1、23 45678910111213141516环 境 安 全设 备 安 全媒 体 安 全实 体 安 全风 险 分 析审 计 跟 踪备 份 与 恢 复应 急运 行 安 全操 作 系 统 安 全数 据 库 安 全网 络 安 全病 毒 防 护访 问 控 制加 密鉴 别信 息 安 全电 子 商 务 系 统 安 全17181920黑客攻击黑客攻击 尝试性(如口令猜测)成功攻击,但不造成损失 成功攻击,且造成损失 有进一步犯罪动机无有无有无有有有有有有有有有有有篡改行为篡改行为 未经授权访问并篡改电脑数据 经授权访问电脑但擅自篡改电脑数据 干预和破坏正常的电脑运行有有有有无无有有有无有有其他方面其他方面
2、买卖口令 跨国界适用 涉及所有电脑有无无无无有无无无有无有最长刑期最长刑期 黑客行为 篡改行为20年5年2年5年20年5年10年12年21欧盟2001年关于网络犯罪的公约加强社会防卫,打击盗版、网络欺诈、儿童色情和危害网络安全等严重的网络犯罪美国1970年金融秘密权利法1984年伪造存取手段以及计算机诈骗与滥用法1986年计算机诈骗与滥用法国家信息基础保护法1987年联邦计算机安全处罚条例对金融业计算机存储数据的保护作了规定明确了对网络犯罪的处罚中国1994年中华人民共和国计算机信息系统安全保护条例1996年中华人民共和国计算机信息网络国际联网暂行规定1997年计算机信息网络安全保护管理办法、
3、计算机信息系统安全专用产品分类原则2000年互联网信息服务管理办法、关于维护互联网安全的决定22美国1980年隐私保护法1986年电子通信隐私法1988年视频隐私保护法1997年消费者因特网隐私保护法1997年联邦因特网隐私保护法1997年通信隐私和消费者权利法1997年资料隐私法1999年因特网保护个人隐私的政策1999年金融服务现代化法为计算机形式的文件提供隐私保护禁止个人在没有获权的情况下截取通信资料保护图片传输的隐私要求计算机服务在公布用户信息时必须事先得到用户的书面同意禁止联邦结构在因特网上公布个人信息保护在线交易中的隐私权限制使用关于个人的信息禁止未经消费者同意传播消费者的信息英国
4、1998年7月数据保护法澳大利亚“个人数据保护十原则”日本个人数据保护法23世界知识产权组织1996年12月世界知识产权组织版权保护条约对信息网络环境下的软件、数据库的著作权保护和信息数字化、网络传输、技术措施、版本信息等问题进行了解释欧盟2001年关于网络犯罪的公约加强社会防卫,打击盗版、网络欺诈、儿童色情和危害网络安全等严重的网络犯罪美国1997年禁止电子盗窃法是保护网络知识产权方面最重大的进步数字版权净化和技术教育法通过豁免远程教学的版权,限制了数字版权侵犯的范围在线版权有限责任法保护因特网服务提供商,使他们在无法控制或不知侵害结果的特殊情况下直接或间接违法时免予承担责任1998年数字版
5、权法侵权行为即使不带有营利性的动机,达到一定条件亦可被判定为犯罪24252627282930313233Thanks!363738394041424344链路链路链路链路加密加密1.包含报头和路由信息在内的所有信息均加密;2.单个密钥损坏时整个网络不会损坏,每队网络节点可使用不同的密钥;3.加密对用户透明。1.消息以明文形式通过每一个节点;2.因为所有节点都必须有密钥,密钥分发和管理变得困难;3.由于每个安全通信链路需要两个密码设备,因此费用较高。节点加密节点加密1.消息的加、解密在安全模块中进行,这使得消息内容不会被泄漏;2.加密对用户透明。1.某些信息(如报头和路由信息)必须以明文形式传输
6、;2.因为所有节点都必须有密钥,密钥分发和管理变得困难。端端端加密端加密1.使用方便,采用用户自己的协议进行加密,并非所有数据需要加密;2.网络中数据从源点到终点均受保护;3.加密对网络节点透明,在网络重构期间可使用加密技术。1.每一个系统都需要完成相同类型的加密;2.某些信息(如报头和路由信息)必须以明文形式传输;3.需采用安全、先进的密钥颁发和管理技术。4546474849密文密文明文明文发送方发送方Internet密文密文密钥密钥发送方发送方(=密钥密钥接收方接收方)加密加密明文明文接收方接收方密钥密钥接收方接收方解密解密50515253545556575859发送方发送方明文明文密文密
