網(wǎng)絡(luò)安全企業(yè)安全網(wǎng)絡(luò)構(gòu)架課程設(shè)計(jì)

題目：企業(yè)安全網(wǎng)絡(luò)構(gòu)架學(xué)院：軟件學(xué)院班級(jí)：10級(jí)網(wǎng)絡(luò)工程3班指導(dǎo)教師：林玉香姓名：謝昊天學(xué)號(hào)：1215134046學(xué)年、學(xué)期：2013~2014學(xué)年第一學(xué)期前言科學(xué)技術(shù)的發(fā)展日新月異，九十年代，在計(jì)算機(jī)技術(shù)和通信技術(shù)結(jié)合下，網(wǎng)絡(luò)技術(shù)得到了飛速的發(fā)展。如今，不僅計(jì)算機(jī)已經(jīng)和網(wǎng)絡(luò)緊密結(jié)合，整個(gè)社會(huì)都不可能脫離網(wǎng)絡(luò)而存在。網(wǎng)絡(luò)技術(shù)已經(jīng)成為現(xiàn)代信息技術(shù)的主流，人們對(duì)網(wǎng)絡(luò)的認(rèn)識(shí)也隨著網(wǎng)絡(luò)應(yīng)用的逐漸普及而迅速改變。在不久的將來，網(wǎng)絡(luò)必將成為和電話一樣通用的工具，成為人們生活、工作、學(xué)習(xí)中必不可少的一部分。Internet，即國(guó)際互聯(lián)網(wǎng)，是現(xiàn)在網(wǎng)絡(luò)應(yīng)用的主流，從它最初在美國(guó)誕生至今已經(jīng)經(jīng)歷了三十多年。這個(gè)以TCP/IP協(xié)議為主體的國(guó)際互聯(lián)網(wǎng)絡(luò)已經(jīng)成為覆蓋全世界一百五十多個(gè)國(guó)家和地區(qū)的大型數(shù)據(jù)通信網(wǎng)絡(luò)。最初的Internet是由科研網(wǎng)絡(luò)形成的，主要是由一些大學(xué)和研究所等科研教育單位連接而成，逐漸發(fā)展到今天的規(guī)模。而進(jìn)入九十年代后，由于各種商業(yè)信息進(jìn)入了Internet，使得Internet得到了極大地發(fā)展，其擁有的主機(jī)數(shù)，連接的網(wǎng)絡(luò)數(shù)以及覆蓋面一直呈指數(shù)形式上升?，F(xiàn)在在Internet上可以提供或者獲得各種各樣的服務(wù)，比如通過電子郵件進(jìn)行合同的起草和簽訂，或利用Internet直接挑選商品和購(gòu)物。Internet是一個(gè)資源的網(wǎng)絡(luò)，其中擁有的信息資源幾乎覆蓋所有的領(lǐng)域。Internet面向人類的社會(huì)，世界上數(shù)以億計(jì)的人們利用它進(jìn)行通信和信息共享，通過發(fā)送和接收電子郵件，或和其他人的計(jì)算機(jī)建立連接、參加各種討論組并免費(fèi)使用各種信息資源實(shí)現(xiàn)信息共享。Internet也是一個(gè)服務(wù)的網(wǎng)絡(luò)。在Internet上，許多單位、公司和組織提供了各種各樣的服務(wù)。比如WWW（WorldWideWeb全球信息網(wǎng)）服務(wù)、信息查詢服務(wù)等，向網(wǎng)絡(luò)上的其他用戶展示自己各方面的情況，并幫助這些用戶找到需要的信息。將來的網(wǎng)絡(luò)在Internet基礎(chǔ)上進(jìn)一步發(fā)展，其功能、速度、適用范圍等必將全面超過現(xiàn)有的Internet。XX大學(xué)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的建設(shè)投入了大量的人力和物力，在短短的幾年中，已經(jīng)從最初僅僅局限在教育科研單位的網(wǎng)絡(luò)，迅速發(fā)展到今天遍及全國(guó)的包括教育、科研、商業(yè)、民用各個(gè)方面的數(shù)個(gè)大型網(wǎng)絡(luò)，如Chinanet（中國(guó)郵電網(wǎng)）、Cernet（中國(guó)教育網(wǎng)）、Gbnet（金橋網(wǎng)絡(luò)）等等。