《办公自动化-计算机网络安全》由会员分享,可在线阅读,更多相关《办公自动化-计算机网络安全(109页珍藏版)》请在金锄头文库上搜索。
1、第第9章章 计算机网络安全计算机网络安全9.1 计算机网络安全概述9.1.1安全基础知识v计算机网络安全的基本要素机密性:网络信息不泄露给未授权用户。完整性:收到的数据与发送的数据应相同,且仅被授权者才能修改数据。可用性:被授权者在需要时可以访问相应数据,但不能占用所有资源阻碍授权者的正常工作。可控性:可以控制被授权者使用的所有资源。可审查性:对网络中的用户和其他实体进行审查和监控,当出现安全问题是可以提供调查依据和手段。计算机网络安全策略计算机网络安全策略法律:法律和法规手段是基础技术:高技术管理是根本保障管理:加强内部管理、建立设计和跟踪体系。主要的网络安全问题 v1计算机系统安全 v计算
2、机作为一种信息社会中不可缺少的资源和财产应当给予保护,以防止由于窃贼、侵入者和其他各种原因造成的损失。如何保护好计算机系统、设备以及数据的安全是一项长期艰巨的任务。 v由于计算机和信息产业的快速成长以及对网络和全球通信的日益重视,计算机安全正变得更为重要。然而,计算机的安全一般来说是较为脆弱的,不管是一个诡计多端的黑客还是一群聪明的学生,或者是一个不满的雇员所造成的对计算机安全的损害带来的损失往往是巨大的,影响是严重的。 v计算机系统安全的主要目标是保护计算机资源免受毁坏、替换、盗窃和丢失。这些计算机资源包括计算机设备、存储介质、软件、计算机输出材料和数据。 v2数据库系统安全 v数据库安全性
3、是指数据库的任何部分都不允许受到恶意侵害,或未经授权的存取与修改。数据库是网络系统的核心部分,有价值的数据资源都存放在其中,这些共享的数据资源既要面对必需的可用性需求,又要面对被篡改、损坏和被窃取的威胁。 v通常,数据库的破坏来自下列四个方面:系统故障;并发所引起的数据不一致;转入或更新数据库的数据有错误,更新事务时未遵守保持数据库一致的原则;人为的破坏,例如数据被非法访问,甚至被篡改或破坏。 v3计算机病毒的防治 v计算机病毒的防御对网络管理员来说是一个望而生畏的任务。特别是随着病毒出现和更新速度越来越快,形势变得愈加严峻。目前,几千种不同的病毒无时不对计算机和网络的安全构成威胁。因此,了解
4、和控制病毒威胁的需要显得格外的重要,任何有关网络数据完整性和安全性的讨论都应考虑到病毒。 v计算机病毒是一种“计算机程序”,它不仅能破坏计算机系统,而且还能够传播、感染到其他系统。它通常隐藏在其他看起来无害的程序中,能够进行自身复制并将其插入其他的程序中,执行恶意的行动。 v检测的原理主要是基于下列四种方法:将被检测对象与原始备份进行对照所使用的比较法、利用病毒特征代码串的搜索法、病毒体内特定位置的特征字识别法以及运用反汇编技术分析被检测对象,确认是否为病毒的分析法。 v4网络站点的安全 v影响网络站点安全的主要因素包括: v(1)认证环节薄弱性。Internet的许多事故的起源是因为使用了薄
5、弱的、静态的口令。v(2)系统易被监视性。当用户使用Telnet或文件传输协议(File Transfer Protocol,简称FTP)连接到远程主机上的账户时,在Internet上传输的口令是没有加密的。v(3)易被欺骗性。主机的IP地址被假定为是可用的,TCP和UDP服务相信这个地址。问题在于,如果攻击者的主机冒充一个被信任的主机或客户就危险了。 v(4)有缺陷的局域网服务。一些数据库(例如口令文件)以分布式管理,允许系统共享文件和数据。但这些服务带来了不安全因素,可以被有经验的闯入者利用以获得访问权。v(5)复杂的设备和控制。对主机系统的访问控制配置通常很复杂而且难以验证其正确性。因此
6、,偶然的配置错误会使闯入者获取访问权。 v(6)主机的安全性无法估计。主机系统的安全性无法很好地估计,随着每个站点主机数量的增加,确保每台主机的安全性都处于高水平的能力却在下降。v计算机网络安全威胁信息泄漏与丢失$重要和敏感数据泄漏丢失(泄漏:黑客、网络侦听、卫星和手机等无线设备传输截留、内嵌芯片窃听和传输;外因造成丢失)非授权访问$冒用合法身份访问资源、强行非授权访问资源拒绝服务攻击$连续不断对服务器干扰,执行无关程序,造成网络瘫痪破坏数据完整性$对数据库恶意添加、删除和修改数据利用网络传播不良信息$众所周知(近期公安部严打手机传播不良信息)v计算机安全技术防火墙加密数字签名审核监督病毒防治
7、vCookies网站服务器将少量数据保存到本地机硬盘,它可以记载用户的ID和密码,较快地登陆网络(跳过ID和PassWord)查看Cookies。C:/document and settings/用户名/CookiesCookies设置$IE/工具/Internet选项/隐私。调整安全级别即可相应调整Cookies设置$通过“Internet选项/设置”可以设置和查看Cookies文件1防火墙 防防火火墙墙是是指指设设置置在在不不同同网网络络或或网网络络安安全全域域之之间间的的一一系系列列部部件件的的组组合合。它它是是不不同同网网络络或或网网络络安安全全域域之之间间信信息息的的唯唯一一出出入入
8、口口,能能根根据据系系统统的的安安全全政政策策控控制制出出入入网网络络的的信信息息流流,且且本本身身具具有有较较强强的的抗抗攻攻击击能能力力。它它是是提提供供信信息息安安全全服服务务,实实现现网网络络和和信信息息安安全的基础全的基础设施。设施。9.3.1 防火墙防火墙防火墙主要包括五部分:安全操作系统;过滤器;网关;域名服务;E-mail处理(如图所示)。有的防火墙可能在网关两侧设置两个内、外过滤器。外过滤器保护网关不受攻击,网关提供中继服务,辅助过滤器控制业务流,而内过滤器在网关被攻破后提供对内部网络的保护。 2防火墙防火墙的功能的功能(1)对出入网络的访问行为进行管理和控制 (2)过滤出入
9、网络的数据,强化安全策略 (3)对网络存取和访问进行监控审计 (4)对不安全的服务进行限制或者拦截,防止内部信息的外泄 (1)网络级防火墙网络级防火墙 网网络络级级防防火火墙墙又又称称为为包包过过滤滤防防火火墙墙,一一般般是是基基于于源源地地址址和和目目的的地地址址、应应用用或或协协议议以以及及每每个个IP包包的的端端口口来来做做出出网网络络包包通通过过与与否的判断。否的判断。 (2)应用级网关应用级网关 应应用用级级网网关关就就是是常常说说的的“代代理理服服务务器器”,它它能能够够检检查查进进出出的的数数据据包包,通通过过网网关关复复制制传传递递数数据据,防防止止在在受受信信任任服服务务器器
10、和和客客户户机与不受信任的主机间直接建立联系。机与不受信任的主机间直接建立联系。 3防火墙的分类防火墙的分类 1包过滤原理 包包过过滤滤在在IPIP层层实实现现,由由路路由由器器来来完完成成,它它根根据据包包( (报报文文) )的的源源IPIP地地址址、目目的的IPIP地地址址、协协议议类类型型(TCP(TCP包包、UDPUDP包包、ICMPICMP包包) )、源源端端口口、目目的的端端口口及及包包传传递递方方向向等等包包头头信信息息来来判断是否允许包通过,并形成一套包过滤判断是否允许包通过,并形成一套包过滤规则。规则。9.3.2 防火墙的工作原理防火墙的工作原理包过滤是在网络层中对数据包实施
