安全的藝術(shù)課件

網(wǎng)絡(luò)與信息安全

目錄

系統(tǒng)安全設(shè)置

安全狀態(tài)檢測(cè)

病毒及流氓清除

安全事件處理基本流程

安全風(fēng)險(xiǎn)預(yù)防

服務(wù)器安全防護(hù)概要

系統(tǒng)安全設(shè)置:基本安全

?基本安全設(shè)置

■系統(tǒng)補(bǔ)丁----WindowsUpdate

■殺毒軟件——優(yōu)先使用網(wǎng)絡(luò)殺毒、全網(wǎng)防毒

■防火墻----Sp2/ZoneAlarm

■安全級(jí)別——默認(rèn)級(jí)別或以上

?病毒免疫

■ActiveX標(biāo)志免疫——Guardio等

■流氓程序目錄/文件免疫——文件/目錄權(quán)限、軟件策略

■惡意程序文件免疫——軟件策略

?網(wǎng)站免疫

■站點(diǎn)限制免疫——Internet選項(xiàng)的站點(diǎn)限制

■HOSTS免疫—HOSTS文件及作用

一、系統(tǒng)安全設(shè)置：工具安全

?使用較安全的瀏覽器

Maxthon/Gexplorer/

FireFox/Opera

?使用安全文件管理器

TotalCommander

?使用安全的系統(tǒng)工具

改造的Taskmgr.exe>Registry

Workshop------改造原理和方法

系統(tǒng)安全設(shè)置:認(rèn)知安全

?警惕安全問(wèn)題的誤區(qū)

幾大典型誤區(qū)——

?把流氓當(dāng)救星（160個(gè)流氓典型）

?病毒掃描可以防毒（某殺軟的自動(dòng)掃描問(wèn)題）

?多套殺毒共享可增強(qiáng)效果

?經(jīng)常發(fā)現(xiàn)本地病毒是殺軟有效的表現(xiàn)

?正版的就是最好的

?能殺就行，疏于防護(hù)

?格式化系統(tǒng)能夠徹底清除病毒

?“功能增強(qiáng)”、“助手”、“免費(fèi)”都是好東西

二、安全狀態(tài)檢測(cè)：常規(guī)檢測(cè)

?常規(guī)進(jìn)程檢測(cè)

任務(wù)管理器、Autoruns......

?隱藏進(jìn)程檢測(cè)

IceSword>Syscheck

?端口及連接檢測(cè)

Netstat-an；Syscheck；TCPView

?文件檢測(cè)

IceSword>WindowsPE>Total

Commander

日期、類型與位置、大小

二、安全狀態(tài)檢測(cè)：自動(dòng)加載檢測(cè)]]

?自動(dòng)加載項(xiàng)目實(shí)時(shí)檢測(cè)

Regedit>RegistryWorkshop>

lceSword>Syscheck

?自動(dòng)加載項(xiàng)目離線檢測(cè)

WindowsPE、第二操作系統(tǒng)

危險(xiǎn)自動(dòng)加載項(xiàng)目位置示例---Winpooch規(guī)則

二、安全狀態(tài)檢測(cè)：流氓檢測(cè)]]

?流氓程序的若干表現(xiàn)

以“專家”、“助手”、“增強(qiáng)”、“秘書(shū)”“XX霸”等項(xiàng)目出現(xiàn)

部分以安全工具的面目出現(xiàn)，賊喊捉賊

系統(tǒng)資源高度占用

添加不明進(jìn)程

植入驅(qū)動(dòng)

Hook系統(tǒng)函數(shù)

干擾輸入操作

接管搜索引擎

植入瀏覽器工具欄、右鍵菜單

接管瀏覽器部分功能

阻撓用戶順利卸載

卸載后保留后門(mén)文件

與免費(fèi)或共享軟件大量捆綁

部分流氓軟件存在官方背景

二、安全狀態(tài)檢測(cè)：流氓檢測(cè)]]

?流氓程序檢測(cè)

流氓進(jìn)程檢測(cè)

流氓文件檢測(cè)

注冊(cè)表流氓項(xiàng)目檢測(cè)

瀏覽器流氓插件檢測(cè)

流氓行為在線搜索檢測(cè)

綜合檢測(cè)工具：HijackThis

二、安全狀態(tài)檢測(cè)：病毒行為跟蹤分析

?靜態(tài)跟蹤分析

Whatchanged-----系統(tǒng)更改狀態(tài)監(jiān)測(cè)

AdvancedRegistryTracer----注冊(cè)表更改狀態(tài)監(jiān)測(cè)

Dir/sc:\>list.txt命令+FC命令對(duì)照系統(tǒng)狀態(tài)更改

文件二進(jìn)制比較

目錄同步比較

?動(dòng)態(tài)跟蹤分析

Regmon

FileMon

TcpView

防火墻規(guī)則捕獲

?代碼級(jí)分析

■OllyDebug>W32SAM

三、病毒及流氓清除：常規(guī)清除

?在線清除

嘗試卸載

進(jìn)程清除

注冊(cè)表項(xiàng)清除（關(guān)閉瑞星?。?/p>

病毒文件清除

安全模式的運(yùn)用

三、病毒及流氓清除：離線清除

?離線清除

適應(yīng)場(chǎng)合：頑固流氓程序

典型：CNNIC>3721

第二系統(tǒng)處理

如第二套Windows等

PE光盤(pán)引導(dǎo)處理

如“深山紅葉袖珍PE工具箱”

