防病毒技术
介绍
从反病毒产品对计算机病毒的作用来讲,防毒技术可以直观地分为:病毒预防技术、病毒检测技术及病毒清除技术。
预防技术
计算机病毒的预防技术就是通过一定的技术手段防止计算机病毒对系统的传染和破坏。实际上这是一种动态判定技术,即一种行为规则判定技术。也就是说,计算机病毒的预防是採用对病毒的规则进行分类处理,而后在程式运作中凡有类似的规则出现则认定是计算机病毒。具体来说,计算机病毒的预防是通过阻止计算机病毒进入系统记忆体或阻止计算机病毒对磁碟的操作,尤其是写操作。预防病毒技术包括:磁碟引导区保护、加密可执行程式、读写控制技术、系统监控技术等。例如,大家所熟悉的防病毒卡,其主要功能是对磁碟提供防写,监视在计算机和驱动器之间产生的信号。以及可能造成危害的写命令,并且判断磁碟当前所处的状态:哪一个磁碟将要进行写操作,是否正在进行写操作,磁碟是否处于防写等,来确定病毒是否将要发作。计算机病毒的预防套用包括对已知病毒的预防和对未知病毒的预防两个部分。目前,对已知病毒的预防可以採用特徵判定技术或静态判定技术,而对未知病毒的预防则是一种行为规则的判定技术,即动态判定技术。
检测病毒技术
计算机病毒的检测技术是指通过一定的技术手段判定出特定计算机病毒的一种技术。它有两种:一种是根据计算机病毒的关键字、特徵程式段内容、病毒特徵及传染方式、档案长度的变化,在特徵分类的基础上建立的病毒检测技术。另一种是不针对具体病毒程式的自身校验技术。即对某个档案或数据段进行检验和计算并保存其结果,以后定期或不定期地以保存的结果对该档案或数据段进行检验,若出现差异,即表示该档案或数据段完整性已遭到破坏,感染上了病毒,从而检测到病毒的存在。
清除病毒技术
计算机病毒的清除技术是计算机病毒检测技术发展的必然结果,是计算机病毒传染程式的一种逆过程。目前,清除病毒大都是在某种病毒出现后,通过对其进行分析研究而研製出来的具有相应解毒功能的软体。这类软体技术发展往往是被动的,带有滞后性。而且由于计算机软体所要求的精确性,解毒软体有其局限性,对有些变种病毒的清除无能为力。目前市场上流行的Intel公司的PC_CILLIN、CentralPoint公司的CPAV,及我国的LANClear和Kill89等产品均採用上述三种防病毒技术。
产生原因
(2)一机一卡所带来的缺陷。开发商从市场角度考虑,将防病毒卡与产品加密合二为一,但却给用户带来了许多不便:占用硬体资源(如扩充槽口、I/O口或中断资源);增加记忆体开销,易发生防病毒系统与其它套用系统的软硬体冲突;影响计算机执行速度。因为防病毒软体要实现实时监控,就一定要占用CPU时间,这必然会使计算机执行速度下降。有鑒于此,需要彻底改变现有的防病毒产品模式,需要和单机防病毒技术有本质区别的网路防病毒技术。
基本方法
在网路环境下,防範病毒问题显得尤其重要。这有两方面的原因:首先是网路病毒具有更大破坏力。其次是遭到病毒破坏的网路要进行恢复非常麻烦,而且有时恢复几乎不可能。因此採用高效的网路防病毒方法和技术是一件非常重要的事情。网路大都採用“Client-Server”的工作模式,需要从伺服器和工作站两个结合方面解决防範病毒的问题。在网路
基于网路目录和档案安全性方法
以NetWare为例,在NetWare中,提供了目录和档案访问许可权与属性两种安全性措施。“访问许可权有:防问控制权、建立权、删除权、档案扫描权、修改权、读权、写权和管理权。属性有:需归档、拷贝禁止、删除禁止、仅执行、隐含、索引、清洗、读审记、写审记、唯读、读写、改名禁止、可共享、系统和交易。属性优先于访问许可权。根据用户对目录和档案的操作能力,分配不同的访问许可权和属性。例如,对于公用目录中的系统档案和工具软体,应该只设定唯读属性,系统程式所在的目录不要授予修改权和管理权。这样,病毒就无法对系统程式实施感染和寄生,其它用户也就不会感染病毒。
由此可见,网路上公用目录或已分享资料夹的安全性措施,对于防止病毒在网上传播起到积极作用。至于网路用户的私人目录,由于其限于个别使用,病毒很难传播给其它用户。採用基于网路目录和档案安全性的方法对防止病毒起到了一定作用,但是这种方法毕竟是基于网路作业系统的安全性的设计,存在着局限性。现在市场上还没有一种能够完全抵御计算机病毒侵染的网路作业系统,从网路安全性措施角度来看,在网路上也是无法防止带毒档案的入侵。
採用工作站防病毒晶片
这种方法是将防病毒功能集成在一个晶片上,安装在网路工作站上,以便经常性地保护工作站及其通往伺服器的路径。工作站是网路的门户,只要将这扇门户关好,就能有效地防止病毒的入侵。将工作站存取控制与病毒保护能力合二为一插在网卡的EPROM槽内,用户也可以免除许多繁琐的管理工作。
採用Station Lock网路防毒方法