11、有选择的通过,依据系统事先设定好的过滤逻辑,检查数据流中的每个数据包,根据数据包的源地址、目标地址以及数据包所使用的端口,确定是否允许该类数据包通过。 在互联网这样的信息包交换网络上,所有往来的信息都被分割成许许多多一定长度的信息包,包中包括发送者的IP地址和接收者的IP地址。当这些包被送上互联网时,路由器会读取接收者的IP,并选择一条物理线路发送出去,信息包可能以不同的路线抵达目的地,当所有的包抵达后,会在目的地重新组装还原。包过滤式的防火墙会检查所有通过信息包里的IP地址,并按照系统管理员所给定的过滤规则过滤信息包。如果防火墙设定某一IP为危险的话,从这个地址而来的所有信息都会被防火墙屏蔽
12、掉。 过滤数据包的类型过滤数据包的类型 v(1)ICMP消息:网络层的IP控制和状态消息,它的包头包含了源IP地址、目的IP地址、ICMP协议标识符和ICMP消息类型。 v(2)UDP消息:UDP是一个无状态不可靠的传输发送协议。它的包头包含了源IP地址、目的IP地址、UDP协议类型以及源和目的服务端口号。 v(3)TCP消息:TCP是一种面向连接的可靠的传输发送协议,它的包头包含了源IP地址、目的IP地址、TCP协议消息类型、源和目的服务端口、序列号和应答号以及用来产生和维护可靠连接的控制标志。 v这类防火墙的缺点是不能对数据内容进行控制;很难准确地设置包过滤器,缺乏用户级的授权;数据包的源
13、地址、目的地址以及IP端口号都在数据包的头部,很有可能被冒充或窃取,而非法访问一旦突破防火墙,即可对主机上的系统和配置进行攻击;可能还有其他方法绕过防火墙进入网络,例如拨入连接。但这个并不是防火墙自身的缺点,而是不应该在网络安全上单纯依赖防火墙的原因。 (1) (1) 应用代理服务器应用代理服务器 应用代理服务器在网络应用层提供授权检查及代理服务。应用代理服务器在网络应用层提供授权检查及代理服务。(2) (2) 回路级代理服务器回路级代理服务器回路层代理是建立在传输层上的一种代理方法。通常在建立连接之前,由代理服务器先检查连接会话请求,再建立连接,并一直监控连接状态。当连接打开时,回路层代理会
14、将IP包在用户应用程序和Internet服务之间进行转发。如果符合安全规则,则正常转发;否则,IP包数据不得通过 2网关原理网关原理代理技术与包过滤技术完全不同,包过滤技术是在网络层拦截所有的信息流,代理技术是针对每一个特定应用都有一个程序。代理是企图在应用层实现防火墙的功能。代理的主要特点是有状态性。代理能提供部分与传输有关的状态,能完全提供与应用相关的状态和部分传输方面的信息,代理也能自理和管理信息。 应用代理防火墙的缺点主要体现在:应用代理防火墙的缺点主要体现在: v(1)代理速度比包过滤防火墙慢v(2)代理对用户不透明。v(3)对于每项服务代理可能要求不同的服务器。v(4)明显的性能下
15、降。v(5)代理不能改进底层协议的安全性1屏蔽路由器 这这是是防防火火墙墙最最基基本本的的构构件件。屏屏蔽蔽路路由由器器作作为为内内外外连连接接的的唯唯一一通通道道,要要求求所所有有的的报报文文都都必须在此通过必须在此通过检查。检查。 2双穴主机网关 用一台装有两块网卡的堡垒主机做防火墙。两块网卡各自与受保护网和外部网用一台装有两块网卡的堡垒主机做防火墙。两块网卡各自与受保护网和外部网相连。相连。3参数子网 在在内内部部网网络络和和外外部部网网络络之之间间建建立立一一个个被被隔隔离离的的子子网网,用用两两台台分分组组过过滤滤路路由由器器将将这这一一子子网分别与内部网络和外部网络分开网分别与内部
16、网络和外部网络分开。9.3.3 防火墙的体系结构 加密技术加密技术v数据加密的基本概念v明文变为密文的过程称为加密,由密文还原为明文的过程称为解密,加密和解密的规则称为密码算法。 v我们用M、C分别表示明文、密文,用K1、K2表示加、解密密钥,加、解密算法分别用E、D来代表。于是加密/解密过程可以表示如下: v加密是通过特定的算法把可读或可处理的信息转换为不可读加密是通过特定的算法把可读或可处理的信息转换为不可读信息的技术。加密技术可以有效的保护存储在存储媒体上或信息的技术。加密技术可以有效的保护存储在存储媒体上或在不可信通讯路线上传输的敏感数据,同时,它也可以保护在不可信通讯路线上传输的敏感
17、数据,同时,它也可以保护敏感数据不被未经授权者访问。当然,任何技术都有其局限敏感数据不被未经授权者访问。当然,任何技术都有其局限性,加密技术也一样,只要有足够时间、足够资源和充分决性,加密技术也一样,只要有足够时间、足够资源和充分决心,攻击者可以破解大部分的加密算法,还原出加密过的信心,攻击者可以破解大部分的加密算法,还原出加密过的信息。因此,我们应该认识到,要使加密过的信息不可破解是息。因此,我们应该认识到,要使加密过的信息不可破解是不现实的,使用加密技术是为了使破解加密信息所需的资源不现实的,使用加密技术是为了使破解加密信息所需的资源和时效性远远超过被加密信息本身的价值。和时效性远远超过被
18、加密信息本身的价值。加密系统常用的加密算法:加密系统常用的加密算法:v常见的加密算法可以分成三类,对称加密算法,非对称加密算法和Hash算法v对称加密,对称加密,指加密和解密使用相同密钥的加密算法。对称加密算法的优点在于加解密的高速度和使用长密钥时的难破解性。假设两个用户需要使用对称加密方法加密然后交换数据,则用户最少需要2个密钥并交换使用,如果企业内用户有n个,则整个企业共需要n(n-1) 个密钥,密钥的生成和分发将成为企业信息部门的恶梦。v对称加密算法的安全性取决于加密密钥的保存情况,但要求企业中每一个持有密钥的人都保守秘密是不可能的,他们通常会有意无意的把密钥泄漏出去如果一个用户使用的密
19、钥被入侵者所获得,入侵者便可以读取该用户密钥加密的所有文档,如果整个企业共用一个加密密钥,那整个企业文档的保密性便无从谈起。v 常见的对称加密算法有DES、3DES、Blowfish、IDEA、RC4、RC5、RC6和AESv非对称加密,非对称加密,指加密和解密使用不同密钥的加密算法,也称为公私钥加密。假设两个用户要加密交换数据,双方交换公钥,使用时一方用对方的公钥加密,另一方即可用自己的私钥解密。如果企业中有n个用户,企业需要生成n对密钥,并分发n个公钥。由于公钥是可以公开的,用户只要保管好自己的私钥即可,因此加密密钥的分发将变得十分简单。同时,由于每个用户的私钥是唯一的,其他用户除了可以可
20、以通过信息发送者的公钥来验证信息的来源是否真实,还可以确保发送者无法否认曾发送过该信息。非对称加密的缺点是加解密速度要远远慢于对称加密,在某些极端情况下,甚至能比对称加密慢上1000倍。v 常见的非对称加密算法有:RSA、ECC(移动设备用)、Diffie-Hellman、El Gamal、DSA(数字签名用)vHash算法。算法。vHash算法特别的地方在于它是一种单向算法,用户可以通过Hash算法对目标信息生成一段特定长度的唯一的Hash值,却不能通过这个Hash值重新获得目标信息。因此Hash算法常用在不可还原的密码存储、信息完整性校验等。v 常见的Hash算法有MD2、MD4、MD5、
21、HAVAL、SHA 加密系统在企业中有三个基本的部署方向加密系统在企业中有三个基本的部署方向分别是存储、传输和认证。分别是存储、传输和认证。 v存储方面,加密系统的主要作用是通过加密来保证敏感数据不被未授权者访问和通过Hash算法保证数据的完整性,加密常用的算法是3DES/Blowfish/AES,在操作的数据量比较小时,也常常采用RSA等分对称加密算法,校验常用的算法是MD5。 v目前市场上常见的产品包括软件实现的对特定目标(文件、文件夹、数据库等)和全盘加密,如商业的PGP、开源的TrueCrypt、GPG等,及集成加密芯片的加密存储设备,如Seagate等厂商的产品。 传输传输v加密系统