目前在網(wǎng)絡(luò)上提供有價(jià)值、有吸引力的信息，對(duì)一個(gè)單位或?qū)W校樹立自己的形象，提高自己的知名度，以及開拓和國(guó)際上其他學(xué)校、組織的聯(lián)系和往來能夠起到很顯著的作用。XX大學(xué)校園網(wǎng)將實(shí)現(xiàn)與校內(nèi)各部門進(jìn)行通信。XX大學(xué)校園網(wǎng)將為學(xué)校的科研、教學(xué)、管理提供必要的技術(shù)手段，為研究開發(fā)和培養(yǎng)人才建立平臺(tái)，借此加快學(xué)校的發(fā)展，以此加快學(xué)校的發(fā)展，成為一個(gè)具有示范性的學(xué)校。一、需求分析1、實(shí)施背景某高校是我省省屬重點(diǎn)大學(xué)。該校擁有已開通信息點(diǎn)1萬(wàn)多個(gè)，上網(wǎng)電腦一萬(wàn)多臺(tái)，校園網(wǎng)師生用戶群多達(dá)2萬(wàn)余人。校園網(wǎng)已經(jīng)成為全校師生員工日常學(xué)習(xí)、工作中不可或缺的重要信息平臺(tái)。某高校的網(wǎng)絡(luò)結(jié)構(gòu)分為核心、匯聚和接入3個(gè)層次，網(wǎng)絡(luò)類型分為教學(xué)子網(wǎng)、辦公子網(wǎng)、學(xué)生宿舍子網(wǎng)。接入方式包括撥號(hào)上網(wǎng)、寬帶接入、無(wú)線上聯(lián)等各種形式。校園網(wǎng)雙出口結(jié)構(gòu)，可以通過ChinaNet，也可以通過CERNET進(jìn)入互聯(lián)網(wǎng)。學(xué)校有16個(gè)C的教育網(wǎng)IP地址和8個(gè)ChinaNet的IP地址。目前提供的網(wǎng)絡(luò)服務(wù)有：WWW服務(wù)、MAIL服務(wù)、FTP服務(wù)、VOD服務(wù),圖書館電子圖書數(shù)據(jù)庫(kù)服務(wù)等。2、網(wǎng)絡(luò)應(yīng)用需求這方面的需求不同學(xué)校有著明顯不同，大體都可以分為，教學(xué)、辦公、服務(wù)這四方面應(yīng)用。如對(duì)教學(xué)、科研方面的網(wǎng)絡(luò)設(shè)計(jì)應(yīng)考慮穩(wěn)定、擴(kuò)展、安全等問題；辦公、服務(wù)等帶寬是要著重考慮的方面，所以學(xué)校應(yīng)該根據(jù)自己的實(shí)際情況來考慮網(wǎng)絡(luò)的結(jié)構(gòu)，及安全問題。校園網(wǎng)在信息服務(wù)與應(yīng)用方面應(yīng)滿足以下幾個(gè)方面的需求：1.學(xué)校主頁(yè)。學(xué)校應(yīng)建立獨(dú)立的WWW服務(wù)器，在網(wǎng)上提高學(xué)校主頁(yè)等服務(wù)，包括校情簡(jiǎn)介、學(xué)校新聞、校報(bào)（電子報(bào)）、招生信息以及校內(nèi)電話號(hào)碼和電子郵件地址查詢等。2.文件傳輸服務(wù)?？紤]到師生之間共享軟件，校園網(wǎng)應(yīng)提供文件傳輸服務(wù)（ftp）。文件傳輸服務(wù)器上存放各種各樣自由軟件和驅(qū)動(dòng)程序，師生可以根據(jù)自己需要隨時(shí)下載并把它們安裝在本機(jī)上。3.校園網(wǎng)站建設(shè)（WWW、FTP、E-mail、DNS、PROXY代理、撥入訪問、流量計(jì)費(fèi)等）；4.多媒體輔助點(diǎn)播教學(xué)兼遠(yuǎn)程教學(xué)：校園網(wǎng)要求具有數(shù)據(jù)、圖像、語(yǔ)音等多媒體實(shí)時(shí)通訊能力；并在主干網(wǎng)上提供足夠的帶寬和可保證的服務(wù)質(zhì)量，滿足大量用戶對(duì)帶寬的基本需要，并保留一定的余量供突發(fā)的數(shù)據(jù)傳輸使用，最大可能地降低網(wǎng)絡(luò)傳輸?shù)难舆t。5.校園辦公管理；6.學(xué)校教務(wù)管理；7.校園通卡應(yīng)用；8.網(wǎng)絡(luò)安全FIREWALL；9.圖書管理、電子閱覽室；10.系統(tǒng)應(yīng)提供基本的Web開發(fā)和信息制作的平臺(tái)。