信息安全管理1

1、1病毒防護(hù)病毒防護(hù)2目錄目錄第一章：病毒基礎(chǔ)知識(shí)第一章：病毒基礎(chǔ)知識(shí)第二章：計(jì)算機(jī)病毒的傳播途徑第二章：計(jì)算機(jī)病毒的傳播途徑第三章：建立有效的病毒防范管理機(jī)制第三章：建立有效的病毒防范管理機(jī)制第四章：建立有效的應(yīng)急響應(yīng)機(jī)制第四章：建立有效的應(yīng)急響應(yīng)機(jī)制第五章：防病毒技術(shù)介紹第五章：防病毒技術(shù)介紹第六章：防病毒相關(guān)服務(wù)第六章：防病毒相關(guān)服務(wù)3第一章：病毒基礎(chǔ)知識(shí)第一章：病毒基礎(chǔ)知識(shí)4廣義定義廣義定義: : 能夠引起計(jì)算機(jī)故障,破壞計(jì)算數(shù)據(jù)的程序統(tǒng)稱為計(jì)算機(jī)病毒。標(biāo)準(zhǔn)定義：標(biāo)準(zhǔn)定義： 計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指

2、令或者程序代碼。 1.1 1.1 計(jì)算機(jī)病毒定義計(jì)算機(jī)病毒定義5傳染性： 正常的計(jì)算機(jī)程序一般是不會(huì)將自身的代碼強(qiáng)行連接到其它程序上，而病毒卻能使自身的代碼強(qiáng)行傳染到一切符合其傳染條件的未受到傳染的程序之上。 隱蔽性： 病毒通常附在正常程序中或磁盤隱蔽處，與正常程序通常是難以區(qū)分的。 1.2 1.2 計(jì)算機(jī)病毒的特性計(jì)算機(jī)病毒的特性6潛伏性：大部分的病毒感染系統(tǒng)之后一般不會(huì)馬上發(fā)作，它可長期隱藏在系統(tǒng)中，只有在滿足其特定條件時(shí)才啟動(dòng)其表現(xiàn)（破壞）模塊。 破壞性：任何病毒只要侵入系統(tǒng)，都會(huì)對系統(tǒng)及應(yīng)用程序產(chǎn)生程度不同的影響。 不可預(yù)見性：從對病毒的檢測方面來看，病毒還有不可預(yù)見性。 71.3 1

3、.3 病毒歷史及發(fā)展趨勢的演變病毒歷史及發(fā)展趨勢的演變病毒年表病毒年表年代病毒情況198311月，第一例病毒被專家們在試驗(yàn)中證實(shí) 1987 引導(dǎo)型病毒開始在世界上傳播 ，并受到重視1989 我國首次發(fā)現(xiàn)病毒1989可執(zhí)行文件型病毒出現(xiàn)1992出現(xiàn)直接修改系統(tǒng)關(guān)鍵中斷的內(nèi)核的EWDIR2病毒 8年代病毒情況1994變形病毒出現(xiàn)1996我國發(fā)現(xiàn)“病毒生成機(jī)軟件”1996感染Lotus AmiPro 的文件的宏病毒 (APM/GreenStripe) 出現(xiàn) 1997 采用JAVA、ACTIVE技術(shù)的惡意程序出現(xiàn) 19982月，臺(tái)灣省的陳盈豪編寫出了CIH-1.2版19992月，“美麗殺”病毒爆發(fā)9病

4、毒發(fā)展演變趨勢圖病毒發(fā)展演變趨勢圖10 典型的計(jì)算機(jī)病毒一般由三個(gè)功能模塊組成，即：引導(dǎo)模塊，傳染模塊，破壞模塊。 但是，不是所有的病毒均由此結(jié)構(gòu)組成，如有的SQL甚至沒有病毒體（即病毒文件），只駐留于內(nèi)存。 1.4 1.4 典型病毒的結(jié)構(gòu)典型病毒的結(jié)構(gòu)11引導(dǎo)模塊：將病毒主體導(dǎo)入內(nèi)存并為傳染模塊提供運(yùn)行環(huán)境。傳染模塊：將病毒代碼傳到其它的載體上去.一般情況下傳染模塊分為兩部分，前部是一個(gè)條件判別程序，后部才是傳染程序主體。破壞模塊：同傳染模塊一樣，破壞模塊也帶有條件判別部分，因病毒均有潛伏期，破壞模塊只在符合條件時(shí)才進(jìn)行活動(dòng)。 121.5 1.5 計(jì)算機(jī)病毒的分類計(jì)算機(jī)病毒的分類按照通常習(xí)慣