7、文密文密文公开密钥公开密钥接收方接收方明文明文接收方接收方私有密钥私有密钥接收方接收方Internet60发送方发送方明文明文密文密文密文密文私有密钥私有密钥发送方发送方明文明文接收方接收方公开密钥公开密钥放送方放送方Internet61发发送送方方明明文文两两次次加加密密的的密密文文两两次次加加密密的的密密文文公公开开密密钥钥接接收收方方明明文文接接收收方方私私有有密密钥钥接接收收方方Internet私私有有密密钥钥发发送送方方公公开开密密钥钥放放送送方方62Internet发发送送方方对对称称加加密密明明文文密密文文发发送送方方私私有有密密钥钥接接收收方方发发送送方方私私有有密密钥钥接接收
8、收方方私私有有密密钥钥加加密密后后的的密密钥钥密密文文加加密密后后的的密密钥钥+加加密密后后的的密密钥钥接接收收方方公公开开密密钥钥发发送送方方私私有有密密钥钥对对称称解解密密 密密文文明明文文发发送送方方私私有有密密钥钥不不对对称称解解密密不不对对称称加加密密6364 65198347HP迷你电脑3天198369Croy超级电脑32小时19889025个SUN工作站几星期1989951MZP处理器1个月198910680个工作站以上几星期1993110128128处理器(0.2MIPS)1个月19941291600部电脑8个月66RSA加密220k0.5k解密-32kDES1.2G400k6
9、7686970717273747576777879Thanks!8283 数字签名数字签名其实是伴随着数字化编码的消其实是伴随着数字化编码的消息一起发送并与发送的信息有一定逻辑关联息一起发送并与发送的信息有一定逻辑关联的数据项。的数据项。数字签名类似于数字签名类似于MAC,但不同于,但不同于MAC,数,数字签名可以支持不可否认服务。字签名可以支持不可否认服务。发送方的私钥发送方的私钥发送方的公钥发送方的公钥84 85868788899091。92多个用户对同一消息进行签名,这就是多多个用户对同一消息进行签名,这就是多重数字签名问题重数字签名问题 93代理签名的目的就是当某签名人因公务或身体健代
10、理签名的目的就是当某签名人因公务或身体健康等原因不能行使签名权力时,将签名权委派给康等原因不能行使签名权力时,将签名权委派给其他人替自己行使签名权其他人替自己行使签名权 签名事实不可否认 盲代理签名94定向签名仅允许特定的收方对签名进行验证定向签名仅允许特定的收方对签名进行验证ElGamal型签名方案和型签名方案和MR型定向签名方案型定向签名方案 双联签名用于解决三方参加电子贸易过程中的双联签名用于解决三方参加电子贸易过程中的安全通信问题安全通信问题 95只有团体内的成员能对消息签名只有团体内的成员能对消息签名 签名的接收者能够证实消息是该团体的有效签名签名的接收者能够证实消息是该团体的有效签
11、名 签名的接收者不能决定是该团体内哪一个成员签的名签名的接收者不能决定是该团体内哪一个成员签的名 在出现争议时,签名能够被在出现争议时,签名能够被“打开打开”,以揭示签名者,以揭示签名者的身份的身份 不可争辩签名是在没有签名者自己的合作下不可能验证不可争辩签名是在没有签名者自己的合作下不可能验证签名的签名签名的签名 目的是为了防止签名接收者滥用签名目的是为了防止签名接收者滥用签名 可用于软件产品的分发可用于软件产品的分发9697美国国家标准与技术局(NIST)在1991年提出了一个联邦数字签名标准,NIST称之为数字签名标准(DSS)。DSS提供了一种核查电子传输数据及发送者身份的一种方式。9
12、899100数字证书是由认证机构颁发的、包含了公开密钥持有者信息以及公开密钥的文件,证书上还有认证机构的数字签名数字证书系统通过认证机构为公-私密钥对的持有者发放和管理数字证书101个人数字证书服务器证书开发者证书102发送方发送方发送方私有密钥发送方数字证书+信息数字签名接收方数字证书加密对称密钥加密后信息接收方公开密钥加密数字信封信息数字摘要103接收方接收方解密对称密钥加密后信息发送方数字证书+信息比较比较数字信封接收方私有密钥解密数字摘要数字签名发送方公开密钥解密数字摘要104基本数字证书格式基本数字证书格式105X.509版本版本3数字证书格式数字证书格式106密钥信息的扩展 政策信
13、息扩展 主体及发放者属性扩展 认证路径约束扩展 与数字证书撤消表相关的扩展 107数字证书管理机构数字证书的申请注册数字证书的生成数字证书的更新108利用数字签名分发数字证书 利用目录服务分发数字证书109公钥基础设施PKI(Pubic Key Infrastructure)又叫公钥体系,是一种利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。PKI基础设施采用数字证书来管理公钥,通过第三方的可信任机构认证机构CA,把用户的公钥和用户的其他标识信息捆绑在一起,在Internet网上验证用户的身份。110交叉认证数字证书,是由一个认证机构对另一个认证机构签发的包含了该CA的签名密
