信息安全管理1.ppt

病毒防护;目录;第一章：病毒基础知识;广义定义: 能够引起计算机故障,破坏计算数据的程序统称为计算机病毒。 标准定义： 计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 ; 传染性： 正常的计算机程序一般是不会将自身的代码强行连接到其它程序上，而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。 隐蔽性： 病毒通常附在正常程序中或磁盘隐蔽处，与正常程序通常是难以区分的。 ; 潜伏性：大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动其表现（破坏）模块。 破坏性：任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。 不可预见性：从对病毒的检测方面来看，病毒还有不可预见性。 ;;年代;;;;1.5 计算机病毒的分类;引导型病毒;文件型病毒;脚本语言: 脚本语言是介于HTML和Java、C++和Visual Basic之间的语言。它的语法和规则没有可编译的编程程序那样严谨和复杂。 脚本病毒就是指在脚本语言中加入病毒代码，利用网页的等脚本载体传播的病毒。 ;宏病毒;蠕虫病毒 ;木马病毒 ;逻辑炸弹 ;新出现的病毒;按其它分类方式划分;造成数据毁坏、丢失； 破坏系统如硬盘、主板等硬件； 影响网络正常功能，甚至网络瘫痪； 破坏系统软件； 为系统留“后门”，为黑客窃取数据提供途径； 降低计算机系统性能。;年份;;;;1.密码破解技术 应用此技术的病毒可对win2000以上的操作系统的密码进行破解。此类病毒一般会带有约几百单词数量（有时会更大的）的字典库 ，可对“弱口令”进行破解，因此需要至少六位的数字字母混合的系统口令。 例：爱情后门病毒;2. 漏洞技术 利用操作系统和软件系统（主要是微软的软件系统）漏洞进行攻击;即发送不正常的数据包，使获得的系统出现错误，从而使病毒夺取对方电脑的控制权。 例：冲击波利用rpc漏洞，震荡波利用LSASS漏洞 ;3.端口监听技术（原多见于木马程序） Moodown.y病毒利用自身的SMTP发信引擎来发送病毒邮件，监听82端口，等待攻击者连接，可自动下载并执行新的病毒。 振荡波病毒的最新变种监听1023端口（支持USER、PASS、PORT、RETR和QUIT命令），并实现一个tftp服务器，并进行攻击。;4.多线程扫描技术 现在常见病毒多采用此技术，此技术可加速网络病毒的传播速度。 如I-Worm.Sasser.e（振荡波.e）开辟128个线程扫描网络 ，传播病毒。 ;主动通过网络和邮件系统传播 传播速度极快 扩散面广 变种多、快;使用传统手段难于根治、容易引起多次疫情 具有病毒、蠕虫和后门（黑客）程序的多种特性 病毒向能对抗反病毒软件和有特定目的的方向发展 ;第二章：计算机病毒的传播;;;;网络病毒攻击图;;;;;新病毒传入问题 老病毒根除问题;政府机关网络防病毒可能需要面临的问题：;第三章：建立有效的病毒防范管理机制; 无论什么样先进的病毒保障系统，使用者、控制者最终都是人。所以防病毒首要的事情是建立防病毒管理机构，以领导、协调防病毒工作和处理应急响应事件。 ;;;;;防病毒管理机制的实行过程 ;;3. 账户及口令管理制度 4. 设备管理规章制度;管理制度需要注意的问题： 减少从第三方的系统下载软件； 组建一支队伍，监测和调查病毒事件； 病毒库必须随时更新； 重要的数据必须备份，并每月检查一次； ;3.4 用技术手段保障管理的有效性; 保障网络隔离的制度得以施行； 监督外来未知设备随意接入内网的情况； 使用广域网病毒监控： 完成各分区病毒软件安装情况监视 完成各分区病毒感染情况历史统计分析;防病毒机制运行参考图 ; 防病毒管理机制的执行需要很多技术手段，有些技术手段属于专业反病毒范畴，反病毒服务商了解病毒技术细节，更能准确的通过技术培训提高下属网管网络反病毒全面知识。 ;具体的培训可以分为以下几种： 针对普通人员的培训 针对网管（或网络安全员）的培训 针对突发病毒的培训;第四章：建立有效的病毒应急响应机制;4.1 建立应急响应中心;应急响应中心特别要注意以下几个方面： 设立总负责人，负责协调管理应急事件 建立应急相应小组（小组成员可包括单位相关人员和安全服务商的相关人员） 分清各方职责 联系方式必须准确有效 ;4.2 病毒事件分级;4.3 制定应急响应处理预案;启动应急响应预案的几个参考条件： 有15％的电脑同时感染同种类型的病毒，且现场人员确认无法在2小时内清除； 病毒已经网络系统的正常运行，且现场人员无法立刻解决；