第五章信息安全

1、1,第5章 防火墻與反病毒技術(shù),2,,第一部分 防火墻,3,一、 防火墻的概念,內(nèi)容攻擊的風(fēng)險(xiǎn)日趨增長(zhǎng)!!!,4,1、防火墻的定義 防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)，以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口 。,5,2、設(shè)置防火墻的目的,（1）防火墻是網(wǎng)絡(luò)安全的屏障（2）防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略（3）對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)

2、（4）防止內(nèi)部信息的外泄,6,3、防火墻的功能過(guò)濾不安全的服務(wù)；過(guò)濾非法用戶和站點(diǎn)訪問(wèn)控制；集中式安全保護(hù)；提供防御功能：支持病毒掃描；提供內(nèi)容 過(guò)濾；抵御部分Dos攻擊；阻止AxtiveX、 Java、Cookes、Javascript侵入；加密支持功能；認(rèn)證支持功能；管理功能；記錄和報(bào)表功能；,7,4、 防火墻的發(fā)展,第一代防火墻：采用了包過(guò)濾（Packet Filter）技術(shù)。第二、三代防火墻：1

3、989年，推出了電路層防火墻，和應(yīng)用層防火墻的初步結(jié)構(gòu)。第四代防火墻：1992年，開(kāi)發(fā)出了基于動(dòng)態(tài)包過(guò)濾技術(shù)的第四代防火墻。第五代防火墻：1998年，NAI公司推出了一種自適應(yīng)代理技術(shù)，可以稱之為第五代防火墻。,8,,防火墻技術(shù)的簡(jiǎn)單發(fā)展歷史,9,二、 包過(guò)濾型防火墻,1、包過(guò)濾的概念 包過(guò)濾是一種保安機(jī)制，它控制哪些數(shù)據(jù)包可以進(jìn)出網(wǎng)絡(luò)而哪些數(shù)據(jù)包應(yīng)被網(wǎng)絡(luò)拒絕。包過(guò)濾是在網(wǎng)絡(luò)中的適當(dāng)位置對(duì)數(shù)據(jù)包實(shí)施有選擇的通過(guò)的技

4、術(shù)。,10,2、包過(guò)濾技術(shù)的原理 在路由器上加入IP過(guò)濾功能，這樣的路由器逐一審查每個(gè)數(shù)據(jù)包以判定它是否與包過(guò)濾規(guī)則相匹配(只檢查包頭，不理會(huì)包內(nèi)的正文信息)。 如果找到一個(gè)匹配，且規(guī)則允許這包，這個(gè)包則根據(jù)路由表中的信息前行；如果找到一個(gè)匹配，且規(guī)則拒絕此包，這一包則被舍棄；如果無(wú)匹配規(guī)則，一個(gè)用戶配置的缺省參數(shù)將決定此包是前行還是被舍棄。,11,12,3、包過(guò)濾檢查的內(nèi)容（1）IP

5、源地址；（2）IP目的地址；（3）協(xié)議類型（TCP包、UDP包和ICMP包）；（4）TCP或UDP的源端口；（5）TCP或UDP的目的端口；（6）ICMP（Internet控制消息協(xié)議 ）消息類型；（7）TCP報(bào)頭中的ACK位。 另外，TCP的序列號(hào)、確認(rèn)號(hào)，IP校驗(yàn)以及分段偏移也往往是要檢查的選項(xiàng)。,13,4、包過(guò)濾規(guī)則 包過(guò)濾規(guī)則以表格形式表示，又稱訪問(wèn)控制列表。其

