病毒及安全软件的应用常识教学提纲.doc

资源描述

1、病毒及安全软件的应用常识精品文档病毒及安全软件的应用常识怎么样用最少的精力做好网络安全?我的理解是：最好的办法是防患于未然!因为你一旦中毒或者感染木马，查不查的出来先不说，就算查出来了，理论上没有任何杀毒软件敢说一定能杀掉。为什么这么说呢?因为病毒和杀毒软件都运行在操作系统上，完全是平级的，杀软能中止病毒的进程，病毒当然也能中止杀软的进程(最近的杀软也都是这样做的)，杀软能干掉病毒的启动项，病毒当然也能干掉杀软的启动项。而且病毒出现在前，杀软跟进在后，永远都是被动的。系统已经中毒之后，再说如何做好系统安全是没有意义的，这时候最好最节省时间精力的办法是重装或者恢复系统。所以我说：最好的办法是

2、防患于未然!当一个电脑格盘重装或者ghost恢复之后，电脑一定是干净的，后来是如何中毒的呢?今天我就来给大家一个情景重现：假设一个菜鸟用户群众演员叫小A，假设我是导演，当小A的日常操作引起中毒的时候，我就喊“CUT”，然后给大家讲讲原因和教训。一重装系统篇重现：被病毒折磨的死去活来，不得不又重装系统了，小A心想，先下一个QQ再说，下着下着，CUT原因：系统刚刚重装的时候有很多漏洞，在你下载QQ的时候，网络上的各种病毒和黑客就已经攻破系统的脆弱防线了。教训：切记切记装机后第一件事，下载安装金山清理专家，修补系统漏洞。也许有朋友会问，下载QQ的时候系统会中毒，难道下载金山清理专家的时候系统就不会

3、中毒吗?答案是也会，但是金山清理专家比较小，中毒概率小很多。当然如果有条件的话最好把金山清理专家做好的漏洞补丁备份下来，装好系统后第一时间拔网线(最好干脆别插)打补丁。二下载篇重现：小A终于给系统打上了补丁，打开百度要下载一些常用软件，看到一个什么网站很靠谱，点击，CUT原因：现在很多流氓下载站，本身甚至不提供任何好软件下载，只是通过SEO得到比较好的百度排名，当用户点击下载的时候，其实是在下载木马!还有一些正常的下载站把广告位卖给木马，广告的样子就是“下载按钮”，很可能眼花了一不小心就点上去了。三 U盘篇甲重现：小A要拷一份资料，跟人借了一个优盘，插上电脑，CUT。原因：小A也许还很不服气

4、，我靠，搞什么啊?我一动都没动呢，就中毒了?是的，插上带毒优盘，如果系统设置的自动播放U盘，立刻就中毒了。教训：设置禁止U盘自动播放。四 U盘篇乙重现：小A要拷一份资料，跟人借了一个优盘，插上电脑。复制了资料，双击打开优盘，粘贴，CUT。原因：双击操作默认执行了U盘上自动播放操作，而不是我们想当然的打开。不光优盘是这样，硬盘也是这样。教训：U盘使用前尽量先杀毒，如果来不及杀毒可以右键点击优盘盘符，在菜单中选择“打开”，或者在资源管理器的左侧的文件解列表中操作也不会触发病毒。五 U盘篇丙重现：小A要拷一份资料，跟人借了一个优盘，插上电脑。复制了资料，通过资源管理器打开优盘，粘贴。突然他发现优盘

5、上有一个文件叫做“美女.jpg”，于是小A欣欣然打开，CUT。原因：文件的实际名字叫做“美女.jpg.exe”，系统设置了隐藏扩展名，同时这个病毒把自己做成图片或者视频的模样，诱使使用者点击。教训：看美女请到正规的黄色网站，不要认为会有天上掉馅饼的好事。来历不明的文件运行前一定先查毒，查看真实扩展名。六邮件篇重现：小A这一天登上了他的163信箱，一看还有一封信呢，主题是：“老同学，你还记得我吗?这是我的照片”，小A急忙打开附件看看，CUT原因：附件是一个木马教训：尽量用Foxmail之类的客户端管理邮件，打开邮件附件之前先杀毒。最好最节省时间的办法是：收起你的好奇心，不看来历不明的邮件。七