5、分為一下幾種：A）引導(dǎo)型B）文件型C）腳本病毒D）儒蟲病毒E）木馬病毒F）邏輯炸彈13引導(dǎo)型病毒引導(dǎo)型病毒1感染目標(biāo)：通過文件感染硬盤的引導(dǎo)區(qū)部分；2傳播途徑：通過軟盤,光盤等介質(zhì)進(jìn)行傳播；3典型病毒：Stone14文件型病毒文件型病毒1感染目標(biāo)：通過可執(zhí)行的文件感染目標(biāo)系統(tǒng)文件；2傳播途徑：各種存儲(chǔ)介質(zhì)，網(wǎng)絡(luò)共享，電子郵件；3. 典型病毒：幽靈王15腳本語言腳本語言: : 腳本語言是介于HTML和Java、C+和Visual Basic之間的語言。它的語法和規(guī)則沒有可編譯的編程程序那樣嚴(yán)謹(jǐn)和復(fù)雜。 腳本病毒就是指在腳本語言中加入病毒代碼，利用網(wǎng)頁的等腳本載體傳播的病毒。 腳本型病毒腳本型病毒

6、16宏病毒宏病毒 MicrosoftWord中對宏定義為：“宏就是能組織到一起作為一獨(dú)立的命令使用的一系列Word命令，它能使日常工作變得更容易?！备腥灸繕?biāo)：通過可執(zhí)行的文件感染目標(biāo)系統(tǒng)文件；傳播途徑：各種存儲(chǔ)介質(zhì)，網(wǎng)絡(luò)共享，電子郵件；17蠕蟲病毒蠕蟲病毒 蠕蟲是指具有通過網(wǎng)絡(luò)進(jìn)行自我繁殖功能的程序，傳染機(jī)理是利用網(wǎng)絡(luò)和電子郵件進(jìn)行復(fù)制和傳播。這一病毒利用了微軟視窗操作系統(tǒng)或者其他軟件系統(tǒng)的漏洞，計(jì)算機(jī)感染這一病毒后，會(huì)不斷自動(dòng)上網(wǎng)，并利用文件中的地址信息或者網(wǎng)絡(luò)共享進(jìn)行傳播和網(wǎng)絡(luò)攻擊。 18木馬病毒木馬病毒 特洛伊木馬病毒，也叫黑客程序或后門病毒，病毒通過一套隱藏在合法程序中的命令，指示計(jì)算

7、機(jī)進(jìn)行不合法的運(yùn)作。換句話說就是指采用正常用戶無法察覺的方法潛入到對方內(nèi)部實(shí)施某種破壞（盜竊）行為。木馬程序的本質(zhì)就是一個(gè)遠(yuǎn)程控制軟件：遠(yuǎn)程控制軟件是在遠(yuǎn)方機(jī)器知道，允許的情況下，對遠(yuǎn)方機(jī)器進(jìn)行遠(yuǎn)程控制的軟件。 19邏輯炸彈邏輯炸彈 指被設(shè)置在合法程序中，通過事件或條件引發(fā)后，會(huì)破壞程序和數(shù)據(jù)的子程序段。 20新出現(xiàn)的病毒新出現(xiàn)的病毒 JAVA等網(wǎng)頁病毒； 利用P2P軟件傳播的病毒； PDA等掌上電腦病毒； 手機(jī)病毒等。 21按其它分類方式劃分按其它分類方式劃分按照計(jì)算機(jī)病毒的破壞性質(zhì)分類：1.良性病毒2.惡性病毒 22造成數(shù)據(jù)毀壞、丟失； 破壞系統(tǒng)如硬盤、主板等硬件；影響網(wǎng)絡(luò)正常功能，甚至網(wǎng)

8、絡(luò)癱瘓；破壞系統(tǒng)軟件；為系統(tǒng)留“后門”，為黑客竊取數(shù)據(jù)提供途徑； 降低計(jì)算機(jī)系統(tǒng)性能。1.6 1.6 計(jì)算機(jī)病毒的危害計(jì)算機(jī)病毒的危害23年份 病毒名稱 感染數(shù)量損失金額（美元）2000愛蟲88億2001尼姆達(dá)8百萬臺(tái)60億2001紅色代碼 1百萬臺(tái)26億2002求職信6百萬臺(tái)90億近年病毒爆發(fā)的情況及損失24 特定日期或時(shí)間觸發(fā)； 感染觸發(fā)； 鍵盤觸發(fā)； 啟動(dòng)觸發(fā)； 訪問磁盤次數(shù)觸發(fā)； CPU型號/主板型號觸發(fā)。 1.7 1.7 計(jì)算機(jī)病毒的觸發(fā)方式計(jì)算機(jī)病毒的觸發(fā)方式251.8 感染計(jì)算機(jī)病毒后的現(xiàn)象計(jì)算機(jī)啟動(dòng)和運(yùn)行與速度以往相比明顯減慢；文件莫名其妙有丟失；在系統(tǒng)異常重啟和出現(xiàn)異常錯(cuò)誤；