6、中包括以某種次序排列的條件和動(dòng)作序列。,14,5、包過(guò)濾技術(shù)的發(fā)展靜態(tài)包過(guò)濾：根據(jù)定義好的過(guò)濾規(guī)則審查每一個(gè)數(shù)據(jù)包，以便決定是否與某一條過(guò)濾規(guī)則相匹配。動(dòng)態(tài)包過(guò)濾：檢測(cè)模塊抽取部分信息作為網(wǎng)絡(luò)通信狀態(tài)進(jìn)行監(jiān)控，以此作為參考，動(dòng)態(tài)制定包過(guò)濾規(guī)則。,15,動(dòng)態(tài)包過(guò)濾防火墻,,靜態(tài)包過(guò)濾防火墻,16,6、包過(guò)濾路由器的優(yōu)點(diǎn) 1）實(shí)現(xiàn)包過(guò)濾幾乎不再需要費(fèi)用。這些特點(diǎn)都包含在標(biāo)準(zhǔn)的路由器軟件中。絕大多數(shù)Intern

7、et防火墻系統(tǒng)只用一個(gè)包過(guò)濾路由器。 2）執(zhí)行包過(guò)濾所用的時(shí)間很少或幾乎不需要什么時(shí)間。如果通信負(fù)載適中且定義的過(guò)濾很少的話,則對(duì)路由性能沒(méi)有多大影響。 3）包過(guò)濾路由器對(duì)終端用戶和應(yīng)用程序是透明的,因此不需要專門(mén)的用戶培訓(xùn)或在主機(jī)上設(shè)置特別的軟件。,17,7、包過(guò)濾路由器的局限性 1）定義包過(guò)濾器的工作復(fù)雜, 要了解Internet各種服務(wù)、包頭格式和每個(gè)域查找的特定值。管理困難。

8、 2）通過(guò)路由器的數(shù)據(jù)包有可能被用于數(shù)據(jù)驅(qū)動(dòng)攻擊。 3）過(guò)濾器數(shù)目增加，路由器吞吐量下降。 4）無(wú)法對(duì)流動(dòng)的信息提供全面控制。不能理解上下文。 5）一些應(yīng)用協(xié)議不適合于包過(guò)濾，如：RPC、FTP等。 6）日志能力較弱。不能報(bào)告誰(shuí)企圖入侵。 7）難以針對(duì)用戶實(shí)施安全策略。,18,三、代理服務(wù)器型防火墻,1、代理服務(wù)器防火墻的原理 代理服務(wù)器防火墻通

9、過(guò)在主機(jī)上運(yùn)行代理的服務(wù)程序，直接對(duì)特定的應(yīng)用層服務(wù)，也稱為應(yīng)用網(wǎng)關(guān)防火墻。 代理服務(wù)器防火墻將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的連接，由通過(guò)代理服務(wù)器實(shí)現(xiàn)的連接來(lái)完成，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。 此外，代理服務(wù)器也對(duì)過(guò)往的數(shù)據(jù)包進(jìn)行分析、記錄、形成報(bào)告，當(dāng)發(fā)現(xiàn)攻擊跡象時(shí)會(huì)向網(wǎng)絡(luò)管理員發(fā)出

10、警告，并保留攻擊痕跡。,19,代理服務(wù)器防火墻是在網(wǎng)絡(luò)的應(yīng)用層上實(shí)現(xiàn)協(xié)議過(guò)濾和轉(zhuǎn)發(fā)功能。每一種代理服務(wù)器防火墻都是針對(duì)特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議設(shè)計(jì)的，如：超文本傳輸協(xié)議(HTTP)、遠(yuǎn)程文件傳輸協(xié)議(FTP)等，使用指定的數(shù)據(jù)過(guò)濾規(guī)則。,,20,2、代理服務(wù)器防火墻的工作過(guò)程描述 用包過(guò)濾路由器封鎖所有可能進(jìn)入http服務(wù)器的網(wǎng)點(diǎn)。路由器允許http包只通過(guò)一個(gè)主系統(tǒng)，即http應(yīng)用網(wǎng)關(guān)，然后再連接到目的主系統(tǒng)：