Station Lock是着名防病毒产品开发商Trend Micro Devices公司的新一代网路防病毒产品。其防毒概念是建立在”病毒必须执行有限数量的程式之后,才会产生感染效力“的基础之上。例如,病毒是一个不具自我辨别能力的小程式,在病毒传染过程中至少必须拦截一个DOS中断请求,而且必须试图改变程式指针,以便让系统优先执行病毒程式从而获得系统控制权。引导型病毒必须使用系统的BIOS功能调用,档案型病毒必须将自己所有的程式代码拷贝到另一个系统执行档案时才能複製感染。混合型病毒和多形体病毒在实施感染之前也必须获取系统控制权,才能运行病毒体程式而实施感染。Station Lock就是通过这些特点,用间接方法观察,精确地预测病毒的攻击行为。其作用对象包括多型体病毒和未来型病毒。
Station Lock也能处理一些基本的网路安全性问题,例如存取控制、预放未授权拷贝以及在一个点对点网路环境下限制工作站资源相互存取等。Station Lock能根据病毒活动辩别可能的病毒攻击意图,并在它造成任何破坏之前予以拦截。由于Station Lock是在启动系统开始之前,就接管了工作站上的硬体和软体,所以病毒攻击Station Lock是很困难的。Station Lock是目前网路环境下防治病毒比较有效的方法。
基于伺服器的防毒技术
伺服器是网路的核心,一旦伺服器被病毒感染,就会使伺服器无法启动,整个网路陷于瘫痪,造成灾难性后果。目前基于伺服器的防治病毒方法大都採用了NLM(NetWare Load Module)技术以NLM模组方式进行程式设计,以伺服器为基础,提供实时扫描病毒能力。市场上的产品如Central Point公司的AntiVirus for Networks,Intel公司的LANdesk Virus Protect以及南京威尔德电脑公司的Lanclear for NetWare等都是採用了以伺服器为基础的防病毒技术。这些产品的目的都是保护伺服器,使伺服器不被感染。这样,病毒也就失去了传播途径,因而从根本上杜绝了病毒在网上蔓延。
(1)对伺服器中所有档案扫描
这一方法是对伺服器的所有档案进行集中检查看其是否带毒,若有带毒档案,则提供给网路管理员几种处理方法。允许用户清除病毒,或删除带毒档案,或更改带毒档案名称成为不执行档名并隔离到一个特定的病毒档案目录中。
(2)实时线上扫描
网路防病毒技术必须保持全天24小时监控网路是否有带毒档案进入伺服器。为了保证病毒监测实时性,通常採用多线索的设计方法,让检测程式作为一个随时可以激活的功能模组,且在NetWare运行环境中,不影响其它线索的运行。这往往是设计一个NLM最重要的部分,即多线索的调度。实时线上扫描能非常及时地追蹤病毒的活动,及时告之网路管理员和工作站用户。
(3)伺服器扫描选择
该功能允许网路管理员定期检查伺服器中是否带毒,例如可按每月、每星期、每天集中扫描一下网路伺服器,这样就使网路用户拥有极大的操作选择余地。
(5)工作站扫描
考虑到基于伺服器的防病毒软体不能保护本地工作站的硬碟,有效的方法是在伺服器上安装防毒软体,同时在上网的工作站记忆体中调入一个常驻扫毒程式,实时检测在工作站中运行的程式。如LANdesk Virus Protect採用Lpscan,而LANClear for NetWare採用world程式等。
(6)对用户开放的病毒特徵接口
大家知道病毒及其变种层出不穷。据有关资料报导,截止1994年2月25日,全世界流传的MSDOS病毒达2700多种。如何使防病毒系统能对付不断出现的新病毒?这要求开发商能够使自己的产品具有自动升级功能,也就是真正交给网路用户防治病毒的一把金钥匙。其典型的做法是开放病毒特徵资料库。用户随时将遇到的带毒档案,经过病毒特徵分析程式,自动将病毒特徵加入特徵库,以随时增强抗毒能力。当然这一工作难度极大,需要不懈的努力。在上述四种网路防毒技术中,Station Lock是一种针对病毒行为的防治方法,StationLock目前已能提供Intel乙太网络接口卡支持,而且未来还将支持各种普及型的以太令牌环(Token-Ring)网路接口卡。
基于伺服器的防治病毒方法,表现在可以集中式扫毒,能实现实时扫描功能,软体升级方便。特别是当连网的机器很多时,利用这种方法比为每台工作站都安装防病毒产品要节省成本。其代表性的产品有LANdesk、LANClear for NetWare等。
实时反病毒技术
可将重要的DOS引导档案和重要系统档案类似于网路无盘工作站那样固化到PC机的BIOS中,以避免病毒对这些档案的感染。
这可算是实时化反病毒概念的雏形。
预报功能便大受被病毒弄得焦头烂额的用户的欢迎,一时间,实时防病毒概念在国内大为风行。据业内人士估计,当时全
且售后服务与升级一时半会也都跟不上用户的需要,从而为防病毒卡提供了一个发展的契机。但究其最根本的原因,还是
因为以防病毒卡为代表的产品技术,较好地体现了实时化反病毒的思想。
如果单纯从套用角度考虑,用户对病毒存在情况是一无所知的。用户判断是否被病毒感染,唯一可行的办法就是用反
病毒软体当时能够大受用户欢迎的根本原因。
实时反病毒技术一向为反病毒界所看好,被认为是比较彻底的反病毒解决方案。多年来其发展之所以受到制约,一方面是因为它需要占用一部分系统资源而降低系统性能,使用户感到不堪忍受;另一方面是因为它与其他软体(特别是作业系统)的兼容性问题始终没有得到很好的解决。