6、QQ、MSN篇重现：小A的铁哥们给他发来一个信息：陈冠希原版相片.rar，小A感动的热泪盈眶：兄弟，你够意思。双击打开，CUT原因：消息不是你兄弟发的，他也中了毒，是病毒发的。陈冠希原版相片.rar.exe 或者压缩包里面是一个病毒教训：这类病毒是一块试金石，人品好不好就看这一秒。麻花疼第一定律：QQ冷不丁传过来一个你很想看的东西是病毒!八 QQ、MSN篇之二重现：小A的铁哥们给他发来一个信息：答题就可以免费得10个Q币，然后一个链接。小A剧烈的心理活动：我的QQ秀还光着屁股呢，于是点击，CUT原因：同上，或者这个网址本身是带毒的，或者是一类骗短信定制的骗局教训：天下没有免费的午餐和Q币和A片

7、，麻花疼第二定律：信息中出现“Q币”或者“免费”字样的都是病毒，如果他自己说：“不是病毒”或者“没有病毒”，那他是比较智能的病毒!九黄色网站篇重现：小A喜欢浏览黄色网站，有很多珍藏的“好”网站，有时间就打开一个，流着哈喇子看了一会，CUT原因：黄色网站被挂马的概率远远高于普通网站。许多电影、图片是病毒伪造的，或者带毒教训：浏览黄色网站一定要用Firefox浏览器，大名鼎鼎的黄暴力网站唯一指定专用浏览器。因为病毒的作者很少为这么少的人群编写病毒，所以中毒的概率就小多了。利用Windows自带功能保护私密信息 Windows自带的功能，为了方便使用，有自动记录的功能，但是这些功能有些事情也把我们

8、的“行踪”给暴露了，这个时候应该怎么办呢？本文为你介绍的八种方法，可以让你使用的电脑了无痕迹。 1.彻底地一次删除文件首先，应从系统中清除那些你认为已肯定不用的文件，这里我们指的是你丢弃到回收站中的所有垃圾文件。当然，我们还可以在任何想起的时候把回收站清空(双击回收站图标，然后选择“文件”菜单，再选择“清空回收站” 命令)，但更好的方法是关闭回收站的回收功能。要彻底地一次删除文件，可右击回收站图标，选择“属性”，然后进入“全局”选项卡，选择“所有驱动器均使用同一设置:”，并在“删除时不将文件移入回收站，而是彻底删除”复选框打上选中标记。本步骤是不让已经被删除的文件继续潜藏在回收站中。 2.

9、不留下已删除文件的蛛丝马迹即使窥探者无法直接浏览文档内容，他们也能通过在MicrosoftWord或Excel的“文件”菜单中查看你最近使用过哪些文件来了解你的工作情况。这个临时列表中甚至列出了最近已经被你删除的文件，因此最好关闭该项功能。在 Word或Excel中，选择“工具”菜单，再选择“选项”菜单项，然后进入“常规”选项卡，在“常规选项”中取消“列出最近所用文件”前面的复选框的选中标记。本步骤是消除最近被删除的文件留下的踪迹，为此，在 Word、Excel和其它常用应用程序中清除“文件”菜单中的文件清单。 3.隐藏文档内容应隐藏我们目前正在使用着的文档的踪迹。打开“开始”菜单，选择

10、“文档”菜单项，其清单列出了你最近使用过的约 15个文件。这使得别人能够非常轻松地浏览你的工作文件或个人文件，甚至无需搜索你的硬盘。要隐藏你的工作情况，就应将该清单清空。为此，你可以单击“开始”菜单中的“设置”菜单项，然后选择“任务栏和开始菜单”，进入“任务栏和开始菜单”，再选择“高级”选项卡，单击该选项卡中的“清除”按钮即可。本步骤是在Windows“开始”菜单中，清除“文档”菜单项所包含的文件，把这些文件隐藏起来。 4.清除临时文件 Microsoft Word和其它应用程序通常会临时保存你的工作结果，以防止意外情况造成损失。即使你自己没有保存正在处理的文件，许多程序也会保存已被你删除、

11、移动和复制的文本。应定期删除各种应用程序在WINDOWSTEMP文件夹中存储的临时文件，以清除上述这些零散的文本。还应删除其子目录(如 FAX和WORDXX目录)中相应的所有文件。虽然很多文件的扩展名为TMP，但它们其实是完整的DOC文件、HTML文件，甚至是图像文件。本步骤是清除硬盘上的临时文件和无用文件。5.保护重要文件对重要文件进行口令保护，这在 Word和Excel中很容易实现。依次选择“文件”、“另存为”，然后选择“工具”中的“常规选项”，在“打开权限密码”和“修改权限密码”中输入口令，最好不要使用真正的单词和日期作为口令，可以混合使用字母、数字和标点符号，这样口令就很难破译。当