改名的妙用

三、病毒及流氓清除：Rootkit清除

'?隱藏進(jìn)程（Rootkit）清除

?使用IceSword禁止線程創(chuàng)建后檢測(cè)、清除

?使用SysCheck還原系統(tǒng)函數(shù)入口

?使用Totalcommander查看文件

?使用專殺工具處理

三、病毒及流氓清除：Rootkit清除W

?頑固文件清除

?充分運(yùn)用軟件限制策略

?使用KillBox

?通過(guò)第二套系統(tǒng)清除

?使用PE光盤(pán)清除

四、安全事件處理基本流程

診斷威脅進(jìn)程

項(xiàng)■清除威脅■^T

■設(shè)置阻斷文件■標(biāo)志免疫

策略■清除威脅■策略免疫

■目錄/文件

■臨時(shí)改名加載項(xiàng)免疫

欺騙

五、安全風(fēng)險(xiǎn)預(yù)防：重視日常備份

?重視早期安全部署

?重視用戶數(shù)據(jù)轉(zhuǎn)移

■嚴(yán)禁在系統(tǒng)分區(qū)保存用戶數(shù)據(jù)——轉(zhuǎn)移的方法

?多層次、多方面?zhèn)浞?/p>

■系統(tǒng)狀態(tài)備份---SystemState

■注冊(cè)表備份——EruNT

■系統(tǒng)分區(qū)備份---Ghost

■用戶數(shù)據(jù)備份---自動(dòng)同步工具BackupOnDemand

?恰當(dāng)選擇安全工具

殺毒軟件的選擇——網(wǎng)絡(luò)殺毒、卡巴斯基等

防火墻的選擇——SP2/ZoneAlarm等

其他輔助工具的選擇

(Winpooch、SysShieled.....)

?適當(dāng)關(guān)心安全動(dòng)態(tài)

補(bǔ)丁升級(jí)

安全產(chǎn)品升級(jí)

重大安全事件的及時(shí)響應(yīng)處理

五、安全風(fēng)險(xiǎn)預(yù)防一一安全威脅類型分析

安全威脅類型

五、安全風(fēng)險(xiǎn)預(yù)防：風(fēng)險(xiǎn)評(píng)估

五、安全風(fēng)險(xiǎn)預(yù)防：創(chuàng)建企業(yè)內(nèi)部安全服專

網(wǎng)絡(luò)

殺毒校園網(wǎng)安博士網(wǎng)絡(luò)殺毒

在線卓爾免費(fèi)在線殺毒

殺毒

Windows部署企業(yè)內(nèi)部

kUpdate升級(jí)服務(wù)器

：分布式安全部署

立體安全卓爾UTffl

防毒堵

防及殿部件

GatG防火靖

UTM安全網(wǎng)關(guān)內(nèi)容過(guò)濾

機(jī)密信息

卓爾UTM200/3Q0/500ypn

IPS

個(gè)人及SOHO用戶

買(mǎi)得起用得好妒全網(wǎng)關(guān)

卓爾UTM：http://www.zrinfo.net/

五、安全風(fēng)險(xiǎn)預(yù)防：網(wǎng)絡(luò)法律法規(guī)

.?中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定

\第十條個(gè)人、法人和其他組織（以下統(tǒng)稱用戶）使用的計(jì)算機(jī)或者計(jì)算機(jī)信

息網(wǎng)絡(luò)，需要進(jìn)行國(guó)際聯(lián)網(wǎng)的，必須通過(guò)接入網(wǎng)絡(luò)進(jìn)行國(guó)際聯(lián)網(wǎng)。前款規(guī)定的計(jì)算

機(jī)或者計(jì)算機(jī)信息網(wǎng)絡(luò)，需要接入接入網(wǎng)絡(luò)的，應(yīng)當(dāng)征得接入單位的同意，并辦理登

記手續(xù)。

?第十三條從事國(guó)際聯(lián)網(wǎng)業(yè)務(wù)的單位和個(gè)人，應(yīng)當(dāng)遵守國(guó)家有關(guān)法律、行政法

規(guī)，嚴(yán)格執(zhí)行安全保密制度，不得利用國(guó)際聯(lián)網(wǎng)從事危害國(guó)家安全、泄露國(guó)家秘密等

違法犯罪活動(dòng)，不得制作、查閱、復(fù)制和傳播妨礙社會(huì)治安的信息和淫穢色情等信息

?第十四條違反本規(guī)定第六條、第八條和第十條的規(guī)定的，由公安機(jī)關(guān)責(zé)令停

止聯(lián)網(wǎng)，給予警告，可以并處15000元以下的罰款；有違法所得的，沒(méi)收違法所得。

?第十五條違反本規(guī)定，同時(shí)觸犯其他有關(guān)法律、行政法規(guī)的，依照有關(guān)法律

、行政法規(guī)的規(guī)定予以處罰；構(gòu)成犯罪的，依法追究刑事責(zé)任。

■

?中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定實(shí)施辦法

?中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例

?互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定

?互聯(lián)網(wǎng)電子郵件服務(wù)管理辦法

六、服務(wù)器安全防護(hù)概要]

,?安裝過(guò)程中的安全策略：

\NTFS、干凈的軟件&工具、及時(shí)密碼

?系統(tǒng)基本安全策略：

文件和目錄權(quán)限、軟件限制策略、防火墻、IP篩選、路由和遠(yuǎn)程訪問(wèn)策略、自

動(dòng)升級(jí)、口令策略、審核與日