2008-2009年来,随着硬体处理速度的不断提高,实时化反病毒技术所造成的系统负荷已经降低到了可被大家忽略的程度,而Windows95/98和NT等多任务、多执行绪作业系统,又为实时反病毒技术提供了良好的运行环境。所以从1998年底开始,实时反病毒技术又重整旗鼓,捲土重来。表面看来这也许是某些反病毒产品争取市场的重要举措,但通过深入分析不难看出:重提实时反病毒技术是信息技术发展的必然结果。 对于同时运行多个任务的情况,传统基于DOS的反病毒技术无法在Windows环境下发挥正常的反病毒功能,因为它无法控制其他任务所使用的资源。只有在较高优先权上,对系统资源进行全面、实时的监控,才有可能解决Windows多任务环境下的反病毒问题。 由于防病毒卡存在与系统不兼容、只预防不防毒、安装不便、误报警等原因,已使其无法在市场上立足。虽然在传统DOS环境下有些反病毒产品使用了TSR实现了病毒防治的实时化,但它们却普遍存在兼容性方面的问题。大家将看到Windows 仍将它作为实模式视窗(有时又被称为DOS虚拟机)打开,这种实模式视窗所能访问到的资源是固定的,是由Windows分配的。出于安全性考虑,Windows不允许这个TSR访问不属于它的资源(特别是系统关键数据)。如果此时系统遭受病毒入侵(比如病毒企图改写硬碟主引导扇区),将会发生什幺情况?一般情况下,TSR检测不到这种病毒行为, 即发生了所谓“漏报”。更严重的情况可能是TSR发现了这种病毒行为,但由于系统认为所涉及的资源与该TSR所属于的实模式视窗无关而产生了操作冲突,这种情况下,TSR非但杀不了病毒,还很有可能造成系统被挂起或系统崩溃。
发展方向
随着计算机网路技术的发展,网路防病毒技术的发展也将日新月异,我们认为其发展方向是:
1。网路作业系统和应用程式集成防病毒技术
计算机病毒的真正危险在于威胁网路和大型信息系统的安全。在网路上防範计算机病毒涉及到病毒检测、网路技术发展及病毒对网路攻击的机理。可以预见,网路作业系统集成网路防病毒技术是必由之路,这是一项涉及多学科、多领域,具有开拓性的重要工作。2。网路防病毒技术向集成化发展
网路防病毒技术正由单一的预防、检测和清除病毒功能向着集三种功能于一体的方向发展。
2。网路开放式防病毒技术将成为技术主流
网路开放式防病毒技术是一种让用户自我更新的防病毒技术,它将病毒的结构用一个统一的数据结构加以描述,用户可根据对病毒的一些特徵进行分析,通过特徵识别随时更新自己的病毒库,从而自己就使防病毒产品升级,以达到和新病毒的对抗。计算机网路技术及防治病毒技术的迅速发展使人们完全有理由深信;会有更多更好的防病毒产品推出,这些技术会越来越成熟、越来越完善。
当计算机出现异常,大家首先想到的是用防毒软体。令人担忧的是,在防毒软体作为最主要的反病毒工具被广泛使用的今天,病毒造成的损失不是每年减少,反而每年增加。着名反病毒专家、“国家八六三计画反计算机入侵和防病毒研究中心”专家委员会委员刘旭最近提出,防毒软体作为病毒防範的最主要工具,已经明显暴露出重大缺陷———对新病毒的防範始终滞后于病毒出现。我国反病毒领域应儘快研製主动防御型产品,以适应网路时代信息安全防护新的要求。在深刻反思国际国内反病毒实践和当前网路新病毒日益泛滥的现状后,刘旭认为,在过去病毒传播速度不快、新病毒数量和种类较少、感染多为区域性、利益危害相对较小的情况下,防毒软体因其对厂商已捕获的病毒具有良好的识别效果、可有效清除和阻止病毒进一步传播与破坏的优点,被政府、企业和个人作为最主要的反病毒工具,为病毒防範作出了重要贡献。但是,伴随网路在全球的飞速套用,利用网路技术、以网路为载体频频暴发的间谍程式、蠕虫病毒、游戏木马、邮件病毒、QQ病毒、MSN病毒、黑客程式等网路新病毒,已经颠覆了传统的病毒概念。与传统病毒相比,网路病毒呈现传播速度空前、数量与种类剧增、全球性暴发、攻击途径多样化、以利益获取为目的、造成损失具灾难性等突出特点,使防毒软体面临严峻挑战。
基本信息
CPU内嵌的防病毒技术是一种硬体防病毒技术,与作业系统相配合,可以防範大部分针对缓冲区溢出(buffer overrun)漏洞的攻击(大部分是病毒)。Intel的防病毒技术是EDB(Execute Disable Bit),AMD的防病毒技术是EVP(Ehanced Virus Protection),但不管叫什幺,它们的原理都是大同小异的。严格来说,目前各个CPU厂商在CPU内部集成的防病毒技术不能称之为“硬体防毒”。首先,无论是Intel的EDB还是AMD的EVP,它们都是採用硬软结合的方式工作的,都必须搭配相关的作业系统和软体才能实现;其次,EDB和EVP都是为了防止因为记忆体缓冲区溢出而导致系统或套用软体崩溃的,而这记忆体缓冲区溢出有可能是恶意代码(病毒)所为,也有可能是应用程式设计的缺陷所致(无意识的),因此我们将其称之为“防缓冲区溢出攻击”更为恰当些。