22、的主要作用是保证用户传输的数据在非可信传输渠道传输时不受攻击者的威胁,并保证传输数据的完整性和真实性。v应用在这方面的加密系统比用在存储方面的更复杂一些,还需要考虑密钥的分发问题,所以传输方面的加密系统的一种常见形式是同时使用对称加密和非对称加密算法,先通过非对称加密来加密分发对称加密的密钥,再用对称加密的方法来保证数据处理和传输的速度。v在传输方面的加密系统还按连接加密的网络层次分为连接加密连接加密和端对端端对端加密加密,连接加密会把特定数据连接的所有数据进行加密,通常用在有较高安全级别的通讯中,端对端加密则只加密数据本身,包括路由信息等网络数据并不进行加密v加密系统包括软件实现的各种加密隧
23、道如SSH、IPsec、VPN等v应用级别的端对端加密如PGP、HTTPS、SMIME、PEM等v硬件方面则有各种带VPN功能的防火墙、带加密功能的网卡等。v认证方面,加密系统的主要作用是确认信息发送者的身份、校验收到信息的完整性以及提供不可否认性。这些功能的实现依赖于非对称加密和Hash算法的结合使用,以公钥对比对方私钥的签名来确认信息发送者的身份,用Hash算法对信息进行校验。v目前认证方面的加密系统以软件实现为主,如各种PKI、PGP、GPG等,少量的加密系统实现中还使用写入私钥或安全证书的智能卡、闪存等来增加加密系统的安全性。数字签名的工作原理如图所示,其基本过程是:数字签名的工作原理
24、如图所示,其基本过程是:v(1)发送方通过对原始消息进行散列运算,生成一个消息摘要A。 v(2)发送方使用自己的私钥对原始数据的消息摘要进行加密,得到数字签名,并将这个签名与原始信息一起传送给接收方。 v(3)接收方首先从接收到的原始消息中计算出的消息摘要B。 v(4)接收方使用发送方的公钥对数字签名解密后得到消息摘要A,然后将其与自己计算出来的消息摘要B进行对比,如果两者相同,表示信息确实是该发送方发出的,而且在传输中未被修改,以此来确认原始信息在传输过程中是否发生变化。 v数字签名与书面签名有相同之处。它们都可以确认信息是否由签名者发送的,且能够判定信息在传输过程中是否做过任何修改。它们的
25、区别在于:书面签名是模拟的,且因人而异;数字签名是不仅与签名者的私钥有关,而且与报文的内容有关,它是0和1的字符串,因消息而异,不能将签名者对一份报文的签名复制到另一份报文上。这样,数字签名既可以用来防止待传输信息因易于修改而被未授权第三方随意处理,又可以杜绝假冒他人身份发送信息。 v数字签名与消息认证的共同点包括:都能使收方验证消息发送方及所发消息内容的完整性。当收发双方之间无争议时,都能防止无关第三方对机密信息的破坏。它们的区别在于:当收发双方之间发生纠纷时,单纯用消息认证技术无法解决,必须借助于数字签名技术。 公钥基础设施 v在网络通信中,为保证传送信息和交互活动的真实可靠,需要有一种机
26、制来验证参与各方身份的合法性。同时,对于数字签名和非对称密钥加密技术来说,面临着公开密钥的分发问题,v公钥基础设施(Public Key Infrastructure,简称PKI)可以有效地解决这个问题,它通过对数字证书的使用和管理,来提供全面的公钥加密和数字签名服务。通过PKI,可以将公钥与合法拥有者的身份绑定起来,从而建立并维护一个可信的网络环境,并在不同的应用中使用加密和签名服务。 PKI的基本组成 vPKI的主要用途是通过自动管理密钥和证书,为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境下方便地使用加密和数字签名技术,从而保证网上数据的机密性、完整性和不可否认性。 v一个
27、完整的PKI系统的组成如图所示,它应当具备权威认证中心、数字证书库、密钥备份和恢复系统、证书撤销系统和应用程序接口(Application Programming Interface,简称API)系统等基本构成部分,构建PKI也将围绕着这五大系统来着手构建。 认证中心(认证中心(CA)v也称证书中心.它是PKI的核心,也是PKI的信任基础。它承担着网上安全交易认证服务,能签发数字证书,并能确认用户身份。认证中心通常是企业性的服务机构,它提供公钥加密和数字签名服务的平台,采用PKI框架管理密钥和证书。v任何想发放自己公钥的用户,可以去认证中心申请自己的证书。数字证书如同现实生活中的身份证一样,可
28、以在网络环境中确认组织或个人的身份。认证中心在验证用户的真实身份后,颁发包含用户公钥的数字证书,它包含用户的真实身份,并证实用户公钥的有效期和作用范围(用于交换密钥还是数字签名)。其他用户只要能验证证书是真实的,并且信任颁发证书的CA,就可以确认用户的公钥,实现合法用户的身份认证。 2数字证书库数字证书库v数字证书库是开放网络上的一种分布式公共信息库,用于存放和检索认证中心已签发的数字证书和CRL。用户可由此获得其他用户的证书和公钥。构造数字证书库可采用支持轻量级目录访问协议(Lightweight Directory Access Protocol,简称LDAP)的目录系统,用户通过LDAP
29、来访问证书库。目录系统必须确保数字证书库的完整性,防止伪造和篡改证书。 v证书库也可由Web、FTP或X.500目录来实现。由于证书库中存取对象是证书和CRL,其完整性由数字签名保证,因此对证书库的操作可在无特殊安全保护的信道上传输。 3密钥备份和恢复系统密钥备份和恢复系统v如果用户丢失了解密密钥,则无法对接收到的报文进行解密,这会造成交易信息的丢失。为解决这个问题,PKI中的密钥备份和恢复系统提供了这种对密钥的处理机制。v但密钥的备份与恢复必须由可信的机构(例如认证中心CA)来完成,且密钥的备份与恢复只能针对解密密钥,签名私钥为确保其惟一性不能够做备份。 4证书撤销系统证书撤销系统 v证书撤
30、销处理系统是PKI的一个重要组件。与日常生活中的各种身份证件一样,数字证书也存在有效期,且在有效期以内也可能被撤销,如用户密钥介质丢失或用户身份变更等。为实现这一点,PKI必须提供撤销证书的一系列机制。v撤销证书有三种方法:撤销一个或多个主体的证书;撤销由某个认证中心签发的所有证书;撤销由某一对密钥签发的所有证书。 v撤销证书一般通过将证书加入证书撤销列表(CRL)来完成。通常情况下,系统由认证中心CA负责创建并维护一张及时更新的CRL,用户在验证数字证书时首先检查该证书是否在CRL之列。CRL一般存放在目录系统中。v证书的撤销处理必须在安全且可验证的情况下进行,系统要维护CRL的完整性。 5
31、应用程序接口系统应用程序接口系统v公钥基础设施的功能在于能够为用户提供方便的信息加密和数字签名等安全服务,因此一个完善的公钥基础设施必须提供良好的应用接口系统,从而使得各种各样的应用在与PKI交互时能够达到安全、可信的目标,确保开放网络环境的安全性、完整性和易用性。9.4.1计算机病毒的概念 1何谓计算机病毒 计算机病毒是一种通过外存储器和网络等作为媒介进行传播扩散,能“传染”其他程序的程序。 计算机病毒具有潜伏性、传染性和破坏作用。 2计算机病毒的分类 (1)外壳外壳病毒:病毒将它们自己包裹在主程序的四周,对原来的程序不做修改。病毒:病毒将它们自己包裹在主程序的四周,对原来的程序不做修改。
