《信息安全一.ppt》由会员分享,可在线阅读,更多相关《信息安全一.ppt(101页珍藏版)》请在三一文库上搜索。
1、病毒防护 2011年3月,培训人:郭培育 狄二凯,目录,第一章:病毒基础知识 第二章:计算机病毒的传播途径 第三章:建立有效的病毒防范管理机制 第四章:建立有效的应急响应机制 第五章:防病毒技术介绍 第六章:防病毒相关服务,第一章:病毒基础知识,1.1 计算机病毒定义 1.2 计算机病毒的特性 1.3 病毒历史及发展趋势的演变 1.4 典型病毒的结构 1.5 计算机病毒的分类 1.6 计算机病毒的危害 1.7 计算机病毒的触发方式 1.8 感染计算机病毒后的现象 1.9 目前病毒新技术和新特点,广义定义: 能够引起计算机故障,破坏计算数据的程序统称为计算机病毒。 标准定义: 计算机病毒,是指编
2、制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。,1.1 计算机病毒定义,传染性: 正常的计算机程序一般是不会将自身的代码强行连接到其它程序上,而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。 隐蔽性: 病毒通常附在正常程序中或磁盘隐蔽处,与正常程序通常是难以区分的。,1.2 计算机病毒的特性,潜伏性:大部分的病毒感染系统之后一般不会马上发作,它可长期隐藏在系统中,只有在满足其特定条件时才启动其表现(破坏)模块。 破坏性:任何病毒只要侵入系统,都会对系统及应用程序产生程度不同的影响。 不可预见性:从对病毒
3、的检测方面来看,病毒还有不可预见性。,1.3 病毒历史及发展趋势的演变,病毒年表,病毒发展演变趋势图,典型的计算机病毒一般由三个功能模块组成,即:引导模块,传染模块,破坏模块。 但是,不是所有的病毒均由此结构组成,如有的SQL甚至没有病毒体(即病毒文件),只驻留于内存。,1.4 典型病毒的结构,引导模块:将病毒主体导入内存并为传染模块提供运行环境。 传染模块:将病毒代码传到其它的载体上去.一般情况下传染模块分为两部分,前部是一个条件判别程序,后部才是传染程序主体。 破坏模块:同传染模块一样,破坏模块也带有条件判别部分,因病毒均有潜伏期,破坏模块只在符合条件时才进行活动。,1.5 计算机病毒的分
4、类,按照通常习惯分为一下几种: A)引导型 B)文件型 C)脚本病毒 D)儒虫病毒 E)木马病毒 F)逻辑炸弹,引导型病毒,1感染目标:通过文件感染硬盘的引导区部分; 2传播途径:通过软盘,光盘等介质进行传播; 3典型病毒:Stone,文件型病毒,1感染目标:通过可执行的文件感染目标系统文件; 2传播途径:各种存储介质,网络共享,电子邮件; 3. 典型病毒:幽灵王,脚本语言: 脚本语言是介于HTML和Java、C+和Visual Basic之间的语言。它的语法和规则没有可编译的编程程序那样严谨和复杂。 脚本病毒就是指在脚本语言中加入病毒代码,利用网页的等脚本载体传播的病毒。,脚本型病毒,宏病毒
5、,MicrosoftWord中对宏定义为:“宏就是能组织到一起作为一独立的命令使用的一系列Word命令,它能使日常工作变得更容易。” 感染目标:通过可执行的文件感染目标系统文件; 传播途径:各种存储介质,网络共享,电子邮件;,蠕虫病毒,蠕虫是指具有通过网络进行自我繁殖功能的程序,传染机理是利用网络和电子邮件进行复制和传播。这一病毒利用了微软视窗操作系统或者其他软件系统的漏洞,计算机感染这一病毒后,会不断自动上网,并利用文件中的地址信息或者网络共享进行传播和网络攻击。,木马病毒,特洛伊木马病毒,也叫黑客程序或后门病毒,病毒通过一套隐藏在合法程序中的命令,指示计算机进行不合法的运作。换句话说就是指