14、钥的数字证书。认证路径是建立大规模公钥基础设施的基础 111112113114电子签名在数据电文中,以电子形式所含、所附或在逻辑上与数据电文有联系的数据,它可用于鉴别与数据电文相关的签名人和表明签名人认可数据电文所含信息。电子签名是法律上为了追求技术中立性而泛化的概念,数字签名是电子签名的一种特定实现形式。115技术问题复杂,但法律问题却相对简单技术问题复杂,但法律问题却相对简单 具有很强的国际统一趋势具有很强的国际统一趋势 实行实行“技术中立技术中立”的立法原则的立法原则 联合国:联合国:电子商务示范法电子商务示范法、电子签名示范法电子签名示范法新加坡:新加坡:电子交易法电子交易法日本:日本
15、:数字化日本之发端行动纲领数字化日本之发端行动纲领中国大陆地区:中国大陆地区:中华人民共和共电子签名法中华人民共和共电子签名法116中华人民共和国电子签名法由中华人民共和国第十届全国人民代表大会常务委员会第十一次会议于2004年8月28日通过,自2005年4月1日起施行。电子签名法重点解决了五个方面的问题。确立了电子签名的法律效力规范了电子签名的行为明确了认证机构的法律地位及认证程序,并给认证机构设置了市场准入条件和行政许可的程序规定了电子签名的安全保障措施明确了认证机构行政许可的实施主体是国务院信息产业主管部门117Thanks!120121 主要的主要的TCP/IPTCP/IP服务服务 1
16、22 123 124 125 126 Comp计算机相关学科的新闻组Misc多方面论题新闻组News关于Usenet的新闻Rec娱乐专题新闻组Sci科学技术与应用新闻组Soc社会科学专题新闻组Talk时事新闻讨论组127 128 129 130 DNSDNS是是InternetInternet用于名字登记和解析的标准,用于名字登记和解析的标准,任何任何IPIP地址均可以由字母组成的名字代替。地址均可以由字母组成的名字代替。DNSDNS本质上不是一个用户级服务,它是本质上不是一个用户级服务,它是SMTPSMTP、FTPFTP和和TelnetTelnet的基础的基础 131132。WWW浏览器浏览
17、器WWW服务器服务器 连接(连接(Connection)应答(应答(Response)关闭(关闭(Close)请求(请求(Request)133安全超文本传输协议(安全超文本传输协议(S-HTTPS-HTTP)是)是HTTP HTTP 的的一种安全扩展版本,主要利用密钥对加密一种安全扩展版本,主要利用密钥对加密的方法来保障的方法来保障Web Web 站点上的信息安全。站点上的信息安全。134 135SSLSSL的功能模型的功能模型 Internet应用层应用层数据链路物理层应用层应用层数据链路物理层ClientServer 136SSLSSL的体系结构的体系结构 应用层SSL握手协议SSL更改
18、密码规程协议SSL报警协议SSL记录协议TCPIP 137 138 139 140 141 142JavaJava是一种简单的、面向对象的、分布式的、解是一种简单的、面向对象的、分布式的、解释型的、健壮的、安全的、体系中立的、可移植释型的、健壮的、安全的、体系中立的、可移植的、高性能的、多线程的、动态的语言。的、高性能的、多线程的、动态的语言。特点特点去掉了去掉了C C和和C+C+中的一些无用特性中的一些无用特性接管了容易出错的任务接管了容易出错的任务自动垃圾收集自动垃圾收集系统精简系统精简 143支持基于网络的应用程序支持基于网络的应用程序JavaJava是一门解释性的语言是一门解释性的语言
19、JavaJava程序在程序在JVMJVM(JavaJava虚拟机)上运行虚拟机)上运行强类型语言强类型语言内存模式改进内存模式改进例外处理例外处理 144JavaJava程序可以在任何系统上运行,只要该系统能构程序可以在任何系统上运行,只要该系统能构成成JavaJava虚拟机即可。虚拟机即可。JavaJava可以运行于安装了解释器的任何机器上可以运行于安装了解释器的任何机器上 145 146AppletApplet受到以下一些限制:受到以下一些限制:JavaJava也不是完全安全的,用户需要及时打上补丁也不是完全安全的,用户需要及时打上补丁和更新和更新 147 148Thanks!151152