32、(2)入侵入侵病毒:就是把病毒程序的一部分插入到主程序,级别比较高。病毒:就是把病毒程序的一部分插入到主程序,级别比较高。 (3)操操作作系系统统病病毒毒:工工作作时时把把它它们们自自己己的的一一部部分分来来代代替替操操作作系系统统的的部部分分功功能能,属属于于高级别的。高级别的。 (4)源源码码病病毒毒:最最高高级级,专专门门针针对对某某一一种种编编程程语语言言而而写写的的,在在这这种种语语言言写写出出来来的的程程序被编译之前将它的代码加入进去。序被编译之前将它的代码加入进去。 3网络病毒 网网络络病病毒毒就就是是在在网网络络环环境境下下生生存存的的病病毒毒,通通过过E-mail、文文件件下
33、下载载等等方方式式传传播播,新的特点:新的特点: (1)感染速度快。感染速度快。 (2)扩散面广。扩散面广。 (3)传播的形式复杂多样。传播的形式复杂多样。 (4)难于彻底清除。难于彻底清除。 (5)破坏性大。破坏性大。 4感染病毒后的症状 (1)机器机器不能正常启动。不能正常启动。 (2)程序运行程序运行速度变慢。速度变慢。 (3)内存内存空间迅速变小。空间迅速变小。 (4)改变改变文件内容和长度。文件内容和长度。 (5)文件文件莫名其妙的出现和消失,文件名字忽然无故被更改。莫名其妙的出现和消失,文件名字忽然无故被更改。 (6)发出发出“奇怪的奇怪的”显示和声音效果。显示和声音效果。 (7)
34、经常经常出现出现“死机死机”现象。现象。 (8)外部设备外部设备工作异常工作异常。9.4.2 网络病毒分析 1特洛伊木马病毒特洛伊木马病毒(Trojans) 特特洛洛伊伊木木马马(简简称称木木马马病病毒毒),也也叫叫黑黑客客程程序序或或后后门门病病毒毒。属属于于文文件件型型病病毒毒的的一一种种,他们一般由服务端病毒程序和客户端控制程序等两个部分组成。他们一般由服务端病毒程序和客户端控制程序等两个部分组成。 木木马马病病毒毒工工作作包包括括以以下下六六个个环环节节:配配置置木木马马、传传播播木木马马、运运行行木木马马、信信息息泄泄露露、建立连接、远程控制。建立连接、远程控制。9.4防计算机病毒技
35、术防计算机病毒技术 2电子邮件病毒 通通过过电电子子邮邮件件形形式式传传播播的的计计算算机机病病毒毒,称称之之为为“电电子子邮邮件件病病毒毒”。电电子子邮邮件件病病毒毒和和一一般般病病毒毒一一样样可可以以感感染染一一般般的的系系统统文文件件和和通通过过一一般般的的途途径径传传播播,但但电电子子邮邮件件病病毒毒还可感染电子邮件程序的通讯簿,并自动向通讯簿中的其他人发送含病毒的邮件还可感染电子邮件程序的通讯簿,并自动向通讯簿中的其他人发送含病毒的邮件。9.4防计算机病毒技术防计算机病毒技术 3蠕虫病毒 蠕蠕虫虫病病毒毒通通过过网网络络上上的的各各种种手手段段进进行行传传播播,并并以以受受感感染染的
36、的主主机机作作为为基基地地进进行行自自我我复制和扩散,消耗主机资源,最后可导致主机的瘫痪。复制和扩散,消耗主机资源,最后可导致主机的瘫痪。 4恶意代码与流氓软件(插件) 一类是恶意广告软件。一类是恶意广告软件。 一类是间谍软件。一类是间谍软件。 另一类就是另一类就是IE插件的形式强制安装,插件的形式强制安装,9.4防计算机病毒技术防计算机病毒技术9.2.1 计算机病毒预防和清除方法对付计算机病毒首先要预防,其次就是要有一套功能完善的杀毒软件对付计算机病毒首先要预防,其次就是要有一套功能完善的杀毒软件。病毒预防常见预防方式(P.165)v计算机病毒检测与删除人工消除法$专业技术人员所为。如对引导
37、扇区感染病毒可用正常的引导程序覆盖它。$仅当一种病毒刚出现时,没有可以杀毒的软件时采取的方法软件自动消除法$及杀毒软件。种类繁多9.2.2 常用杀毒软件瑞星金山诺顿NOD等v所有杀毒软件要及时升级 9.4防计算机病毒技术防计算机病毒技术黑客攻击网络系统的方法主要包括以下几种:基于口令的攻击、网络偷窥报文劫持攻击利用受托访问攻击IP欺骗攻击等9.6防黑客攻击技术防黑客攻击技术8.6.1黑客攻击过程 黑黑客客对对网网络络系系统统的的攻攻击击可可分分为为三三个个阶阶段段:收收集集系系统统信信息息、探探测测系系统统安安全全弱弱点点、实实施攻击。施攻击。 1收集信息收集信息 收集信息主要是收集待攻击目标
38、的数据库及驻留在目标主机系统上的相关资料。收集信息主要是收集待攻击目标的数据库及驻留在目标主机系统上的相关资料。 黑客收集信息常用到一些公开协议和工具软件。黑客收集信息常用到一些公开协议和工具软件。 2探测安全弱点 探测安全弱点就是寻求目标系统的安全漏洞,以便于下一步的攻击。探测安全弱点就是寻求目标系统的安全漏洞,以便于下一步的攻击。 黑客常使用程序自动扫描连接在网络上的目标主机。黑客常使用程序自动扫描连接在网络上的目标主机。 3实施攻击实施攻击 实实施施攻攻击击的的目目的的是是获获取取目目标标系系统统的的重重要要信信息息,或或从从暗暗中中控控制制目目标标系系统统,或或对对目目标标系统进行短暂
39、或长期的骚扰。系统进行短暂或长期的骚扰。9.6防黑客攻击技术防黑客攻击技术网络入侵的对象 v1网络资源 网络上的系统常常是攻击的主要目标,对这些资源的攻击通常分为几大类: v(1)数据操纵或访问。网络上的很多系统都存在着共享目录(由系统或用户所创建),它们为攻击者提供了入口点。v(2)账号访问。如果攻击者能得到网络中的一个有效账号,他就极大地增加了获得特权访问并最终攻破整个网络的可能性。v(3)权限提升。权限提升攻击是指从非特权用户获得提升了的特权。(4)信任关系。信任关系在一个网络内的特定主机间建立了一种特权访问级别。这种信任通常是基于IP地址或系统名称,这两种机制都容易被攻击者所利用。2网
40、络协议网络协议v除了攻击网络资源之外,攻击者有时会攻击网络协议的完整性。网络协议使网络上的资源能相互共享。通过操纵网络协议,一个攻击者希望获得对网络中某些资源的访问权。协议的攻击归为两类:中间攻击和欺骗攻击。v(1)中间攻击。中间攻击是指攻击者劫持使用某种协议通信的两台主机间会话的一种攻击。这种攻击可能完全接管了整个会话,或者只是扮演篡改或仅传递来自真实主机的某些特定数据的中继。v(2)欺骗攻击。很多攻击依赖于攻击者伪装成其他用户的能力,用其他系统的源IP地址发送数据包被称作欺骗。 口 令 攻 击 v所谓口令攻击是指使用某些合法用户的账号和口令登录到目的主机,然后再实施攻击活动。这种方法的前提
41、是必须先得到该主机上的某个合法用户的账号,然后再进行合法用户口令的破译。 破解口令的方法 v1强力破解法获取口令 v字典搜索法:计算机就会自动地从字典中取一个词作为用户口令进行尝试,逐个词循环进行,直至找到正确的口令v蛮力穷举法,即将口令可能的字符数从小到大,将所有可能的字符进行组合,以此为口令进行搜索,进而得到正确的口令。v分布式破解法:可以把任务分成多块,由多台计算机来执行。2通过网络监听非法得到用户口令 v以太网是广播式的,一台机器发送,其余机器收听,并根据其目的地址来决定是否接收。以太网卡一般工作在只接收本身地址包的模式,然而也可以工作在收听所有包的模式,因而决定权是在接收方,这就为窃
42、听创造了条件。v对于许多传统网络应用来说,口令在网络上传播的时候,完全是以明文发送的,例如POP3邮局协议、Telnet远程登录、FTP文件传输等。而一般的浏览器向Web发送消息时也是明文。3通过木马攻击非法得到用户口令通过木马攻击非法得到用户口令 v所谓木马攻击,也就是黑客在用户不知道的情况下,在用户机器上安装特殊程序。v这可以通过网络电子邮件、免费下载程序等方式,让用户无意中执行木马程序。v一旦驻进了木马程序,用户的口令就非常危险了。因为这种程序可以记录用户所有的击键信息并自动通过网络发送出去,或存在硬盘上某个地方,留待攻击者取走。也可以从内存或磁盘读取记录的口令发送出去IP 欺 骗 v所
