计算机病毒防范及应对策略.docxVIP

计算机病毒防范及应对策略 　　摘要介绍了内部局域网与广域网的区别，提出了计算机病毒在不同环境下需要不同的处理方案，通过梳理震网病毒事件，并结合作者实际工作中经历的病毒应急处理案例进行内部局域网的风险分析，提出了普适性较强的防范及应对办法。 　　关键词内部局域网；病毒；震网病毒；勒索病毒1概述以前邮差的健康，影响着信息的传递效率；如今网络的健康，决定了数据的通信情况。 　　从这个角度来看，作为病毒，同样都会给通信带来负面影响，不同的是它附着的载体发生了变化。 　　医人需要对症下药，解决计算机病毒也需要因地制宜。 　　当下的信息时代里，像国防、金融、通信、工业等维持国家稳定运转的重要组成，它们的日常运作或出于工作便利、或出于安全保密的因素都会依托于内部局域网，而如何处理在网络中的计算机病毒则成为一个重要环节。 　　2内部局域网的特性计算机网络可以分为广域网及局域网，所涉及的网络环境为独立组网，并与其他网络环境物理隔离的内部局域网。 　　内部局域网通常具备的特性有1相较广域网更高的传输速率；2覆盖地理范围较小；3具有较低的误码率及较低的时延；4文件及设备共享较广域网中更便捷；5网络环境隔离，与广域网无数据通信。 　　可以说局域网在构建了一个封闭系统，与外界物理隔离后，网络环境的安全取决于人工操作的合规性及内部信任程度。 　　如果由于人员操作不当，致使某种病毒或恶意代码进入局域网某终端设备，继而由于相互信任关系导致监控管控力度不足，致使病毒或恶意代码肆意传播，最终于局域网内大规模爆发产生不良后果。 　　所以，内部局域网只有在对外物理隔离对内保持监控及实时可控的情况下才能更好地为员工及企业服务。 　　3震网病毒事件震网病毒正式走入公众视野是在2010年11月29日，由时任伊朗总统的内贾德在官方承认，伊朗的核设施受到了黑客攻击，造成了离心机故障并导致反应堆无法正常工作，使得伊朗的核计划至少推迟了两年。 　　而造成一系列问题的根源就是发作于2009年6月起在全球开始传播的病毒，中文译作震网病毒。 　　该病毒破坏力强，波及面大，且目的性强，它不同于普通病毒以传播垃圾信息、篡改系统配置、盗取用户信息等主要以获取利益为驱动的作用机理，而是通过感染工业控制计算机，来对重要设施进行破坏，影响其正常运行，造成巨大安全风险。 　　震网病毒主要利用了操作系统的10-046漏洞、10-061漏洞、08-067等多种漏洞，伪装数字签名绕过检测后，针对西门子公司控制系统中的监控与数据采集模块系统，进行数据的拦截、窃取和修改。 　　可以说震网病毒的复杂性和高端性及主要作用于工业控制系统的特征，都使它的定义成为了一种信息时代的攻击手段。 　　震网病毒可以在盘与主机插接连通之后，尽管未获得许可、未执行任何进程，仍能将病毒注入主机，这也使得它能在欠缺准入控制的物理隔离的网络中肆意妄为。 　　一度被广泛接纳的观点，即该病毒是以美国为主的西方国家创造并用于制约伊朗核计划进程的工具。 　　4病毒应急处理案例以在某公司内部局域网维护工作中遇到的一起风险较大、知名的病毒传播案例进行分析，阐述了该病毒在全球领域爆发的过程、所任职的信息化部门在事件中的应急处理办法。 　　病毒由漏洞利用模块、加密器、解密器3部分组成。 　　病毒利用17-010漏洞进行入侵，通过加密器完成主要攻击步骤，随后通过解密器进行勒索。 　　具体攻击勒索病毒常见的解决方案参照图中逻辑过程，分别为1在病毒利用漏洞进入终端的过程中，工程师可以提前通过禁用端口的方式进行拦截由于该病毒利用的17-010是针对操作系统上的关于服务的漏洞，而该服务需要通过445端口进行通信，因而禁用该端口即可完全阻止病毒利用漏洞入侵，而且该方法操作难度小，一般都可以熟练掌握。 　　2通过打补丁对终端进行处理针对17-010漏洞，微软虽然在病毒爆发前放出了补丁，但并未得到使用者足够重视及大规模的更新。 　　伴随病毒大规模爆发，企业、个人计算机使用者开始重新重视并下载该补丁。 　　微软面向所有操作系统均配备了对应版本的补丁，该方式能完全防御该病毒。 　　3通过研究病毒样本的发作机理及逻辑，防病毒工程师们发现该病毒存在一个类似后门的灭活开关，因为在感染后到启动服务之间存在一个触发逻辑为，判断终端能否访问9，如不能访问该域名则服务启动，继而开始攻击。 　　因而工程师可以在内部局域网中建立一个域名，搭建内部解析服务建议映射关系，将该域名地址解析到局域网中一个合法的地址，使得内部局域网用户可以访问该域名，即可实现对病毒的免疫。 　　4在攻击逻辑中，加密器启动后病毒程序会判断染毒终端中是否已经有一个加密器程序存在，防止病毒程序重复运行互相产生干扰。 　　因而，工程师们通过创建一个名为的互斥体，通过误导