12、然，以后每当你打开和修改文档时，都必须输入口令。本步骤可以为我们重要的文件加上一把锁。 6.改写网页访问历史记录浏览器是需要保护的另一个部分。现在大多数的用户因为安装了微软公司的视窗系统，所以使用Internet Explorer作为上网所使用的浏览器。Internet Explorer会把访问过的所有对象都会列成清单，其中包括浏览过的网页、进行过的查询以及曾输入的数据。Internet Explorer 把网页访问历史保存在按周划分或按网址划分的文件夹中。我们可以单个地删除各个“地址(URL)”，但最快的方法是删除整个文件夹。要清除全部历史记录，可在“工具”菜单中选择“Internet

13、选项”，然后选择“常规”选项卡，并单击“清除历史记录”按钮。本步骤是清除浏览器的历史记录。 7.输入网址但不被记录 Internet Explorer记录你在浏览器中输入的每个网址，你不妨验证一下:在工具栏下边的地址窗口中输入一个 URL地址，浏览器将把该地址记录在下拉菜单中，直到有其它项目取代了它。你可以通过下面的方法访问网站，而所使用的网址将不被记录:在浏览器中可以按下Ctrl-O键，然后在对话框中输入URL地址即可。本步骤可以使访问过的网址不被记录。 8.清除高速缓存中的信息 Internet Explorer在硬盘中缓存你最近访问过的网页。当你再次访问这些网页时，高速缓存信息能够加

14、快网页的访问速度，但这也向窥探者揭开了你的秘密。要清除高速缓存中的信息，在Internet Explorer中，应在“工具”菜单中选择“Internet 选项”，然后进入“常规”选项卡，单击“删除文件”按钮。躲避危险不做黑客肉鸡的七大高招本文想告知普通电脑用户的是，防止电脑成为别人的“肉鸡”，和攻击者抓“肉鸡”一样超级简单，并且行之有效。您只要认识到如果成为“肉鸡”，会很受伤，你一定会拒绝被任何人控制。做到这几点，攻击者想抓住你，门儿都没有。言归正传，防止成为“肉鸡”的，你只需要注意以下几点：要点1：盗版Windows XP存在巨大风险，需要立即对其进行安全性改造。如果你的操作系统是

15、其它技术人员安装，或者有可能是盗版XP，比如电脑装机商的蕃茄花园XP，雨木林风XP，龙卷风XP等。这样的系统，很多是无人值守安装的。安装步骤非常简单，你把光盘放进电脑，出去喝茶，回来就可能发现系统已经安装完毕。这样的系统，最大的缺陷在哪儿呢？再明白不过，这种系统的管理员口令是空的，并且自动登录。也就是说，任何人都可以尝试用空口令登录你的系统，距离对于互联网来说，根本不是障碍。改造方法：立即修改administrator用户口令，口令使用字母和其它特殊字符的组合，长度不低于8位。改变登录方式，要求必须按ctrl+alt+del才可以登录。要点2：任何时候离开你的电脑，建议拔掉网线，不能

16、断线的计算机，建议立即锁定，不要让陌生人能够物理的接触到你的计算机。随便找一个windows PE的光盘（深山红叶修复工具盘等），用这种光盘引导，可轻易修改你的管理员登录密码，修改你的注册表信息，当然也包括写入病毒，再启动病毒程序。曾经有个例子，上海某白领的网上银行一次性被云南的黑客划走数10万元。对于一般的网上银行来说，大众版通常限制了一天取款1000元左右，是小额支付，一旦丢失账号，也不至于损失特别巨大。对于专业版网上银行来说，如果数字证书是存储在本机计算机，当你较长时间离开你的电脑时，攻击者可以远程控制你的电脑，在你的电脑上转移财产。这和你本地进行在线银行业务没有任何区别。对于使

17、用移动数字证书的网上银行用户，千万注意，用完就拔掉数字证书，不要给攻击者任何机会。解决办法：当你需要较长时间离开电脑时，锁定电脑，或拔掉网线。要点3：确保启用网络防火墙对于互联网用户来说，网络防火墙（注意，这里指firewall，不是很多人认为的病毒实时监控）是隔离你和外界的一道关口，正确启用和配置防火墙，将会使你减少很多直接面对攻击的机会。在你的系统有漏洞未修补时，防火墙可能是唯一可保护你的电脑安全的解决方案。但是，不要以为开启了防火墙就万事无忧了，防火墙基本只是拦截由外到内（由互联网到本机）通信，由内向外的访问，很容易使用各种手段进行欺骗，木马就是这样逃避防火墙完成盗窃任务的。