20、153防火墙防火墙是指隔离在本地网络与外界网络之间的一是指隔离在本地网络与外界网络之间的一道或一组执行控制策略的防御系统。道或一组执行控制策略的防御系统。它对网络之间传输的数据包依照一定的安全策略进行检查,以决定通信是否被允许,对外屏蔽内部网的信息、结构和运行状况,并提供单一的安全和审计的安装控制点,从而达到保护内部网络的信息不被外部非授权用户访问和过滤不良信息目的。5.1 5.1 防火墙概述防火墙概述1545.1 5.1 防火墙概述防火墙概述 防火墙的姿态防火墙的姿态 机构的整体安全策略机构的整体安全策略 防火墙的费用防火墙的费用 防火墙的基本构件和拓扑结构防火墙的基本构件和拓扑结构 防火墙
21、的维护和管理方案防火墙的维护和管理方案 155156157E-mail 处理域名服务网关代理认证SOCKS过 滤 器因特网Internet内部网Intranet安全操作系统E-mail域名询问高级协议访问IP级数据防火墙主要包括五部分:安全操作系统、过滤器、网关、域名服务和安全操作系统、过滤器、网关、域名服务和E-mailE-mail处理。处理。158159160161 1 包过滤型防火墙是最简单的防火墙。它的处理对象IP包,其功能是处理通过网络的IP包的信息,实现进出网络的安全控制。应用数据包过滤(packet filtering)技术在网络层对数据包进行选择,只有通过检查的IP包才能正常转
22、发出去。其选择的依据是访问控制表ACL(Access Control List),通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或通过检查它们的组合来决定是否允许该数据包通过。实现原理如图所示。应 用 层表 示 层会 话 层传 输 层网 络 层链 路 层物 理 层内 部 网 络外 部 网 络过 滤 规 则 处 理162163应用层表示层会话层传输层网络层链路层物理层内部网络外部网络应用代理服务164 代理代理服务器服务器代理代理客户机器客户机器客户机客户机服务器服务器请求请求转发应答转发应答应答应答防火墙代理防火墙代理转发请求转发请求间间代理获得客户机和服务器之间
23、通信的全代理获得客户机和服务器之间通信的全部控制权部控制权165 缺点:缺点:最大缺点就是速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,代理防火墙就会成为内外部网络之间的瓶颈。大多是基于主机的,价格比较贵,安装和使用比数据包过滤的防火墙复杂。1665.3 防火墙的选择和使用防火墙的选择和使用167 网络的安全性主要是指网络信息的安全性和网络路由的安全性。网络路由的安全性保障了网络信息的安全性,而网络路由的安全性通常可由防火墙实现。所以选择防火墙首先要确定网络信息的保护策略,然后对防火墙进行评价、分析,最后决定采用什么样的防火墙。1 要考虑网络结构要考虑网络结构 2 要考虑到业务应
24、用系统需求要考虑到业务应用系统需求 3 要考虑用户及通信流量规模方面的需求要考虑用户及通信流量规模方面的需求 4 要考虑到可靠性、可用性、易用性等方面的需求要考虑到可靠性、可用性、易用性等方面的需求5.3 5.3 防火墙的选择和使用防火墙的选择和使用168 按组成结构而言,将防火墙产品分为以下三种:软件防火墙软件防火墙 软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。硬件防火墙硬件防火墙 硬件防火墙是指所谓的硬件防火墙。之所以加上“所谓”二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火
25、墙都是这种所谓的硬件防火墙,他们都基于PC架构。芯片级防火墙芯片级防火墙 基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。5.3 防火墙的选择和使用防火墙的选择和使用1695.3 5.3 防火墙的选择和使用防火墙的选择和使用170 是一个综合的、模块化的安全套件,它是一个基于策略的解决方案。CP Firewall-1套件提供单一的、集中的分布式安全策略,跨越Unix、NT、路由器、交换机和其他外围设备,提供大量的API,有100多个解决方案和OEM厂商的支持。由3个交互操作的组件构成:控制组件、加强组件和可选组件。这些组件既可以运