在计算机内部,等待处理的数据一般都被放在记忆体的某个临时空间里,这个临时存放空间被称为缓冲区(Buffer),缓冲区的长度事先已经被程式或者作业系统定义好了。缓冲区溢出(buffer overrun)是指当电脑程式向缓冲区内填充的数据位数超过了缓冲区本身的容量。溢出的数据覆盖在合法数据上。理想情况是,程式检查数据长度并且不允许输入超过缓冲区长度的字元串。但是绝大多数程式都会假设数据长度总是与所分配的存储空间相匹配,这就为缓冲区溢出埋下隐患。作业系统所使用的缓冲区又被称为堆叠,在各个操作进程之间,指令被临时存储在堆叠当中,堆叠也会出现缓冲区溢出。当一个超长的数据进入到缓冲区时,超出部分就会被写入其他缓冲区,其他缓冲区存放的可能是数据、下一条指令的指针,或者是其他程式的输出内容,这些内容都被覆盖或者破坏掉。可见一小部分数据或者一套指令的溢出就可能导致一个程式或者作业系统崩溃。而更坏的结果是,如果相关数据里包含了恶意代码,那幺溢出的恶意代码就会改写应用程式返回的指令,使其指向包含恶意代码的地址,使其被CPU编译而执行,而这可能发生“记忆体缓冲区溢出攻击”,名噪一时的“冲击波”、“震荡波”等蠕虫病毒就是採用这种手段来攻击电脑的。
缓冲区溢出是由编程错误引起的。如果缓冲区被写满,而程式没有去检查缓冲区边界,也没有停止接收数据,这时缓冲区溢出就会发生。缓冲区边界检查被认为是不会有收益的管理支出,计算机资源不够或者记忆体不足是编程者不编写缓冲区边界检查语句的理由,然而技术的飞速发展已经使这一理由失去了存在的基础,但是多数用户日常主要套用的程式中大多数其实仍然是十年甚至二十年前的程式代码,并没有检查缓冲区边界的功能。
缓冲区溢出是病毒编写者和特洛伊木马编写者偏爱使用的一种攻击方法。攻击者或者病毒善于在系统当中发现容易产生缓冲区溢出之处,运行特别程式,获得优先权,指示计算机破坏档案,改变数据,泄露敏感信息,产生后门访问点,感染或者攻击其他计算机。
而对于开启了EDB或EVP功能的计算机来说,一般也就可实现数据和代码的分离,而在记忆体某个页面将被设定为只做数据页,而任何企图在其中执行代码的行为都将被CPU所拒绝。当然,开启EDB、EVP功能的CPU是无法独立完成标注不可执行代码记忆体页面以及进行相关检测防治工作的,它还需要相关作业系统和应用程式的配合。
Windows XP SP2、Windows Server 2003 SP1及64bit的Windows作业系统都提供了对EDB、EVP技术的支持。如果你使用的作业系统是Windows XP SP2,那幺启用其中的DEP(Data Execution Protection,数据执行保护)功能即可为你的电脑提供比较全面的防缓冲区溢出攻击功能。DEP是可以独立运行的,并也可帮助防御某些类型的恶意代码攻击,但要充分利用DEP可以提供的保护功能,就需要CPU的配合了。DEP可单独或和兼容的CPU一起将记忆体的某些页面位置标注为不可执行,如果某个程式尝试从被保护的位置运行代码,将会被CPU拒绝同时DEP会关闭程式并通知用户,从而在一定程度上保障用户电脑的安全。
CPU内嵌的防病毒技术以及作业系统的防病毒技术因此在目前来说可能还存在着一些兼容性的问题,例如因应用程式设计的缺陷或驱动程式而导致的误报(特别是一些比较老的驱动程式);另外,对于有些程式来说,是採用实时生成代码方式来执行动态代码的,而生成的代码就有可能位于标记为不可执行的记忆体区域,这就有可能导致DEP将其检测为非法应用程式而将其关闭。而这些都还有赖于硬体和软体厂商的相互配合解决,当然,这些都是需要的时间。因此,DEP、EDB、EVP等技术都还在向前发展。
防範方法
防範蠕虫病毒
网路蠕虫是一种智慧型化、自动化,综合网路攻击、密码学和计算机病毒技术,无须计算机使用者干预即可运行的攻击程式或代码,它会扫描和攻击网路上存在系统漏洞的节点主机,过区域网路或者国际网际网路从一个节点传播到另外一个节点”。
以下将从企业防範蠕虫病毒和个人用户防範两方面来介绍:
(1)企业防範蠕虫病毒措施:
当前,企业网路主要套用于档案和列印服务共享、办公自动化系统、企业业务(MIS)系统、Internet套用等领域。网路具有便利信息交换特性,蠕虫病毒也可以充分利用网路快速传播达到其阻塞网路目的。企业在充分地利用网路进行业务处理时,就不得不考虑企业的病毒防範问题,以保证关係企业命运的业务数据完整不被破坏。
1.加强网路管理员安全管理水平,提高安全意识。由于蠕虫病毒利用的是系统漏洞进行攻击,所以需要在第一时间内保持系统和套用软体的安全性,保持各种作业系统和套用软体的更新!由于各种漏洞的出现,使得安全不在是一种一劳永逸的事,而作为企业用户而言,所经受攻击的危险也是越来越大,要求企业的管理水平和安全意识也越来越高。
2.建立病毒检测系统。能够在第一时间内检测到网路异常和病毒攻击。
5.对于区域网路而言,可以採用以下一些主要手段:
(1)在网际网路接入口处安装防火墙式防杀计算机病毒产品,将病毒隔离在区域网路之外。
(2)对邮件伺服器进行监控,防止带毒邮件进行传播!
