电子商务安全第9章网络系统的安全知识

资源描述

《电子商务安全第9章网络系统的安全知识》由会员分享，可在线阅读，更多相关《电子商务安全第9章网络系统的安全知识（34页珍藏版）》请在金锄头文库上搜索。

1、1,第9章网络系统的安全知识,2,主要内容,了解计算机病毒概念掌握计算机病毒的基本特征运用计算机病毒的特征防范计算机病毒了解入侵检测系统和入侵检测系统的新技术,3,9.1 计算机病毒基本概念和特征,国外定义：计算机病毒是一段附着在其他程序上的可以实现自我繁殖的程序代码。国内定义：计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用，并能自我复制的一组计算机指令或者程序代码，就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件

2、一起蔓延开来。,4,病毒产生的原因：计算机病毒是高技术犯罪，具有瞬时性、动态性和随机性。不易取证，风险小破坏大。 1）寻求刺激：自我表现；恶作剧； 2）出于报复心理。,5,计算机病毒的特点：,1寄生性 2传染性 3潜伏性 4隐蔽性 5. 可触发性 6. 破坏性与危害性；,6,计算机受到病毒感染后，表现的症状,机器不能正常启动运行速度降低磁盘空间迅速变小文件内容和长度有所改变经常出现“死机”现象外部设备工作异常,7,病毒的分类：按破坏性分为：良性；恶性。按激活时间分为：定时；随机按传染方式分为：引导型：当系统引导时进入内存，控制系统；文件型：病毒一般附着在可执行文件上；

3、混合型：既可感染引导区，又可感染文件。按连接方式分为： OS型：替换OS的部分功能，危害较大；源码型：要在源程序编译之前插入病毒代码；较少；外壳型：附在正常程序的开头或末尾；最常见；入侵型：病毒取代特定程序的某些模块；难发现。,8,按照病毒特有的算法分为：伴随型病毒：产生EXE文件的伴随体COM，病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。 “蠕虫”型病毒：只占用内存，不改变文件，通过网络搜索传播病毒。寄生型病毒：除了伴随和“蠕虫”型以外的病毒，它们依附在系统的引导扇区或文件中。变型病毒（幽灵病毒）：使用

4、复杂算法，每传播一次都具有不同内容和长度。一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。,9,大麻病毒香港病毒米氏病毒 Pakistani Brain（巴基斯坦大脑） Stoned（石头） ExeBug Monkey,引导型病毒种类,10,病毒的组成：安装模块：提供潜伏机制；传播模块：提供传染机制；触发模块：提供触发机制；其中，传染机制是病毒的本质特征，防治、检测及杀毒都是从分析病毒传染机制入手的。,11,计算机病毒的传播途径 1）通过不可移动的设备进行传播较少见，但破坏力很强。 2）通过移动存储设备进行传播最广泛的传播途径 3）通过网络进行传播反病毒所面临的

5、新课题 4）通过点对点通讯系统和无线通道传播预计将来会成为两大传播渠道,12,病毒的破坏行为攻击系统数据区：主引导区、Boot区、FAT区、文件目录攻击文件、内存、CMOS；干扰系统运行，使速度下降；干扰屏幕、键盘、喇叭、打印机；破坏网络资源。病毒的发展趋势攻击对象趋于混合型；反跟踪技术；增强隐蔽性：避开修改中断向量值；请求在内存中的合法身份；维持宿主程序外部特征；不用明显感染标志;采用加密技术，使得对病毒的跟踪、判断更困难；繁衍不同的变种。,13,9.2、计算机病毒的预防与检测,网络环境下的病毒防治原则与策略防重于治，防重在管：制度；注册、权限、属性、服务器安全；集中管理、报警。