11、用戶首先把http連接到應(yīng)用網(wǎng)關(guān)，并輸入內(nèi)部主系統(tǒng)名字；網(wǎng)關(guān)檢驗(yàn)用戶的源IP地址，并根據(jù)訪問(wèn)準(zhǔn)則接受或拒絕；代理服務(wù)軟件在網(wǎng)關(guān)和內(nèi)部主系統(tǒng)之間建立http連接；代理服務(wù)軟件在兩個(gè)連接之間傳送數(shù)據(jù)；應(yīng)用網(wǎng)關(guān)記錄連接情況。,21,,代理的工作方式,22,3、代理服務(wù)器防火墻的發(fā)展代理防火墻： 1990年，安全，但速度慢。自適應(yīng)代理防火墻：由代理服務(wù)器和動(dòng)態(tài)包過(guò)濾器組成。由自適應(yīng)代理根據(jù)用戶配置決定是使用代理服務(wù)器還是使用動(dòng)態(tài)包

12、過(guò)濾器?？砂l(fā)揮這二者的優(yōu)勢(shì)，既安全，又可獲得高速度。,23,4、代理服務(wù)的優(yōu)點(diǎn)信息隱蔽性強(qiáng)健全的身份認(rèn)證和記賬功能系統(tǒng)代價(jià)少簡(jiǎn)化了包過(guò)濾規(guī)則,24,5、代理服務(wù)的缺點(diǎn)速度慢：檢查內(nèi)容；轉(zhuǎn)發(fā)/響應(yīng)代理對(duì)用戶不透明：對(duì)客戶端要定制軟件或改動(dòng)；代理服務(wù)難以讓客戶非常滿意不能改進(jìn)底層協(xié)議的安全：IP欺騙，SYN泛濫，拒絕服務(wù)攻擊有可能受到協(xié)議漏洞的威脅。,25,,6、兩種防火墻技術(shù)的對(duì)比,26,四、防火墻的體系結(jié)構(gòu),1、 堡壘主

13、機(jī) 堡壘主機(jī)是一種被強(qiáng)化的可以防御進(jìn)攻的計(jì)算機(jī)（例如安裝代理服務(wù)器防火墻的計(jì)算機(jī)），是高度暴露于Internet中的，也是網(wǎng)絡(luò)中最容易受到侵害的主機(jī)。 它為內(nèi)部網(wǎng)絡(luò)和Internet之間的所有通道提供了一個(gè)阻塞點(diǎn)。,27,防火墻和包過(guò)慮路由器可以被看作堡壘主機(jī)。由于堡壘主機(jī)完全暴露在外網(wǎng)安全威脅之下，需要做許多工作來(lái)設(shè)計(jì)和配置堡壘主機(jī)，使它遭到外網(wǎng)攻擊成功的風(fēng)險(xiǎn)性減至最低。,28,堡壘主機(jī)基本設(shè)計(jì)原則：使堡壘主機(jī)盡可能簡(jiǎn)

14、單隨時(shí)做好修復(fù)堡壘主機(jī)的準(zhǔn)備,29,2、雙宿主主機(jī)防火墻 雙重宿主主機(jī)是圍繞具有雙重宿主的主體計(jì)算機(jī)而構(gòu)筑的。該計(jì)算機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口，這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器，并能夠從一個(gè)網(wǎng)絡(luò)到另一個(gè)網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。 雙宿主主機(jī)防火墻的最大特點(diǎn)是IP層的通信被阻止，兩個(gè)網(wǎng)絡(luò)之間的通信可通過(guò)應(yīng)用層數(shù)據(jù)共享或應(yīng)用層代理服務(wù)來(lái)完成，而不能直接通信。,30,31,3、屏蔽主機(jī)防火墻