9、鍵盤、打印、顯示有異?，F(xiàn)象；有特殊文件自動(dòng)生成；26磁盤空間自動(dòng)產(chǎn)生壞簇或磁盤空間減少;沒做寫操作時(shí)出現(xiàn)“磁盤有寫保護(hù)”信息;在系統(tǒng)進(jìn)程中出現(xiàn)可疑的進(jìn)程；在啟動(dòng)項(xiàng)中發(fā)現(xiàn)可疑啟動(dòng)項(xiàng)；網(wǎng)絡(luò)數(shù)據(jù)流出現(xiàn)異常或出現(xiàn)大量有共性的異常數(shù)據(jù)包。271.密碼破解技術(shù) 應(yīng)用此技術(shù)的病毒可對win2000以上的操作系統(tǒng)的密碼進(jìn)行破解。此類病毒一般會(huì)帶有約幾百單詞數(shù)量（有時(shí)會(huì)更大的）的字典庫 ，可對“弱口令”進(jìn)行破解，因此需要至少六位的數(shù)字字母混合的系統(tǒng)口令。例：愛情后門病毒例：愛情后門病毒1.9 目前病毒新技術(shù)和新特點(diǎn)282. 2. 漏洞技術(shù)漏洞技術(shù) 利用操作系統(tǒng)和軟件系統(tǒng)（主要是微軟的軟件系統(tǒng)）漏洞進(jìn)行攻擊;即發(fā)

10、送不正常的數(shù)據(jù)包，使獲得的系統(tǒng)出現(xiàn)錯(cuò)誤，從而使病毒奪取對方電腦的控制權(quán)。 例：沖擊波利用例：沖擊波利用rpcrpc漏洞，震蕩波利用漏洞，震蕩波利用LSASSLSASS漏洞漏洞 293.3.端口監(jiān)聽技術(shù)（原多見于木馬程序）端口監(jiān)聽技術(shù)（原多見于木馬程序）Moodown.y病毒利用自身的SMTP發(fā)信引擎來發(fā)送病毒郵件，監(jiān)聽82端口，等待攻擊者連接，可自動(dòng)下載并執(zhí)行新的病毒。振蕩波病毒的最新變種監(jiān)聽1023端口（支持USER、PASS、PORT、RETR和QUIT命令），并實(shí)現(xiàn)一個(gè)tftp服務(wù)器，并進(jìn)行攻擊。304.4.多線程掃描技術(shù)多線程掃描技術(shù) 現(xiàn)在常見病毒多采用此技術(shù)，此技術(shù)可加速網(wǎng)絡(luò)病毒的傳

11、播速度。 如I-Worm.Sasser.e（振蕩波.e）開辟128個(gè)線程掃描網(wǎng)絡(luò) ，傳播病毒。31主動(dòng)通過網(wǎng)絡(luò)和郵件系統(tǒng)傳播傳播速度極快 擴(kuò)散面廣 變種多、快網(wǎng)絡(luò)時(shí)代病毒的新特性：32使用傳統(tǒng)手段難于根治、容易引起多次疫情 具有病毒、蠕蟲和后門（黑客）程序的多種特性病毒向能對抗反病毒軟件和有特定目的的方向發(fā)展33第二章：計(jì)算機(jī)病毒的傳播第二章：計(jì)算機(jī)病毒的傳播2.1 2.1 計(jì)算機(jī)病毒的工作環(huán)節(jié)計(jì)算機(jī)病毒的工作環(huán)節(jié)2.2 2.2 計(jì)算機(jī)病毒的傳播途徑計(jì)算機(jī)病毒的傳播途徑2.3 2.3 有防護(hù)的內(nèi)部網(wǎng)絡(luò)中的病毒傳播有防護(hù)的內(nèi)部網(wǎng)絡(luò)中的病毒傳播2.4 2.4 物理隔離網(wǎng)絡(luò)中的病毒傳播物理隔離網(wǎng)絡(luò)中