6、综合防护：木桶原理；防火墙与防毒软件结合最佳均衡原则：占用较小的网络资源管理与技术并重正确选择反毒产品多层次防御：病毒检测、数据保护、实时监控注意病毒检测的可靠性：经常升级；两种以上。,14,防毒：预防入侵；病毒过滤、监控、隔离查毒：发现和追踪病毒；统计、报警解毒：从感染对象中清除病毒；恢复功能病毒检测的方法直接观察法：根据病毒的种种表现来判断特征代码法：采集病毒样本，抽取特征代码特点：能快速、准确检验已知病毒，不能发现未知的病毒。,15,校验和法：根据文件内容计算的校验和与以前的作比较。优点：能判断文件细微变化，发现未知病毒。缺点：当软件升级、改口令时会

7、产生误报；不能识别病毒名称；对隐蔽性病毒无效。行为监测法：基于对病毒异常行为的判断特点：发现许多未知病毒；可能误报，实施难软件模拟法：一种软件分析器，用软件方法来模拟和分析程序的运行。特点：可用于对付多态病毒。,16,反病毒软件的选择 1）扫描速度 30秒能扫描1000个以上文件 2）识别率 3）病毒清除测试著名杀毒软件,17,反病毒软件工作原理 1）病毒扫描程序串扫描算法:与已知病毒特征匹配；文件头、尾部入口扫描算法：模拟跟踪目标程序的执行类属解密法：对付多态、加密病毒 2）内存扫描程序：搜索内存驻留文件和引导记录病毒 3）完整性检查器：能发现新的病毒；但对于已被感染的系统

8、使用此方法，可能会受到欺骗。 4）行为监测器：是内存驻留程序，监视病毒对可执行文件的修改。防止未知的病毒,18,三、几种常见的病毒,宏病毒宏(Macro)：为避免重复操作而设计的一组命令。在打开文件时，先执行“宏”，然后载入文件内容。因此如果“宏”带有病毒，则在编辑文件时病毒自动载入。宏病毒的症状： 1）用Word或Excel打开文件时，出现“文档未打开”、“内存不够”、“WordBasic Err=514”等； 2）保存文件时，强制将文件按“.dot”类型存储，或强制在指定目录存放。 3）宏病毒的版本兼容问题,19,几种宏病毒： AAAZAO Macro：Concept病毒，第一个宏病

9、毒； Taiwan NO.1：第一个中文word病毒； Rainbow Macro：能改变桌面颜色； FormatC：格式化C盘，第一个木马型宏病毒； Hot Macro：第一个调用Windows API的宏病毒； Nuclear Macro:第一个干扰打印机、硬盘的宏病毒。宏病毒分类：公用宏病毒：以Auto开头的宏，附在normal.dot或Personal.xls 等模板上。私用宏病毒：,20,宏病毒的危害 1）传播迅速：因为文件交流频繁； 2）制造及变种方便：Word Basic编程容易 3）危害大： Word Basic可调用Windows API、DLL、DDE 宏病毒的防治

10、除杀毒软件以外，还可尝试下列方法： 1）按住键再启动Word，禁止宏自动运行； 2）工具宏，检查并删除所有可能带病毒的宏； 3）使用Disable AutoMacros宏 4）将模板文件如normal.dot的属性设为只读。,21,9.3 几种常见的病毒,CIH病毒台湾陈盈豪编写，一般每月26日发作。不仅破坏硬盘的引导扇区和分区表，还破坏系统Flash BIOS芯片中的系统程序，导致主板损坏。病毒长1KB，由于使用VXD技术，只感染32位Windows 系统可执行文件中的.PE格式文件。修复硬盘分区表：信源公司()的免费软件VRVFIX.EXE； CIH疫苗:CIH作者的Ant-CIHv

11、1.0；美国Symantec公司的Kill_CIH,22,9.4 网络病毒,含义1：在网上传播、并对网络进行破坏的病毒。含义2：专指HTML、E-mail、Java等Internet病毒。例：蠕虫病毒，木马程序等。 2001年9月18日，Nimda worm 在Internet上迅速传播。该病毒感染Windows 系列多种计算机系统，其传播速度之快、影响范围之广、破坏力之强都超过其前不久发现的Code Red II。,23,特点：网上蔓延，危害更大。 1）网上传染方式多，工作站、服务器交叉感染 2）混合特征：集文件感染、蠕虫、木马等于一身 3）利用网络脆弱性、系统漏洞 4）更注重欺骗性 5