15、使用一個(gè)屏蔽路由器和一個(gè)堡壘主機(jī)構(gòu)造防火墻，屏蔽路由器采用包過(guò)濾方式實(shí)現(xiàn)訪問(wèn)控制，堡壘主機(jī)（例如可安裝代理服務(wù)器防火墻）是內(nèi)部網(wǎng)絡(luò)中能被因特網(wǎng)中的主機(jī)訪問(wèn)的唯一主機(jī)，內(nèi)部網(wǎng)中的其它主機(jī)是不可見(jiàn)的；,32,屏蔽路由器構(gòu)成第一道防線，需要根據(jù)實(shí)際的網(wǎng)絡(luò)安全策略配置。必須同時(shí)考慮屏蔽路由器和堡壘主機(jī)的安全性必須使屏蔽路由器和堡壘主機(jī)的訪問(wèn)控制表相互協(xié)調(diào)。比雙宿主主機(jī)體系提供更好的安全性和可用性,33,4、屏蔽子網(wǎng)防火墻由外部屏蔽路由器

16、、內(nèi)部屏蔽路由器和堡壘主機(jī)構(gòu)成，內(nèi)外部屏蔽路由器間形成一個(gè)非軍事化的子網(wǎng)，將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開(kāi)來(lái)。該體系結(jié)構(gòu)使得堡壘主機(jī)免受來(lái)自外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的攻擊，增加黑客攻擊的難度。,,,,,,,34,35,五、防火墻的局限性,惡意的知情者不通過(guò)它的聯(lián)接不能抵抗全部的威脅病毒特洛伊木馬物理故障不當(dāng)配置防火墻難于管理和配置，易造成安全漏洞。很難為用戶在防火墻內(nèi)外提供一致的安全策略。防火墻只實(shí)現(xiàn)了粗粒度的訪問(wèn)控制。,36,

17、六、防火墻技術(shù)發(fā)展動(dòng)態(tài)和趨勢(shì),（1）優(yōu)良的性能（2）可擴(kuò)展的結(jié)構(gòu)和功能（3）簡(jiǎn)化的安裝與管理（4）主動(dòng)過(guò)濾（5）防病毒與防黑客,37,七、防火墻產(chǎn)品選購(gòu)策略,1．防火墻的安全性2．防火墻的高效性3．防火墻的適用性4．防火墻的可管理性5．完善及時(shí)的售后服務(wù)體系,38,八、典型防火墻產(chǎn)品介紹,1．3Com Office Connect Firewall 新增的網(wǎng)絡(luò)管理模塊使技術(shù)經(jīng)驗(yàn)有限的用戶也能保障他們

18、的商業(yè)信息的安全。   Office Connect Internet Firewall 25使用全靜態(tài)數(shù)據(jù)包檢驗(yàn)技術(shù)來(lái)防止非法的網(wǎng)絡(luò)接入和防止來(lái)自Internet的“拒絕服務(wù)”攻擊，它還可以限制局域網(wǎng)用戶對(duì)Internet的不恰當(dāng)使用。,39,Office Connect Internet Firewall DMZ可支持多達(dá)100個(gè)局域網(wǎng)用戶，這使局域網(wǎng)上的公共服務(wù)器可以被Internet訪問(wèn)，又不會(huì)使局域網(wǎng)

19、遭受攻擊。     3Com公司所有的防火墻產(chǎn)品很容易通過(guò) Getting Started Wizard 進(jìn)行安裝。,40,2．Cisco PIX防火墻 （1）實(shí)時(shí)嵌入式操作系統(tǒng)。 （2）保護(hù)方案基于自適應(yīng)安全算法（ASA），可以確保最高的安全性。  （3）用于驗(yàn)證和授權(quán)的“直通代理”技術(shù)。   （4）最多支持250000個(gè)同時(shí)連接。&

20、#160;  （5） URL過(guò)濾。,41,（6）HP Open View集成。 （7）通過(guò)電子郵件和尋呼機(jī)提供報(bào)警和告警通知。 （8）通過(guò)專用鏈路加密卡提供VPN支持。 （9）符合委托技術(shù)評(píng)估計(jì)劃（TTAP），經(jīng)過(guò)了美國(guó)安全事務(wù)處（NSA）的認(rèn)證，同時(shí)通過(guò)中國(guó)公安部安全檢測(cè)中心的認(rèn)證（PIX520除外）。,42,3. 其他企業(yè)級(jí)防火墻以色列Checkpoint公司的Fire Wall-1NAI公

