計算機網(wǎng)絡(luò)安全基礎(chǔ)課件

一、網(wǎng)絡(luò)安全概述二、網(wǎng)絡(luò)服務(wù)的安全問題三、常見黑客攻擊手段四、企業(yè)網(wǎng)中可以選擇的安全技術(shù)五、網(wǎng)絡(luò)安全防范策略網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)7/29/2023一、網(wǎng)絡(luò)安全概述7/29/2023復(fù)雜程度InternetEmailWeb瀏覽Intranet站點電子商務(wù)電子政務(wù)電子交易時間INTERNET技術(shù)及應(yīng)用的飛速發(fā)展7/29/2023網(wǎng)絡(luò)發(fā)展的現(xiàn)狀不斷增加的新應(yīng)用不斷加入的網(wǎng)絡(luò)互聯(lián)網(wǎng)的廣泛應(yīng)用人員安全意識不足7/29/2023

網(wǎng)絡(luò)的攻擊事件報道（1）據(jù)聯(lián)邦調(diào)查局統(tǒng)計，美國每年因網(wǎng)絡(luò)安全造成的損失高達75億美元。據(jù)美國金融時報報道，世界上平均每20秒就發(fā)生一次入侵國際互聯(lián)網(wǎng)絡(luò)的計算機安全事件，三分之一的防火墻被突破。美國聯(lián)邦調(diào)查局計算機犯罪組負責人吉姆?塞特爾稱：給我精選10名“黑客”，組成個小組，90天內(nèi)我將使美國趴下。7/29/2023

網(wǎng)絡(luò)的攻擊事件報道（2）在海灣戰(zhàn)爭中，美國特工人員在安曼將伊拉克從德國進口的一批計算機打印設(shè)備中換上含有可控“計算機病毒”的芯片，導致伊方的計算機系統(tǒng)在戰(zhàn)爭初期就陷入全面癱瘓。美國已生產(chǎn)出第一代采用“病毒固化”技術(shù)的芯片，并開始嵌入出口的計算機產(chǎn)品中。一旦需要，便可遙控激活。2000年2月，Yahoo受到攻擊。“黑客”所采用的攻擊方法為分布式DoS攻擊。2000年3月8日：山西日報國際互聯(lián)網(wǎng)站遭到黑客數(shù)次攻擊被迫關(guān)機，這是國內(nèi)首例黑客攻擊省級黨報網(wǎng)站事件。2003年11月，Microsoft公司遭到來自俄羅斯的“黑客”襲擊，據(jù)稱造成部分源代碼丟失。2003年著名的游戲公司Sierra開發(fā)的反恐精英2在未上市之前源代碼被黑客從網(wǎng)路竊走。7/29/20231980 19851990 1995 20012003時間（年）高各種攻擊者的綜合威脅程度低對攻擊者技術(shù)知識和技巧的要求黑客攻擊越來越容易實現(xiàn)，威脅程度越來越高信息網(wǎng)絡(luò)系統(tǒng)的復(fù)雜性增加脆弱性程度網(wǎng)絡(luò)系統(tǒng)日益復(fù)雜，安全隱患急劇增加網(wǎng)絡(luò)的攻擊事件報道（3）7/29/2023

網(wǎng)絡(luò)存在的威脅操作系統(tǒng)本身的安全漏洞；防火墻存在安全缺陷和規(guī)則配置不合理；來自內(nèi)部網(wǎng)用戶的安全威脅;

缺乏有效的手段監(jiān)視、評估網(wǎng)絡(luò)的安全性；

TCP/IP協(xié)議族軟件本身缺乏安全性；電子郵件病毒、Web頁面中存在惡意的Java/ActiveX控件；

應(yīng)用服務(wù)的訪問控制、安全設(shè)計存在漏洞。線路竊聽。指利用通信介質(zhì)的電磁泄漏或搭線竊聽等手段獲取非法信息。7/29/2023

信息安全的基本特征（1）相對性只有相對的安全，沒有絕對的安全系統(tǒng)。操作系統(tǒng)與網(wǎng)絡(luò)管理的相對性。安全性在系統(tǒng)的不同部件間可以轉(zhuǎn)移（如在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間使用堡壘主機）。7/29/2023信息安全的基本特征（2）時效性新的漏洞與攻擊方法不斷發(fā)現(xiàn)（NT4.0已從SP1發(fā)展到SP6，Windows2000業(yè)發(fā)現(xiàn)很多漏洞，針對Outlook的病毒攻擊非常普遍）配置相關(guān)性日常管理中的不同配置會引入新的問題（安全測評只證明特定環(huán)境與特定配置下的安全）新的系統(tǒng)部件會引入新的問題（新的設(shè)備的引入、防火墻配置的修改）7/29/2023信息安全的基本特征（3）攻擊的不確定性攻擊發(fā)起的時間、攻擊者、攻擊目標和攻擊發(fā)起的地點都具有不確定性復(fù)雜性：信息安全是一項系統(tǒng)工程，需要技術(shù)的和非技術(shù)的手段，涉及到安全管理、教育、培訓、立法、國際合作與互不侵犯協(xié)定、應(yīng)急反應(yīng)等7/29/2023網(wǎng)絡(luò)安全層次層次一：物理環(huán)境的安全性（物理層安全）層次二：操作系統(tǒng)的安全性（系統(tǒng)層安全）層次三：網(wǎng)絡(luò)的安全性（網(wǎng)絡(luò)層安全）層次四：應(yīng)用的安全性（應(yīng)用層安全）層次五：管理的安全性（管理層安全）7/29/2023存在安全漏洞原因網(wǎng)絡(luò)設(shè)備種類繁多訪問方式的多樣化網(wǎng)絡(luò)的不斷變化用戶安全專業(yè)知識的缺乏7/29/2023網(wǎng)絡(luò)服務(wù)的安全問題7/29/2023電子郵件的安全問題UNIX平臺上常用的郵件服務(wù)器sendmail

常以root帳號運行，存在潛在的危險；角色欺騙：電子郵件上的地址是可以假冒的；竊聽：電子郵件的題頭和內(nèi)容是用明文傳送的，所以內(nèi)容在傳送過程中可能被他人偷看或修改；電子郵件炸彈：被攻擊的計算機被電子郵件所淹沒直到系統(tǒng)崩潰；針對電子郵件的病毒大量涌現(xiàn)。7/29/2023FTP文件傳輸?shù)陌踩珕栴}多數(shù)FTP服務(wù)器可以用anonymous用戶名登錄，這樣存在讓用戶破壞系統(tǒng)和文件可能。上載的軟件可能有破壞性，大量上載的文件會耗費機時及磁盤空間。建立匿名服務(wù)器時，應(yīng)當確保用戶不能訪問系統(tǒng)的重要部分，尤其是包含系統(tǒng)配置信息的文件目錄。注意不要讓用戶獲得SHELL級的用戶訪問權(quán)限。普通文件傳輸協(xié)議（TFTP）支持無認證操作，應(yīng)屏蔽掉。7/29/2023