3、網(wǎng)絡(luò)性能需求性能需求：有服務(wù)效率、服務(wù)質(zhì)量、網(wǎng)絡(luò)吞吐率、網(wǎng)絡(luò)響應(yīng)時(shí)間、數(shù)據(jù)傳輸速度、資源利用率、可靠性、性能/價(jià)格比等；根據(jù)本工程的特殊性，語(yǔ)音點(diǎn)和數(shù)據(jù)點(diǎn)使用相同的傳輸介質(zhì)，即統(tǒng)一使用超5類4對(duì)雙絞電纜，以實(shí)現(xiàn)語(yǔ)音、數(shù)據(jù)相互備份的需要；對(duì)于網(wǎng)絡(luò)主干，數(shù)據(jù)通信介質(zhì)全部使用光纖，語(yǔ)音通信主干使用大對(duì)數(shù)電纜；光纜和大對(duì)數(shù)電纜均留有余量；對(duì)于其他系統(tǒng)數(shù)據(jù)傳輸，可采用超5類雙絞線或?qū)Ｓ镁€纜。4、安全需求（1）防止校園網(wǎng)外部用戶對(duì)校園網(wǎng)內(nèi)的用戶進(jìn)行攻擊（2）校園網(wǎng)外部用戶只能訪問WWW服務(wù)、MAIL服務(wù)，其他服務(wù)只對(duì)校園網(wǎng)內(nèi)部用戶開放。（3）考慮到易用性，所有服務(wù)器的操作系統(tǒng)采用WindowsServer，WWW服務(wù)使用IIS。（4）需要防病毒系統(tǒng)。二、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)三、IP地址規(guī)劃：教學(xué)區(qū)和辦公區(qū)用戶使用公有的8個(gè)c類地址塊中的地址；學(xué)生宿舍網(wǎng)用戶使用私有地址/16和/8地址塊，可在出口處做nat轉(zhuǎn)換，實(shí)現(xiàn)私有地址塊/16和/8轉(zhuǎn)換成所給出的16個(gè)c類地址塊中的地址四、服務(wù)器的選型及參數(shù)戴爾PowerEdgeR710參數(shù)基本類別類別機(jī)架式結(jié)構(gòu)2U處理器CPU類型XeonE5520CPU頻率2260MHz處理器描述標(biāo)配2個(gè)XeonE5520處理器最大處理器數(shù)量2制程工藝45納米CPU核心四核（Gainestown）主板主板芯片組Intel5520擴(kuò)展槽2PCIex8+2PCIex4或1x16+2x4內(nèi)存內(nèi)存類型DDRIII內(nèi)存大小32GB內(nèi)存帶寬/描述8個(gè)4GBDDR3內(nèi)存插槽數(shù)量18最大內(nèi)存容量144GB存儲(chǔ)硬盤大小5*300GB硬盤類型SAS硬盤最大容量6TB內(nèi)部硬盤架數(shù)通過6個(gè)3.5英寸1000GB熱插拔SAS硬盤最大熱插拔硬盤數(shù)支持熱插拔磁盤陣列卡RAID6光驅(qū)DVD-ROM網(wǎng)絡(luò)網(wǎng)絡(luò)控制器集成雙千兆以太網(wǎng)控制器顯示性能顯示芯片MatroxG200其他參數(shù)散熱系統(tǒng)可選冗余冷卻咨詢購(gòu)買熱線800-858-2339服務(wù)DELL3年免費(fèi)上門服務(wù)管理及安全性管理工具遠(yuǎn)程管理卡電源性能電源冗余電源電源數(shù)量2外觀特征尺寸86.4*443.1*680.7mm重量26.1Kg軟件系統(tǒng)系統(tǒng)支持參數(shù)糾錯(cuò)MicrosoftWindowsServer2008，x64小型企業(yè)服務(wù)器標(biāo)準(zhǔn)版

MicrosoftWindowsServer2008，標(biāo)準(zhǔn)

MicrosoftWindowsServer2008，企業(yè)

MicrosoftWindowsServer2008x64數(shù)據(jù)中心，包括Hyper-V

RedHatLinuxEnterprisev5x86-64

RedHatLinuxEnterprisev4、ES和ESx86-64

Solaris10(非工廠預(yù)裝)

RedHatLinuxEnterpriseLinux5.xx86

RedHatLinuxEnterpriseLinux5.xx86_64

NovellSuSeLinux10SP2