12、的病毒傳播2.5 2.5 政府機(jī)關(guān)網(wǎng)絡(luò)病毒問題的現(xiàn)狀政府機(jī)關(guān)網(wǎng)絡(luò)病毒問題的現(xiàn)狀342.1 2.1 計(jì)算機(jī)病毒的工作環(huán)節(jié)計(jì)算機(jī)病毒的工作環(huán)節(jié)完整的計(jì)算機(jī)病毒工作環(huán)節(jié)應(yīng)包括以下幾個(gè)方面：傳染源：病毒總是依附于某些儲(chǔ)存介質(zhì)，如電子郵件、軟盤、硬盤等構(gòu)成傳染源。 傳染媒介：病毒傳染的媒介由工作的環(huán)境來定，可能是網(wǎng)絡(luò)，也可能是可以移動(dòng)的存儲(chǔ)介質(zhì)，例如軟磁盤等。 病毒激活：是指將病毒裝入內(nèi)存，并設(shè)置觸發(fā)條件，一旦觸發(fā)條件成熟，病毒就開始其作用，如：自我復(fù)制到傳染對象，進(jìn)行各種破壞活動(dòng)等。 35病毒觸發(fā)：計(jì)算機(jī)病毒一旦被激活，立刻發(fā)生作用，觸發(fā)的條件是多樣化的，可以是內(nèi)部時(shí)鐘，系統(tǒng)的日期，用戶標(biāo)志符，也可能

13、是系統(tǒng)的一次通信等。 病毒表現(xiàn)：表現(xiàn)是病毒的主要目的之一，有時(shí)在屏幕顯示出來，有時(shí)則表現(xiàn)為破壞系統(tǒng)數(shù)據(jù)。可以這樣說，凡是軟件技術(shù)能夠觸發(fā)到的地方，都在其表現(xiàn)范圍內(nèi)。 病毒傳染：傳染是病毒性能的一個(gè)重要標(biāo)志。在傳染環(huán)節(jié)中，病毒復(fù)制一個(gè)自身副本到傳染對象中去。 362.2 2.2 目前存在病毒的傳播途徑目前存在病毒的傳播途徑37網(wǎng)絡(luò)病毒攻擊圖工作站工作站工作站工作站網(wǎng)站服務(wù)器網(wǎng)站服務(wù)器網(wǎng)站服務(wù)器網(wǎng)站服務(wù)器 郵件中惡意附件郵件中惡意附件 攻破多個(gè)網(wǎng)站服務(wù)器攻破多個(gè)網(wǎng)站服務(wù)器 以前攻破的網(wǎng)站服務(wù)器以前攻破的網(wǎng)站服務(wù)器 瀏覽器進(jìn)攻瀏覽器進(jìn)攻 文件共享文件共享Internethub路由器路由器382.3

14、2.3 有防護(hù)的辦公網(wǎng)絡(luò)中的病毒傳有防護(hù)的辦公網(wǎng)絡(luò)中的病毒傳播播病毒傳入途徑：終端漏洞導(dǎo)致病毒傳播；郵件接收導(dǎo)致病毒傳播；外部帶有病毒的介質(zhì)直接接入網(wǎng)絡(luò)導(dǎo)致病毒傳播；內(nèi)部用戶繞過邊界防護(hù)措施，直接接入因特網(wǎng)導(dǎo)致病毒被引入；網(wǎng)頁中的惡意代碼傳入； 大型內(nèi)部網(wǎng)絡(luò)，一般均有防火墻等邊界防護(hù)措施，但是還經(jīng)常會(huì)出現(xiàn)病毒，病毒是如何傳入的呢？39系統(tǒng)漏洞傳播；系統(tǒng)郵件傳播；儲(chǔ)存介質(zhì)傳播；共享目錄傳播；病毒在此類網(wǎng)絡(luò)內(nèi)的傳播途徑402.4 2.4 物理隔離網(wǎng)絡(luò)中病毒的傳播物理隔離網(wǎng)絡(luò)中病毒的傳播外部帶有病毒的介質(zhì)接入網(wǎng)絡(luò)導(dǎo)致病毒傳播；內(nèi)部用戶私自在將所使用的終端接入因特網(wǎng)導(dǎo)致病毒被引入； 國家機(jī)關(guān)和軍隊(duì)、銀

15、行等為了保護(hù)網(wǎng)絡(luò)，一般均采用物理隔離措施，這類網(wǎng)絡(luò)理論上應(yīng)該是安全的，不過也有病毒的出現(xiàn)，這類網(wǎng)絡(luò)，病毒主要是靠幾種途徑傳入的：41系統(tǒng)漏洞傳播；儲(chǔ)存介質(zhì)傳播；郵件傳播；物理隔離網(wǎng)絡(luò)病毒內(nèi)病毒的傳播途徑：42新病毒傳入問題老病毒根除問題一般網(wǎng)絡(luò)的病毒問題主要有兩個(gè)方面，即：2.5政府機(jī)關(guān)網(wǎng)絡(luò)病毒問題的現(xiàn)狀43政府機(jī)關(guān)網(wǎng)絡(luò)防病毒可能需要面臨的問題：難以確定網(wǎng)絡(luò)內(nèi)設(shè)備的用戶聯(lián)網(wǎng)狀況;無法快速準(zhǔn)確定位病毒源;了解病毒源后，無法方便的對病毒源進(jìn)行阻斷。難以監(jiān)控系統(tǒng)安全補(bǔ)丁安裝情況;缺乏有效的技術(shù)手段保證管理制度的貫徹。44第三章：建立有效的病毒防范管理機(jī)制3.1 3.1 建立防病毒管理機(jī)構(gòu)建立防病毒管