26、行在单机上,也可以部署在跨平台系统上。操作在操作系统的核心层进行,而不是在应用程序层,这样可以使系统达到最高性能的扩展和升级。支持基于Web的多媒体和基于UDP的应用程序,并采用多重验证模板和方法。支持几乎所有平台,但价格偏高。5.3 5.3 防火墙的选择和使用防火墙的选择和使用171SonicWALL系列防火墙是在NASDAQ上市的美国SONICWALL公司的著名网络安全产品,是目前全球销量最大的硬件防火墙和市场占有率最高的硬件VPN产品。SonicWALL采用软硬件一体化设计,在高性能硬件平台上,利用先进的防火墙技术和SonicWALL专有的安全高效的实时操作系统。采用世界领先的加密算法、
27、身份认证技术以及网络防病毒技术,是一个强大的,集应用级防火墙、入侵报警、内容过滤、VPN、网络防病毒等多种安全策略为一体的,稳定可靠的高性能网络安全系统。具有优秀的性价比。5.3 5.3 防火墙的选择和使用防火墙的选择和使用172是NetScreen科技公司推出的一种新型的网络安全硬件产品,具有Trusted(可信端口)、Untrusted(非信任端口)、Optional(可选端口)三个J-45网络接口,配有PCMCIA插槽,支持10MB、20MB、40MB和150MB快闪存储器。优势之一是采用了新的体系结构,可以有效地消除传统防火墙实现数据加盟时的性能瓶颈,能实现最高级别的IP安全保护。在执
28、行效率和带宽处理的能力上性能优越。采用独有的ASIC 设计和基于Intel的FreeBSD Unix 平台,使用简单易行,配置简单。率先提供了100MB的吞吐能力和无用户数限制,并支持64000个并发会话,有效地消除了软件防火墙的性能瓶颈,达到了安全和性能的统一。5.3 5.3 防火墙的选择和使用防火墙的选择和使用173是我国第一套自主版权的防火墙系统,目前在我国电信、电子、教育、科研等单位广泛使用。它由防火墙和管理器组成。其中,防火墙由多个模块组成,包括包过滤、应用代理、NAT、VPN、防攻击等功能模块,各模块可分离、裁剪和升级,以满足不同用户的需求。在体系结构上,网络卫士采用了集中控制下的
29、分布式客户机/服务器结构,性能好、配置灵活。采用了领先一步的SSN(安全服务器网络)技术,安全性高于其他防火墙普遍采用的DMZ(隔离区)技术。使用完全的代理服务方式提供广泛的协议支持以及高速的吞吐能力,很好地解决了安全、性能及灵活性之间的协调问题。Gauntlet防火墙的新型自适应代理技术还允许单个安全产品,如安全脆弱性扫描器、病毒安全扫描器和入侵防护传感器之间实现更加灵活的集成。5.3 5.3 防火墙的选择和使用防火墙的选择和使用174是最具代表性的硬件防火墙,属状态检测型。由于它采用了自有的实时嵌入式操作系统,因此减少了黑客利用操作系统BUG攻击的可能性。就性能而言,Cisco PIX是同
30、类硬件防火墙产品中最好的,对100BaseT可达线速。但是,其优势在软件防火墙面前便不呈现不明显了。其缺陷主要有三:其一价格昂贵,其二升级困难,其三是管理烦琐复杂。5.3 5.3 防火墙的选择和使用防火墙的选择和使用1755.4 分布式防火墙技术分布式防火墙技术 5.4.1 分布式防火墙的产生分布式防火墙的产生 5.4.2 传统边界式防火墙的固有欠缺传统边界式防火墙的固有欠缺 5.4.3 分布式防火墙的主要特点分布式防火墙的主要特点 5.4.4 分布式防火墙的主要优势分布式防火墙的主要优势 5.4.5 分布式防火墙的基本原理分布式防火墙的基本原理 5.4.6 分布式防火墙的主要功能分布式防火墙
31、的主要功能 176 传统意义上的边界防火墙用于限制被保护企业内部网络与外部网络(通常是互联网)之间相互进行信息存取、传递操作。分布式防火墙是一种主机驻留式的安全系统,用以保护企业网络中的关键结点服务器、数据及工作站免受非法入侵的破坏。分布式防火墙把Internet和内部网络均视为“不友好的”。分布式防火墙克服了操作系统所具有的已知及未知的安全漏洞,如DoS(拒绝服务)、应用及口令攻击。从而使操作系统得到强化。分布式防火墙对每个服务器都能进行专门的保护。5.4 5.4 分布式防火墙技术分布式防火墙技术177 5.4 5.4 分布式防火墙技术分布式防火墙技术1785.4.3 分布式防火墙的主要特点