SUSELinuxEnterpriseServer10x86-64

VMwareESX3.5標(biāo)準(zhǔn)版

VMwareESX3.5企業(yè)版五、防火墻的選型及參數(shù)CISCOASA5580-20-B參數(shù)報(bào)價(jià)：20萬(wàn)主要參數(shù)設(shè)備類型企業(yè)級(jí)防火墻并發(fā)連接數(shù)1000000網(wǎng)絡(luò)吞吐量(Mbps)5000安全過濾帶寬1000Mbps用戶數(shù)限制無(wú)用戶數(shù)限制安全標(biāo)準(zhǔn)UL60950,CSAC22.2No.60950,EN60950IEC60950,AS/NZS60950控制端口console,1*RJ-45管理思科安全管理器(CS-Manager),WebVPN支持支持一般參數(shù)適用環(huán)境工作溫度:10～35℃;工作濕度:10～90%不凝結(jié);存儲(chǔ)溫度:-30～60℃;存儲(chǔ)濕度:10～95%不凝結(jié)電源100～240VAC,50/60Hz防火墻尺寸673*483*176mm防火墻重量29.9kg其他性能參數(shù)糾錯(cuò)高性能防火墻、IPS、以及IPSec和SSLVPN和IPSecVPN(750個(gè)設(shè)備對(duì))軟件,支持防垃圾郵件、URL阻攔和過濾,以及防網(wǎng)絡(luò)釣魚六、操作系統(tǒng)的安全配置和測(cè)試（1）物理安全設(shè)備的無(wú)人監(jiān)控，加鎖，防潮（2）停止Guest帳號(hào)（3）限制用戶數(shù)量對(duì)于WindowsNT/2000主機(jī)，如果系統(tǒng)帳戶超過10個(gè)（4）多個(gè)管理員帳號(hào)創(chuàng)建一個(gè)一般用戶權(quán)限帳號(hào)用來處理電子郵件以及處理一些日常事物，另一個(gè)擁有Administrator權(quán)限的帳戶只在需要的時(shí)候使用（5）管理員帳號(hào)改名（6）陷阱帳號(hào)創(chuàng)建一個(gè)名為“Administrator”的本地帳戶，把它的權(quán)限設(shè)置成最低，什么事也干不了的那種，并且加上一個(gè)超過10位的超級(jí)復(fù)雜密碼（7）更改默認(rèn)權(quán)限共享文件的權(quán)限從“Everyone”組改成“授權(quán)用戶（8）安全密碼要求用戶首此登陸的時(shí)候更改成復(fù)雜的密碼，還要注意經(jīng)常更改密碼。（9屏幕保護(hù)密碼（10）NTFS分區(qū)把服務(wù)器的所有分區(qū)都改成NTFS格式。NTFS文件系統(tǒng)要比FAT、FAT32的文件系統(tǒng)安全得多。（11）防毒軟件設(shè)置了放毒軟件，“黑客”們使用的那些有名的木馬就毫無(wú)用武之地了，并且要經(jīng)常升級(jí)病毒庫(kù)。（12）備份盤的安全不能把資料備份在同一臺(tái)服務(wù)器上，這樣的話還不如不要備份七、應(yīng)用服務(wù)器系統(tǒng)的漏洞掃描和安全配置1、使用IIS配置WWW服務(wù)在“控制面板”的“添加/刪除組件”中安裝IIS服務(wù)；安裝完畢之后，會(huì)在“管理工具”中出現(xiàn)“Internet服務(wù)管理器”圖標(biāo)；雙擊打開“Internet服務(wù)管理器”；這時(shí)在C盤中會(huì)自動(dòng)產(chǎn)生一個(gè)“Inetpub”文件夾；在這個(gè)文件夾中，可以看到web站點(diǎn)所存放的位置wwwroot；新建web站點(diǎn),右鍵可以修改其屬性；這時(shí)在客戶端機(jī)器上，可以查看新建的web站點(diǎn)；如下圖所示，新建虛擬目錄；存放在Inetpub下的directory文件夾中；給虛擬目錄起個(gè)名字，叫“mit”；在客戶端機(jī)器上測(cè)試一下，就可得到結(jié)果2.FTP服務(wù)器配置：安裝FTP服務(wù)器組件；用Serv-U建設(shè)FTP站點(diǎn)；新建用戶，在該實(shí)驗(yàn)中，設(shè)置了三個(gè)用戶，分別為匿名用戶和zhangsan、lisi，他們的訪問權(quán)限不同；用戶lisi未被鎖定于主目錄，其結(jié)果與另外兩者不同；3.