21、司的GauntletCyberGuard 公司的Fire Wall,43,4. 個(gè)人防火墻澳大利亞的Secure PC加拿大的ConSeal PC美國(guó)的Cyber Patrol中國(guó)的“天網(wǎng)”、“網(wǎng)絡(luò)衛(wèi)士”、“藍(lán)盾”,44,第二部分 反病毒技術(shù),45,一、計(jì)算機(jī)病毒及其特征,1、病毒的發(fā)展簡(jiǎn)史,46,47,2、計(jì)算機(jī)病毒的定義 1994年2月18日，我國(guó)正式頒布實(shí)施了《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，在《

22、條例》第二十八條中明確指出：“計(jì)算機(jī)病毒指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼 ”。,48,3、病毒的產(chǎn)生原因（1）編制人員出于一種炫耀和顯示自己能力的目的。（2）某些軟件作者出于版權(quán)保護(hù)的目的而編制 。（3）出于某種報(bào)復(fù)目的或惡作劇而編寫(xiě)病毒。 （4）出于政治、戰(zhàn)爭(zhēng)的需要。,49,4、計(jì)算機(jī)病毒的危害?1）計(jì)算機(jī)病毒造成巨大的社會(huì)經(jīng)濟(jì)損失。?2）

23、影響政府職能部門(mén)正常工作的開(kāi)展。?3）計(jì)算機(jī)病毒被賦予越來(lái)越多的政治意義。?4）利用計(jì)算機(jī)病毒犯罪現(xiàn)象越來(lái)越嚴(yán)重。,50,5、計(jì)算機(jī)病毒的特征寄生性隱蔽性傳染性潛伏性破壞性和表現(xiàn)性主動(dòng)通過(guò)網(wǎng)絡(luò)和郵件系統(tǒng)傳播傳播速度極快變種多具有黑客程序的功能,51,6、病毒對(duì)計(jì)算機(jī)系統(tǒng)的破壞破壞文件分配表刪除文件修改或破壞重要數(shù)據(jù)減少磁盤(pán)空間顯示非正常信息和圖像系統(tǒng)不能正常存儲(chǔ)造成寫(xiě)錯(cuò)誤破壞磁盤(pán)文件目錄降低計(jì)算機(jī)

24、工作速度非法格式化打印機(jī)故障文件增長(zhǎng)改變系統(tǒng)正常運(yùn)行過(guò)程造成屏幕和鍵盤(pán)死鎖,52,二、計(jì)算機(jī)病毒的種類,依據(jù)不同的分類標(biāo)準(zhǔn)，計(jì)算機(jī)病毒可以做不同的歸類。常見(jiàn)的分類標(biāo)準(zhǔn)有： 1、根據(jù)病毒依附的操作系統(tǒng) 2、根據(jù)病毒的攻擊方式 3、根據(jù)病毒的破壞情況 4、根據(jù)病毒的傳播媒介,53,1、按照病毒攻擊的操作系統(tǒng)分類,Microsoft DOSMicrosoft Windows

25、95/98/MEMicrosoft Windows NT/2000/XPUnix(Linux)其他操作系統(tǒng),54,2、按照病毒的傳播媒介分類,存儲(chǔ)介質(zhì)網(wǎng)絡(luò)媒介郵件網(wǎng)頁(yè)局域網(wǎng)遠(yuǎn)程攻擊,55,3、按病毒的傳播和感染對(duì)象分類,感染引導(dǎo)區(qū)感染文件：可執(zhí)行文件、OFFICE宏、網(wǎng)頁(yè)腳本網(wǎng)絡(luò)蠕蟲(chóng)網(wǎng)絡(luò)木馬破壞程序其他惡意程序,56,二、計(jì)算機(jī)病毒的組成,目前的計(jì)算機(jī)病毒幾乎都是由三部分組成的，即引導(dǎo)模塊、傳染模塊與表現(xiàn)模塊。