32、分布式防火墙的主要特点5.4 5.4 分布式防火墙技术分布式防火墙技术1795.4.4 分布式防火墙的主要优势分布式防火墙的主要优势 5.4 5.4 分布式防火墙技术分布式防火墙技术180 5.4.5 分布式防火墙的基本原理分布式防火墙的基本原理 首先由制定防火墙接入控制策略的中心通过 编译器将策略语言诉描述转换成内部格式,形成策略文件;然后中心采用系统管理工具把策略文件分发给各台“内部”主机;“内部”主机将从两方面来判定是否接受收到的包,一是根据IP安全协议,二是根据服务器端的策略文件。5.4 5.4 分布式防火墙技术分布式防火墙技术1815.4.6 分布式防火墙的主要功能分布式防火墙的主要
33、功能 黑客攻击的防御黑客攻击的防御日志管理日志管理系统工具系统工具5.4 5.4 分布式防火墙技术分布式防火墙技术182Thanks!184第第6章章 计算机病毒及其防治计算机病毒及其防治185 6.1 计算机病毒的概念计算机病毒的概念 6.2 计算机病毒的分析计算机病毒的分析 6.3 计算机病毒的防范计算机病毒的防范 6.4 网络病毒的防治网络病毒的防治 6.5 常用的防杀毒软件常用的防杀毒软件1866.1 计算机病毒的概念计算机病毒的概念 6.1.1 计算机病毒的产生 6.1.2 计算机病毒的特征 6.1.3 计算机病毒的分类 187编制或者在计算机程度中编制或者在计算机程度中插入的破坏计
34、算机功能或者破坏数据,插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。组计算机指令或者程序代码。中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例 188 6.1.1 计算机病毒的产生 计算机病毒存在的理论依据来自于冯诺依曼结构计算机病毒存在的理论依据来自于冯诺依曼结构及信息共享及信息共享 计算机病毒产生的来源多种多样计算机病毒产生的来源多种多样 归根结底,计算机病毒来源于计算机系统本身所归根结底,计算机病毒来源于计算机系统本身所具有的动态修改和自我复制的能力具有的动态修改和自我复制的
35、能力 189 6.1.2 计算机病毒的特征 破坏性大破坏性大 感染性强感染性强 传播性强传播性强 隐藏性好隐藏性好 可激活性可激活性 有针对性有针对性 非授权性非授权性 难于控制难于控制 不可预见性不可预见性190 6.1.3 计算机病毒的分类 按攻击的对象分类按攻击的对象分类 按攻击的操作系统分类按攻击的操作系统分类 按表现性质分类按表现性质分类191 6.1.3 计算机病毒的分类 按寄生的方式分类按寄生的方式分类 可以分为覆盖式寄生病毒、代替式寄生病毒、链接式寄生可以分为覆盖式寄生病毒、代替式寄生病毒、链接式寄生病毒、填充式寄生病毒和转储式寄生病毒病毒、填充式寄生病毒和转储式寄生病毒5 5
36、 按感染的方式分类按感染的方式分类 可以分为引导扇区病毒、文件感染病毒、综合型感染病毒可以分为引导扇区病毒、文件感染病毒、综合型感染病毒3 3种种 按侵入途径分类按侵入途径分类 可以分为源码病毒、操作系统病毒、入侵病毒和外壳病毒可以分为源码病毒、操作系统病毒、入侵病毒和外壳病毒4 4种种1926.2 计算机病毒的分析计算机病毒的分析 6.2.1 计算机病毒的传播途径 6.2.2 计算机病毒的破坏行为 6.2.3 常见计算机病毒的发作症状 193 6.2.1 计算机病毒的传播途径常见的计算机病毒的传播途径有以下常见的计算机病毒的传播途径有以下4 4种:种:通过不可移动的计算机硬件设备进行传播通过
37、不可移动的计算机硬件设备进行传播 通过移动存储设备来传播通过移动存储设备来传播 通过计算机网络进行传播通过计算机网络进行传播 通过点对点通信系统和无线通道传播通过点对点通信系统和无线通道传播194 6.2.2 计算机病毒的破坏行为 攻击系统数据区攻击系统数据区 攻击文件攻击文件 攻击内存攻击内存 干扰系统运行干扰系统运行 速度下降速度下降 攻击磁盘攻击磁盘 扰乱屏幕显示扰乱屏幕显示 键盘键盘 喇叭喇叭 攻击攻击CMOSCMOS 干扰打印机干扰打印机195 6.2.3 常见计算机病毒的发作症状 电脑运行比平常迟钝电脑运行比平常迟钝 程序载入时间比平常久程序载入时间比平常久 对一个简单的工作,磁盘