使用工具軟件1.S掃描器(一種速度極快的多線程命令行下的掃描工具)2.SQL登陸器3.DNS溢出工4.cmd(微軟命令行工具)八、惡意代碼的防范系統(tǒng)設(shè)計(jì)防病毒體系總體規(guī)劃：防病毒系統(tǒng)不僅是檢測(cè)和清除病毒，還應(yīng)加強(qiáng)對(duì)病毒的防護(hù)工作，在網(wǎng)絡(luò)中不僅要部署被動(dòng)防御體系（防病毒系統(tǒng)）還要采用主動(dòng)防御機(jī)制（防火墻、安全策略、漏洞修復(fù)等），將病毒隔離在網(wǎng)絡(luò)大門之外。通過管理控制臺(tái)統(tǒng)一部署防病毒系統(tǒng)，保證不出現(xiàn)防病毒漏洞。因此，遠(yuǎn)程安裝、集中管理、統(tǒng)一防病毒策略成為企業(yè)級(jí)防病毒產(chǎn)品的重要需求。在跨區(qū)域的廣域網(wǎng)內(nèi)，要保證整個(gè)廣域網(wǎng)安全無(wú)毒，首先要保證每一個(gè)局域網(wǎng)的安全無(wú)毒。也就是說，一個(gè)企業(yè)網(wǎng)的防病毒系統(tǒng)是建立在每個(gè)局域網(wǎng)的防病毒系統(tǒng)上的。應(yīng)該根據(jù)每個(gè)局域網(wǎng)的防病毒要求，建立局域網(wǎng)防病毒控制系統(tǒng)，分別設(shè)置有針對(duì)性的防病毒策略。從總部到分支機(jī)構(gòu)，由上到下，各個(gè)局域網(wǎng)的防病毒系統(tǒng)相結(jié)合，最終形成一個(gè)立體的、完整的病毒防護(hù)體系。1、惡意代碼概述代碼是指計(jì)算機(jī)程序代碼，可以被執(zhí)行完成特定功能。任何食物事物都有正反兩面，人類發(fā)明的所有工具既可造福也可作孽，這完全取決于使用工具的人。計(jì)算機(jī)程序也不例外，軟件工程師們編寫了大量的有用的軟件（操作系統(tǒng)，應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)等）的同時(shí)，黑客們?cè)诰帉懢帉憯_亂社會(huì)和他人的計(jì)算機(jī)程序，這些代碼統(tǒng)稱為惡意代碼（MaliciousCodes）。2、惡意代碼的發(fā)展目前，惡意代碼問題成為信息安全需要解決的，迫在眉睫的、刻不容緩的安全問題。圖7-1顯示了過去20多年主要惡意代碼事件。惡意代碼從80年代發(fā)展至今體現(xiàn)出來的3個(gè)主要特征①惡意代碼日趨復(fù)雜和完善：從非常簡(jiǎn)單的，感染游戲的AppleII病毒發(fā)展到復(fù)雜的操作系統(tǒng)內(nèi)核病毒和今天主動(dòng)式傳播和破壞性極強(qiáng)的蠕蟲。惡意代碼在快速傳播機(jī)制和生存性技術(shù)研究取得了很大的成功。②惡意代碼編制方法及發(fā)布速度更快：惡意代碼剛出現(xiàn)時(shí)發(fā)展較慢，但是隨著網(wǎng)絡(luò)飛速發(fā)展，Internet成為惡意代碼發(fā)布并快速蔓延的平臺(tái)。特別是過去5年，不斷涌現(xiàn)的惡意代碼，證實(shí)了這一點(diǎn)。③從病毒到電子郵件蠕蟲，再到利用系統(tǒng)漏洞主動(dòng)攻擊的惡意代碼：惡意代碼的早期，大多數(shù)攻擊行為是由病毒和受感染的可執(zhí)行文件引起的。然而，在過去5年，利用系統(tǒng)和網(wǎng)絡(luò)的脆弱性進(jìn)行傳播和感染開創(chuàng)了惡意代碼的新紀(jì)元。3、惡意代碼長(zhǎng)期存在的原因計(jì)算機(jī)技術(shù)飛速發(fā)展的同時(shí)并未使系統(tǒng)的安全性得到增強(qiáng)。技術(shù)進(jìn)步帶來的安全增強(qiáng)能力最多只能彌補(bǔ)由應(yīng)用環(huán)境的復(fù)雜性帶來的安全威脅的增長(zhǎng)程度。不但如此，計(jì)算機(jī)新技術(shù)的出現(xiàn)還很有可能使計(jì)算機(jī)系統(tǒng)的安全變得比以往更加脆弱。