16、理機(jī)構(gòu)3.2 3.2 防病毒管理機(jī)制的制定和完善防病毒管理機(jī)制的制定和完善3.3 3.3 制定防病毒管理制度制定防病毒管理制度3.4 3.4 用技術(shù)手段保障管理的有效性用技術(shù)手段保障管理的有效性3.5 3.5 加強(qiáng)培訓(xùn)以保障管理機(jī)制執(zhí)行加強(qiáng)培訓(xùn)以保障管理機(jī)制執(zhí)行45 無論什么樣先進(jìn)的病毒保障系統(tǒng)，使用者、控制者最終都是人。所以防病毒首要的事情是建立防病毒管理機(jī)構(gòu)，以領(lǐng)導(dǎo)、協(xié)調(diào)防病毒工作和處理應(yīng)急響應(yīng)事件。3.1 建立防病毒管理機(jī)構(gòu)46防病毒管理機(jī)構(gòu)組成圖47機(jī)構(gòu)內(nèi)各組織的防病毒工作的協(xié)調(diào)管理； 防病毒責(zé)任的分配；系統(tǒng)內(nèi)部各單位間的防病毒組織的合作。防病毒管理機(jī)構(gòu)應(yīng)注意的問題48防病毒需求分析防

17、病毒需求分析：只有明了自己的安全需求才能有針對性地構(gòu)建適合于自己的安全體系結(jié)構(gòu)，正確的安全分析需求是保證網(wǎng)絡(luò)系統(tǒng)的安全的根源。 防病毒風(fēng)險(xiǎn)管理防病毒風(fēng)險(xiǎn)管理：風(fēng)險(xiǎn)管理是對需求分析結(jié)果中存在的威脅和業(yè)務(wù)需求進(jìn)行風(fēng)險(xiǎn)評估，以可以接受的投資，進(jìn)行最大限度的病毒防范工作。 3.2 防病毒管理機(jī)制的制定和完善49制定防病毒策略制定防病毒策略:根據(jù)組織和部門的防病毒需求和風(fēng)險(xiǎn)評估的結(jié)論，制定切實(shí)可行的計(jì)算機(jī)網(wǎng)絡(luò)防病毒策略。 定期防病毒審核定期防病毒審核:安全審核的首要任務(wù)是審核組織的安全策略是否被有效地和正確地執(zhí)行。因?yàn)榫W(wǎng)絡(luò)防病毒是一個(gè)動(dòng)態(tài)的過程，防病毒的需求可能會(huì)發(fā)生變化；為了在防病毒需求發(fā)生變化時(shí)，策

18、略和控制措施能夠及時(shí)反映這種變化，必須進(jìn)行定期安全審核。 50 A制定計(jì)劃B進(jìn)行實(shí)施C監(jiān)控審評D維護(hù)改進(jìn)511. 網(wǎng)絡(luò)管理員管理制度 3.3 制定防病毒管理制度防病毒日常管理責(zé)任防病毒策略管理責(zé)任病毒應(yīng)急響應(yīng)事件責(zé)任2. 網(wǎng)絡(luò)一般用戶管理制度 523. 賬戶及口令管理制度4. 設(shè)備管理規(guī)章制度入網(wǎng)設(shè)備防病毒管理制度服務(wù)器管理制度便攜機(jī)管理制度介質(zhì)管理53管理制度需要注意的問題：減少從第三方的系統(tǒng)下載軟件；組建一支隊(duì)伍，監(jiān)測和調(diào)查病毒事件；病毒庫必須隨時(shí)更新；重要的數(shù)據(jù)必須備份，并每月檢查一次；543.4 用技術(shù)手段保障管理的有效性 通過技術(shù)手段可保障管理制度有效貫徹執(zhí)行，通過技術(shù)手段，可以對以