Telnet服務(wù)和WWW的安全問題Telnet登錄時要輸入帳號和密碼，但帳號和密碼是以明文方式傳輸?shù)?，易被監(jiān)聽到。SSH(SecureShell)Web瀏覽器和服務(wù)器難以保證安全。Web瀏覽器比FTP更易于傳送和執(zhí)行正常的程序，所以它也更易于傳送和執(zhí)行病毒程序。服務(wù)器端的安全問題主要來自于CGI（公共網(wǎng)關(guān)接口）程序，網(wǎng)上很多的CGI程序并不是由有經(jīng)驗、了解系統(tǒng)安全的程序員編寫的，所以存在著大量的安全漏洞。JavaScript,JavaApplet,ActiveX都會帶來安全問題7/29/2023網(wǎng)絡(luò)管理服務(wù)及NFS的安全問題Ping、traceroute/tracert經(jīng)常被用來測試網(wǎng)絡(luò)上的計算機，以此作為攻擊計算機的最初的手段。簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）可以用來集中管理網(wǎng)絡(luò)上的設(shè)備，SNMP的安全問題是別人可能控制并重新配置你的網(wǎng)絡(luò)設(shè)備以達到危險的目的：取消數(shù)據(jù)包過濾功能、改變路徑、廢棄網(wǎng)絡(luò)設(shè)備的配置文件等。NFS可以讓你使用遠程文件系統(tǒng)，不恰當?shù)呐渲肗FS，侵襲者可以很容易用NFS安裝你的文件系統(tǒng)。NFS使用的是主機認證，黑客可以冒充合法的主機。7/29/2023黑客常見攻擊手段7/29/2023主要內(nèi)容日益增長的網(wǎng)絡(luò)安全威脅狀況常見的網(wǎng)絡(luò)攻擊方式解析口令攻擊特洛伊木馬網(wǎng)絡(luò)監(jiān)聽sniffer

掃描器病毒技術(shù)拒絕服務(wù)攻擊(DDOS)7/29/2023日益增長的網(wǎng)絡(luò)安全威脅7/29/2023日益增長的網(wǎng)絡(luò)安全威脅

黑客和病毒技術(shù)的統(tǒng)一自動，智能，普及,分布,大范圍

黑客文化:從個人目的到政治，社會，軍事，工業(yè)等目的7/29/2023

網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈特洛伊木馬黑客攻擊計算機病毒信息丟失、篡改、銷毀蠕蟲常見的黑客攻擊方式7/29/2023常見網(wǎng)絡(luò)攻擊方式口令攻擊

特洛伊木馬

網(wǎng)絡(luò)監(jiān)聽sniffer

掃描器

病毒技術(shù)

拒絕服務(wù)攻擊(DDOS)7/29/2023口令攻擊口令攻擊類型字典攻擊強行攻擊組合攻擊其他攻擊類型社會工程學偷窺搜索垃圾箱7/29/2023實施入侵（9）口令攻擊工具Windows下常見的工具L0phtcrackNTSweep

NTCrack

PWDump2CainUnix下常見的工具CrackJohntheRipper

Slurpie

7/29/2023特洛伊木馬（1）特洛伊木馬簡單地說，特洛伊木馬就是攻擊者再次進入網(wǎng)絡(luò)或者是系統(tǒng)而不被發(fā)現(xiàn)的隱蔽通道。7/29/2023特洛伊木馬（2）在大多數(shù)情況下，攻擊者入侵一個系統(tǒng)后，他可能還想在適當?shù)臅r候再次進入系統(tǒng)。比如說，如果攻擊者入侵了一個站點，將它作為一個對其他系統(tǒng)進行攻擊的平臺或者是跳板，他就會想在適當?shù)臅r候登錄到這個站點取回他以前存放在系統(tǒng)里面的工具進行新的攻擊。很容易想到的方法就是在這個已經(jīng)被入侵的系統(tǒng)中留一個特洛依木馬。7/29/2023特洛伊木馬（3）木馬程序舉例

QAZQAZ是一個典型的通過電子郵件傳送的特洛伊木馬程序。它通常隱藏在notepad.exe程序中。木馬監(jiān)聽代理木馬監(jiān)聽程序在受害者系統(tǒng)中打開一個端口并且對所有試圖與這個端口相連接的行為進行監(jiān)聽。當有人通過這個端口進行連接時，它要么運行一個三方程序，要么將命令發(fā)送給攻擊者。NetcatTiniRootkit7/29/2023特洛伊木馬（4）關(guān)于RootkitRootkit對于UNIX系統(tǒng)來說是相當普遍的，NT系統(tǒng)的也有。和它的名字正好相反，這種工具并不能使我們獲得ROOT權(quán)限，但是當一個攻擊者已經(jīng)獲得了ROOT的身份后，它就能使攻擊者在任何時候都可以以ROOT身份登錄到系統(tǒng)。它們經(jīng)常采用的方法是將自己隱藏在一些重要的文件里。Rootkit有兩個主要的類型：文件級別

系統(tǒng)級別

7/29/2023特洛伊木馬（5）文件級別Rootkit威力很強大，可以輕而易舉地在系統(tǒng)中建立后門。最一般的情況就是它們首先進入系統(tǒng)然后修改系統(tǒng)的重要文件來達到隱藏自己的目的。合法的文件被木馬程序替代。通常情況下，合法的程序變成了外殼程序，而其內(nèi)部就是隱藏著的后門程序。下面列出的程序就是經(jīng)常被木馬程序利用掩護自己的UNIXRootkit。LOGINLSPSFINDWHONETSTAT7/29/2023特洛伊木馬（6）系統(tǒng)級別（內(nèi)核級）對于工作在文件級的Rootkit來說，它們非常容易被檢測到。而內(nèi)核級Rootkit工作在一個很低的級別上--內(nèi)核級。它們經(jīng)常依附在內(nèi)核上，并沒有修改系統(tǒng)的任何文件，于是tripwire工具就不能檢測到它的使用。因為它并沒有對系統(tǒng)的任何文件進行修改，攻擊者可以對系統(tǒng)為所欲為而不被發(fā)現(xiàn)。系統(tǒng)級Rootkit為攻擊者提供了很大的便利，并且修復(fù)了文件級Rootkit的一些錯誤。7/29/2023特洛伊木馬（7）Unix下常見的后門程序文件級RootkitTrojanIT