6、采用正常用户无法察觉的方法潜入到对方内部实施某种破坏(盗窃)行为。木马程序的本质就是一个远程控制软件:远程控制软件是在远方机器知道,允许的情况下,对远方机器进行远程控制的软件。,逻辑炸弹,指被设置在合法程序中,通过事件或条件引发后,会破坏程序和数据的子程序段。,新出现的病毒,JAVA等网页病毒; 利用P2P软件传播的病毒; PDA等掌上电脑病毒; 手机病毒等。,按其它分类方式划分,按照计算机病毒的破坏性质分类: 1.良性病毒 2.恶性病毒,造成数据毁坏、丢失; 破坏系统如硬盘、主板等硬件; 影响网络正常功能,甚至网络瘫痪; 破坏系统软件; 为系统留“后门”,为黑客窃取数据提供途径; 降低计算机
7、系统性能。,1.6 计算机病毒的危害,近年病毒爆发的情况及损失,特定日期或时间触发; 感染触发; 键盘触发; 启动触发; 访问磁盘次数触发; CPU型号/主板型号触发。,1.7 计算机病毒的触发方式,1.8 感染计算机病毒后的现象,计算机启动和运行与速度以往相比明显减慢; 文件莫名其妙有丢失; 在系统异常重启和出现异常错误; 键盘、打印、显示有异常现象; 有特殊文件自动生成;,磁盘空间自动产生坏簇或磁盘空间减少; 没做写操作时出现“磁盘有写保护”信息; 在系统进程中出现可疑的进程; 在启动项中发现可疑启动项; 网络数据流出现异常或出现大量有共性的异常数据包。,1.密码破解技术 应用此技术的病毒
8、可对win2000以上的操作系统的密码进行破解。此类病毒一般会带有约几百单词数量(有时会更大的)的字典库 ,可对“弱口令”进行破解,因此需要至少六位的数字字母混合的系统口令。 例:爱情后门病毒,1.9 目前病毒新技术和新特点,2. 漏洞技术 利用操作系统和软件系统(主要是微软的软件系统)漏洞进行攻击;即发送不正常的数据包,使获得的系统出现错误,从而使病毒夺取对方电脑的控制权。 例:冲击波利用rpc漏洞,震荡波利用LSASS漏洞,3.端口监听技术(原多见于木马程序) Moodown.y病毒利用自身的SMTP发信引擎来发送病毒邮件,监听82端口,等待攻击者连接,可自动下载并执行新的病毒。 振荡波病
9、毒的最新变种监听1023端口(支持USER、PASS、PORT、RETR和QUIT命令),并实现一个tftp服务器,并进行攻击。,4.多线程扫描技术 现在常见病毒多采用此技术,此技术可加速网络病毒的传播速度。 如I-Worm.Sasser.e(振荡波.e)开辟128个线程扫描网络 ,传播病毒。,主动通过网络和邮件系统传播 传播速度极快 扩散面广 变种多、快,网络时代病毒的新特性:,使用传统手段难于根治、容易引起多次疫情 具有病毒、蠕虫和后门(黑客)程序的多种特性 病毒向能对抗反病毒软件和有特定目的的方向发展,第二章:计算机病毒的传播,2.1 计算机病毒的工作环节 2.2 计算机病毒的传播途径
10、2.3 有防护的内部网络中的病毒传播 2.4 物理隔离网络中的病毒传播 2.5 政府机关网络病毒问题的现状,2.1 计算机病毒的工作环节,完整的计算机病毒工作环节应包括以下几个方面:,传染源:病毒总是依附于某些储存介质,如电子邮件、软盘、硬盘等构成传染源。 传染媒介:病毒传染的媒介由工作的环境来定,可能是网络,也可能是可以移动的存储介质,例如软磁盘等。 病毒激活:是指将病毒装入内存,并设置触发条件,一旦触发条件成熟,病毒就开始其作用,如:自我复制到传染对象,进行各种破坏活动等。,病毒触发:计算机病毒一旦被激活,立刻发生作用,触发的条件是多样化的,可以是内部时钟,系统的日期,用户标志符,也可能是