19、下的管理進(jìn)行加強(qiáng)： 保證補(bǔ)丁安裝執(zhí)行情況；1. 監(jiān)督最先感染上病毒的區(qū)域；55 保障網(wǎng)絡(luò)隔離的制度得以施行； 監(jiān)督外來未知設(shè)備隨意接入內(nèi)網(wǎng)的情況； 使用廣域網(wǎng)病毒監(jiān)控：完成各分區(qū)病毒軟件安裝情況監(jiān)視完成各分區(qū)病毒感染情況歷史統(tǒng)計(jì)分析56防病毒機(jī)制運(yùn)行參考圖 安安全全組組件件網(wǎng)網(wǎng)絡(luò)絡(luò)組組件件控控制制平平臺(tái)臺(tái)應(yīng)應(yīng)急急響響應(yīng)應(yīng)服服務(wù)務(wù)/ /代代碼碼級級服服務(wù)務(wù)管管理理日日志志報(bào)報(bào)警警高高級級警警告告自自動(dòng)動(dòng)處處理理手手動(dòng)動(dòng)處處理理安安全全管管理理需需求求分分析析安安全全管管理理策策略略實(shí)實(shí)施施安安全全管管理理制制度度/ /策策略略調(diào)調(diào)整整信信息息中中心心廠廠商商產(chǎn)產(chǎn)品品改改進(jìn)進(jìn)管管理理反反饋饋報(bào)報(bào)警

20、警反反饋饋產(chǎn)產(chǎn)品品反反饋饋57 防病毒管理機(jī)制的執(zhí)行需要很多技術(shù)手段，有些技術(shù)手段屬于專業(yè)反病毒范疇，反病毒服務(wù)商了解病毒技術(shù)細(xì)節(jié)，更能準(zhǔn)確的通過技術(shù)培訓(xùn)提高下屬網(wǎng)管網(wǎng)絡(luò)反病毒全面知識(shí)。 3.5 加強(qiáng)培訓(xùn)以保障管理機(jī)制執(zhí)行58具體的培訓(xùn)可以分為以下幾種：針對普通人員的培訓(xùn)針對網(wǎng)管（或網(wǎng)絡(luò)安全員）的培訓(xùn)1. 針對突發(fā)病毒的培訓(xùn)59第四章：建立有效的病毒應(yīng)急響應(yīng)機(jī)制4.1 建立應(yīng)急響應(yīng)中心建立應(yīng)急響應(yīng)中心4.2 病毒事件分級病毒事件分級4.3 制定應(yīng)急響應(yīng)處理預(yù)案制定應(yīng)急響應(yīng)處理預(yù)案4.4 應(yīng)急響應(yīng)流程應(yīng)急響應(yīng)流程4.5 應(yīng)急響應(yīng)的事后處理應(yīng)急響應(yīng)的事后處理604.1建立應(yīng)急響應(yīng)中心 為了在病毒突

21、發(fā)事件中協(xié)調(diào)各方關(guān)系，分清職責(zé)，統(tǒng)一處理病毒事件，應(yīng)建立病毒事件應(yīng)急響應(yīng)中心。病毒應(yīng)急響應(yīng)中心組織機(jī)構(gòu)的建立可參考防病毒管理機(jī)構(gòu)。61應(yīng)急響應(yīng)中心特別要注意以下幾個(gè)方面：設(shè)立總負(fù)責(zé)人，負(fù)責(zé)協(xié)調(diào)管理應(yīng)急事件建立應(yīng)急相應(yīng)小組（小組成員可包括單位相關(guān)人員和安全服務(wù)商的相關(guān)人員）分清各方職責(zé)聯(lián)系方式必須準(zhǔn)確有效624.2病毒事件分級分級應(yīng)參考以下幾個(gè)標(biāo)準(zhǔn)：擴(kuò)散范圍擴(kuò)散速度危害程度防治復(fù)雜程度634.3制定應(yīng)急響應(yīng)處理預(yù)案 根據(jù)病毒的等級，制定相應(yīng)的病毒應(yīng)急響應(yīng)處理預(yù)案，此預(yù)案可包括以下幾點(diǎn)：病毒預(yù)案庫應(yīng)急響應(yīng)啟動(dòng)標(biāo)準(zhǔn)應(yīng)急處理流程注意：制定好的應(yīng)急預(yù)案應(yīng)進(jìn)行測試后方投入使用64啟動(dòng)應(yīng)急響應(yīng)預(yù)案的幾個(gè)參考