AT&T實(shí)驗(yàn)室的S.Bellovin曾經(jīng)對(duì)美國(guó)CERT（ComputerEmergencyResponseTeam）提供的安全報(bào)告進(jìn)行過分析，分析結(jié)果表明，大約50%的計(jì)算機(jī)網(wǎng)絡(luò)安全問題是由軟件工程中產(chǎn)生的安全缺陷引起的，其中，很多問題的根源都來自于操作系統(tǒng)的安全脆弱性?；ヂ?lián)網(wǎng)的飛速發(fā)展為惡意代碼的廣泛傳播提供了有利的環(huán)境?；ヂ?lián)網(wǎng)具有開放性的特點(diǎn)，缺乏中心控制和全局視圖能力，無(wú)法保證網(wǎng)絡(luò)主機(jī)都處于統(tǒng)一的保護(hù)之中。計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)存在設(shè)計(jì)上的缺陷，這些缺陷會(huì)導(dǎo)致安全隱患。4、碼惡意代碼實(shí)現(xiàn)機(jī)理早期惡意代碼的主要形式是計(jì)算機(jī)病毒。80年代，Cohen設(shè)計(jì)出一種在運(yùn)行過程中可以復(fù)制自身的破壞性程序，Adleman將它命名為計(jì)算機(jī)病毒，它是早期惡意代碼的主要內(nèi)容。隨后，Adleman把病毒定義為一個(gè)具有相同性質(zhì)的程序集合，只要程序具有破壞、傳染或模仿的特點(diǎn)，就可認(rèn)為是計(jì)算機(jī)病毒。這種定義有將病毒內(nèi)涵擴(kuò)大化的傾向，將任何具有破壞作用的程序都認(rèn)為是病毒，掩蓋了病毒潛伏、傳染等其它重要特征。5、惡意代碼的定義90年代末，惡意代碼的定義隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展逐漸豐富，Grimes將惡意代碼定義為，經(jīng)過存儲(chǔ)介質(zhì)和網(wǎng)絡(luò)進(jìn)行傳播，從一臺(tái)計(jì)算機(jī)系統(tǒng)到另外一臺(tái)計(jì)算機(jī)系統(tǒng)，未經(jīng)授權(quán)認(rèn)證破壞計(jì)算機(jī)系統(tǒng)完整性的程序或代碼。它包括計(jì)算機(jī)病毒(ComputerVirus)、蠕蟲(Worms)、特洛伊木馬(TrojanHorse)、邏輯炸彈(LogicBombs)、病菌(Bacteria)、用戶級(jí)RootKit、核心級(jí)RootKit、腳本惡意代碼(MaliciousScripts)和惡意ActiveX控件等。由此定義，惡意代碼兩個(gè)顯著的特點(diǎn)是：非授權(quán)性和破壞性。惡意代碼的相關(guān)定義惡意代碼類型定義特點(diǎn)計(jì)算機(jī)病毒指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。潛伏、傳染和破壞計(jì)算機(jī)蠕蟲指通過計(jì)算機(jī)網(wǎng)絡(luò)自我復(fù)制，消耗系統(tǒng)資源和網(wǎng)絡(luò)資源的程序掃描、攻擊和擴(kuò)散特洛伊木馬指一種與遠(yuǎn)程計(jì)算機(jī)建立連接，使遠(yuǎn)程計(jì)算機(jī)能夠通過網(wǎng)絡(luò)控制本地計(jì)算機(jī)的程序。欺騙、隱蔽和信息竊取邏輯炸彈指一段嵌入計(jì)算機(jī)系統(tǒng)程序的，通過特殊的數(shù)據(jù)或時(shí)間作為條件觸發(fā)，試圖完成一定破壞功能的程序。潛伏和破壞病菌指不依賴于系統(tǒng)軟件，能夠自我復(fù)制和傳播，以消耗系統(tǒng)資源為目的的程序。傳染和拒絕服務(wù)用戶級(jí)RootKit指通過替代或者修改被系統(tǒng)管理員或普通用戶執(zhí)行的程序進(jìn)入系統(tǒng)，從而實(shí)現(xiàn)隱藏和創(chuàng)建后門的程序。隱蔽，潛伏核心級(jí)RootKit指嵌入操作系統(tǒng)內(nèi)核進(jìn)行隱藏和創(chuàng)建后門的程序隱蔽，潛伏6、惡意代碼攻擊機(jī)制惡意代碼的行為表現(xiàn)各異，破壞程度千差萬(wàn)別，但基本作用機(jī)制大體相同，其整個(gè)作用過程分為6個(gè)部分：①侵入系統(tǒng)。