43、谓IP欺骗,就是伪造他人的IP地址。IP欺骗在某些以IP地址作身份认证的服务中,伪装成合法用户,取得一般用户甚至超级用户的权限;或在已建立的TCP连接中接管连接以取得相应的权限(又被称为IP劫持),从而冒充合法用户给服务器发送非法命令,或冒充服务器给用户发回虚假信息,给用户和服务器造成巨大危害。 vInternet 的网络层协议IP 只是发送数据包,并且保证它的完整性。如果不能收到完整的IP 数据包,IP 会向源地址发送一个ICMP 错误信息,希望重新处理。v然而这个ICMP 包也可能丢失。由于IP 是无连接的,所以不保持任何连接状态的信息。每个IP 数据包被发送出去,不关心前一个和后一个数据
44、包的情况。v由此看出,可以对IP 堆栈进行修改,在源地址和目的地址中放入任意满足要求的IP 地址,也就是说,提供虚假的IP 地址。vTCP 提供可靠传输。通常TCP 连接建立一个包括3 次握手的序列。客户选择和传输一个初始的序列号(SEQ),并设置标志位SYN=,告诉服务器它需要建立连接。服务器确认这个传输,并发送它本身的序列号,并设置标志位ACK,同时告知下一个期待获得的数据序列号。客户再确认它。经过三次确认后,双方开始传输数据。v当用户的主机A 要与某个网站服务器B建立连接时,A 先发一个SYN 包告诉对方主机B,说“我要和你通信了”,当B 收到时,就回复一个ACK/SYN 确认请求包给A
45、 主机。如果A 是合法地址,就会再回复一个ACK 包给B 主机,然后两台主机就可以建立一个通信渠道了。v可是攻击者机器A 发出包的源地址是一个虚假的IP 地址,或者实际上不存在的一个地址,则B 发出的那个ACK/SYN 包当然无法找到目标地址。如果这个ACK/SYN 包一直没有找到目标地址,那么也就无法获得对方回复的ACK 包。而在缺省超时的时间范围以内,主机B 的一部分资源要花在等待这个ACK 包的响应上,假如短时间内主机B 接到大量来自虚假IP 地址的SYN 包,它就要占用大量的资源来处理这些错误的等待。大量发送这类欺骗型的请求,最后的结果就是主机B 上的系统资源耗尽以至瘫痪。IP 欺骗由
46、若干步骤组成欺骗由若干步骤组成v首先假定:v(1)目标主机已经选定;v(2)信任模式已被发现,并找到了一个被目标主机信任的主机。v攻击者为了进行IP 欺骗,采取如下步骤:v(1)使得被信任的主机丧失工作能力,同时采样目标主机发出的TCP 序列号,猜测出它的数据序列号;v(2)伪装成被信任的主机,同时建立起与目标主机基于地址验证的应用连接。如果连接成功,攻击者可以使用一种简单的命令放置一个系统后门,以进行非授权操作。IP 欺骗的防范v(1)改变间隔。 IP 欺骗的关键在于现有系统中初始序列号变量的产生方法相对粗糙,不能借助一次合法连接推算出当前的序号,也就不能顺利实施攻击。v(2)禁止基于IP
47、地址的验证 IP 欺骗的原理是冒充被信任的主机,而这种信任是建立在基于IP 地址的验证上。v(3)使用包过滤v(4)使用加密方法v(5)使用随机化的初始序列号端 口 扫 描 v所谓端口扫描,就是利用Socket编程与目标主机的某些端口建立TCP连接、进行传输协议的验证等,从而侦知目标主机的扫描端口是否处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等等。v v端口就是一个潜在的通信通道,也可能成为一个入侵通道。对目标计算机进行端口扫描,能得到许多有用的信息(如该服务是否已经启动?),从而发现系统的安全漏洞。v进行扫描的方法很多,可以是手工进行扫描,也可以用端口扫描软件进行。v在扫
48、描目标主机的服务端口之前,首先得搞清楚该主机是否已经在运行。如果发现该主机是活的(alive),那么,下面可以对该主机提供的各种服务端口进行扫描,从而找出活着的服务。扫描手段扫描手段vPingvTracertv扫描器通过选用远程TCP/IP 不同的端口的服务,并记录目标给予的回答来实现,采用这种方法,可以搜集到很多关于目标主机的各种有用的信息,如:v(1)是否能用匿名(anonymous)登录?v(2)是否有可写的FTP 目录?v(3)是否能用Telnet?v(4)HTTPD 是用ROOT 还是nobody 在运行?v扫描器一般具有三项功能:v(1)发现一个主机或网络;v(2)一旦发现一台主机
49、,能够发现该主机正在运行何种服务;v(3)通过测试这些服务,发现内在的漏洞v1)TCP connect()扫描 这是最基本的TCP 扫描。connect()用来与每一个感兴趣的目标计算机的端口进行连接。如果端口处于侦听状态,那么connect()就能成功,否则,这个端口不能使用,即没有提供服务。v(2)TCP SYN 扫描 TCP connect()扫描需要建立一个完整的TCP 连接,很容易被目的方发现。而TCP SYN 技术通常认为是“半开放”扫描,这是因为扫描程序不必打开一个完全的TCP 连接。v(3)TCP FIN 扫描 通常情况下,一些防火墙和包过滤器会对一些指定的端口进行监视,并能检
50、测和过滤掉TCP SYN 扫描。v(4)IP 段扫描 它并不直接发送TCP 探测数据包,而是将数据包分成两个较小的IP 段。网 络 监 听 v当信息以明文的形式在网络上传输时,便可以使用网络监听的方式进行攻击。将网络接口设置在监听模式便可以源源不断地截获网上信息。网络监听可以在网上的任何一个位置实施。v网络监听主要用于局域网络,在广域网里也可以监听和截获到一些用户信息,但更多信息的截获要依赖于配备专用接口的专用工具。 v一个比较好的检测工具是Antisniff,它运行在本地以太网的一个网段上,用以检测本地以太网是否有机器处于混杂模式。vSniffer 通常运行在路由器,或有路由器功能的主机上。
51、这样就能对大量的数据进行监控。vSniffer 属第二层次(数据链路层)的攻击。通常是攻击者已经进入了目标系统,留下了后门,安装Sniffer 工具,然后运行Sniffer,以便得到更多的信息。vSniffer 除了能得到口令或用户名外,还能得到更多的其他信息,比如登录用户的银行卡号、公司账号、网上传送的金融信息等等。Sniffer 几乎能得到以太网上传送的任何数据包。v加密是对付Sniffer 比较安全的方法,要求在传送前加密数据,对方收到后解密。v使用安全拓扑结构。使用安全拓扑结构一般需要遵循下列规v则:一个网络段必须有足够的理由才能相信另一网络段。网络段应该在考虑数据之间的信任关系上来设
52、计,而不是硬件需要。拒绝服务式攻击v拒绝服务方式攻击的英文意思是Denial of Service,简称DoS。这种攻击行动使网站服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。拒绝服务攻击也是电子政务系统中非常常见的一种攻击手段。拒绝服务式攻击的防范措施v从目前来看,没有绝对有效的方法来对付拒绝服务攻击。因此,在系统中也只能有采取一些防范措施,主要是避免成为被利用的工具或者成为被攻击的对象。无线网络安全无线网络安全v对于一般的以无线AP或无线路由器为中心的无线网络来说,其一般以一台符合IEEE802.11b/g模式的AP或无线带