Lrk5ArkRootkitTK內(nèi)核級Knark

Adore7/29/2023特洛伊木馬（8）Windows下常見的后門程序BrownOrificeDonaldDickSubSevenBackOrifice廣外女生黑暗天使冰河灰鴿子流鶯7/29/2023特洛伊木（9）木馬的清除：TheCleaner殺毒軟件手動清除木馬的防范：不要下載和執(zhí)行來歷不明的程序7/29/2023網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽的作用：可以截獲用戶口令；可以截獲秘密的或?qū)Ｓ玫男畔?；可以用來攻擊相鄰的網(wǎng)絡(luò)；可以對數(shù)據(jù)包進行詳細的分析；可以分析出目標主機采用了哪些協(xié)議7/29/2023常用網(wǎng)絡(luò)監(jiān)聽工具工具名稱操作系統(tǒng)功能簡介SniffitSunOS,Solaris針對TCP/IP協(xié)議的不安全性進行監(jiān)聽TcpdumpUnix,FreeBSD可以從以太網(wǎng)上監(jiān)聽并截獲數(shù)據(jù)包nfswatchHP/UX,SunOS監(jiān)控在以太網(wǎng)上傳輸?shù)腘FS數(shù)據(jù)包ethermanSGIIrix監(jiān)聽以太網(wǎng)上的通信SnoopSunOS,Solaris用來偵聽本網(wǎng)段數(shù)據(jù)包，常用作錯誤診斷NetstatUNIX、WinNT顯示當前的TCP/IP連接和協(xié)議統(tǒng)計etherfindSunOS監(jiān)聽局域網(wǎng)上的通信的主機LanwatchDOS監(jiān)聽外部主機對本機的訪問7/29/2023掃描器定義：自動檢測本地或遠程主機安全弱點的程序功能：幫助發(fā)現(xiàn)弱點而不是用來攻擊系統(tǒng)分類：本地掃描器和網(wǎng)絡(luò)掃描器；端口掃描器和漏洞掃描器常見掃描器：如ISS(InternetSecurityScanner,Internet安全掃描程序），SATAN(SecurityAnalysisToolforAuditingNetworks，審計網(wǎng)絡(luò)用的安全分析工具），NESSUS等可以對整個域或子網(wǎng)進行掃描并尋找安全上的漏洞這些程序能夠針對不同系統(tǒng)的脆弱性確定其弱點。入侵者利用掃描收集來的信息去獲得對目標系統(tǒng)的非法訪問權(quán)。7/29/2023國際互聯(lián)網(wǎng)絡(luò)服務(wù)器服務(wù)器防火墻其它網(wǎng)絡(luò)廣域網(wǎng)電話網(wǎng)企業(yè)網(wǎng)內(nèi)域網(wǎng)互聯(lián)網(wǎng)掃描器7/29/2023拒絕服務(wù)攻擊DoS

攻擊LANDTeardrop,SYNfloodICMP:smurfRouter:remotereset,UDPport7,Windows:Port135,137,139(OOB),terminalserverSolaris:Linux:其他...

7/29/2023攻擊者InternetCode目標2欺騙性的IP包源地址2Port139目的地址2Port139TCPOpenG.MarkHardy拒絕服務(wù)攻擊:

LAND攻擊7/29/2023攻擊者InternetCode目標2

IP包欺騙源地址2Port139目的地址2Port139包被送回它自己崩潰G.MarkHardy拒絕服務(wù)攻擊:

LAND

攻擊7/29/2023攻擊者InternetCode目標2IP包欺騙源地址2Port139目標地址2Port139TCPOpen防火墻防火墻把有危險的包阻隔在網(wǎng)絡(luò)外G.MarkHardy拒絕服務(wù)攻擊:代理防火墻的保護7/29/2023攻擊者InternetCode目標欺騙性的IP包源地址不存在目標地址是TCPOpenG.MarkHardy拒絕服務(wù)攻擊:SYNFLOOD7/29/2023攻擊者InternetCode目標同步應(yīng)答響應(yīng)源地址目標地址不存在TCPACK崩潰G.MarkHardy拒絕服務(wù)攻擊:SYNFLOOD7/29/2023Smuff攻擊示意圖第一步：攻擊者向被利用網(wǎng)絡(luò)A的廣播地址發(fā)送一個ICMP協(xié)議的’echo’請求數(shù)據(jù)報，該數(shù)據(jù)報源地址被偽造成第二步：網(wǎng)絡(luò)A上的所有主機都向該偽造的源地址返回一個‘echo’響應(yīng)，造成該主機服務(wù)中斷。拒絕服務(wù)攻擊:Smurf7/29/2023分布式拒絕服務(wù)（DDOS）以破壞系統(tǒng)或網(wǎng)絡(luò)的可用性為目標常用的工具：Trin00,TFN/TFN2K,Stacheldraht很難防范偽造源地址，流量加密，因此很難跟蹤clienttargethandler...agent...DoSICMPFlood/SYNFlood/UDPFlood7/29/2023DDoS

的結(jié)構(gòu)7/29/2023分布式拒絕服務(wù)攻擊步驟（1）ScanningProgram不安全的計算機Hacker攻擊者使用掃描工具探測掃描大量主機以尋找潛在入侵目標。1Internet7/29/2023Hacker被控制的計算機(代理端)黑客設(shè)法入侵有安全漏洞的主機并獲取控制權(quán)。這些主機將被用于放置后門、sniffer或守護程序甚至是客戶程序。2Internet分布式拒絕服務(wù)攻擊步驟（2）7/29/2023Hacker

黑客在得到入侵計算機清單后，從中選出滿足建立網(wǎng)絡(luò)所需要的主機，放置已編譯好的守護程序，并對被控制的計算機發(fā)送命令。3被控制計算機（代理端）MasterServerInternet分布式拒絕服務(wù)攻擊步驟（3）7/29/2023Hacker

UsingClientprogram,

黑客發(fā)送控制命令給主機，準備啟動對目標系統(tǒng)的攻擊4被控制計算機（代理端）TargetedSystemMasterServer分布式拒絕服務(wù)攻擊步驟4Internet分布式拒絕服務(wù)攻擊步驟（4）7/29/2023InternetHacker

主機發(fā)送攻擊信號給被控制計算機開始對目標系統(tǒng)發(fā)起攻擊。5MasterServerTargetedSystem被控制計算機（代理端）分布式拒絕服務(wù)攻擊步驟（5）7/29/2023TargetedSystemHacker

目標系統(tǒng)被無數(shù)的偽造的請求所淹沒，從而無法對合法用戶進行響應(yīng)，DDOS攻擊成功。6MasterServerUserRequestDeniedInternet被控制計算機（代理端）分布式拒絕服務(wù)攻擊步驟（6）7/29/2023DDOS攻擊的效果由于整個過程是自動化的，攻擊者能夠在5秒鐘內(nèi)入侵一臺主機并安裝攻擊工具。也就是說，在短短的一小時內(nèi)可以入侵數(shù)千臺主機。并使某一臺主機可能要遭受1000MB/S數(shù)據(jù)量的猛烈攻擊，這一數(shù)據(jù)量相當于1.04億人同時撥打某公司的一部電話號碼。分布式拒絕服務(wù)攻擊7/29/2023分布式拒絕服務(wù)攻擊的今后的發(fā)展趨勢：如何增強自身的隱蔽性和攻擊能力；采用加密通訊通道、ICMP協(xié)議等方法避開防火墻的檢測；采用對自身進行數(shù)字簽名等方法研究自毀機制，在被非攻擊者自己使用時自行消毀拒絕服務(wù)攻擊數(shù)據(jù)包，以消除證據(jù)。分布式拒絕服務(wù)攻擊的發(fā)展趨勢7/29/2023預(yù)防DDOS攻擊的措施確保主機不被入侵且是安全的；周期性審核系統(tǒng)；檢查文件完整性；優(yōu)化路由和網(wǎng)絡(luò)結(jié)構(gòu)；優(yōu)化對外開放訪問的主機；在網(wǎng)絡(luò)上建立一個過濾器（filter）或偵測器（sniffer），在攻擊信息到達網(wǎng)站服務(wù)器之前阻擋攻擊信息。預(yù)防DDOS攻擊的措施7/29/2023計算機病毒計算機病毒帶來的危害2003年，計算機病毒不僅導致人們支付了數(shù)十億美元的費用，而且還動搖了互聯(lián)網(wǎng)的中樞神經(jīng)。從今年1月份的Slammer攻擊事件到8月份的“沖擊波”病毒，都給互聯(lián)網(wǎng)帶來了不小的破壞。2004年上半年又出現(xiàn)將近4000種病毒目前世界上共有8萬多種病毒，但是大部分都為“動物園”里的老病毒，這些病毒很少傳播，還在“野外”的病毒有2000多種，較為流行的病毒有200多種，其中以蠕蟲病毒傳播最為廣泛。7/29/2023