(3)对区域网路用户进行安全培训。
(2)对个人用户产生直接威胁的蠕虫病毒:
在以上分析的蠕虫病毒中,只对安装了特定的微软组件的系统进行攻击,而对广大个人用户而言,是不会安装iis(微软的网际网路伺服器程式,可以使允许在网上提供web服务)或者是庞大的资料库系统的!因此上述病毒并不会直接攻击个个人用户的电脑(当然能够间接的通过网路产生影响),但接下来分析的蠕虫病毒,则是对个人用户威胁最大,同时也是最难以根除,造成的损失也更大的一类蠕虫病毒。
防範木马程式和恶意代码
(1)木马程式的防範:
木马程式会窃取所植入电脑中的有用信息,因此我们也要防止被黑客植入木马程式,常用的办法有:
在下载档案时先放到自己新建的资料夹里,再用防毒软体来检测,起到提前预防的作用。在“开始”→“程式”→“启动”或“开始”→“程式”→“Startup”选项里看是否有不明的运行项目,如果有,删除即可。将注册表里 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的所有以“Run”为前缀的可疑程式全部删除即可。
(2)恶意代码的防範:
用户在上网是最有可能接触到恶意代码,因此,恶意代码成了宽频的最大威胁之一。以前使用Modem,因为打开网页的速度慢,在完全打开前关闭恶意网页还有避免中招的可能性。现在宽频的速度这幺快,所以很容易就被恶意代码攻击。一般恶意代码都是因为加入了用编写的恶意代码才有破坏力的。这些恶意代码就相当于一些小程式,只要打开该网页就会被运行。所以要避免恶意代码的攻击只要禁止这些恶意代码的运行就可以了。运行IE浏览器,点击“工具/Internet选项/安全/自定义级别”,将安全级别定义为“安全级-高”,对“ActiveX控制项和外挂程式”中第2、3项设定为“禁用”,其它项设定为“提示”,之后点击“确定”。这样设定后,当你使用IE浏览网页时,就能有效避免恶意网页中恶意代码的攻击。
邮件病毒的防範
防範邮件病毒的措施有以下几条:1.在收到信的时候,不管是不是认识的还是不认识的,附属档案一定先不要打开,虽然有些E-mail在上传附属档案的时候都进行了防毒,不怕一万就怕万一。除非,你和他正在研究邮件病毒,或者在製造邮件病毒。
2.看见带有附属档案的邮件,可以把附属档案下下来,然后用防毒软体防毒,如果还是怕中毒,你可以这样做。
3.记住自己常用的一些注册网站的管理员信箱,或者记住他们的信箱后缀。在看见这些邮件的时候一点要仔细核对这些信息,使用社会工程学的人一定会伪造一个极像的或者一字之差的信箱与你沟通。例如,前一段时间有一个病毒档案的计算机进程,如下: rundll32.exe(真实的)rund1l32.exe(病毒)rund1132.exe(病毒),你不认真看,一下还真有点看不出来。这样的邮件不管三七二十一,统统不要。
网页病毒的防範措施
1.利用Windows Update功能打全系统补丁,避免病毒从网页方式入侵到系统中。
3.当有未知外挂程式提示是否安装时,请首先确定其来源。
(二)伺服器病毒及网上交易的防範:
1.防护WEB伺服器:
WEB伺服器自身脆弱性:Web伺服器软体自身存在安全问题,如Web伺服器软体预设安装提供了过多的不必要功能,密码过于简单遭到破解,当伺服器管理员使用了不安全协定的软体(如telnet)进行管理时,被监听而导致信息外泄。 Web应用程式安全性差:主要是指CGI程式和ASP、PHP脚本等等程式的安全性。这些程式大大扩展了Web伺服器的功能,但它们往往只重功能而忽视了安全性。
保护WEB服务的方法:
1.用防火墙保护网站,可以有效地对数据包进行过滤,是网站的第一道防线;
2.用入侵监测系统监测网路数据包,可以捕捉危险或有恶意的访问动作,并能按指定的规则,以记录、阻断、发警报等等多种方式进行回响,既可以实时阻止入侵行为,又能够记录入侵行为以追查攻击者;
6.谨慎使用CGI程式和ASP、PHP脚本程式7、使用网路安全检测产品对安全情况进行检测,发现并弥补安全隐患。
3.防护FTP伺服器
(1)禁止匿名登录;
(2)设定访问日誌;
(3)通过访问日誌可以準确得到哪些IP位址和用户访问的準确纪录;
(5)採用NTF.htm target=_blank class=infotextkey>TFS访问许可,运用ACL[访问控制列表]控制对您的FTP目录的的访问;
(6)设定站点为不可视;
(7)使用磁碟配额;
(8)基于IP策略的访问控制;
(9)使用安全密码策略;
(10限制登录次数。
4.防护邮件伺服器:
5.拒绝服务:
对某些域名伺服器的大规模拒绝服务攻击会造成网际网路速度普遍下降或停止运行;域劫持:通过利用客户升级自己的域注册信息所使用的不安全机制,攻击者可以接管域注册过程来控制合法的域;泄漏网路拓朴结构的。保护路由器安全还需要网管员在配置和管理路由器过程中採取相应的安全措施。
1).在使用移动介质(如:随身碟、移动硬碟等)之前,建议先进行病毒查杀。
2).禁用系统的自动播放功能,防止病毒从随身碟、移动硬碟、MP3等移动存储设备进入到计算机。
7.网路交易防範措施:网上银行、线上交易的预防措施:
(1)网上购物时也要选择注册时间相对较长、信用度较高的店铺。
系统防毒措施
在“Melissa”病毒出现之前,人们并未意识到为电子邮件系统提供专门的防病毒保护的重要性。如今,电子邮件系统已从简单的信息发布发展到可提供协作存储器、基于Web的用户界面以及无线设备接入等方面。因此,要从系统角度设计一套全面的防毒计画。