12、）清除难度大，破坏性强。网络病毒的防范：具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测；在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。,24,相对于单机病毒的防护来说，网络病毒的防治具有更大的难度，网络病毒防治应与网络管理集成。管理功能就是管理全部的网络设备：从Hub、交换机、服务器到PC，软盘的存取、局域网上的信息互通及与Internet的连接等，所有病毒能够进来的地方。为实现计算机病毒的防治，可在计算机网络系统上安装网络病毒防治服务器；在内部网络服务器上安装网络病毒防治软件；在单机上安装单机环境的反病毒软件。从以下方面控制网络病毒：服务器邮件系统 WEB站点

13、数据库系统网关,25,局域网病毒防御体系 1）服务器网络病毒防杀模块监视各节点，保护网络操作系统安全；动态告警、杀灭各节点的病毒；配置系统整体的检测计划、时间；对病毒事件进行记录、审计、跟踪；提供技术支持，升级； 2）客户端单机病毒防杀模块单机版杀毒软件；响应升级要求,26,安装网络防毒软件的方案 1）在网关和防火墙上安装防毒软件缺点：对每个文件的检测将影响网络性能。 2）在工作站上安装防毒软件缺点：管理、协调、升级困难。 3）在电子邮件服务器上安装防毒软件仅能防止邮件病毒的传播。 4）在所有文件服务器上安装防毒软件对于备份服务器，备份与反毒有可能冲突。,27,网络反毒的

14、新特征：与OS结合更紧密；实时化；检测压缩文件病毒病毒防火墙技术：能阻止病毒的扩散在网络服务器上安装病毒防火墙系统，例如：Inter Scan Virus Wall 关键技术： OS底层接口技术：实时过滤，并少占用资源；网络及应用程序的底层接口技术：各种协议充分利用OS的多任务、多线程机制；优化算法，减少系统开销；,28,网络应急响应,网络安全事件 :违反明显的或隐含的安全策略的一次活动，即对系统正常运行有负面影响的活动。包括：非授权访问；系统崩溃；拒绝服务；对系统的篡改。时间长短；规模大小；安全级别： A:影响公共安全、社会秩序 B:系统停顿，业务无法运作 C:业务中断，影

15、响系统效率 D:业务短暂故障，可立即修复,29,网络安全事件的紧急程度：一般：紧急：对人身安全的威胁；对Internet体系的攻击(如对DNS、根名服务器、网络接入点的攻击) 对Internet的大范围自动化攻击新型的攻击及新的严重漏洞。网络安全事件的应急准备分析关键业务；后援；应急组织与计划；评估；演练。,30,网络安全事件的应急处理流程,1)发现网络安全事件 2)确定影响范围，评估可能损失 3)执行预定的应急措 4)安全事件通报、求援安全事件通报内容：发生安全事件的联系资料：发生时间、地点；受影响主机资料；事件描述（程度、来源、工具、损失）；采取的措施；期望的援助。,31,CERT/CC提供的基本服务,CERT/CC是实现信息安全保障的核心，提供以下服务：安全事件的热线响应；检查入侵来源；恢复系统正常工作；事故分析；发布安全警报、公告、建议；咨询；安全培训教育；风险评估。,32,CERT/CC 的组织架构与运行机制,33,建立统一的信息网络安全保障体系,金字塔型的安全保障体系示意图,六类安全事件处理组织：国际/国家，专项中心，行业中心，厂商支持中心，企业组织，社会化机构。,34,地址：北京市朝阳区惠新东街10号邮编：100029 电话：010-64492342 http:/ E-mail: ,谢谢！,

展开阅读全文