18、尽管，防火墙不是总有效，但有防火墙比没有强很多，是必须要启用的。要点4：切实关注安全漏洞信息，及时使用各种补丁修复工具，提升系统安全性系统漏洞在正式公布前，通常会被黑客利用很长时间，这就是通常说的0day攻击，这样的攻击也越来越常见。漏洞涉及windows 操作系统文件和其它应用软件，但风险最大的仍是windows 系统漏洞。应用软件漏洞的利用会受到较多的环境制约，通常风险相对较低。最近广泛引起人们关注的是flash player漏洞，攻击者可利用这个漏洞运行任意指定的代码。解决方案：能用windows update的，一定要用，让windows进行自动更新。看到右下角window

19、s update正在工作的图标，别给阻止了。部分盗版用户不能正常使用windows update或microsoft update的，建议使用第三方漏洞修复工具。要点5：安装使用杀毒软件，并经常检查是否工作正常，是否可以进行病毒特征的更新不要把安全问题只交给杀毒软件来负责，安全是系统工程，杀毒软件只是其中的一环。总是先有病毒，才会有杀毒软件更新。在很多情况下，安装杀毒软件之后，还是会中各种各样的病毒。但这不能说明杀毒软件不必要，相反，杀毒软件是非常重要的，如果没有杀毒软件，你的系统可能会更糟。越来越多的病毒为了入侵你的系统，首先会尝试将杀毒软件废掉。破坏杀毒软件的功能，可能比杀毒软件

20、对付病毒还要容易。因为破坏者的目标很明确，就是市面最流行的软件，针对这几种安全软件做手脚是很容易的。并且，病毒制造者不象杀毒软件那样，必须考虑每个更新带来的兼容性问题，攻击者只关注木马需要完成的任务，其它后果，病毒制造者是不用花很多功夫去考虑的。木马病毒制造者是这样痛恨杀毒软件，以至于目前有相当多的木马入侵后，首先会去破坏杀毒软件，只要破坏者愿意，有针对性的破坏杀毒软件总是可以做到的，用户不要指望杀毒软件自身可以做成铜墙铁壁。连操作系统都可以被破坏，何况杀毒软件。我们还可以把杀毒软件的工作状态，当作另一种检验工具：只要观察到杀毒软件突然不工作了，你首先应该考虑是不是被木马给破坏了。解

21、决办法：安装一款适合自己的杀毒软件，并且在有效期内注意经常检查其功能，比如能不能正常启动，能不能正常升级等等。要点6：一定要小心使用移动存储设备在互联网发展起来之前，病毒的传播是依赖于软磁盘的，其后让位于网络。现在，公众越来越频繁的使用移动存储设备（移动硬盘、U盘、数码存储卡）传递文件，这些移动存储设备成为木马传播的重要通道。计算机用户通常把这样的病毒称为U盘病毒或AUTO病毒。意思是插入U盘这个动作，就能让病毒从一个U盘传播到另一台电脑。解决办法：立即毫不犹豫的禁用U盘的自动播放功能，这个功能的方便性微不足道，但染毒的风险非常重要。要点7：安全上网成为肉鸡很重要的原因之一是浏

22、览不安全的网站，区分什么网站安全，什么网站不安全，这对普通用户来说，是很困难的。并且还存在原来正常的网站被入侵植入木马的可能性，也有被ARP攻击之后，访问任何网页都下载木马的风险。上网下载木马的机会总是有的，谁都无法避免，只能减轻这种风险。浏览器的安全性需要得到特别关注，浏览器和浏览器插件的漏洞是黑客们的最爱，flash player漏洞就是插件漏洞，这种漏洞是跨浏览器平台的，任何使用flash player的场合都可能存在这种风险。解决办法：及时修补浏览器漏洞，及时将浏览器升级到最新的版本，减少把有风险的系统暴露给攻击者的时间。避免浏览一些灰色站点，通常这种站点流量比较大，比如人数