38、似乎花了比预期长的时间对一个简单的工作,磁盘似乎花了比预期长的时间 不寻常的错误信息出现不寻常的错误信息出现 硬盘的指示灯无缘无故的亮了硬盘的指示灯无缘无故的亮了 系统内存容量忽然大量减少系统内存容量忽然大量减少 磁盘可利用的空间突然减少磁盘可利用的空间突然减少 可执行程序的大小改变了可执行程序的大小改变了 坏轨增加坏轨增加 程序同时存取多部磁盘程序同时存取多部磁盘 内存内增加来路不明的常驻程序内存内增加来路不明的常驻程序 文件奇怪的消失文件奇怪的消失 文件的内容被加上一些奇怪的资料文件的内容被加上一些奇怪的资料 文件名称、扩展名、日期、属性被更改过文件名称、扩展名、日期、属性被更改过1966
39、.3 计算机病毒的防范计算机病毒的防范 6.3.1 提高计算机病毒的防范意识 6.3.2 加强计算机病毒的防范管理 6.3.3 规范计算机的使用方法 6.3.4 清除计算机病毒的原则 197 6.3.1 提高计算机病毒的防范意识 6.3.2 加强计算机病毒的防范管理 尊重知识产权尊重知识产权 采取必要的病毒检测、监控措施,制定完善的管理规则采取必要的病毒检测、监控措施,制定完善的管理规则 建立计算机系统使用登记制度建立计算机系统使用登记制度,及时追查、清除病毒及时追查、清除病毒 加强教育和宣传工作加强教育和宣传工作 建立有效的计算机病毒防护体系建立有效的计算机病毒防护体系 建立、完善各种法律制
40、度,保障计算机系统的安全性建立、完善各种法律制度,保障计算机系统的安全性198 6.3.3 规范计算机的使用方法 新购置的计算机的安全使用方法新购置的计算机的安全使用方法 计算机启动的安全使用方法计算机启动的安全使用方法 防止或减少数据丢失的方法防止或减少数据丢失的方法 网络管理员需要注意的问题网络管理员需要注意的问题199 6.3.4 清除计算机病毒的原则 在清除计算机病毒前后,一般应遵循的在清除计算机病毒前后,一般应遵循的3 3条原则条原则 在发现计算机病毒后,一般应遵循的在发现计算机病毒后,一般应遵循的5 5条杀毒原则条杀毒原则 在清除病毒的过程中,一般应遵循的在清除病毒的过程中,一般应
41、遵循的7 7条原则条原则2006.4 网络病毒的防治网络病毒的防治 6.4.1 计算机病毒的发展趋势 6.4.2 网络病毒的特征 6.4.3 基于网络安全体系的防毒管理措施 6.4.4 基于工作站与服务器的防毒技术 6.4.5 网络病毒清除方法 201 6.4.1 计算机病毒的发展趋势 网络成为计算机病毒传播的主要载体网络成为计算机病毒传播的主要载体 网络蠕虫成为最主要和破坏力最大的病毒类型网络蠕虫成为最主要和破坏力最大的病毒类型 恶意网页成为破坏的新类型恶意网页成为破坏的新类型 出现带有明显病毒特征的木马或木马特征的病毒出现带有明显病毒特征的木马或木马特征的病毒202 6.4.1 计算机病毒
42、的发展趋势 技术的遗传与结合技术的遗传与结合 传播方式多样化传播方式多样化 跨操作系统的病毒跨操作系统的病毒 出现手机病毒、信息家电病毒出现手机病毒、信息家电病毒203 6.4.2 网络病毒的特征 传染方式多传染方式多 传染速度快传染速度快 清除难度大清除难度大 破坏性更强破坏性更强204 6.4.3 基于网络安全体系的防毒管理措施 有以下几点加以注意:有以下几点加以注意:尽量多用无盘工作站尽量多用无盘工作站 尽量少用有盘工作站尽量少用有盘工作站 尽量少用超级用户登录尽量少用超级用户登录 严格控制用户的网络使用权限严格控制用户的网络使用权限 2 2个不允许个不允许 对某些频繁使用或非常重要的文
43、件属性加以对某些频繁使用或非常重要的文件属性加以控制,以免被病毒传染控制,以免被病毒传染 对远程工作站的登录权限严格限制对远程工作站的登录权限严格限制205 6.4.4 基于工作站与服务器的防毒技术 基于工作站的基于工作站的DOSDOS防毒技术防毒技术工作站防毒主要有以下几种方法:工作站防毒主要有以下几种方法:使用防毒杀毒软件使用防毒杀毒软件 安装防毒卡安装防毒卡 安装防毒芯片安装防毒芯片206 6.4.4 基于工作站与服务器的防毒技术 基于服务器的基于服务器的NLMNLM防毒技术防毒技术 基于服务器的基于服务器的NLMNLM防毒技术一般具备以下功能:防毒技术一般具备以下功能:实时在线扫描实时
44、在线扫描 服务器扫描服务器扫描 工作站扫描工作站扫描207 6.4.5 网络病毒清除方法 立即使用立即使用BROADCASTBROADCAST命令,通知所有用户退网,关闭文件服务器。命令,通知所有用户退网,关闭文件服务器。用带有写保护的、用带有写保护的、“干净干净”的系统盘启动系统管理员工作站,并的系统盘启动系统管理员工作站,并立即清除本机病毒。立即清除本机病毒。用带有写保护的、用带有写保护的、“干净干净”的系统盘启动文件服务器,系统管理的系统盘启动文件服务器,系统管理员登录后,使用员登录后,使用DISABLE LOGINDISABLE LOGIN命令禁止其他用户登录。命令禁止其他用户登录。将