中文IIS4.0+SP6中文WIN2000+IIS5.0、中文WIN2000+IIS5.0+SP1，UNICODE編碼存在BUG，在UNICODE編碼中

%c1%1c-〉(0xc1-0xc0)*0x40+0x1c=0x5c=‘/‘

%c0%2f-〉(0xc0-0xc0)*0x40+0x2f=0x2f=‘＼‘

NT4中/編碼為%c1%9c

在英文版里：WIN2000英文版%c0%af

還有以下的編碼可以實現(xiàn)對該漏洞的檢測.

%c1%pc

%c0%9v

%c0%qf

%c1%8s

27/scripts/..%c1%1c..%c1%1cwinnt/system32/cmd.exe?/c+dirc:\黑客攻擊范例－UNICODE漏洞的利用

7/29/2023黑客攻擊范例－UNICODE漏洞的利用7/29/2023黑客攻擊范例－UNICODE漏洞的利用7/29/2023企業(yè)網(wǎng)中可以選擇的安全技術(shù)7/29/2023主要內(nèi)容防火墻技術(shù)加密技術(shù)VPN技術(shù)入侵檢測技術(shù)防病毒技術(shù)網(wǎng)絡(luò)掃描技術(shù)7/29/2023ServerClient

防火墻（Firewall）注解：防火墻類似一堵城墻，將服務(wù)器與客戶主機進行物理隔離，并在此基礎(chǔ)上實現(xiàn)服務(wù)器與客戶主機之間的授權(quán)互訪、互通等功能。防火墻是一個位于計算機與網(wǎng)絡(luò)或網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的軟件或硬件設(shè)備或是軟硬件結(jié)合7/29/2023一種高級訪問控制設(shè)備，置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)安全域間通信流的唯一通道，能根據(jù)企業(yè)有關(guān)的安全政策控制（允許、拒絕、監(jiān)視、記錄）進出網(wǎng)絡(luò)的訪問行為。兩個安全域之間通信流的唯一通道安全域1HostAHostB安全域2HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根據(jù)訪問控制規(guī)則決定進出網(wǎng)絡(luò)的行為防火墻7/29/2023防火墻的目的確保內(nèi)部網(wǎng)向外部網(wǎng)的全功能互聯(lián)和內(nèi)部網(wǎng)的安全；所有內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)的信息交流必須經(jīng)過防火墻；只有按本地的安全策略被授權(quán)的信息才允許通過；防火墻本身具有防止被穿透的能力。7/29/2023防火墻的作用過濾進出網(wǎng)絡(luò)的數(shù)據(jù)包管理進出網(wǎng)絡(luò)的訪問行為封堵某些禁止的訪問行為記錄通過防火墻的信息內(nèi)容和活動對網(wǎng)絡(luò)攻擊進行檢測和告警7/29/2023防火墻結(jié)構(gòu)雙主機防火墻主機屏蔽防火墻子網(wǎng)屏蔽防火墻7/29/2023雙主機防火墻你的網(wǎng)絡(luò)internet雙網(wǎng)卡主機1、必須使主機的路由功能無效。2、雙主機防火墻是運行一組應(yīng)用層代理軟件或鏈路層代理軟件來工作的缺點：用戶很容易意外地使內(nèi)部路由有效7/29/2023主機屏蔽防火墻你的網(wǎng)絡(luò)internet路由器主機屏蔽防火墻7/29/2023子網(wǎng)屏蔽防火墻你的網(wǎng)絡(luò)internet路由器子網(wǎng)屏蔽防火墻路由器7/29/2023防火墻技術(shù)包過濾技術(shù)代理技術(shù)狀態(tài)檢查技術(shù) 地址翻譯技術(shù) 安全審計技術(shù) 安全內(nèi)核技術(shù) 負載平衡技術(shù)內(nèi)容安全技術(shù)7/29/2023防火墻的局限%c1%1c%c1%1cDirc:\7/29/2023防火墻的局限確保網(wǎng)絡(luò)的安全,就要對網(wǎng)絡(luò)內(nèi)部進行實時的檢測,這就需要IDS無時不在的防護！防火墻不能防止通向站點的后門。防火墻一般不提供對內(nèi)部的保護。防火墻無法防范數(shù)據(jù)驅(qū)動型的攻擊。防火墻不能防止用戶由Internet上下載被病毒感染的計算機程序或者將該類程序附在電子郵件上傳輸7/29/2023數(shù)據(jù)加密技術(shù)加密系統(tǒng)的組成部分密碼分類數(shù)字簽名近代加密技術(shù)加密技術(shù)的實現(xiàn)PGP加密軟件7/29/2023加密系統(tǒng)的組成部分（1）未加密的報文，也稱明文。（2）加密后的報文，也稱密文。（3）加密解密設(shè)備或算法。（4）加密解密的密鑰密鑰：是用戶按照一種密碼體制隨機選取，它通常是一隨機字符串，是控制明文和密文變換7/29/2023密碼分類按應(yīng)用技術(shù)或歷史發(fā)展階段劃分手工密碼、機械密碼、電子機內(nèi)亂密碼、計算機密碼按保密程度劃分理論上保密的密碼、實際上保密的密碼、不保密的密碼按密鑰方式劃分對稱密鑰密碼、非對稱式密碼按明文形態(tài)模擬型密碼、數(shù)字型密碼按編制原理劃分移位、代替、置換7/29/2023對稱密鑰加密技術(shù)安全性依賴于：加密算法足夠強，加密方法的安全性依賴于密鑰的秘密性，而不是算法。特點：（1）收發(fā)雙方使用相同密鑰 的密碼（2）密鑰的分發(fā)和管理非常 復(fù)雜、代價昂貴。（3）不能實現(xiàn)數(shù)字簽名用來加密大量的數(shù)據(jù)7/29/2023公有密鑰加密技術(shù)加密關(guān)鍵性的、核心的機密數(shù)據(jù)加密系統(tǒng)的組成部分公有密鑰和私有密鑰的使用規(guī)則（1）密鑰成對使用（2）公鑰可以給任何人，而私鑰自己保留（3）從現(xiàn)實環(huán)境下，不可能從公有密鑰推導出私有密鑰特點：（1）密鑰的分配和管理簡單。（2）容易實現(xiàn)數(shù)字簽名，最適合于電子商務(wù)應(yīng)用。（3）安全性更高，計算非常復(fù)雜，實現(xiàn)速度遠趕不上對稱密鑰加 密系統(tǒng)7/29/2023數(shù)字簽名原理：將要傳送的明文通過一種函數(shù)運算（HASH）轉(zhuǎn)換成報文摘要，報文摘要加密后與明文一起傳送給按受方，接受方將接受的明文產(chǎn)生新的報文摘要與發(fā)送方的發(fā)來的摘要解密比較，比較結(jié)果一致表示明文未被改動，如果不一致明文已篡改。7/29/2023數(shù)字簽名