22、條件：有15的電腦同時(shí)感染同種類型的病毒，且現(xiàn)場人員確認(rèn)無法在2小時(shí)內(nèi)清除；病毒已經(jīng)網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行，且現(xiàn)場人員無法立刻解決；出現(xiàn)的病毒現(xiàn)有的殺毒軟件無法解決；1. 未知原因的網(wǎng)絡(luò)阻塞。654.4應(yīng)急響應(yīng)流程應(yīng)急響應(yīng)具體流程如下：接收初步的資料 查明原因，總結(jié)特征 確認(rèn)是否為大規(guī)模病毒事件 提供該事件的公告原稿 消息發(fā)布 事件庫升級或程序升級，放到部中心網(wǎng)站 1. 啟動(dòng)應(yīng)急響應(yīng)預(yù)案處理 66啟動(dòng)應(yīng)急響應(yīng)預(yù)案流程圖啟動(dòng)應(yīng)急響應(yīng)預(yù)案流程圖病毒應(yīng)急響應(yīng)組織資料初步接收查明原因是否為大規(guī)模病毒爆發(fā)事件結(jié)束啟動(dòng)相應(yīng)的預(yù)案YN應(yīng)急事件來源總協(xié)調(diào)人病毒聯(lián)合防范組織技術(shù)支撐系統(tǒng)總負(fù)責(zé)人67 通常的病通常的病

23、毒應(yīng)急反應(yīng)預(yù)毒應(yīng)急反應(yīng)預(yù)案流程圖案流程圖人員到位應(yīng)急處理啟動(dòng)應(yīng)急響應(yīng)預(yù)案工具到位分離關(guān)鍵的主機(jī)和網(wǎng)段數(shù)據(jù)備份和配置備份分離病毒源數(shù)據(jù)恢復(fù)清除病毒源文檔提交漏洞加固經(jīng)驗(yàn)總結(jié)相關(guān)處理安全問題解決結(jié)束684.5應(yīng)急響應(yīng)的事后處理事后處理過程可參考如下步驟：提交病毒應(yīng)急響應(yīng)事后報(bào)告 找出網(wǎng)絡(luò)防病毒的薄弱點(diǎn) 教訓(xùn)總結(jié)1. 視情況啟動(dòng)處罰程序69第五章：防病毒介紹5.1 5.1 目前主要的防病毒技術(shù)概述目前主要的防病毒技術(shù)概述5.2 5.2 網(wǎng)絡(luò)防病毒的措施概述網(wǎng)絡(luò)防病毒的措施概述5.3 5.3 網(wǎng)絡(luò)防病毒網(wǎng)絡(luò)防病毒5.4 5.4 補(bǔ)丁加固補(bǔ)丁加固5.5 5.5 邊界接入檢查和節(jié)點(diǎn)控制邊界接入檢查和節(jié)點(diǎn)控

24、制5.6 5.6 病毒預(yù)警技術(shù)病毒預(yù)警技術(shù)70病毒特征碼識(shí)別技術(shù)自動(dòng)解壓技術(shù)實(shí)時(shí)監(jiān)視技術(shù)啟發(fā)式查毒技術(shù)帶毒殺毒技術(shù)病毒隊(duì)列技術(shù) 5.1 目前主要的防病毒技術(shù)概述715.2防病毒軟件的結(jié)構(gòu)掃描應(yīng)用掃描引擎病毒定義庫防病毒軟件的3個(gè)組成部分防病毒軟件72 掃描應(yīng)用用戶接口日志文件報(bào)警功能 掃描引擎搜索病毒的邏輯算法CPU仿真器精密編程邏輯病毒定義庫：內(nèi)有病毒的特征碼73常見的本地網(wǎng)絡(luò)防病毒構(gòu)架5.3網(wǎng)絡(luò)防病毒74監(jiān)控平臺(tái)單元構(gòu)成75常見的廣域網(wǎng)網(wǎng)絡(luò)防病毒構(gòu)架76防病毒網(wǎng)關(guān) 由于目前的防火墻并不能防止目前所有的病毒進(jìn)入內(nèi)網(wǎng)，所以在某些情況下，需要在網(wǎng)絡(luò)的數(shù)據(jù)出入口處和網(wǎng)絡(luò)中重要設(shè)備前配置防病毒網(wǎng)關(guān)，