侵入系統(tǒng)是惡意代碼實(shí)現(xiàn)其惡意目的的必要條件。惡意代碼入侵的途徑很多，如：從互聯(lián)網(wǎng)下載的程序本身就可能含有惡意代碼；接收已經(jīng)感染惡意代碼的電子郵件；從光盤或軟盤往系統(tǒng)上安裝軟件；黑客或者攻擊者故意將惡意代碼植入系統(tǒng)等。②維持或提升現(xiàn)有特權(quán)。惡意代碼的傳播與破壞必須盜用用戶或者進(jìn)程的合法權(quán)限才能完成。③隱蔽策略。為了不讓系統(tǒng)發(fā)現(xiàn)惡意代碼已經(jīng)侵入系統(tǒng)，惡意代碼可能會(huì)改名、刪除源文件或者修改系統(tǒng)的安全策略來隱藏自己。④潛伏。惡意代碼侵入系統(tǒng)后，等待一定的條件，并具有足夠的權(quán)限時(shí)，就發(fā)作并進(jìn)行破壞活動(dòng)。⑤破壞。惡意代碼的本質(zhì)具有破壞性，其目的是造成信息丟失、泄密，破壞系統(tǒng)完整性等。⑥重復(fù)①至⑤對(duì)新的目標(biāo)實(shí)施攻擊過程。惡意代碼的攻擊模型7、惡意代碼防范方法目前，惡意代碼防范方法主要分為兩方面：基于主機(jī)的惡意代碼防范方法和基于網(wǎng)絡(luò)的惡意代碼防范方法。8、基于主機(jī)的惡意代碼防范方法主要包括：基于特征的掃描技術(shù)、校驗(yàn)和、沙箱技術(shù)和安全操作系統(tǒng)對(duì)惡意代碼的防范，等等。1.基于特征的掃描技術(shù)基于主機(jī)的惡意代碼防范方法是目前檢測(cè)惡意代碼最常用的技術(shù)，主要源于模式匹配的思想。掃描程序工作之前，必須先建立惡意代碼的特征文件，根據(jù)特征文件中的特征串，在掃描文件中進(jìn)行匹配查找。用戶通過更新特征文件更新掃描軟件，查找最新的惡意代碼版本。這種技術(shù)廣泛地應(yīng)用于目前的反病毒引擎中惡意代碼防范工作流程基于特征的掃描技術(shù)主要存在兩個(gè)方面的問題①它是一種特征匹配算法，對(duì)于加密、變形和未知的惡意代碼不能很好地處理；②需要用戶不斷升級(jí)更新檢測(cè)引擎和特征數(shù)據(jù)庫(kù)，不能預(yù)警惡意代碼入侵，只能做事后處理。2.校驗(yàn)和校驗(yàn)和是一種保護(hù)信息資源完整性的控制技術(shù)，例如Hash值和循環(huán)冗余碼等。只要文件內(nèi)部有一個(gè)比特發(fā)生了變化，校驗(yàn)和值就會(huì)改變。未被惡意代碼感染的系統(tǒng)首先會(huì)生成檢測(cè)數(shù)據(jù)，然后周期性地使用校驗(yàn)和法檢測(cè)文件的改變情況。運(yùn)用校驗(yàn)和法檢查惡意代碼有3種方法：（1）在惡意代碼檢測(cè)軟件中設(shè)置校驗(yàn)和法。對(duì)檢測(cè)的對(duì)象文件計(jì)算其正常狀態(tài)的校驗(yàn)和并將其寫入被查文件中或檢測(cè)工具中，而后進(jìn)行比較。（2）在應(yīng)用程序中嵌入校驗(yàn)和法。將文件正常狀態(tài)的校驗(yàn)和寫入文件本身中，每當(dāng)應(yīng)用程序啟動(dòng)時(shí)，比較現(xiàn)行校驗(yàn)和與原始校驗(yàn)和，實(shí)現(xiàn)應(yīng)用程序的自我檢測(cè)功能。（3）將校驗(yàn)和程序常駐內(nèi)存。每當(dāng)應(yīng)用程序開始運(yùn)行時(shí)，自動(dòng)比較檢查應(yīng)用程序內(nèi)部或別的文件中預(yù)留保存的校驗(yàn)和。校驗(yàn)和兩個(gè)缺點(diǎn)校驗(yàn)和可以檢測(cè)未知惡意代碼對(duì)文件的修改，但也有兩個(gè)缺點(diǎn)：首先，校驗(yàn)和法實(shí)際上不能檢測(cè)文件是否被惡意代碼感染，它只是查找變化。即使發(fā)現(xiàn)惡意代碼造成了文件的改變，校驗(yàn)和法也無(wú)法將惡意代碼消除，也不能判斷究竟被那種惡意代碼感染。其次，惡意代碼可以采用多種手段欺騙校驗(yàn)和法，使之認(rèn)為文件沒有改變。3.沙箱技術(shù)沙箱技術(shù)指根據(jù)系統(tǒng)中每一個(gè)可執(zhí)行程序的訪問資源，以及系統(tǒng)賦予的權(quán)限建立應(yīng)用程序的“沙箱”，限制惡意代碼的運(yùn)行。