7/29/2023VPN即虛擬專用網(wǎng)，是指一些節(jié)點通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立的一個臨時的、安全的連接，它們之間的通信的機密性和完整性可以通過某些安全機制的實施得到保證特征虛擬(V)：并不實際存在，而是利用現(xiàn)有網(wǎng)絡(luò)，通過資源配置以及虛電路的建立而構(gòu)成的虛擬網(wǎng)絡(luò)專用(P)：只有企業(yè)自己的用戶才可以聯(lián)入企業(yè)自己的網(wǎng)絡(luò)網(wǎng)絡(luò)(N)：既可以讓客戶連接到公網(wǎng)所能夠到達的任何地方，也可以方便地解決保密性、安全性、可管理性等問題，降低網(wǎng)絡(luò)的使用成本VPN技術(shù)7/29/2023VPN的用途VPN（虛擬專用網(wǎng)絡(luò)）是通過公共介質(zhì)如Internet擴展公司的網(wǎng)絡(luò)VPN可以加密傳輸?shù)臄?shù)據(jù)，保障數(shù)據(jù)的機密性、完整性、真實性防火墻是用來保證內(nèi)部網(wǎng)絡(luò)不被侵犯，相當于銀行的門衛(wèi)；而VPN則是保證在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)不被竊取，相當于運鈔車。7/29/2023VPN的隧道協(xié)議

VPN的關(guān)鍵技術(shù)在于通信隧道的建立，數(shù)據(jù)包通過通信隧道進行封裝后的傳送以確保其機密性和完整性通常使用的方法有：使用點到點隧道協(xié)議PPTP、第二層隧道協(xié)議L2TP、第二層轉(zhuǎn)發(fā)協(xié)議L2F等在數(shù)據(jù)鏈路層對數(shù)據(jù)實行封裝使用IP安全協(xié)議IPSec在網(wǎng)絡(luò)層實現(xiàn)數(shù)據(jù)封裝使用介于第二層和第三層之間的隧道協(xié)議，如MPLS隧道協(xié)議7/29/2023PPTP/L2TP1996年，Microsoft和Ascend等在PPP協(xié)議的基礎(chǔ)上開發(fā)了PPTP，并將它集成于WindowsNTServer4.0中，同時也提供了相應(yīng)的客戶端軟件PPTP可把數(shù)據(jù)包封裝在PPP包中，再將整個報文封裝在PPTP隧道協(xié)議包中，最后，再嵌入IP報文或幀中繼或ATM中進行傳輸PPTP提供流量控制,采用MPPE加密算法7/29/20231996年，Cisco提出L2F（Layer2Forwarding）隧道協(xié)議1997年底，Micorosoft和Cisco公司把PPTP協(xié)議和L2F協(xié)議的優(yōu)點結(jié)合在一起，形成了L2TP協(xié)議L2TP協(xié)議綜合了PPTP協(xié)議和L2F（Layer2Forwarding）協(xié)議的優(yōu)點,并且支持多路隧道，這樣可以使用戶同時訪問Internet和企業(yè)網(wǎng)。L2TP可以實現(xiàn)和企業(yè)原有非IP網(wǎng)的兼容，支持MP（MultilinkProtocol），可以把多個物理通道捆綁為單一邏輯信道

PPTP/L2TP7/29/2023優(yōu)點：支持其他網(wǎng)絡(luò)協(xié)議（如Novell的IPX，NetBEUI和AppleTalk協(xié)議

）支持流量控制缺點：通道打開后，源和目的用戶身份就不再進行認證，存在安全隱患限制同時最多只能連接255個用戶端點用戶需要在連接前手工建立加密信道，另外認證和加密受到限制，沒有強加密和認證支持。

PPTP和L2TP最適合用于遠程訪問虛擬專用網(wǎng)。

PPTP/L2TP7/29/2023IPSecVPNIPSec是一種由IETF設(shè)計的端到端的確?；贗P通訊的數(shù)據(jù)安全性的機制。IPSEC支持對數(shù)據(jù)加密，同時確保數(shù)據(jù)的完整性。IPSEC使用驗證包頭（AH，在RFC2402中定義）提供來源驗證（sourceauthentication），確保數(shù)據(jù)的可靠性；IPSec使用封裝安全負載（ESP，在RFC1827中定義）進行加密，從而確保數(shù)據(jù)機密性。在IPSec協(xié)議下，只有發(fā)送方和接受方知道秘密密鑰。如果驗證數(shù)據(jù)有效，接受方就可以知道數(shù)據(jù)來自真實的發(fā)送方，并且在傳輸過程中沒有受到破壞。IPSec有兩種應(yīng)用模式：傳送模式和隧道模式7/29/2023傳輸模式：使用原始明文IP頭，并且只加密數(shù)據(jù)，包括它的TCP和UDP頭。這種模式適用于小型網(wǎng)絡(luò)和移動客戶端。隧道模式：隧道模式處理整個IP數(shù)據(jù)包：包括全部TCP/IP或UDP/IP頭和數(shù)據(jù)，它用自己的地址做為源地址加入到新的IP頭。隧道模式被用在兩端或是一端是安全網(wǎng)關(guān)的架構(gòu)中，例如裝有IPSec的防火墻。使用了隧道模式，防火墻內(nèi)很多主機不需要安裝IPSec也能安全地與外界通信，并且還可以提供更多的便利來隱藏內(nèi)部服務(wù)器主機和客戶機的地址。IPSecVPN7/29/2023優(yōu)點：可提供高強度的安全性（數(shù)據(jù)加密和身份驗證）對上層應(yīng)用完全透明支持網(wǎng)絡(luò)與網(wǎng)絡(luò)、用戶與用戶、網(wǎng)絡(luò)與用戶多種應(yīng)用模式缺點：只支持IP協(xié)議目前防火墻產(chǎn)品中集成的VPN多為使用IPSec協(xié)議，在中國其發(fā)展處于蓬勃狀態(tài)。IPSecVPN7/29/2023MPLSVPN