53、路由器做为控制中心,所有通信都是通过AP或无线宽带路由器作连接,AP或无线路由器相当于有线网络中的集线器,可连接1-254台计算机。v并且多数AP或无线路由器在一般情况下,其内置的DHCP服务器都采用了动态分配方式,可为网络客户机分配动态的IP地址。这样就不需要对接入电脑设置固定的IP地址,家庭用户使用起来轻松方便,但也让非法电脑加入该无线网络提供了便利。v而Windows XP中所包含的无线零配置(WZC)服务也是同样的功能,其能够让配备无线网卡的电脑根据您的个人喜好或某种缺省设置动态选择尝试进行连接的无线网络。这项服务也能够自动选择并连接最佳可用无线网络。无线零配置界面其深层因素都是因为无
54、线网卡无线零配置界面其深层因素都是因为无线网卡及其网络驱动程序接口规范(及其网络驱动程序接口规范(NDISNDIS),支持用),支持用以查询并设置设备与驱动程序运行方式的以查询并设置设备与驱动程序运行方式的NDISNDIS对象标识符(对象标识符(OIDOID)。)。在无线信号覆盖范围内,无线网卡将扫描可用在无线信号覆盖范围内,无线网卡将扫描可用无线网络,并将其网络名称(也称作服务设置无线网络,并将其网络名称(也称作服务设置标识符或标识符或SSIDSSID)传递至)传递至WZCWZC服务。服务。 接入有一定限制的无线网络v具备无线网卡的笔记本电脑或PDA、智能手机接入无任何限制的无线网络轻而易举
55、,所以无线用户发现有人非请自入他们的网络之后,其便会通过以些安全设置来阻止你的接入。安全策略安全策略v1、不广播SSID,虽然对于多用户无线系统,非凡是公用无线系统而言,不广播SSID其安全性同样难以完全保证,但其仍是简单易行的一种方法。对于没有广播SSID的无线网络,可用Kismet或Ethereal等工具软件试试(需先安装任一种Linux操作系统)。Kismet是一个非常不错无线网络探测器,它依靠无线网卡来报告数据包,而大多数主流网卡都支持。WEPv2、对无线系统进行常见的WEP加密,WEP(Wired Equivalent Privacy)加密技术源自于名为RC4的RSA数据加密技术,可
56、满足用户较高层次的网络安全需求。WEP使用了共享秘钥RC4加密算法,密钥长度最初为64位(5个字符),后来增加到128位(13个字符)。使用静态WEP加密可以设置4个WEP Key,使用动态(Dynamic)WEP加密时,WEP Key会随时间变化而变化。v当加密机制功能启用,客户端要尝试连接上AP或无线路由器时,AP或无线路由器会发出一个Challenge Packet给客户端,客户端再利用共享密钥将此值加密后送回AP或无线路由器以进行认证比对,只有正确无误,才能接入网络。但RC4算法和共享密钥认证也存在弱点,假如攻击者监听到认证应答,则可以破解WEP。破解破解WEPv而假如想要破解WEP加
57、密,可用Airsnort这款工具软件。这个工具非常好用,可以用来嗅探并破解WEP密钥。它可捕捉大量抓来的数据包,来破解WEP密钥。v AirSnort图形化的操作界面让这个工具变得相当轻易使用。使用AirSnort并不会对目前的无线网络产生任何影响,因为AirSnort只是单纯的将无线网卡转成Monitor模式,被动的监听收集封包,当收集到足够的封包时,就可以计算出WEP密钥。v更先进的WPA-PSK加密,则可试试CowPatty这款工具软件。v该工具主要用于破解WPA-PSK,它通过简单地尝试一个文章中各种不同的选项,来看是否某一个刚好和预共享的密钥相符。无线安全方法无线安全方法v尽量使用最
58、新的WPA2加密,v可进行MAC地址过滤,只允许合法的MAC地址接入网络,或访问internetv使用IP地址绑定v通过设置复杂的密码来避免入侵,因为破解主要还是字典穷举法。还要经常更换密码。v这些方案的联合应用对普通黑客来说其还是难于被破解的。9.6.2 防黑客入侵 1发现黑客的蛛丝马迹 首首先先定定时时检检查查操操作作系系统统的的系系统统文文件件和和配配置置文文件件是是否否被被修修改改,一一旦旦发发现现有有被被修修改改的的痕迹,应怀疑黑客入侵痕迹,应怀疑黑客入侵。 其次对可疑行为进行快速检查,检查访问及错误登录文件,系统命令的使用情况其次对可疑行为进行快速检查,检查访问及错误登录文件,系统
59、命令的使用情况。 最后,密切注视那些屡次失败的访问口令或企图访问受口令保护的资源行为最后,密切注视那些屡次失败的访问口令或企图访问受口令保护的资源行为。 2应急措施 当当发发现现黑黑客客入入侵侵时时,应应首首先先考考虑虑这这将将对对系系统统和和用用户户产产生生什什么么影影响响,然然后后考考虑虑如如何何阻止黑客的进一步入侵。阻止黑客的进一步入侵。 (1)估估计计入入侵侵造造成成的的破破坏坏程程度度,迅迅速速采采取取行行动动,保保护护系系统统的的用用户户、文文件件和和资资源源免免遭遭严重破坏。严重破坏。 (2)切切断断连连接接,如如停停止止有有影影响响的的服服务务(FTP,TELNET,3W等等)
60、,根根据据入入侵侵的的程程度度确确定是否需要关闭服务器。定是否需要关闭服务器。 3阻止入侵者 采取一些必要措施阻止黑客的入侵。采取一些必要措施阻止黑客的入侵。9.6防黑客攻击技术防黑客攻击技术9.7.1配置服务器 1定制Windows Server 2003 定定制制Windows Server 2003主主要要完完成成两两项项工工作作,一一是是选选择择合合适适的的Windows Server 2003版版本本,二二是是安安装装组组件件的的确确定定,系系统统安安全全的的原原则则是是:最最少少的的服服务务最最小小的权限最大的安全。的权限最大的安全。 2. 创建活动目录 活活动动目目录录(Acti
61、ve Directory)以以目目录录的的形形式式唯唯一一标标识识域域管管理理相相关关的的对对象象,包包括括网网络络中中的的所所有有实实体体,如如计计算算机机、用用户户、打打印印机机、文文件件等等等等。用用户户登登录录到到相相应应的的域域,则则拥拥有该域管理所设定的相应权限。有该域管理所设定的相应权限。9.7网络服务器安全技术网络服务器安全技术 3配置Windows Server 2003账户 (1) 更改系统管理员账户更改系统管理员账户 服服务务器器默默认认管管理理员员账账户户名名为为Administrator,该该账账户户具具有有最最高高操操作作权权限限,它它不不能能删除,只能改名。删除,
62、只能改名。 (2) 设置陷阱帐号设置陷阱帐号 新新建建一一个个名名为为Administrator的的陷陷阱阱帐帐号号,为为其其设设置置最最小小的的权权限限,随随意意输输入入不不少少于于20位的密码。位的密码。 (3) 设置设置Guest账户账户 将将Guest账户禁用并更改名称和描述。账户禁用并更改名称和描述。 (4) 设定用户登录次数锁定设定用户登录次数锁定8.7网络服务器安全技术网络服务器安全技术 4禁止C$、D$、ADMIN$一类的缺省共享 打打开开“注注册册表表编编辑辑器器”,找找到到键键值值HKEY_LOCAL_MACHINE/ SYSTEM/CurrentControlSet/Se
