窗口 图10-
47、12 系统特性窗口 图10-13 启动和故障恢复窗口,10.4.1 Windows 2000的安全性,5.加密temp文件夹 6.锁住注册表 7.关机时清除掉页面文件 8.禁止从软盘和CD Rom启动系统 9.使用智能卡来代替密码 10.使用IPSec,10.4.2 路由器和交换机安全策略,现在Cisco路由器和Cisco第三层交换机内置有防火墙功能,并且可通过设置IP访问列表和与MAC地址绑定等方案对网络中的数据包进行过滤,限制进入或外出网络的数据,从而增强网络的安全性。对路由器和交换机等网络设备而言,还应当采取以下安全策略。 1.控制会话超时 Router (config-line) #e
48、xec-timeout minutes seconds 2.控制虚拟终端访问 Router (config) #access-list access-list-number Permit ip-address,10.4.2 路由器和交换机安全策略,Router (config) #line vty 0 4 Router (config-line) #access-class access-class-number in 3.控制HTTP访问 Switch (config)#ip http server 4.端口安全 通过下述命令可设置和校验端口的安全功能: Switch(enable)set port security mod-num/port-num enable mac-address Switch(enable)show port mod-num/port-num 在基于IOS的交换机启用和校验端口安全,可使用下述命令:,