26、引導(dǎo)模塊借助宿主程序?qū)⒉《局黧w從外存加載到內(nèi)存，以便傳染模塊和表現(xiàn)模塊進(jìn)入活動(dòng)狀態(tài)。傳染模塊負(fù)責(zé)將病毒代碼復(fù)制到傳染目標(biāo)上去。表現(xiàn)模塊是病毒間差異最大的部分，它判斷病毒的觸發(fā)條件，實(shí)施病毒的破壞功能。,57,1、文件型病毒 文件型病毒指專門(mén)傳染可執(zhí)行文件的病毒，主要可分為三類：寄生病毒、覆蓋病毒和伴隨病毒。寄生病毒在感染的時(shí)候，將病毒代碼加入正常程序中，原來(lái)程序的功能部分或者全部被保留。寄生病毒把自己加入正常程序的方

27、法有很多種。根據(jù)病毒代碼加入的方式不同，可分為“頭寄生”、“尾寄生”、“插入寄生”和“空洞利用”4種。 覆蓋病毒直接用病毒程序替換被感染的程序。 伴隨病毒不改變被感染的文件，而是為被感染的文件創(chuàng)建一個(gè)伴隨文件（病毒文件）。,四、 常見(jiàn)計(jì)算機(jī)病毒分析,58,2、引導(dǎo)型病毒 引導(dǎo)型病毒傳染的對(duì)象主要是磁盤(pán)的引導(dǎo)扇區(qū)。所以，在系統(tǒng)啟動(dòng)時(shí)，這類病毒會(huì)優(yōu)先于正常系統(tǒng)的引導(dǎo)將其自身裝入到系統(tǒng)中，獲得對(duì)系統(tǒng)的控制權(quán)。病毒程序在完成自身

28、的安裝后，再將系統(tǒng)的控制權(quán)交給真正的系統(tǒng)程序，完成系統(tǒng)的引導(dǎo)，但此時(shí)系統(tǒng)已處在病毒程序的控制之下。 引導(dǎo)型病毒還可以根據(jù)其存儲(chǔ)方式分為覆蓋型和轉(zhuǎn)移型兩種。,59,轉(zhuǎn)移型引導(dǎo)病毒在傳染磁盤(pán)引導(dǎo)區(qū)之前保留了原引導(dǎo)記錄，并轉(zhuǎn)移到磁盤(pán)的其他扇區(qū)，以備將來(lái)病毒初始化模塊完成后仍然由原引導(dǎo)記錄完成系統(tǒng)正常引導(dǎo)。絕大多數(shù)引導(dǎo)型病毒都是轉(zhuǎn)移型的引導(dǎo)病毒。覆蓋型引導(dǎo)病毒在傳染磁盤(pán)引導(dǎo)區(qū)時(shí)，病毒代碼將直接覆蓋正常引導(dǎo)記錄。,60,3、

29、宏病毒1）關(guān)于宏 所謂宏，就是軟件設(shè)計(jì)者為了在使用軟件工作時(shí)，避免一再的重復(fù)相同的動(dòng)作而設(shè)計(jì)出來(lái)的一種工具。它利用簡(jiǎn)單的語(yǔ)法，把常用的動(dòng)作寫(xiě)成宏，當(dāng)再工作時(shí)，就可以直接利用事先寫(xiě)好的宏自動(dòng)運(yùn)行，去完成某項(xiàng)特定的任務(wù)，而不必再重復(fù)相同的動(dòng)作。 在Word中對(duì)宏定義為“宏就是能組織到一起作為一獨(dú)立的命令使用的一系列Word命令，它能使日常工作變得更容易?！盬ord宏是使用Word Basic語(yǔ)言來(lái)編寫(xiě)的。,61

30、,2）宏病毒 所謂“宏病毒”，就是利用軟件所支持的宏命令編寫(xiě)成的具有復(fù)制、傳染能力的宏。 宏病毒是一種跨平臺(tái)式計(jì)算機(jī)病毒，可以在Windows 9X、Windows NT、OS/2和Macintosh System 7等操作系統(tǒng)上執(zhí)行病毒行為。,62,通過(guò)移動(dòng)存儲(chǔ)設(shè)備傳播。通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)傳播。通過(guò)點(diǎn)對(duì)點(diǎn)通信系統(tǒng)和無(wú)線通道傳播。,五、計(jì)算機(jī)病毒的傳播途徑,63,六、病毒的一般防治,1、反病毒的基本原則1.

