电子政务安全技术保障05.pptVIP

电子政务安全技术保障 褚峻 苏震 编 中国人民大学出版社 5.病毒防范系统 5.1 计算机病毒的基本原理 计算机病毒及其特征 计算机病毒的种类 计算机病毒的破坏行为 计算机病毒的触发条件 计算机病毒的工作机理 计算机病毒的编制 5.2 计算机病毒防范技术 5.3 计算机病毒防范系统 什么是计算机病毒 计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 ——《中华人民共和国计算机信息系统安全保护条例》 1994年2月1 8日颁布实施 计算机病毒的特点 传染性 破坏性 隐蔽性 潜伏性 非授权性 不可预见性 计算机病毒的类型 根据病毒存在的媒体，病毒可以划分为网络病毒，文件病毒，引导型病毒。 根据病毒传染的方法可分为驻留型病毒和非驻留型病毒。 根据病毒破坏的能力可划分为以下：无害型、无危险型、危险型、非常危险型。 根据病毒的算法，可以划分为：伴随型病毒、“蠕虫”型病毒、寄生型病毒、变型病毒。 计算机病毒的破坏行为 攻击系统数据区 攻击文件 攻击内存 干扰系统运行 速度下降 攻击磁盘 扰乱屏幕显示 干扰键盘操作 攻击CMOS 干扰打印机 计算机病毒的触发条件 日期触发 时间触发 键盘触发 感染触发 启动触发 磁盘访问次数触发 调用中断功能触发 CPU/主板型号触发 组合条件触发 引导区病毒的传染机理 文件型病毒的传染原理 文件型病毒的附着方式 覆盖型 前后附加型 伴随型 混合型病毒的传染原理 计算机病毒编制的目的 出于玩笑或恶作剧，编制的“病毒性”程序。这类病毒一般都是良性的，不会有破坏操作。 出于报复心理，一些编程高手编制一些危险的程序。 出于版权保护，有些软件开发商在自己的产品中制作了一些特殊程序。 出于特殊目的，某组织或个人，对政府机构、单位的特殊系统进行宣传或破坏。 计算机病毒的编制技术与方法 加密技术 变形技术 反跟踪技术 对抗技术 简易的病毒编制工具 编制病毒的新语言 5.病毒防范系统 5.1 计算机病毒的基本原理 5.2 计算机病毒防范技术 病毒防范技术的发展 计算机病毒的检测技术 反计算机病毒技术 计算机病毒的预防 5.3 计算机病毒防范系统 病毒防范技术的发展 第一代防病毒技术是采取单纯的病毒特征代码分析，将病毒从带毒文件中清除掉。 第二代防病毒技术是采用静态广谱特征扫描方法检测病毒。 第三代防病毒技术将静态扫描技术和动态仿真跟踪技术结合起来，将查找病毒和清除病毒合二为一，形成一个整体解决方案。 第四代反病毒技术是基于多位CRC校验和扫描机理，启发式智能代码分析模块、动态数据还原模块、内存解毒模块、自身免疫模块等技术的综合。 病毒检测技术——特征代码法 优点： 检测准确快速 可识别病毒的名称 误报警率 依据检测结果，可做解毒处理。 病毒检测技术——校验和法 既能发现已知病毒，也能发现未知病毒 不能识别病毒类型和名称 文件内容的改变有可能是正常程序引起的，所以常常误报警。 已有软件版更新、变更口令、修改运行参数，都可能误报警。 病毒检测技术——行为监测法 利用病毒的特有行为特征性来监测病毒的方法。 常见病毒的行为特征如下： 引导型病毒占据INT 13H功能，在其中放置病毒所需的代码 病毒常驻内存后，为了防止DOS系统将其覆盖，必须修改系统内存总量。 对COM、EXE文件做写入动作。 优点：可发现未知病毒、可相当准确地预报未知的多数病毒。短处：可能误报警、不能识别病毒名称、实现时有一定难度。? 病毒检测技术——软件模拟法 该方法采用一种软件分析器，用软件方法来模拟和分析程序的运行。 一些新型检测工具纳入了软件模拟法，该类工具开始运行时，使用特征代码法检测病毒，如果发现隐蔽病毒或多态性病毒嫌疑时，启动软件模拟模块，监视病毒的运行，待病毒自身的密码译码以后，再运用特征代码法来识别病毒的种类。 反病毒技术 实时反病毒技术 主动内核技术 数字免疫系统 监控病毒源技术 分布式处理技术 计算机病毒的预防 使用杀毒软件 检测系统信息 监测写盘操作 文件密码校验 利用病毒知识库 有关操作和管理措施 * * 主 要 内 容 电子政务系统安全 数据加密技术 信息隐藏技术 安全认证技术 病毒防范系统 防火墙系统 入侵检测系统 物理隔离系统 虚拟专用网 电子政务安全解决方案 含病毒的Boot 内 存 病毒 发作 Boot程序 条件具备 系 统 运 行 程序或命令 执行 关闭 启动 病毒+程序 含病毒的程序 内 存 其它程序 原程序+病毒 程序 病毒+程序 执行 关闭 执行 程序 发作 条件具备 文 件 体 文 件 体 文件体 文 件 体 含病毒的程序 内 存 引导区 原程序