45、文件服务器的硬盘中的重要资料备份到将文件服务器的硬盘中的重要资料备份到“干净的干净的”软盘上。软盘上。用杀毒软件扫描服务器上所有卷的文件,恢复或删除发现被病毒用杀毒软件扫描服务器上所有卷的文件,恢复或删除发现被病毒感染的文件,重新安装被删文件。感染的文件,重新安装被删文件。用杀毒软件扫描并清除所有可能染上病毒的软盘或备份文件中的用杀毒软件扫描并清除所有可能染上病毒的软盘或备份文件中的病毒。病毒。用杀毒软件扫描并清除所有的有盘工作站硬盘上的病毒。用杀毒软件扫描并清除所有的有盘工作站硬盘上的病毒。在确信病毒已经彻底清除后,重新启动网络和工作站。在确信病毒已经彻底清除后,重新启动网络和工作站。208
46、6.5 常用的防杀毒软件常用的防杀毒软件 6.5.1 国际著名防杀毒软件 6.5.2 国内防杀毒软件 6.5.3 国内外防杀毒软件的比较 6.5.4 企业级的防病毒工作 6.5.5 权威病毒认证机构及其法规、标准 209表表6.1 常用防杀毒软件对照表常用防杀毒软件对照表防杀毒软件防杀毒软件 网网 址址 卡巴斯基Kaspersky McAfee产品系列 诺顿Norton 江民 金山毒霸 瑞星 趋势 210 6.5.1 国际著名防杀毒软件 卡巴斯基卡巴斯基KasperskyKaspersky McAfeeMcAfee公司产品公司产品 诺顿诺顿NortonNorton 6.5.2 国内防杀毒软件
47、江民江民 金山毒霸金山毒霸 瑞星瑞星 趋势趋势211 6.5.3 国内外防杀毒软件的比较国内外防杀毒软件总体上的差别有以下两点:国内外防杀毒软件总体上的差别有以下两点:国外的防杀毒软件厂商主要集中在高端的信息国外的防杀毒软件厂商主要集中在高端的信息安全领域,而较底端的单机版才是国内厂商聚安全领域,而较底端的单机版才是国内厂商聚集的场所集的场所 国外的防杀毒软件具有强大的病毒前摄防御功国外的防杀毒软件具有强大的病毒前摄防御功能,而国内的防杀毒软件能够查杀到的病毒数能,而国内的防杀毒软件能够查杀到的病毒数量相对来讲更多,查杀的速度相对也更快量相对来讲更多,查杀的速度相对也更快 212 6.5.4
48、企业级的防病毒工作 建立企业多层次的病毒防护体系建立企业多层次的病毒防护体系 这里的多层次病毒防护体系是指在企业的每个台式这里的多层次病毒防护体系是指在企业的每个台式机上安装台式机的反病毒软件,在服务器上安装基机上安装台式机的反病毒软件,在服务器上安装基于服务器的反病毒软件,在于服务器的反病毒软件,在InternetInternet网关上安装网关上安装基于基于InternetInternet网关的反病毒软件。网关的反病毒软件。企业在防病毒体系建设方面主要存在三方面的问题企业在防病毒体系建设方面主要存在三方面的问题 防病毒系统建设简单化 对如何发挥个体主机自身防御能力考虑过少 对用户防病毒教育重
49、视不够 213 6.5.4 企业级的防病毒工作 建立企业多层次的病毒防护体系建立企业多层次的病毒防护体系 有效的防病毒方法应从以下五方面着手有效的防病毒方法应从以下五方面着手 依据最小服务化原则,进行标准化配置,减小攻击面依据最小服务化原则,进行标准化配置,减小攻击面 建立补丁自动分发机制,及时进行漏洞修补,保证应建立补丁自动分发机制,及时进行漏洞修补,保证应用安全更新用安全更新 启用基于主机的防火墙,完善信息隔离机制启用基于主机的防火墙,完善信息隔离机制 选择合适的防病毒系统,全面部署防病毒软件选择合适的防病毒系统,全面部署防病毒软件 强化安全教育,增强用户自我防护意识强化安全教育,增强用户
50、自我防护意识 2146.5.4 企业级的防病毒工作防病毒体系建设的注意问题防病毒体系建设的注意问题绝不能出现安装防病毒系统造成业务中断的情况绝不能出现安装防病毒系统造成业务中断的情况 要确保有人监控防病毒系统的运转情况要确保有人监控防病毒系统的运转情况 企业级防病毒软件产品的选择企业级防病毒软件产品的选择防病毒引擎的工作效率防病毒引擎的工作效率系统的易管理性系统的易管理性 对病毒的防护能力对病毒的防护能力(特别是病毒码的更新能力特别是病毒码的更新能力)215 6.5.5 权威病毒认证机构及其法规、标准表表6.2 6.2 国内外权威病毒认证机构网址对照表国内外权威病毒认证机构网址对照表 国内外权