● 部署多层防御战略。伴随着网路的发展,病毒可从多种渠道进入系统,因此在儘可能多的点採取病毒防护措施是至关重要的。其中包括网关防病毒、伺服器及群件防病毒、个人桌面计算机防病毒以及所有防病毒产品的统一管理等。
● 定期更新防病毒定义档案和引擎。在大多数系统了解到使其病毒定义档案保持最新版本的重要性的同时,并不是人人都了解确保检测引擎为最新版本同等重要。一般情况下,更新是自动进行的,但更重要的是应定期检查日誌档案以确保正确地执行了更新。
● 定期备份档案。一旦病毒破坏了您的数据,您可以利用您的存储档案恢复相关档案。建议您制订一个标準程式来定期检查从备份中恢复的数据。
● 为全体职员提供全面的防病毒培训。如果全体职员都了解容易遭受电子邮件病毒攻击的风险、防护措施以及遇到可疑病毒时应该採取的建议性措施等,就可以最大程度地降低系统内大多数病毒的发作。
终端用户防毒措施
随着电子邮件与办公套件套用的日益密切集成,单从电子邮件客户套用的角度来检验防病毒措施的缺陷是不够的。相反,还必须充分保护用户所使用的整个PC。
禁用预览视窗功能。某些电子邮件程式,如 Microsoft Outlook 和 Microsoft Outlook Express,都有一个允许用户不打开信息,而是在一个单独视窗查看此信息的功能,但是因为预览视窗具有处理嵌套脚本的能力,某些病毒只需预览就能够执行。
如果将 Microsoft Word 当作电子邮件编辑器使用,就需要将 NORMAL.DOT 在作业系统级设定成唯读档案。同时将 Microsoft Word 的设定更改为“Prompt to Save Normal Template(保存常规模板)”。许多病毒通过更改 NORMAL.DOT 档案进行自我传播,採取上述措施至少可产生一定的阻止作用。
使用.rtf和.csv来代替.doc和.xls。要想应付宏所产生的问题,可以使用.rtf 格式的字处理文档来代替.doc格式文档,并用.csv格式的电子表格来代替.xls格式电子表格,因为这些格式不支持宏的套用。
删除Windows Scripting Host。如果系统不使用 Windows Script Hosting (WSH),应该考虑删除或禁用它。在 Windows 9x 中的操作方法是,先进入“控制台”,选中“添加/删除程式”,点击“Windows安装程式”选项卡,然后双击“附属档案”。向下滚动到“Windows Script Host”之处,删除此项,最后选择“确定”。操作完毕可能需要重新启动系统。
使用收件箱规则来处理可疑的电子邮件。如果系统不採用基于伺服器的电子邮件内容过滤方式,可以使用电子邮件收件箱规则来自动删除可疑信息或将其移到专门的资料夹中。不要打开来源不明、可疑或不安全的电子邮件上的任何附属档案。一定要确保所有电子邮件附属档案的来源是合法规範的。
不轻易下传病毒警告。由于病毒本身和恶作剧式的非法警告数量庞大,下传这类病毒警告将会无谓地浪费时间和空间。在将警告传给其他人之前,应先查看防病毒产品供应商的网站,以确定系统是否已得到保护或者这只是个恶作剧。
伺服器防毒措施
有些人以为只要他们保护了自己的电子邮件网关和内部的桌面计算机,就无需基于电子邮件伺服器的防病毒解决方案了。这在几年前或许是对的,但是目前随着基于 Web 的电子邮件访问、公共资料夹以及访问存储器的映射网路驱动器等方式的出现,病毒可以通过多种方式进入电子邮件伺服器。这时,就只有基于电子邮件伺服器的解决方案才能够检测和删除受感染项。 拦截受感染的附属档案。许多利用电子邮件传输方式的病毒传播者(又称“海量寄件者”)经常利用可在大多数计算机中找到的执行档,如EXE、VBS和SHS散布病毒。实际上,大多数电子邮件用户并不需要接收带这类档案扩展的附属档案,因此当它们进入电子邮件伺服器或网关时可以将其拦截下来。
安排全面随机扫描。即使能够保证使用所有最新的手段防範病毒,新型病毒也总是防不胜防。它们有可能乘人们还没来得及正确识别,防病毒产品厂商也尚未相应地制定出新的定义档案之前,进入系统。通过使用最新定义档案,对所有数据进行全面、随机地扫描,确保档案中没有任何受感染档案矇混过关,就显得尤为重要。
试探性扫描。利用试探性扫描,可以寻找已知病毒的特徵,以识别是已知病毒变异的新病毒,提供较高级别的保护,但缺点是它需要更多的处理时间来扫描各项病毒,而且偶尔还会产生错误的识别结果。不管怎样,只要伺服器配置正确,根据性能的需要,利用试探性扫描提供额外保护,还是值得一试的。
用防病毒产品中的病毒发作应对功能。海量邮寄带来的病毒可以迅速传遍一个系统。对于管理员而言,没有防病毒厂商所提供的适当的检测驱动程式,要根除这些病毒是极其费力的。幸运的是,某些病毒防护产品提供了系统设定功能,一旦出现特定病毒发作的特徵,这些产品就会自动发出通知或採取修正措施。
重要数据定期存档。并非所有病毒都立即显示出自己的特徵;根据感染位置以及系统的设定情况,有些病毒可能要潜伏一段时间才能被发现。最好是至少每月进行一次数据存档,这样,如前所述,在防病毒解决方案的自动删除功能不起作用时,就可以利用存档档案,成功地恢复受感染项。
主要内容
1、病毒查杀能力
病毒查杀能力是衡量网路版防毒软体性能的重要因素。用户在选择软体的时候不仅要考虑可查杀病毒的种类数量,更应该注重其对流行病毒的查杀能力。很多厂商都以拥有大病毒库而自豪,但其实很多恶意攻击是针对政府、金融机构、入口网站的,而并不对普通用户的计算机构成危害。过于庞大的病毒库,一方面会降低防毒软体的工作效率,同是也会增大误报、误杀的可能性。
2、对新病毒的反应能力