是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS(MultiprotocolLabelSwitching)技術(shù)，簡化核心路由器的路由選擇方式，利用結(jié)合傳統(tǒng)路由技術(shù)的標記交換實現(xiàn)的IP虛擬專用網(wǎng)絡(luò)（IPVPN）MPLSVPN主要應(yīng)用領(lǐng)域是用于建設(shè)全網(wǎng)狀結(jié)構(gòu)的數(shù)據(jù)專線，保證局域網(wǎng)互聯(lián)的帶寬與服務(wù)質(zhì)量。總部與下面分支機構(gòu)互聯(lián)時，如果使用公網(wǎng)，則帶寬、時延等很大程度上受公網(wǎng)的網(wǎng)絡(luò)狀況制約。而布署MPLSVPN后，可以保證網(wǎng)絡(luò)服務(wù)質(zhì)量，從而保證一些對時延敏感的應(yīng)用穩(wěn)定運行，如分布異地的實時交易系統(tǒng)、視頻會議、IP電話等等。7/29/2023與其他VPN協(xié)議的對比L2TP、PPTP：主要用于客戶端接入專用網(wǎng)絡(luò)。本身的安全性比較弱，需要依靠IPSec來提供進一步的安全性。MPLS：能夠提供與傳統(tǒng)的ATM，F(xiàn)R同等的安全性，但本身沒有加密，認證機制，對數(shù)據(jù)的機密性等保證需要依靠IPSec來進一步保證。IPSec是彌補其他VPN技術(shù)的安全性的有效保證。7/29/20231100111001010001010010101001000100100100000100000011001110010100010100101010010001001001000001000000明文加密解密明文密文·#￥^&(%#%$%^&*(!#$%*((_%$@#$%%^*&**)%$#@保證數(shù)據(jù)在傳輸中的機密性發(fā)起方接受方密文·#￥^&(%#%$%^&*(!#$%*((_%$@#$%%^*&**)%$#@支持IKE密鑰協(xié)商密鑰自動刷新128位對稱加密1024位非對稱加密設(shè)備之間采用證書認證支持CA認證VPN的主要作用之一7/29/2023發(fā)起方接受方1001000101010010100001000000110110001010100010101001000101010010100001000000110110001010HashHash100010101001000101010010100001000000110110001010是否一樣？驗證數(shù)據(jù)來源的完整性和真實性支持透明模式支持路由模式VPN的主要作用之二7/29/2023實時入侵檢測系統(tǒng)Internet總部辦事處分公司分公司在網(wǎng)絡(luò)中部署網(wǎng)絡(luò)入侵檢測系統(tǒng)，實時對網(wǎng)絡(luò)中的數(shù)據(jù)流進行檢測，對于可疑的數(shù)據(jù)，將及時報警，入侵檢測系統(tǒng)同時與防火墻交互信息，共同防范來自于網(wǎng)外的攻擊。具體策略如下：基于網(wǎng)絡(luò)的入侵檢測策略基于主機的入侵檢測策略報警攻擊7/29/2023什么是入侵檢測系統(tǒng)IDS（IntrusionDetectionSystem）就是入侵檢測系統(tǒng)，它通過抓取網(wǎng)絡(luò)上的所有報文，分析處理后，報告異常和重要的數(shù)據(jù)模式和行為模式，使網(wǎng)絡(luò)安全管理員清楚地了解網(wǎng)絡(luò)上發(fā)生的事件，并能夠采取行動阻止可能的破壞。7/29/2023什么是入侵檢測系統(tǒng)入侵檢測系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)包的獲取——混雜模式網(wǎng)絡(luò)數(shù)據(jù)包的解碼——協(xié)議分析網(wǎng)絡(luò)數(shù)據(jù)包的檢查——規(guī)則匹配網(wǎng)絡(luò)數(shù)據(jù)包的統(tǒng)計——異常檢測網(wǎng)絡(luò)數(shù)據(jù)包的審查——事件生成7/29/2023監(jiān)控室=控制中心后門保安=防火墻攝像機=探測引擎CardKey形象地說，它就是網(wǎng)絡(luò)攝象機，能夠捕獲并記錄網(wǎng)絡(luò)上的所有數(shù)據(jù)，同時它也是智能攝象機，能夠分析網(wǎng)絡(luò)數(shù)據(jù)并提煉出可疑的、異常的網(wǎng)絡(luò)數(shù)據(jù)，它還是X光攝象機，能夠穿透一些巧妙的偽裝，抓住實際的內(nèi)容。它還不僅僅只是攝象機，還包括保安員的攝象機，能夠?qū)θ肭中袨樽詣拥剡M行反擊：阻斷連接、關(guān)閉道路（與防火墻聯(lián)動）。什么是入侵檢測系統(tǒng)7/29/2023在安全體系中，IDS是唯一一個通過數(shù)據(jù)和行為模式判斷其是否有效的系統(tǒng)，如下圖所示，防火墻就象一道門，它可以阻止一類人群的進入，但無法阻止同一類人群中的破壞分子，也不能阻止內(nèi)部的破壞分子；訪問控制系統(tǒng)可以不讓低級權(quán)限的人做越權(quán)工作，但無法保證高級權(quán)限的做破壞工作，也無法保證低級權(quán)限的人通過非法行為獲得高級權(quán)限入侵檢測系統(tǒng)的作用7/29/2023入侵檢測系統(tǒng)的職責

IDS系統(tǒng)的兩大職責：實時檢測和安全審計。實時監(jiān)測——實時地監(jiān)視、分析網(wǎng)絡(luò)中所有的數(shù)據(jù)報文，發(fā)現(xiàn)并實時處理所捕獲的數(shù)據(jù)報文；安全審計——通過對IDS系統(tǒng)記錄的網(wǎng)絡(luò)事件進行統(tǒng)計分析，發(fā)現(xiàn)其中的異?，F(xiàn)象，得出系統(tǒng)的安全狀態(tài)，找出所需要的證據(jù)。7/29/2023IntranetIDSAgentIDSAgent網(wǎng)絡(luò)IDS企業(yè)內(nèi)部典型安裝FirewallInternetServersDMZIDSAgent監(jiān)控中心router7/29/2023IDS阻斷入侵示意圖FirewallInternetServersDMZIDSAgentIntranetIDSAgent監(jiān)控中心router攻擊者攻擊者發(fā)現(xiàn)攻擊發(fā)現(xiàn)攻擊發(fā)現(xiàn)攻擊報警報警7/29/2023防病毒技術(shù)病毒概述病毒危害病毒新技術(shù)防病毒技術(shù)清除病毒網(wǎng)絡(luò)防病毒7/29/2023病毒概述《中華人民共和國計算機信息系統(tǒng)安全保護條例》第二十八條中明確指出：“計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我傳染的一組計算機指令或者程序代碼。”7/29/2023計算機病毒原理計算機病毒程序病毒引導模塊（潛伏機制）病毒傳染模塊（再生機制）病毒表現(xiàn)模塊（激發(fā)機制）7/29/2023計算機病毒的工作流程一次非授權(quán)的加載，病毒進入內(nèi)存病毒引導模塊被執(zhí)行修改系統(tǒng)參數(shù)，引人傳染和表現(xiàn)模塊監(jiān)視系統(tǒng)運行判斷傳染條件是否滿足？判斷觸發(fā)條件是否滿足？進行傳染進行表現(xiàn)或破壞7/29/2023病毒的特征依附性傳染性潛伏性可觸發(fā)性破壞性針對性人為性7/29/2023病毒的征兆