每個(gè)應(yīng)用程序都運(yùn)行在自己的且受保護(hù)的“沙箱”之中，不能影響其它程序的運(yùn)行。同樣，這些程序的運(yùn)行也不能影響操作系統(tǒng)的正常運(yùn)行，操作系統(tǒng)與驅(qū)動(dòng)程序也存活在自己的“沙箱”之中。美國(guó)加州大學(xué)Berkeley實(shí)驗(yàn)室開發(fā)了基于Solaris操作系統(tǒng)的沙箱系統(tǒng)，應(yīng)用程序經(jīng)過系統(tǒng)底層調(diào)用解釋執(zhí)行，系統(tǒng)自動(dòng)判斷應(yīng)用程序調(diào)用的底層函數(shù)是否符合系統(tǒng)的安全要求，并決定是否執(zhí)行。4.安全操作系統(tǒng)對(duì)惡意代碼的防范惡意代碼成功入侵的重要一環(huán)是，獲得系統(tǒng)的控制權(quán)，使操作系統(tǒng)為它分配系統(tǒng)資源。無(wú)論哪種惡意代碼，無(wú)論要達(dá)到何種惡意目的，都必須具有相應(yīng)的權(quán)限。沒有足夠的權(quán)限，惡意代碼不可能實(shí)現(xiàn)其預(yù)定的惡意目標(biāo)，或者僅能夠?qū)崿F(xiàn)其部分惡意目標(biāo)。9、基于網(wǎng)絡(luò)的惡意代碼防范方法由于惡意代碼具有相當(dāng)?shù)膹?fù)雜性和行為不確定性，惡意代碼的防范需要多種技術(shù)綜合應(yīng)用，包括惡意代碼監(jiān)測(cè)與預(yù)警、惡意代碼傳播抑制、惡意代碼漏洞自動(dòng)修復(fù)、惡意代碼阻斷等。基于網(wǎng)絡(luò)的惡意代碼防范方法包括：惡意代碼檢測(cè)防御和惡意代碼預(yù)警。其中常見的惡意代碼檢測(cè)防御包括：基于GrIDS的惡意代碼檢測(cè)、基于PLD硬件的檢測(cè)防御、基于HoneyPot的檢測(cè)防御和基于CCDC的檢測(cè)防御。1.基于GrIDS的惡意代碼檢測(cè)著名的GrIDS主要針對(duì)大規(guī)模網(wǎng)絡(luò)攻擊和自動(dòng)化入侵設(shè)計(jì)的，它收集計(jì)算機(jī)和網(wǎng)絡(luò)活動(dòng)的數(shù)據(jù)以及它們之間的連接，在預(yù)先定義的模式庫(kù)的驅(qū)動(dòng)下，將這些數(shù)據(jù)構(gòu)建成網(wǎng)絡(luò)活動(dòng)行為來表征網(wǎng)絡(luò)活動(dòng)結(jié)構(gòu)上的因果關(guān)系。它通過建立和分析節(jié)點(diǎn)間的行為圖（ActivityGraph），通過與預(yù)定義的行為模式圖進(jìn)行匹配，檢測(cè)惡意代碼是否存在，是當(dāng)前檢測(cè)分布式惡意代碼入侵有效的工具。2.基于PLD硬件的檢測(cè)防御華盛頓大學(xué)應(yīng)用研究室的JohnW.Lockwood、JamesMoscola1和MatthewKulig等提出了一種采用可編程邏輯設(shè)備（ProgrammableLogicDevices，PLDs)對(duì)抗惡意代碼的防范系統(tǒng)。該系統(tǒng)由三個(gè)相互內(nèi)聯(lián)部件DED（DataEnablingDevice）、CMS（ContentMatchingServer）和RTP（RegionalTransactionProcessor）組成。DED負(fù)責(zé)捕獲流經(jīng)網(wǎng)絡(luò)出入口的所有數(shù)據(jù)包，根據(jù)CMS提供的特征串或規(guī)則表達(dá)式對(duì)數(shù)據(jù)包進(jìn)行掃描匹配并把結(jié)果傳遞給RTP；CMS負(fù)責(zé)從后臺(tái)的MYSQL數(shù)據(jù)庫(kù)中讀取已經(jīng)存在的惡意代碼特征，編譯綜合成DED設(shè)備可以利用特征串或規(guī)則表達(dá)式；RTP根據(jù)匹配結(jié)果決定DED采取何種操作。惡意代碼大規(guī)模入侵時(shí)，系統(tǒng)管理員首先把該惡意代碼的特征添加