对新病毒的反应能力也是考察防病毒软体查杀病毒能力的一个重要方面。通常,防病毒软体供应商都会在全国甚至全世界建立一个病毒信息收集、分析和预测的网路,使其软体能更加及时、有效地查杀新出现的病毒。这一蒐集网路体现了软体商对新病毒的反应能力。
3、病毒实时监测能力
对网路驱动器的实时监控是网路版防毒软体的一个重要功能。很多企业中,特别是网咖、学校、机关中有一些老式机器因为资源、系统等问题不能安装防毒软体时,就需要用该功能进行实时监控。同时,实时监控还应识别儘可能多的邮件格式,具备对网页的监控和从连线埠进行拦截病毒邮件的功能。
4、快速、方便的升级能力
和个人版防毒软体一样,只有不断更新病毒资料库,才能保证网路版防病毒软体对新病毒的查杀能力。升级的方式应该多样化,防病毒软体厂商必须提供多种升级方式,特别是对于公安、医院、金融等不能连线到公共网际网路的用户,必须要求厂商提供除Internet以外的本地伺服器、本机等升级方式。自动升级的设定也应该多样。
5、智慧型安装、远程识别
6、管理方便,易于操作
系统的可管理性是系统管理员尤其需要注意的问题,对于那些多数员工对计算机知识不是很了解的单位,应该限制客户端对软体参数的修改许可权;对于软体开发、系统集成等科技企业,根据员工对网路安全知识的了解情况以及工作需要,可适当开放部分参数设定的许可权,但必须做到可集中控管。对于网路管理技术薄弱的企业,可以考虑採用远程管理的措施,把企业用户的防病毒管理交给专业防病毒厂商的控制中心专门管理,从而降低用户企业的管理难度。
7、对资源的占用情况
防病毒程式进行实时监控都或多或少地要占用部分系统资源,这就不可避免地要带来系统性能的降低。如一些单位上网速度太慢,有一部分原因是防病毒程式对档案过滤带来的影响。企业应该根据自身网路的特点,灵活配置网路版防病毒软体的相关设定。
8、系统兼容性与可融合性
系统兼容性是选购防病毒软体时需要考虑的事。防病毒软体的一部分常驻程式如果跟其它软体不兼容将会带来很多问题,比如说引起某些第三方控制项的无法使用,影响系统的运行。在选购安装时,应该经过严密的测试,以免影响正常系统的运行。对于机器作业系统千差万别的企业,还应该要求网路版防病毒能适应不同的作业系统平台。
区域网路技术
区域网路安全未来的趋势是SCM(SecurityComplianceManagement,安全合规性管理)。从被动回响到主动合规、从日誌协定到业务行为审计、从单一系统到异构平台、从各自为政到整体运维是SCM的四大特点,精细化的区域网路管理可以使现有的区域网路安全达到真正的“可信”。
目前,区域网路安全的需求有两大趋势:一是终端的合规性管理,即终端安全策略、档案策略和系统补丁的统一管理;二是区域网路的业务行为审计,即从传统的安全审计或网路审计,向对业务行为审计的发展,这两个方面都非常重要。
(2)从日誌协定审计到业务行为审计。传统的审计概念主要用于事后分析,而没有办法对业务行为的内容进行控制,SCM审计要求在合规行为下实现对业务内容的控制,实现对业务行为的认证、控制和审计。
(3)对于区域网路来说,儘管Windows一统天下,但是随着业务的发展,Unix、Linux等平台也越来越多地出现在企业的信息化解决方案中,这就要求区域网路安全管理实现从单一系统到异构平台的过渡,从而避免了由异构平台的不可管理引起的安全盲点的出现。
厂商及产品
瑞星
是国产杀软的龙头老大,其监控能力是十分强大的,但同时占用系统资源较大。瑞星採用第八代防毒引擎,能够快速、彻底查杀大小各种病毒,这个绝对是全国顶尖的。但是瑞星的网路监控不行,最好再加上瑞星防火墙弥补缺陷。另外,瑞星2009的网页监控更是疏而不漏,这是云安全的结果。
金山毒霸
江民
是一款老牌的防毒软体了。它具有良好的监控系统,独特的主动防御使不少病毒望而却步。建议与江民防火墙配套使用。本人在多次病毒测试中,发现江民的监控效果非常出色,可以与国外杀软媲美。占用资源不是很大。是一款不错的防毒软体。另外江民2009与360安全卫士有冲突,建议选择其一安装。
卡巴斯基
卡巴斯基是俄罗斯民用最多的防毒软体
在防毒软体的历史上,有这样一个世界纪录:让一个防毒软体的扫描引擎在不使用病毒特徵库的情况下,扫描一个包含当时已有的所有病毒的样本库。结果是,仅仅靠“启发式扫描”技术,该引擎创造了95%检出率的纪录。这个纪录,是由AVP创造的。
卡巴斯基总部设在俄罗斯首都莫斯科,Kaspersky Labs是国际着名的信息安全领导厂商。公司为个人用户、企业网路提供反病毒、防黒客和反垃圾邮件产品。经过十四年与计算机病毒的战斗,被众多计算机专业媒体及反病毒专业评测机构誉为病毒防护的最佳产品。
诺顿
诺顿是Symantec公司个人信息安全产品之一,亦是一个广泛被套用的反病毒程式。到2009年,该项产品的发展,除了原有的防毒外,还有防间谍等网路安全风险的功能。诺顿反病毒产品包括:诺顿网路安全特警 (Norton Internet Security)诺顿反病毒(Norton Antivirus)诺顿360(Norton ALL-IN-ONE Security)诺顿计算机大师(Norton SystemWorks)等产品。赛门铁克另外还有一种专供企业使用的版本被称做Symantec Endpoint Protection 。
NOD32
NOD32是ESET公司的产品,为了保证重要信息的安全,在平静中呈现极佳的性能。不需要那些庞大的网际网路安全套装,ESET NOD32就可针对肆虐的病毒威胁为人们提供快速而全面的保护。它极易使用,人们所要做的只是:设定它,并忘记它!