23、众多的生活社区、在线视频社区、聊天交友社区、色情类网站、赌博类网站等等。浏览这类网站，如果发现系统异常，应该立即用“如何检测电脑是不是肉鸡”所介绍的方法进行检查。以上，绝不是安全防护的全部，可以说是最重要的风险最大的几个环节，注意从上面这几点进行安全防护，至少三脚猫的黑客拿你没办法。安全防护是动态的，时刻提高警惕吧，对互联网来说，要有视一切为威胁的观点。就象对一个外科医生来说，在他的眼里，一切物体都是被细菌病毒污染的，消毒是最基本原则。防范黑客入侵攻击的主要方法与技巧网络管理人员应认真分析各种可能的入侵和攻击形式，制定符合实际需要的网络安全策略，防止可能从网络和系统内部或外部发起的攻击行

24、为，重点防止那些来自具有敌意的国家、企事业单位、个人和内部恶意人员的攻击。防止入侵和攻击的主要技术措施包括访问控制技术、防火墙技术、入侵检测技术、安全扫描、安全审计和安全管理。一、访问控制技术访问控制是网络安全保护和防范的核心策略之一。访问控制的主要目的是确保网络资源不被非法访问和非法利用。访问控制技术所涉及内容较为广泛，包括网络登录控制、网络使用权限控制、目录级安全控制，以及属性安全控制等多种手段。 1.网络登录控制网络登录控制是网络访问控制的第一道防线。通过网络登录控制可以限制用户对网络服务器的访问，或禁止用户登录，或限制用户只能在指定的工作站上进行登录，或限制用户登录到指定的服务

25、器上，或限制用户只能在指定的时间登录网络等。网络登录控制一般需要经过三个环节，一是验证用户身份，识别用户名；二是验证用户口令，确认用户身份；三是核查该用户账号的默认权限。在这三个环节中，只要其中一个环节出现异常，该用户就不能登录网络。其中，前两个环节是用户的身份认证过程，是较为重要的环节，用户应加强这个过程的安全保密性，特别是增强用户口令的保密性。用户可以使用一次性口令，或使用IC卡等安全方式来证明自己的身份。网络登录控制是由网络管理员依据网络安全策略实施的。网络管理员可以随时建立或删除普通用户账号，可以控制和限制普通用户账号的活动范围、访问网络的时间和访问方式，并对登录过程进行必要的审计

26、。对于试图非法登录网络的用户，一经发现立即报警。 2.网络使用权限控制当用户成功登录网络后，就可以使用其所拥有的权限对网络资源(如目录、文件和相应设备等)进行访问。如果网络对用户的使用权限不能进行有效的控制，则可能导致用户的非法操作或误操作。网络使用权限控制就是针对可能出现的非法操作或误操作提出来的一种安全保护措施。通过网络使用权限控制可以规范和限制用户对网络资源的访问，允许用户访问的资源就开放给用户，不允许用户访问的资源一律加以控制和保护。网络使用权限控制是通过访问控制表来实现的。在这个访问控制表中，规定了用户可以访问的网络资源，以及能够对这些资源进行的操作。根据网络使用权限，可以将网络

27、用户分为三大类：一是系统管理员用户，负责网络系统的配置和管理；二是审计用户，负责网络系统的安全控制和资源使用情况的审计；三是普通用户，这是由系统管理员创建的用户，其网络使用权限是由系统管理员根据他们的实际需要授予的。系统管理员可随时更改普通用户的权限，或将其删除。 3.目录级安全控制用户获得网络使用权限后，即可对相应的目录、文件或设备进行规定的访问。系统管理员为用户在目录级指定的权限对该目录下的所有文件、所有子目录及其子目录下的所有文件均有效。如果用户滥用权限，则会对这些目录、文件或设备等网络资源构成严重威胁。这时目录级安全控制和属性安全控制就可以防止用户滥用权限。一般情况下，对目录和文件

28、的访问权限包括系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限和访问控制权限。目录级安全控制可以限制用户对目录和文件的访问权限，进而保护目录和文件的安全，防止权限滥用。 4.属性安全控制属性安全控制是通过给网络资源设置安全属性标记来实现的。当系统管理员给文件、目录和网络设备等资源设置访问属性后，用户对这些资源的访问将会受到一定的限制。通常，属性安全控制可以限制用户对指定文件进行读、写、删除和执行等操作，可以限制用户查看目录或文件，可以将目录或文件隐藏、共享和设置成系统特性等。 5.服务器安全控制网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载