磁盤文件數(shù)目增多系統(tǒng)的RAM空間變小文件的日期／時間值被改變可執(zhí)行程序長度增加磁盤上出現(xiàn)壞簇程序加載時間比平時變長程序執(zhí)行時間較平時變長硬盤讀寫時間明顯增加硬盤啟動系統(tǒng)失敗7/29/2023防病毒技術(shù)病毒概述病毒危害病毒新技術(shù)防病毒技術(shù)消毒病毒網(wǎng)絡(luò)防病毒

7/29/2023計算機病毒的危害性

磁盤文件數(shù)目增多影響系統(tǒng)效率刪除、破壞數(shù)據(jù)干擾正常操作阻塞網(wǎng)絡(luò)進行反動宣傳占用系統(tǒng)資源被后門控制7/29/2023最新病毒分析CIH病毒Loveletter病毒首例病毒與蠕蟲相結(jié)合Sircam

首例蠕蟲與黑客相結(jié)合CodeRedIINimda病毒7/29/2023病毒新技術(shù)和發(fā)展趨勢隱藏型病毒自加密、多形態(tài)及變異病毒反向病毒郵件型病毒JAVA和ActiveX病毒智能化病毒形式多樣化傳播方式多樣化專用病毒生成工具7/29/2023蠕蟲7/29/2023蠕蟲病毒的特點蠕蟲也是一種病毒，因此具有病毒的共同特征。

普通病毒需要的寄生,通過自己指令的執(zhí)行，將自己的指令代碼寫到其他程序的體內(nèi)，而被感染的文件就被稱為”宿主”

病毒主要是感染文件，當然也還有像DIRII這種鏈接型病毒，還有引導區(qū)病毒。引導區(qū)病毒他是感染磁盤的引導區(qū)，如果是軟盤被感染，這張軟盤用在其他機器上后，同樣也會感染其他機器，所以傳播方式也是用軟盤等方式。

7/29/20232001年紅色代碼大爆發(fā)7/29/2023蠕蟲病毒的罪惡病毒名稱持續(xù)時間造成損失莫里斯蠕蟲1988年6000多臺計算機停機,直接經(jīng)濟損失達9600萬美元美麗殺手1999年3月政府部門和一些大公司緊急關(guān)閉了網(wǎng)絡(luò)服務(wù)器,經(jīng)濟損失超過12億美元愛蟲病毒2000年5月至今眾多用戶電腦被感染，損失超過100億美元以上紅色代碼2001年7月網(wǎng)絡(luò)癱瘓，直接經(jīng)濟損失超過26億美元求職信2001年12月至今大量病毒郵件堵塞服務(wù)器，損失達數(shù)百億美元Sql蠕蟲王2003年1月網(wǎng)絡(luò)大面積癱瘓,銀行自動提款機運做中斷,直接經(jīng)濟損失超過26億美元7/29/2023防病毒技術(shù)特征代碼法校驗和法行為監(jiān)測法啟發(fā)式掃描虛擬機技術(shù)7/29/2023特征代碼法的實現(xiàn)步驟采集已知病毒樣本，病毒如果即感染COM文件，又感染EXE文件，要兩者都采樣病毒采樣中，抽取特征代碼，應(yīng)依據(jù)如下原則：抽取的代碼比較特殊，不大可能與普通正常程序代碼吻合。抽取的代碼要有適當長度，一方面維持特征代碼的唯一性，另一方面又不要有太大的空間與時間的開銷在既感染COM文件又感染EXE文件的病毒樣本中，要抽取兩種樣本共有的代碼并將特征代碼納入病毒數(shù)據(jù)庫打開被檢測文件，在文件中搜索，檢查文件中是否含有病毒數(shù)據(jù)庫中的病毒特征代碼。如果發(fā)現(xiàn)病毒特征代碼，由于特征代碼與病毒一一對應(yīng)，便可以斷定，被查文件中患有何種病毒。

7/29/2023特征代碼法的特點優(yōu)點：檢測準確、快速可識別病毒的名稱誤報警率低依據(jù)檢測結(jié)果，可做殺毒處理缺點：不能檢測未知病毒搜集已知病毒的特征代碼，費用開銷大在網(wǎng)絡(luò)上效率低。7/29/2023校驗和法查病毒采用三種方式

在檢測病毒工具中納入校驗和法，對被查的對象文件計算其正常狀態(tài)的校驗和，將校驗和值寫入被查文件中或檢測工具中，而后進行比較。在應(yīng)用程序中，放入校驗和法自我檢查功能，將文件正常狀態(tài)的 校驗和寫入文件本身中，每當應(yīng)用程序啟動時，比較現(xiàn)行校驗和與原校驗和值。實現(xiàn)應(yīng)用程序的自檢測。將校驗和檢查程序常駐內(nèi)存，每當應(yīng)用程序開始運行時，自動比 較檢查應(yīng)用程序內(nèi)部或別的文件中預(yù)先保存的校驗和。7/29/2023校驗和法的特點優(yōu)點方法簡單能發(fā)現(xiàn)未知病毒被查文件的細微變化也能發(fā)現(xiàn)。缺點必須預(yù)先記錄正常態(tài)的校驗和會誤報警不能識別病毒名稱不能對付隱蔽型病毒

7/29/2023行為監(jiān)測法占有INT13H（讀寫）改DOS系統(tǒng)為數(shù)據(jù)區(qū)的內(nèi)存總量對COM、EXE文件做寫入動作病毒程序與宿主程序的切換修改系統(tǒng)Usr/bin，sbin/修改系統(tǒng)命令7/29/2023行為監(jiān)測法的特點優(yōu)點：可發(fā)現(xiàn)未知病毒可相當準確地預(yù)報未知的多數(shù)病毒缺點：可能誤報警不能識別病毒名稱實現(xiàn)時有一定難度7/29/2023啟發(fā)式掃描技術(shù)啟發(fā)式是指“自我發(fā)現(xiàn)的能力”或“運用某種方式或方法去判定事物的知識和技能?！币粋€運用啟發(fā)式掃描技術(shù)的病毒檢測軟件，實際上就是以特定方式實現(xiàn)的動態(tài)高度器或反編譯器，通過對有關(guān)指令序列的反編譯，逐步理解和確定其蘊藏的真正動機7/29/2023虛擬機技術(shù)“虛擬”二字，有著兩方面的含義：可發(fā)現(xiàn)未知病其一在于運行一定規(guī)則的描述語言的機器并不一定是一臺真實地以該語言為機器代碼的計算機，比如JAVA想做到跨平臺兼容，那么每一種支持JAVA運行的計算機都要運行一個解釋環(huán)境，這就是JAVA虛擬機；另一個含義是運行對應(yīng)規(guī)則描述語言的機器并不是該描述語言的原設(shè)計機器，這種情況也稱為仿真環(huán)境。7/29/2023虛擬機是反病毒的趨勢在處理加密編碼病毒過程中，虛擬機是比較理想的處理方法；在反病毒軟件中引入虛擬機是由于綜合分析了大多數(shù)已知病毒的共性，并基本可以認為在今后一段時間內(nèi)的病毒大多會沿襲這些共性虛擬機的確可以抓住一些病毒“經(jīng)常使用的手段”和“常見的特點”，并以此來懷疑一個新的病毒；目前“臨床”應(yīng)用的虛擬機并不是“高大全”的完整仿真環(huán)境，而是相對比較簡單的、易于實現(xiàn)的版本。虛擬機技術(shù)仍然與傳統(tǒng)技術(shù)相結(jié)合，并沒有拋棄已知病毒的特征知識庫。7/29/2023Sircam病毒的清除手工刪除的步驟如下：