63、rvices/lanmanserver/parameters,在在对对应应的的右右边边窗窗口口中中右右击击鼠鼠标标,新新建建DWORD值值,名名称称设设为为AutoShareServer,双双击击该该名名称称,将将“数数值值数数据据”设设为为0,则则可可禁禁止止C$、D$共共享享;新新建建DWORD值值AutoShareWks,取取值值为为0,可可禁禁止止 ADMIN$共享。共享。 禁止这些共享后,外部非法用户直接对服务器进行操作的可能性就降低了很多。禁止这些共享后,外部非法用户直接对服务器进行操作的可能性就降低了很多。9.7网络服务器安全技术网络服务器安全技术9.7.2 使用安全配置向导安安
64、全全配配置置向向导导 (Security Configuration Wizard,简简称称 SCW) 是是Windows 2003的的一一个个组组件件,利利用用它它能能确确定定服服务务器器的的一一个个或或多多个个角角色色所所需需的的最最少少功功能能,并并禁禁用用不不必必要要的的功功能能,从从而而缩缩小服务器的受攻击面,提高服务器的安全性。小服务器的受攻击面,提高服务器的安全性。SCW可以完成下列操作:可以完成下列操作:禁用不需要的服务。禁用不需要的服务。 阻止未使用的端口。阻止未使用的端口。 允许对打开的端口进一步实施地址或安全限制。允许对打开的端口进一步实施地址或安全限制。 禁止不需要的禁
65、止不需要的 IIS web 扩展。扩展。 减少对服务器消息块减少对服务器消息块 (SMB)、LanMan 和轻型目录访问协议和轻型目录访问协议 (LDAP) 的协议公开。的协议公开。 定义强的信号到噪音审核策略。定义强的信号到噪音审核策略。9.7网络服务器安全技术网络服务器安全技术Ipc 攻击攻击v1. C:net use 127.0.0.1IPC$ /user:admintitrators v 这是用流光扫到的用户名是administrators,密码为空的IP地址(空口令?哇,运气好到家了),如果是打算攻击的话,就可以用这样的命令来与127.0.0.1建立一个连接,因为密码为空,所以第一个
66、引号处就不用输入,后面一个双引号里的是用户名,输入administrators,命令即可成功完成。 v v 2. C:copy srv.exe 127.0.0.1admin$ v 先复制srv.exe(这个是反响连接的木马)上去,这里的$是指admin用户的c:winntsystem32,大家还可以使用c$、d$,意思是C盘与D盘,这看你要复制到什么地方去了。 v v 3. C:net time 127.0.0.1 v 查查时间,发现127.0.0.1 的当前时间是 2002/3/19 上午 11:00,命令成功完成。 v v 4. C:at 127.0.0.1 11:05 srv.exe v
67、 用at命令启动srv.exe吧v v v 实实 验验v最少的服务最少的端口开放最安全的系统最少的服务最少的端口开放最安全的系统v1、必须安装防火墙和杀毒软件、必须安装防火墙和杀毒软件v虽然在面对新病毒时,杀毒软件会变得手足无措,倒不如自虽然在面对新病毒时,杀毒软件会变得手足无措,倒不如自己上网找杀毒办法。但有一个杀毒软件就是多了一道屏障,己上网找杀毒办法。但有一个杀毒软件就是多了一道屏障,不管这道屏障有多高或多矮,始终是利大于弊的。不管这道屏障有多高或多矮,始终是利大于弊的。v防火墙也是必须要安装的,同时最好还安装一些监测网络进防火墙也是必须要安装的,同时最好还安装一些监测网络进程的程序,时
68、刻监视有无恶意程序在进行非法操作。程的程序,时刻监视有无恶意程序在进行非法操作。2、为Administrator用户降权v在在Windows操作系统里,操作系统里,Administrator是最高级的用户,在正常的登陆模式是是最高级的用户,在正常的登陆模式是无法看到的,因此很容易忽略由无法看到的,因此很容易忽略由Administrator用户带来的安全问题。用户带来的安全问题。vAdministrator用户的初始密码是空的,如果没用安装防火墙,黑客很容易通过用户的初始密码是空的,如果没用安装防火墙,黑客很容易通过Administrator帐户进入你的电脑。这时做什么都已经为时已晚了。帐户进入
69、你的电脑。这时做什么都已经为时已晚了。v事实上,这并不是降权,是创建一个伪造的,无实际权利的事实上,这并不是降权,是创建一个伪造的,无实际权利的Administrator用户。用户。v具体操作如下,先以一个非具体操作如下,先以一个非Administrator的管理员帐户登陆的管理员帐户登陆windows,然后打,然后打开:控制面板开:控制面板-管理工具管理工具-计算机管理计算机管理-本地用户和组本地用户和组-用户,删除用户,删除Administrator用用户,再创建一个新的户,再创建一个新的Administrator用户,右击设置密码,密码有多复杂就多复用户,右击设置密码,密码有多复杂就多复
70、杂,让其隶属于最低级别的用户组,并在属性里勾选帐户已停用。杂,让其隶属于最低级别的用户组,并在属性里勾选帐户已停用。v这样,即使别人破解了你的这样,即使别人破解了你的Administrator帐户,进入后也发现只是一个没用实帐户,进入后也发现只是一个没用实权的帐户。其实直接删除掉这个用户就行了。网上都出这种方法,浪费感情和时权的帐户。其实直接删除掉这个用户就行了。网上都出这种方法,浪费感情和时间。间。3、禁止所有磁盘自动运行v如今如今U盘病毒盛行,稍不小心就会导致盘病毒盛行,稍不小心就会导致“格盘格盘”。U盘病毒盘病毒一般的运行机制是通过双击盘符自动运行,因此,禁用所有一般的运行机制是通过双击
71、盘符自动运行,因此,禁用所有磁盘的自动运行是一种相当有效的预防手段。磁盘的自动运行是一种相当有效的预防手段。v具体的操作过程是:运行输入具体的操作过程是:运行输入gpedIT.msc-用户配置用户配置-管管理模板理模板-系统,双击右侧列表里的系统,双击右侧列表里的【关闭自动播放关闭自动播放】,选择,选择“所有驱动器所有驱动器”,然后选择,然后选择“已启动已启动”。确定退出。关掉自。确定退出。关掉自动播放所用到的一个服务动播放所用到的一个服务v运行运行-services.msc-Shell Hardware Detection服务服务-启动类型启动类型-禁用禁用4、不双击U盘v如果你没用禁止所有
72、磁盘自动运行,又或者你在别人的计算如果你没用禁止所有磁盘自动运行,又或者你在别人的计算机上使用机上使用U盘,最好不要双击盘,最好不要双击U盘。这很容易触发盘。这很容易触发U盘病毒,盘病毒,最好的方法是先用杀毒软件扫描。最好的方法是先用杀毒软件扫描。vU盘里的病毒一般清除方法是,通过资源管理器进去看看盘里的病毒一般清除方法是,通过资源管理器进去看看U盘里有无盘里有无autorun.inf文件,通常是隐藏的。删除文件,通常是隐藏的。删除autorun.inf文件以及它所指向的程序,然后重新拔插文件以及它所指向的程序,然后重新拔插U盘。盘。检查开机启动项v经常在运行里输入经常在运行里输入msconf
73、ig查看启动项,发现有异常的马查看启动项,发现有异常的马上在网上找资料,看看是不是病毒。上在网上找资料,看看是不是病毒。v再就是使用再就是使用regedit。找到。找到run项,检查启动项目。项,检查启动项目。关闭系统端口增强系统安全系数关闭系统端口增强系统安全系数v第一步,点击开始,运行,第一步,点击开始,运行,gpedit.msc,双击打开本地安全,双击打开本地安全策略,选中策略,选中IP安全策略,在本地计算机,在右边窗格的空白安全策略,在本地计算机,在右边窗格的空白位置右击鼠标,在弹出的快捷菜单里选择创建位置右击鼠标,在弹出的快捷菜单里选择创建IP安全策略,安全策略,这样弹出一个向导。在