31、不存在這樣一種反病毒軟硬件，能夠防治未來(lái)產(chǎn)生的所有病毒。2.不存在這樣的病毒軟件，能夠讓未來(lái)的所有反病毒軟硬件都無(wú)法檢測(cè)。3.目前的反病毒軟件和硬件以及安全產(chǎn)品是易耗品， 必須經(jīng)常進(jìn)行更新、升級(jí)。4.病毒產(chǎn)生在前，反病毒手段滯后將是長(zhǎng)期的過(guò)程。,64,2、用戶病毒防治實(shí)用方法,學(xué)習(xí)電腦知識(shí)，增強(qiáng)安全意識(shí)。經(jīng)常對(duì)電腦內(nèi)容進(jìn)行備份。開(kāi)機(jī)時(shí)打開(kāi)實(shí)時(shí)監(jiān)控，定時(shí)對(duì)電腦文件進(jìn)行掃描。經(jīng)常對(duì)操作系統(tǒng)打補(bǔ)丁，對(duì)反病毒軟件進(jìn)行升級(jí)。一旦病毒

32、破壞導(dǎo)致數(shù)據(jù)丟失，通過(guò)備份進(jìn)行修復(fù)或者通過(guò)專業(yè)公司進(jìn)行災(zāi)難恢復(fù)。,65,七、病毒防治技術(shù)的現(xiàn)狀,（1）目前廣泛應(yīng)用的3種技術(shù)：,特征碼掃描法,特征碼掃描法是分析出病毒的特征病毒碼并集中存放于病毒代碼庫(kù)文件中，在掃描時(shí)將掃描對(duì)象與特征代碼庫(kù)比較，如有吻合則判斷為染上病毒。該技術(shù)實(shí)現(xiàn)簡(jiǎn)單有效，安全徹底；但查殺病毒滯后，并且龐大的特征碼庫(kù)會(huì)造成查毒速度下降；,66,虛擬執(zhí)行技術(shù),該技術(shù)通過(guò)虛擬執(zhí)行方法查殺病毒，可以對(duì)付加密、變形、異型及病毒生

33、產(chǎn)機(jī)生產(chǎn)的病毒，具有如下特點(diǎn)：,在查殺病毒時(shí)在機(jī)器虛擬內(nèi)存中模擬出一個(gè)“指令執(zhí)行虛擬機(jī)器”在虛擬機(jī)環(huán)境中虛擬執(zhí)行（不會(huì)被實(shí)際執(zhí)行）可疑帶毒文件在執(zhí)行過(guò)程中，從虛擬機(jī)環(huán)境內(nèi)截獲文件數(shù)據(jù)，如果含有可疑病毒代碼，則殺毒后將其還原到原文件中，從而實(shí)現(xiàn)對(duì)各類可執(zhí)行文件內(nèi)病毒的查殺,67,文件實(shí)時(shí)監(jiān)控技術(shù),通過(guò)利用操作系統(tǒng)底層接口技術(shù)，對(duì)系統(tǒng)中的所有類型文件或指定類型的文件進(jìn)行實(shí)時(shí)的行為監(jiān)控，一旦有病毒傳染或發(fā)作時(shí)就及時(shí)報(bào)警。從而實(shí)現(xiàn)了對(duì)病毒的