11、系统的一次通信等。 病毒表现:表现是病毒的主要目的之一,有时在屏幕显示出来,有时则表现为破坏系统数据。可以这样说,凡是软件技术能够触发到的地方,都在其表现范围内。 病毒传染:传染是病毒性能的一个重要标志。在传染环节中,病毒复制一个自身副本到传染对象中去。,2.2 目前存在病毒的传播途径,网络病毒攻击图,工作站,工作站,网站服务器,网站服务器,邮件中恶意附件,攻破多个网站服务器,以前攻破的网站服务器,浏览器进攻,文件共享,Internet,路由器,2.3 有防护的办公网络中的病毒传播,病毒传入途径: 终端漏洞导致病毒传播; 邮件接收导致病毒传播; 外部带有病毒的介质直接接入网络导致病毒传播; 内
12、部用户绕过边界防护措施,直接接入因特网导致病毒被引入; 网页中的恶意代码传入;,大型内部网络,一般均有防火墙等边界防护措施,但是还经常会出现病毒,病毒是如何传入的呢?,系统漏洞传播; 系统邮件传播; 储存介质传播; 共享目录传播;,病毒在此类网络内的传播途径,2.4 物理隔离网络中病毒的传播,外部带有病毒的介质接入网络导致病毒传播; 内部用户私自在将所使用的终端接入因特网导致病毒被引入;,国家机关和军队、银行等为了保护网络,一般均采用物理隔离措施,这类网络理论上应该是安全的,不过也有病毒的出现,这类网络,病毒主要是靠几种途径传入的:,系统漏洞传播; 储存介质传播; 邮件传播;,物理隔离网络病毒
13、内病毒的传播途径:,新病毒传入问题 老病毒根除问题,一般网络的病毒问题主要有两个方面,即:,2.5 政府机关网络病毒问题的现状,政府机关网络防病毒可能需要面临的问题:,难以确定网络内设备的用户联网状况; 无法快速准确定位病毒源; 了解病毒源后,无法方便的对病毒源进行阻断。 难以监控系统安全补丁安装情况; 缺乏有效的技术手段保证管理制度的贯彻。,第三章:建立有效的病毒防范管理机制,3.1 建立防病毒管理机构 3.2 防病毒管理机制的制定和完善 3.3 制定防病毒管理制度 3.4 用技术手段保障管理的有效性 3.5 加强培训以保障管理机制执行,无论什么样先进的病毒保障系统,使用者、控制者最终都是人
14、。所以防病毒首要的事情是建立防病毒管理机构,以领导、协调防病毒工作和处理应急响应事件。,3.1 建立防病毒管理机构,防病毒管理机构组成图,机构内各组织的防病毒工作的协调管理; 防病毒责任的分配; 系统内部各单位间的防病毒组织的合作。,防病毒管理机构应注意的问题,防病毒需求分析:只有明了自己的安全需求才能有针对性地构建适合于自己的安全体系结构,正确的安全分析需求是保证网络系统的安全的根源。 防病毒风险管理:风险管理是对需求分析结果中存在的威胁和业务需求进行风险评估,以可以接受的投资,进行最大限度的病毒防范工作。,3.2 防病毒管理机制的制定和完善,制定防病毒策略:根据组织和部门的防病毒需求和风险
15、评估的结论,制定切实可行的计算机网络防病毒策略。 定期防病毒审核:安全审核的首要任务是审核组织的安全策略是否被有效地和正确地执行。因为网络防病毒是一个动态的过程,防病毒的需求可能会发生变化;为了在防病毒需求发生变化时,策略和控制措施能够及时反映这种变化,必须进行定期安全审核。,防病毒管理机制的实行过程,A制定计划 B进行实施 C监控审评 D维护改进,1. 网络管理员管理制度,3.3 制定防病毒管理制度,防病毒日常管理责任 防病毒策略管理责任 病毒应急响应事件责任,2. 网络一般用户管理制度,3. 账户及口令管理制度 4. 设备管理规章制度,入网设备防病毒管理制度 服务器管理制度 便携机管理制度
16、 介质管理,管理制度需要注意的问题: 减少从第三方的系统下载软件; 组建一支队伍,监测和调查病毒事件; 病毒库必须随时更新; 重要的数据必须备份,并每月检查一次;,3.4 用技术手段保障管理的有效性,通过技术手段可保障管理制度有效贯彻执行,通过技术手段,可以对以下的管理进行加强: 保证补丁安装执行情况; 监督最先感染上病毒的区域;,保障网络隔离的制度得以施行; 监督外来未知设备随意接入内网的情况; 使用广域网病毒监控: 完成各分区病毒软件安装情况监视 完成各分区病毒感染情况历史统计分析,防病毒机制运行参考图,防病毒管理机制的执行需要很多技术手段,有些技术手段属于专业反病毒范畴,反病毒服务商了解