29、模块，可以安装和删除软件等。网络服务器的安全控制包括设置口令锁定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据；设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。二、防火墙技术防火墙是用来保护内部网络免受外部网络的恶意攻击和入侵，为防止计算机犯罪，将入侵者拒之门外的网络安全技术。防火墙是内部网络与外部网络的边界，它能够严密监视进出边界的数据包信息，能够阻挡入侵者，严格限制外部网络对内部网络的访问，也可有效地监视内部网络对外部网络的访问。三、入侵检测技术入侵检测技术是网络安全技术和信息技术结合的产物。使用入侵检测技术可以实时监视网络系统的某些区域，当这些区域受到攻击时，能

30、够及时检测和立即响应。入侵检测有动态和静态之分，动态检测用于预防和审计，静态检测用于恢复和评估。四、安全扫描安全扫描是对计算机系统或其他网络设备进行相关安全检测，以查找安全隐患和可能被攻击者利用的漏洞。从安全扫描的作用来看，它既是保证计算机系统和网络安全必不可少的技术方法，也是攻击者攻击系统的技术手段之一，系统管理员运用安全扫描技术可以排除隐患，防止攻击者入侵，而攻击者则利用安全扫描来寻找入侵系统和网络的机会。安全扫描分主动式和被动式两种。主动式安全扫描是基于网络的，主要通过模拟攻击行为记录系统反应来发现网络中存在的漏洞，这种扫描称为网络安全扫描；而被动式安全扫描是基于主机的，主要通过

31、检查系统中不合适的设置、脆弱性口令，以及其他同安全规则相抵触的对象来发现系统中存在的安全隐患，这种扫描称为系统安全扫描。安全扫描所涉及的检测技术主要有以下四种： (1)基于应用的检测技术。它采用被动的、非破坏性的办法检查应用软件包的设置，发现安全漏洞。 (2)基于主机的检测技术。它采用被动的、非破坏性的办法对系统进行检测。通常，它涉及系统的内核，文件的属性，操作系统的补丁等问题。这种技术还包括口令解密，把一些简单的口令剔除。因此，这种技术可以非常准确地定位系统的问题，发现系统的漏洞。它的缺点是与平台相关，升级复杂。 (3)基于目标的漏洞检测技术。它采用被动的、非破坏性的办法检查系统属性和文

32、件属性，如数据库、注册号等。通过消息摘要算法，对文件的加密数进行检验。这种技术的实现是运行在一个闭环上，不断地处理文件、系统目标、系统目标属性，然后产生检验数，把这些检验数同原来的检验数相比较。一旦发现改变就通知管理员。 (4)基于网络的检测技术，它采用积极的、非破坏性的办法来检验系统是否有可能被攻击而崩溃。它利用了一系列的脚本模拟对系统进行攻击的行为，然后对结果进行分析。它还针对已知的网络漏洞进行检验。网络检测技术常被用来进行穿透实验和安全审计。这种技术可以发现一系列平台的漏洞，也容易安装。但是，它可能会影响网络的性能。安全扫描技术正逐渐向模块化和专家系统两个方向发展。在模块化方面，整个

33、安全扫描系统由若干个插件组成，每个插件封装一个或多个漏洞扫描方法，主扫描过程通过调用插件的方法来执行扫描任务。系统更新时，只需添加新的插件就可增加新的扫描功能。另外，由于插件的规范化和标准化，使得安全扫描系统具有较强的灵活性、扩展性和可维护性。在专家系统方面，安全扫描能够对扫描结果进行整理，形成报表，同时可针对具体漏洞提出相应的解决办法。随着安全扫描技术的发展，希望安全扫描系统能够对网络状况进行整体评估，并提出针对整个网络的安全解决方案。未来的系统，不仅仅是一个漏洞扫描工具，还应该是一个安全评估专家。五、安全审计安全审计是在网络中模拟社会活动的监察机构，对网络系统的活动进行监视、记录并提

34、出安全意见和建议的一种机制。利用安全审计可以有针对性地对网络运行状态和过程进行记录、跟踪和审查。通过安全审计不仅可以对网络风险进行有效评估，还可以为制定合理的安全策略和加强安全管理提供决策依据，使网络系统能够及时调整对策。在网络安全整体解决方案日益流行的今天，安全审计是网络安全体系中的一个重要环节。网络用户对网络系统中的安全设备、网络设备、应用系统及系统运行状况进行全面的监测、分析、评估，是保障网络安全的重要手段。计算机网络安全审计主要包括对操作系统、数据库、Web、邮件系统、网络设备和防火墙等项目的安全审计，以及加强安全教育，增强安全责任意识。网络安全是动态的，对已经建立的系统，如果没