25、以防止病毒進(jìn)入內(nèi)部網(wǎng)絡(luò)。77防病毒網(wǎng)關(guān)按照功能上分有兩種:保護(hù)網(wǎng)絡(luò)入口的防病毒網(wǎng)關(guān)1. 保護(hù)郵件器的防病毒網(wǎng)關(guān)防病毒網(wǎng)關(guān)按照部署形式分為：透明網(wǎng)關(guān)1. 代理網(wǎng)關(guān)78透明網(wǎng)關(guān)透明網(wǎng)關(guān)代理網(wǎng)關(guān)代理網(wǎng)關(guān)透明網(wǎng)關(guān)路由器用戶用戶用戶79郵件服務(wù)器的防病毒保護(hù)郵件服務(wù)器的防病毒保護(hù)對郵件服務(wù)器系統(tǒng)自身加固郵件防病毒網(wǎng)關(guān)郵件防病毒 由于目前的病毒大部分均是通過郵件傳播的，所以對于郵件服務(wù)器的保護(hù)是十分重要的。80客戶端防病毒引導(dǎo)安全引導(dǎo)安全系統(tǒng)安裝安系統(tǒng)安裝安全全系統(tǒng)日常加系統(tǒng)日常加固固日常使用安日常使用安全全81服務(wù)器防病毒 服務(wù)器防病毒時(shí)，除了注意主機(jī)還應(yīng)注意防病毒應(yīng)該注意的問題外，還應(yīng)該注意到服務(wù)器的

26、可用性和穩(wěn)定性，也需要注意對重要數(shù)據(jù)經(jīng)常備份等問題。82集中監(jiān)控中心集 中 監(jiān) 控 中 心多級集中管理遠(yuǎn)程終端控制病毒風(fēng)險(xiǎn)分析軟件自動(dòng)分發(fā)終端分組配置智能探測升級詳細(xì)日志審計(jì)集中監(jiān)控中心功能圖集中監(jiān)控中心功能圖83升級服務(wù)中心84 補(bǔ)丁加固是今年來網(wǎng)絡(luò)面臨的新問題，對于大型機(jī)關(guān)和企業(yè)網(wǎng)絡(luò)，靠有限的人力人工去進(jìn)行終端的安全加固是不現(xiàn)實(shí)的。為此，微軟提出了兩個(gè)解決方案：SMSSMS：Microsoft System Management SUSSUS：Software Update Services 5.4補(bǔ)丁加固85 SMS技術(shù)是基于主域控制技術(shù)，通過域控制器對管轄的計(jì)算機(jī)的安全補(bǔ)丁進(jìn)行統(tǒng)一的升

27、級和管理。此方法存在的問題是國內(nèi)一般不使用主域控制形式進(jìn)行網(wǎng)絡(luò)管理,另外，對于終端使用多操作系統(tǒng)的網(wǎng)絡(luò)使用此技術(shù)升級所需的工作量也比較大。SMS技術(shù)86SUS技術(shù) 此技術(shù)應(yīng)用了當(dāng)前微軟Windows Update的技術(shù)，即客戶端可通過內(nèi)網(wǎng)建立的SUS Server自動(dòng)下載升級補(bǔ)丁。采用此方法的優(yōu)點(diǎn)是簡單方便，但是此系統(tǒng)也有不易實(shí)施的缺點(diǎn)。87 目前存在第三方的補(bǔ)丁分發(fā)技術(shù)，此類技術(shù)一般是輔助SUS進(jìn)行安全補(bǔ)丁統(tǒng)一監(jiān)控升級。第三方技術(shù) SUS ServerClientClientClient補(bǔ)丁監(jiān)控中心補(bǔ)丁數(shù)據(jù)庫交換機(jī)網(wǎng)絡(luò)補(bǔ)丁分發(fā)系統(tǒng)應(yīng)用構(gòu)架 885.5邊界接入檢查和節(jié)點(diǎn)控制邊界接入檢查和節(jié)點(diǎn)控制的目的：保障網(wǎng)絡(luò)隔離徹底有效；進(jìn)行外來筆記本電腦隨意接入控制；對感染病毒計(jì)算機(jī)快速定位，并安全、迅速、有效的切斷其與網(wǎng)絡(luò)的連接；對未安裝防病毒軟件的終端進(jìn)行統(tǒng)計(jì)、遠(yuǎn)程強(qiáng)制安裝；有效進(jìn)行網(wǎng)絡(luò)IP設(shè)備資源管理；89可監(jiān)控移動(dòng)設(shè)備（筆記本電腦等）和新增設(shè)備未經(jīng)過安全過濾和檢查，就接入內(nèi)部網(wǎng)絡(luò)； 可監(jiān)控違反規(guī)定將專網(wǎng)專用的計(jì)算機(jī)（帶出網(wǎng)絡(luò)）連入到其他網(wǎng)絡(luò)的行為；IP管理功能、IP和MAC綁定功能；可監(jiān)控網(wǎng)絡(luò)終端的補(bǔ)丁安裝情況，可對未安裝防病毒系統(tǒng)的終端進(jìn)行強(qiáng)制安裝；對安全事件源的實(shí)時(shí)、快速、精確定位，并可強(qiáng)制斷開其網(wǎng)絡(luò)連接。邊界接入檢查和節(jié)點(diǎn)控制需要的功能：90邊界檢查和節(jié)點(diǎn)