在c:\windows>執(zhí)行如下的命令：

cd\Recycled

c:\Recycled>attrib–r-hsirc32.exe

c:\Recycled>delsirc32.exe

c:\Recycled>cd..

c:\>cdwindows

c:\windows>attrib-r-hscam32.exe

c:\windows>delscam32.exe

7/29/2023全方位、多層次防病毒統(tǒng)一安裝，集中管理自動更新病毒定義庫網(wǎng)絡(luò)防病毒系統(tǒng)特點網(wǎng)絡(luò)防病毒系統(tǒng)7/29/2023病毒防護策略

Internet總部辦事處分公司分公司在全網(wǎng)部署病毒防護系統(tǒng)采用全網(wǎng)統(tǒng)一的病毒防護策略，對于網(wǎng)內(nèi)傳播的病毒進行及時的查殺，實現(xiàn)全網(wǎng)統(tǒng)一升級，保持病毒庫版本的一致性，同時針對重點的防范點可采用防病毒網(wǎng)關(guān)進行防護。具體防護包括:內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)病毒防護策略操作系統(tǒng)病毒防護策略應(yīng)用系統(tǒng)病毒防護策略服務(wù)器機群病毒擴護策略工作站病毒防護策略7/29/2023企業(yè)防范蠕蟲病毒的策略企業(yè)防毒的一個重要方面是是管理和策略。推薦的企業(yè)防范蠕蟲病毒的策略如下

1．加強網(wǎng)絡(luò)管理員安全管理水平，提高安全意識。由于蠕蟲病毒利用的是系統(tǒng)漏洞進行攻擊，所以需要在第一時間內(nèi)保持系統(tǒng)和應(yīng)用軟件的安全性,保持各種操作系統(tǒng)和應(yīng)用軟件的更新！

2．建立病毒檢測系統(tǒng)。

能夠在第一時間內(nèi)檢測到網(wǎng)絡(luò)異常和病毒攻擊。

3．建立應(yīng)急響應(yīng)系統(tǒng)，將風險減少到最??！

由于蠕蟲病毒爆發(fā)的突然性，可能在病毒發(fā)現(xiàn)的時候已經(jīng)蔓延到了整個網(wǎng)絡(luò)，所以在突發(fā)情況下 ，建立一個緊急 響應(yīng)系統(tǒng)是很有必要的，在病毒爆發(fā)的第一時間即能提供解決方案。

4．建立災(zāi)難備份系統(tǒng)。對于數(shù)據(jù)庫和數(shù)據(jù)系統(tǒng)，必須采用定期備份，多機備份措施，防止意外災(zāi)難下的數(shù)據(jù)丟失！

5．對于局域網(wǎng)而言，可以采用以下一些主要手段：

（1）在因特網(wǎng)接入口處安裝防火墻式防殺計算機病毒產(chǎn)品，將病毒隔離在局域網(wǎng)之外。

（2）對郵件服務(wù)器進行監(jiān)控，防止帶毒郵件進行傳播！

（3）對局域網(wǎng)用戶進行安全培訓。

（4）建立局域網(wǎng)內(nèi)部的升級系統(tǒng)，包括各種操作系統(tǒng)的補丁升級，各種常用的應(yīng)用軟件升級，各種 殺毒軟件病毒庫的升級等等！

7/29/2023個人用戶的防范策略網(wǎng)絡(luò)蠕蟲病毒對個人用戶的攻擊主要還是通過社會工程學，而不是利用系統(tǒng)漏洞！所以防范此類病毒需要注意以下幾點：

1．購合適的殺毒軟件

網(wǎng)絡(luò)蠕蟲病毒的發(fā)展已經(jīng)使傳統(tǒng)的殺毒軟件的“文件級實時監(jiān)控系統(tǒng)”落伍，殺毒軟件必須向內(nèi)存實時監(jiān)控和郵件實時監(jiān)控發(fā)展！

2.經(jīng)常升級病毒庫殺毒軟件對病毒的查殺是以病毒的特征碼為依據(jù)的,而病毒每天都層出不窮,尤其是在網(wǎng)絡(luò)時代,蠕蟲病毒的傳播速度快,變種多,所以必須隨時更新病毒庫,以便能夠查殺最新的病毒!3．提高防殺毒意識不要輕易去點擊陌生的站點，有可能里面就含有惡意代碼！

當運行IE時，點擊“工具→Internet選項→安全→Internet區(qū)域的安全級別”，把安全級別由“中”改為“高”。、因為這一類網(wǎng)頁主要是含有惡意代碼的ActiveX或Applet、

JavaScript的網(wǎng)頁文件，所以在IE設(shè)置中將ActiveX插件和控件、Java腳本等全部禁止就可以大大減少被網(wǎng)頁惡意代碼感染的幾率

4．不隨意查看陌生郵件

尤其是帶有附件的郵件，由于有的病毒郵件能夠利用ie和outlook的漏洞自動執(zhí)行，所以計算機用戶需要升級ie和outlook程序，及常用的其他應(yīng)用程序！7/29/2023漏洞掃描技術(shù)不斷增加的新應(yīng)用漏洞的發(fā)現(xiàn)漏洞對系統(tǒng)的威脅漏洞的脆弱性分析掃描技術(shù)漏洞掃描工具介紹7/29/2023漏洞的發(fā)現(xiàn)vulnerability漏洞是硬件、軟件或策略上的缺陷，從而使得攻擊者能夠在未授權(quán)的情況下訪問、控制系統(tǒng)漏洞的發(fā)現(xiàn)黑客破譯者安全服務(wù)商組織7/29/2023漏洞對系統(tǒng)的威脅（一）7月份來自國內(nèi)的攻擊總數(shù)為：383+396+120+441=1340次

7/29/2023漏洞對系統(tǒng)的威脅（二）7/29/2023漏洞的脆弱性分析--CGI7/29/2023漏洞的脆弱性分析---協(xié)議用戶接口用戶協(xié)議接口用戶數(shù)據(jù)傳輸服務(wù)器協(xié)議接口服務(wù)器數(shù)據(jù)傳輸控制連接

數(shù)據(jù)連接

FTP模型(在FTP標準[PR85]中，F(xiàn)TP服務(wù)器允許無限次輸入密碼。

“PASS”命令以明文傳送密碼。

7/29/2023