35、有实时的、集中的可视化审计，就不能及时评估系统的安全性和发现系统中存在的安全隐患。目前，网络安全审计系统包含的主要功能和所涉及的共性问题如下： 1.网络安全审计系统的主要功能 (1)采集多种类型的日志数据。能够采集各种操作系统、防火墙系统、入侵检测系统、网络交换机、路由设备、各种服务及应用系统的日志信息。 (2)日志管理。能够自动收集多种格式的日志信息并将其转换为统一的日志格式，便于对各种复杂日志信息的统一管理与处理。 (3)日志查询。能以多种方式查询网络中的日志信息，并以报表形式显示。 (4)入侵检测。使用多种内置的相关性规则，对分布在网络中的设备产生的日志及报警信息进行相关性分析，从而检

36、测出单个系统难以发现的安全事件。 (5)自动生成安全分析报告。根据日志数据库记录的日志信息，分析网络或系统的安全性，并向管理员提交安全性分析报告。 (6)网络状态实时监视。可以监视运行有代理的特定设备的状态、网络设备、日志内容、网络行为等情况。 (7)事件响应机制。当安全审计系统检测到安全事件时，能够及时响应和自动报警。 (8)集中管理。安全审计系统可利用统一的管理平台，实现对日志代理、安全审计中心和日志数据库的集中管理。 2.网络安全审计系统所涉及的共性问题 (1)日志格式兼容问题。通常情况下，不同类型的设备或系统所产生的日志格式互不兼容，这为网络安全事件的集中分析带来了巨大难度。 (2)日

37、志数据的管理问题。日志数据量非常大，不断地增长，当超出限制后，不能简单地丢弃。需要一套完整的备份、恢复、处理机制。 (3)日志数据的集中分析问题。一个攻击者可能同时对多个网络目标进行攻击，如果单个分析每个目标主机上的日志信息，不仅工作量大，而且很难发现攻击。如何将多个目标主机上的日志信息关联起来，从中发现攻击行为是安全审计系统所面临的重要问题。 (4)分析报告及统计报表的自动生成问题。网络中每天会产生大量的日志信息，巨大的工作量使得管理员手工查看并分析各种日志信息是不现实的。因此，提供一种直观的分析报告及统计报表的自动生成机制是十分必要的，它可以保证管理员能够及时和有效地发现网络中出现的各种异

38、常状态。六、安全管理 1.信息安全管理的内涵根据我国计算机信息系统安全等级保护管理要求(GA/T 3912002)中的描述，信息安全管理的内涵是对一个组织或机构中信息系统的生命周期全过程实施符合安全等级责任要求的科学管理，它包括： (1)落实安全组织及安全管理人员，明确角色与职责，制定安全规划； (2)开发安全策略； (3)实施风险管理； (4)制定业务持续性计划和灾难恢复计划； (5)选择与实施安全措施； (6)保证配置、变更的正确与安全； (7)进行安全审计； (8)保证维护支持； (9)进行监控、检查，处理安全事件； (10)安全意识与安全教育； (11)人员安全管理。一般意义上讲

39、，安全管理就是指为实现信息安全的目标而采取的一系列管理制度和技术手段，包括安全检测、监控、响应和调整的全部控制过程。而对整个系统进行风险分析和评估是明确信息安全目标要求的重要手段。 2.信息安全管理的基本原则需要明确指出的一点是：不论多么先进的安全技术，都只是实现信息安全管理的手段而已。信息安全源于有效的管理，要使先进的安全技术发挥较好的效果，就必须建立良好的信息安全管理体系，这是一个根本问题。一直以来人们(特别是高层领导者)总是认为信息安全是一个技术上的问题，并将信息安全管理的责任限制在技术人员身上，事实上这种观点和做法是十分错误的。现在，信息已成为企业发展的重要资产，企业高层领导必须重

40、视信息安全管理，必须参与信息安全管理工作，将信息安全管理视为现有管理措施的一个重要组成部分。在我国，加强对信息安全工作的领导，建立、健全信息安全管理责任制，通常以谁主管谁负责、谁运营谁负责和谁使用谁负责为基本要求，坚持的总原则是：主要领导人负责原则；规范定级原则；依法行政原则；以人为本原则；适度安全原则；全面防范、突出重点原则；系统、动态原则；以及控制社会影响原则。而信息安全管理的主要策略是：分权制衡、最小特权、选用成熟技术和普遍参与。 3.信息安全管理的基本过程安全管理是一个不断发展、不断修正的动态过程，贯穿于信息系统生命周期，涉及信息系统管理层面、物理层面、网络层面、操作系统层面、应用