17、病毒技术细节,更能准确的通过技术培训提高下属网管网络反病毒全面知识。,3.5 加强培训以保障管理机制执行,具体的培训可以分为以下几种: 针对普通人员的培训 针对网管(或网络安全员)的培训 针对突发病毒的培训,第四章: 建立有效的病毒应急响应机制,4.1 建立应急响应中心 4.2 病毒事件分级 4.3 制定应急响应处理预案 4.4 应急响应流程 4.5 应急响应的事后处理,4.1 建立应急响应中心,为了在病毒突发事件中协调各方关系,分清职责,统一处理病毒事件,应建立病毒事件应急响应中心。病毒应急响应中心组织机构的建立可参考防病毒管理机构。,应急响应中心特别要注意以下几个方面: 设立总负责人,负责
18、协调管理应急事件 建立应急相应小组(小组成员可包括单位相关人员和安全服务商的相关人员) 分清各方职责 联系方式必须准确有效,4.2 病毒事件分级,分级应参考以下几个标准: 扩散范围 扩散速度 危害程度 防治复杂程度,4.3 制定应急响应处理预案,根据病毒的等级,制定相应的病毒应急响应处理预案,此预案可包括以下几点: 病毒预案库 应急响应启动标准 应急处理流程 注意:制定好的应急预案应进行测试后方投入使用,启动应急响应预案的几个参考条件: 有15的电脑同时感染同种类型的病毒,且现场人员确认无法在2小时内清除; 病毒已经网络系统的正常运行,且现场人员无法立刻解决; 出现的病毒现有的杀毒软件无法解决
19、; 未知原因的网络阻塞。,4.4 应急响应流程,应急响应具体流程如下: 接收初步的资料 查明原因,总结特征 确认是否为大规模病毒事件 提供该事件的公告原稿 消息发布 事件库升级或程序升级,放到部中心网站 启动应急响应预案处理,启动应急响应预案流程图,通常的病毒应急反应预案流程图,4.5 应急响应的事后处理,事后处理过程可参考如下步骤: 提交病毒应急响应事后报告 找出网络防病毒的薄弱点 教训总结 视情况启动处罚程序,第五章:防病毒介绍,5.1 目前主要的防病毒技术概述 5.2 网络防病毒的措施概述 5.3 网络防病毒 5.4 补丁加固 5.5 边界接入检查和节点控制 5.6 病毒预警技术,病毒特
20、征码识别技术 自动解压技术 实时监视技术 启发式查毒技术 带毒杀毒技术 病毒队列技术,5.1 目前主要的防病毒技术概述,5.2 防病毒软件的结构,扫描应用,扫描引擎,病毒定义库,防病毒软件的3个组成部分,防病毒软件,扫描应用 用户接口 日志文件 报警功能 扫描引擎 搜索病毒的逻辑算法 CPU仿真器 精密编程逻辑 病毒定义库:内有病毒的特征码,常见的本地网络防病毒构架,5.3 网络防病毒,监控平台单元构成,常见的广域网网络防病毒构架,防病毒网关,由于目前的防火墙并不能防止目前所有的病毒进入内网,所以在某些情况下,需要在网络的数据出入口处和网络中重要设备前配置防病毒网关,以防止病毒进入内部网络。,
21、防病毒网关按照功能上分有两种: 保护网络入口的防病毒网关 保护邮件器的防病毒网关,防病毒网关按照部署形式分为: 透明网关 代理网关,透明网关,代理网关,邮件服务器的防病毒保护,对邮件服务器系统自身加固 邮件防病毒网关,邮件防病毒,由于目前的病毒大部分均是通过邮件传播的,所以对于邮件服务器的保护是十分重要的。,客户端防病毒,引导安全 系统安装安全 系统日常加固 日常使用安全,服务器防病毒,服务器防病毒时,除了注意主机还应注意防病毒应该注意的问题外,还应该注意到服务器的可用性和稳定性,也需要注意对重要数据经常备份等问题。,集中监控中心,集中监控中心功能图,升级服务中心,补丁加固是今年来网络面临的新