34、實(shí)時(shí)、永久、自動(dòng)監(jiān)控。這種技術(shù)能夠有效控制病毒的傳播途徑，但是這種技術(shù)的實(shí)現(xiàn)難度較大，系統(tǒng)資源的占用率也會(huì)有所降低。,68,（2）病毒的新特點(diǎn),病毒與其他技術(shù)相融合,,傳播途徑多，擴(kuò)散速度快,欺騙性強(qiáng),大量消耗系統(tǒng)與網(wǎng)絡(luò)資源,病毒出現(xiàn)頻度高，病毒生成工具多,69,智能引擎技術(shù),智能引擎技術(shù)發(fā)展了特征碼掃描法的優(yōu)點(diǎn)，改進(jìn)了其弊端，使得病毒掃描速度不隨病毒庫(kù)的增大而減慢。,,（3）最新反病毒技術(shù),70,計(jì)算機(jī)監(jiān)控技術(shù),文件實(shí)時(shí)監(jiān)控內(nèi)存實(shí)時(shí)

35、監(jiān)控腳本實(shí)時(shí)監(jiān)控郵件實(shí)時(shí)監(jiān)控注冊(cè)表實(shí)時(shí)監(jiān)控,71,嵌入式殺毒技術(shù),嵌入式殺毒技術(shù)是對(duì)病毒經(jīng)常攻擊的應(yīng)用程序或?qū)ο筇峁┲攸c(diǎn)保護(hù)的技術(shù)，它利用操作系統(tǒng)或應(yīng)用程序提供的內(nèi)部接口來(lái)實(shí)現(xiàn)。它對(duì)使用頻度高、使用范圍廣的主要的應(yīng)用軟件提供被動(dòng)式的防護(hù)。如對(duì)MS-Office、Outlook、IE、Winzip、NetAnt等應(yīng)用軟件進(jìn)行被動(dòng)式殺毒。,72,未知病毒查殺技術(shù),未知病毒技術(shù)是繼虛擬執(zhí)行技術(shù)后的又一大技術(shù)突破，它結(jié)合了虛擬技術(shù)和人工智

36、能技術(shù)，實(shí)現(xiàn)了對(duì)未知病毒的準(zhǔn)確查殺。,73,壓縮智能還原技術(shù),世界上的壓縮工具、打包工具、加“殼”工具多不勝數(shù)，病毒如果被這樣的工具處理后被層層包裹起來(lái)，對(duì)于防病毒軟件來(lái)說(shuō)，就是一個(gè)噩夢(mèng)。為了使用統(tǒng)一的方法來(lái)解決這個(gè)問(wèn)題，反病毒專家們發(fā)明了未知解壓技術(shù)，它可以對(duì)所有的這類文件在內(nèi)存中還原，從而使得病毒完全暴露出來(lái)。,74,多層防御，集中管理技術(shù),反病毒要以網(wǎng)為本，從網(wǎng)絡(luò)系統(tǒng)的角度設(shè)計(jì)反病毒解決方案，只有這樣才能有效地查殺網(wǎng)絡(luò)上的計(jì)算機(jī)病

37、毒。 在網(wǎng)絡(luò)上，軟件的安裝和管理方式是十分關(guān)鍵的，它不僅關(guān)系到網(wǎng)絡(luò)維護(hù)和管理的效率和質(zhì)量，而且涉及到網(wǎng)絡(luò)的安全性。好的殺毒軟件需要能在幾分鐘之內(nèi)便可輕松地安裝到組織里的每一個(gè)服務(wù)器上，并可下載和散布到所有的目的機(jī)器上，由網(wǎng)絡(luò)管理員集中設(shè)置和管理，它會(huì)與操作系統(tǒng)及其它安全措施緊密地結(jié)合在一起，成為網(wǎng)絡(luò)安全管理的一部分，并且自動(dòng)提供最佳的網(wǎng)絡(luò)病毒防御措施。,75,病毒免疫技術(shù),病毒免疫技術(shù)一直是反病毒專家研究的熱點(diǎn)，它通過(guò)加強(qiáng)自