41、系统层面和运行层面的安全风险管理。在这些层面上的安全管理是保证信息系统安全技术、安全工程运行正确、安全、有效的基础。总的安全目标是防止国家秘密和单位敏感信息的失密、泄密和窃密，防止数据的非授权修改、丢失和破坏，防止系统能力的丧失、降低，防止欺骗，保证信息及系统的可信度和资产的安全。防范黑客入侵攻击的主要方法与技巧网站陷阱反击黑客从这里开始站长们辛辛苦苦架设的网站，总有某些恶意用户利用扫描工具进行漏洞探测。管理者的一个不慎，就有可能会使网站成为攻击者的手中之物。其实对付这些想入侵网站的初级黑客也很简单，网站的管理人员只要在页面中加入特定的后门程序，就会让入侵者无功而返。数据库插马默认数据库

42、下载漏洞，是许多黑客喜欢利用的一种技术。管理人员可以特意为网站留下这个“漏洞”，让黑客下载指定的数据库，殊不知他们也就慢慢走入了陷阱。1、数据库下载漏洞利用原理默认数据库下载、上传、后台密码绕过等漏洞虽然很初级，但却有不少恶意攻击者通过此点攻入网站。一旦侥幸成功后，其后果不言而喻。于是网站管理人员可以修改网站真正的数据库的名称，改变其路径来实现保护目的，并且将伪装插入木马的数据库不做更改删除，等待入侵者下载中招。2、数据库插入木马首先，准备一个远程控制工具(比如，远程控制任我行)，进行简单的配置生成服务端。然后运行“office系列挂马工具全套”工具包中的 “MdbExp.All.v1.04.

43、exe”，指定要运行的木马程序，设置木马保存路径，点击“确定”，就把这个服务端程序伪装成MDB格式的数据库文件。(特别提示：服务端不能超过50KB.)3、设置陷阱以动网DVBBS论坛为例，网站管理人员修改原有数据库的名称并改变其路径。将插入远控服务端的数据库改名为“dvbb7.mdb”，放置在动网的数据库默认目录下。攻击者尝试利用数据库下载漏洞进行网站攻击时，就会下载伪装的插入远控服务端的数据库文件，当其双击打开“数据库”时，被嵌入其中的远控服务端自动运行，入侵者的电脑也就被网站管理人员控制了。管理后台挂马攻击者通常非法登录网站的管理页面，然后上传木马，进一步渗透、提权，甚至控制服务器。对于这

44、样的入侵，网站的管理人员除了要加固服务器的设置之外，也可以在管理后台中设置陷阱，请君入瓮。1、攻击原理恶意攻击者在非法获得了网站的管理员用户名和密码后，就会进入网站的管理页面尝试进入后台。对于这样的恶性行为，网站的管理人员可以通过在登录页面文件中加入代码，运行指定的程序，而惩罚攻击者。2、制作网页木马后台陷阱第一步：运行MS-07004网马，生成一个木马客户端，将该程序上传至网站的某个目录，得到一个URL地址。第二步：运行“小金猪MS-07004网马V3.0”工具，在“网马配置”中输入网马的URL地址，选择木马的类型为“MS06014+MS07004”，然后点击“生成普通版网马”按钮，生成一个

45、名为“mm.js”的网页木马文件。第三步：将mm.js文件放到网站论坛后台页面的同一文件夹下，并在后台登录页面“login.asp”文件中插入代码“”。这样当有攻击者企图非法进入后台，如果他的系统没有打最新的补丁包就会木马。 3、严惩攻击者通过上述的安全措施，网站管理人员可以远程控制恶意攻击者。想要严惩他们，可以在网页中插入一些病毒程序，让入侵者入侵不成反受惩罚，具体的做法，就不赘述了。总结：维护网站的安全，网站管理人员做好严格的安全部署是首要的，不要给恶意攻击者以可乘之机。当然设置陷阱，对于那些肆无忌惮的攻击者一个警告，一次反击也很必要。与其被动防御，还不如主动出击收集于网络，如有侵权请联系管理员删除

展开阅读全文