22、问题,对于大型机关和企业网络,靠有限的人力人工去进行终端的安全加固是不现实的。为此,微软提出了两个解决方案:,SMS:Microsoft System Management SUS:Software Update Services,5.4 补丁加固,SMS技术是基于主域控制技术,通过域控制器对管辖的计算机的安全补丁进行统一的升级和管理。此方法存在的问题是国内一般不使用主域控制形式进行网络管理,另外,对于终端使用多操作系统的网络使用此技术升级所需的工作量也比较大。,SMS技术,SUS技术,此技术应用了当前微软Windows Update的技术,即客户端可通过内网建立的SUS Server自动下载
23、升级补丁。采用此方法的优点是简单方便,但是此系统也有不易实施的缺点。,目前存在第三方的补丁分发技术,此类技术一般是辅助SUS进行安全补丁统一监控升级。,第三方技术,网络补丁分发系统应用构架,5.5 边界接入检查和节点控制,边界接入检查和节点控制的目的: 保障网络隔离彻底有效; 进行外来笔记本电脑随意接入控制; 对感染病毒计算机快速定位,并安全、迅速、有效的切断其与网络的连接; 对未安装防病毒软件的终端进行统计、远程强制安装; 有效进行网络IP设备资源管理;,可监控移动设备(笔记本电脑等)和新增设备未经过安全过滤和检查,就接入内部网络; 可监控违反规定将专网专用的计算机(带出网络)连入到其他网络
24、的行为; IP管理功能、IP和MAC绑定功能; 可监控网络终端的补丁安装情况,可对未安装防病毒系统的终端进行强制安装; 对安全事件源的实时、快速、精确定位,并可强制断开其网络连接。,边界接入检查和节点控制需要的功能:,边界检查和节点控制系统部署图,病毒预警技术一般是采用分布式的结构,进行集中管理报警,分散控制。 病毒预警的具体可采用“数据流分析”、“病毒诱捕”等技术。,5.6 新一代病毒预警技术,病毒预警分级模块图,提供网络数据流量的侦测模块,通过网络数据分析工具及时捕获网络设备数据流信息,对于数据流量异常的机器进行报警,以辨别是否为网络病毒、木马、黑客等程序所外发数据包。,数据流分析系统,第
25、一时间提供病毒入侵消息,并自动上报至病毒集中监控中心。,病毒诱捕机,第六章、防病毒相关服务,6.1 代码级服务 6.2 厂商提供的应急响应服务 6.3 标准安全服务,代码级服务是最高级的服务,即服务商可根据专门用户的专门要求修改程序编码。此服务可以提供最高效的升级和服务,最迅速的解决网络中出现的计算机病毒问题,把相关事故的危害减到最低。,6.1 代码级服务,已知病毒: 制作专杀工具解决现有杀毒软件的不足。 未知病毒: 通过编程产生取样工具,取得样本,进一步分析,快速制作专杀工具。 对于由病毒引起的相关的安全事件: 制作数据分析工具,定位事件源、事件性质等,并通过编程手段处理。,代码级服务的功效
26、:,提供的应急响应服务包括应急事件处理、病毒调查和分析等突发性事件的远程及本地服务。 当网络系统内某处遭受病毒的严重入侵时,应迅速启动紧急响应机制,确保在第一时间内通知全网或相关区域和人员,尽快做好预防措施。,6.2 厂商提供的应急响应服务,安全通告服务: A)安全漏洞和补丁通报:为用户实时提供世界上最新出现的安全漏洞和安全升级通告。 B)安全技术行业动态通报:追踪和整理世界信息安全技术最新动态,产品和行业情况、安全厂商情况、安全标准与法规等内容。 防病毒评估服务:为用户提供病毒风险评估和相关改进建议。,6.3 标准安全服务,防病毒维护服务:进行病毒库升级或人员值守等等日常维护服务。 防病毒培训服务:分人员、分阶段的对用户提供相关的病毒和防病毒知识培训。 防病毒咨询服务:为用户设计防病毒策略并针对实际情况为用户设计各项安全管理制度。 防病毒平台构建服务:帮助用户构建防病毒的软件或硬件平台。,谢谢,