74、向导中点击下一步按钮,为新的安全这样弹出一个向导。在向导中点击下一步按钮,为新的安全策略命名策略命名(不重新命名也可以,以下都以未重新命名的为例不重新命名也可以,以下都以未重新命名的为例);再按下一步,显示安全通信请求画面,在画面上把激活默认再按下一步,显示安全通信请求画面,在画面上把激活默认相应规则左边的钩取消,点击完成按钮就创建了一个新的相应规则左边的钩取消,点击完成按钮就创建了一个新的IP安全策略。安全策略。v第二步,右击该第二步,右击该IP安全策略,在属性对话框中,把使用添加安全策略,在属性对话框中,把使用添加向导左边的钩取消,然后单击添加按钮添加新的规则,随后向导左边的钩取消,然后单
75、击添加按钮添加新的规则,随后弹出新规则属性对话框。在对话框中点击添加按钮,弹出弹出新规则属性对话框。在对话框中点击添加按钮,弹出IP筛选器列表窗口筛选器列表窗口;在列表中,同样把使用添加向导左边的钩在列表中,同样把使用添加向导左边的钩取消掉,然后再点击右边的添加按钮添加新的筛选器。取消掉,然后再点击右边的添加按钮添加新的筛选器。v第三步,进入了筛选器属性对话框,首先看到的是寻址,源地址选任何第三步,进入了筛选器属性对话框,首先看到的是寻址,源地址选任何IP地址,目标地址选我的地址,目标地址选我的IP地址地址;点击协议选项卡,在选择协议类型的下点击协议选项卡,在选择协议类型的下拉列表中选择拉列表
76、中选择TCP,然后在到此端口下的文本框中输入,然后在到此端口下的文本框中输入135,点击确定,点击确定按钮,这样就添加了一个屏蔽按钮,这样就添加了一个屏蔽TCP135(RPC)端口的筛选器,它可以防止端口的筛选器,它可以防止外界通过外界通过 135端口连上你的电脑。点击确定后回到筛选器列表的对话框,端口连上你的电脑。点击确定后回到筛选器列表的对话框,可以看到已经添加了一条策略。重复以上步骤继续添加可以看到已经添加了一条策略。重复以上步骤继续添加TCP137、 139、445、593 端口和端口和UDP135、139、445 端口,也可继续添加端口,也可继续添加TCP1025、2745、3127
77、、6129、3389 端口的屏蔽策略为它们建立相应的筛选器。端口的屏蔽策略为它们建立相应的筛选器。最后点击确定按钮。最后点击确定按钮。v第四步,在新规则属性对话框中,选择新第四步,在新规则属性对话框中,选择新IP 筛选器列表,然筛选器列表,然后点击其左边的圆圈上加一个点,表示已经激活,接着点击后点击其左边的圆圈上加一个点,表示已经激活,接着点击筛选器操作选项卡,在筛选器操作选项卡中,也把使用添加筛选器操作选项卡,在筛选器操作选项卡中,也把使用添加向导左边的钩取消,点击添加按钮,添加阻止操作向导左边的钩取消,点击添加按钮,添加阻止操作;在新筛在新筛选器操作属性的安全措施选项卡中,选择阻止,然后点
78、击确选器操作属性的安全措施选项卡中,选择阻止,然后点击确定。定。v第五步、进入了新规则属性对话框,点击新筛选器操作,其第五步、进入了新规则属性对话框,点击新筛选器操作,其左边的圆圈会加了一个点,表示已经激活,点击关闭按钮,左边的圆圈会加了一个点,表示已经激活,点击关闭按钮,关闭对话框关闭对话框;最后回到新最后回到新IP安全策略属性对话框,在新的安全策略属性对话框,在新的IP筛筛选器列表左边打钩,按确定按钮关闭对话框。回到本地安全选器列表左边打钩,按确定按钮关闭对话框。回到本地安全策略窗口,用鼠标右击新添加的策略窗口,用鼠标右击新添加的IP安全策略,选择指派。安全策略,选择指派。服务关闭方法vw
79、inxp查找本地运行了哪些网络服务查找本地运行了哪些网络服务,命令命令vnetstat -anvnetstat anov查看本地特定端口连接情况查看本地特定端口连接情况vnetstat -anp tcp | find :1367“v后面的数值是端口号后面的数值是端口号常见的几种常见的几种autorun类病毒查杀方法类病毒查杀方法中毒后的症状是:中毒后的症状是:v双击盘符打不开,或者是新开一个窗口打开,双击盘符打不开,或者是新开一个窗口打开, 或者是让你选择文件的打或者是让你选择文件的打开方式开方式v其实最明显的现像是鼠标右键中新增了两项,其实最明显的现像是鼠标右键中新增了两项,auto或者是自
80、动播放。如或者是自动播放。如果发现以上症状那么就基本可以确定你中了果发现以上症状那么就基本可以确定你中了autorun一类的病毒了。但一类的病毒了。但是如果放入光盘后才出现的,那就属于正常,请不要多想。哈哈。是如果放入光盘后才出现的,那就属于正常,请不要多想。哈哈。病毒的触发方法:病毒的触发方法:v平时用户都是双击打开磁盘,病毒正是利用了这一点,在注册表中关于平时用户都是双击打开磁盘,病毒正是利用了这一点,在注册表中关于盘符的那一项,新加了两个键值盘符的那一项,新加了两个键值 shell command ,然后你双击打开盘,然后你双击打开盘符的时候病毒就会先启动,然后再打开磁盘,有的时候是双击
81、没有反应,符的时候病毒就会先启动,然后再打开磁盘,有的时候是双击没有反应,只能用右键打开。重装系统照样还是会中的。只能用右键打开。重装系统照样还是会中的。v1、修改组策略关闭自动播放、修改组策略关闭自动播放v运行运行-gpedit.msc-用户配置用户配置-系统系统-关闭自动播放关闭自动播放-已启用已启用-所有驱动器所有驱动器v2、关掉自动播放所用到的一个服务、关掉自动播放所用到的一个服务v运行运行-services.msc-Shell Hardware Detection服务服务-启动类型启动类型-禁用禁用v以下是你确定你中毒以后要做的,先结束病毒的进程。以下是你确定你中毒以后要做的,先结束
82、病毒的进程。v3、中毒以后查杀:修改注册表、中毒以后查杀:修改注册表HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2v将此键值下所有带将此键值下所有带“+”的项依次展开,如有的项依次展开,如有“command”的,的,或者是或者是“shell”的,的,v把下面的路径中的文件记下来,然后全部删除。默认所有的把下面的路径中的文件记下来,然后全部删除。默认所有的盘符中是没有盘符中是没有+下的值的下的值的v4、打开、打开CMD 进入你中毒的盘符用进入你中毒的盘符用attrib 命令查看具有隐藏命令查看
83、具有隐藏属性的文件。一般情况下都是带有属性的文件。一般情况下都是带有 s r h 属性的,分别是系属性的,分别是系统,只读,隐藏属性。我们先去掉文件附加的属性统,只读,隐藏属性。我们先去掉文件附加的属性 attrib -s -h -r 文件名,这样你就会在根目录下面看到这些文件的原型文件名,这样你就会在根目录下面看到这些文件的原型了,剩下就是你了,剩下就是你delete这些垃圾了。这些垃圾了。vdelete /s /q 文件名文件名vwindows下的操作方式也可以这样,文件夹选顶,去掉系统下的操作方式也可以这样,文件夹选顶,去掉系统隐藏受保护的系统文件前的对勾,然后显示所有文件就隐藏受保护的系统文件前的对勾,然后显示所有文件就OK了。这样再去把病毒删了。了。这样再去把病毒删了。精品资料网(http:/)成立于2004年,专注于企业管理培训。提供60万企业管理资料下载,详情查看:http:/