安全卫士360
360安全卫士软体硬碟占用很小,运行时对系统资源的占用也相对效低,是一款值得普通用户使用的较好的安全防护软体。
微点
主动防御软体
是北京东方微点信息技术有限责任公司自主研发的具有完全自主智慧财产权的新一代反病毒产品,在国际上首次实现了主动防御技术体系,并依此确立了反病毒技术新标準。微点主动防御软体最显着的特点是,除具有特徵值扫描技术查杀已知病毒的功能外,更实现了用软体技术模拟反病毒专家智慧型分析判定病毒的机制,自主发现并自动清除未知病毒。
费尔托斯特
(Twister Anti-TrojanVirus) 是一款同时拥有反木马、反病毒、反Rootkit功能的强大防毒软体。拥有海量的病毒特徵库,支持Windows安全中心,支持右键扫描,支持对ZIP、RAR等主流压缩格式的全面多层级扫描。能对硬碟、软碟、光碟、移动硬碟、网路驱动器、网站浏览Cache、E-mail附属档案中的每一个档案活动进行实时监控,并且资源占用率极低。先进的动态防御系统(FDDS)会动态跟蹤电脑中的每一个活动程式,智慧型侦测出其中的未知木马病毒,并拥有极高的识别率。解疑式线上扫描系统可以对检测出的可疑程式进行线上诊断扫描。 SmartScan快速扫描技术使其具有非凡的扫描速度。国际一流的网页病毒分析技术,拥有最出色的恶意网站识别能力。能够识别出多种经过加壳处理的档案,有效防範加壳木马病毒。它的“系统快速修工具”可以对IE、Windows、注册表等常见故障进行一键修复。 “木马强力清除助手”可以轻鬆清除那些用普通防毒软体难以清除掉的顽固性木马病毒,并可抑制其再次生成。注册表实时监控能够高效阻止和修复木马病毒对注册表的恶意破坏。支持病毒库线上增量升级和自动升级,不断提升对新木马新病毒的反应能力。 费尔托斯特安全提供的一系列安全保护措施可以让电脑变得更加稳固,是最值得信赖的安全专家。
avast
来自捷克斯洛伐克的avast!,已有数十年的历史,它在国外市场一直处于领先地位。avast!的实时监控功能十分强大,免费版的avast!antivirus home edition它拥有七大防护模组:网路防护、标準防护、网页防护、即时讯息防护、网际网路邮件防护、P2P防护、网路防护。免费版的需要每年注册一次,注册是免费的!收费的avast!antivirus professional还有脚本拦截、PUSH 更新、命令行扫描器、增大用户界面等4项家庭版没有的功能。
avast!是捷克一家软体公司(ALWIL Software)的产品。ALWIL软体公司的研发机构在捷克的首都-布拉格,他们和世界上许多国家的安全软体机构都有良好的合作关係。早在80年代末ALWIL公司的安全软体已经获得良好的市场占有率,但当时仅限于捷克地区。
McAfee
McAfee是全球最畅销的防毒软体之一,McAfee防毒软体, 除了操作介面更新外,也把该公司的WebScanX功能合在一起,增加了许多新功能, 除了帮助侦测和清除病毒,它还有VShield自动监视系统,会常驻在System Tray,当从磁碟、网路上、E-mail夹档案中开启档案时便会自动侦测档案的安全性,若档案内含病毒,便会立即警告,并作适当的处理,而且支持滑鼠右键的快速选单功能,并可使用密码把个人的设定锁住让别人无法乱改设定。
本文由'宜代天'发布,不代表演示站立场,转载/删除联系作者,如需删除请-> 关于侵权处理说明。
相关推荐
-
8开纸是几个a4的大小?
系统,装入,编号,几何平均,美国,两个A4纸A4纸是由国际标准化组织的ISO 216定义的,规格为21cm×29.7cm(210mm×297mm),世界上多数国家所使用的纸张尺寸都是采用这一国际标准。这个标准最初是被魏玛共和国在1922年纳入DIN(编号是DIN 476),虽然其中一些格式法国在同一时期也自行研发出来,不过之后就被遗忘了。ISO 216定义了A、B、C三组纸张尺寸。C组纸张尺寸主要使用于信封。A组纸张尺寸的长宽比都是√2:1...
-
3升等于多少斤
中国,毫升,单位,密度,可得,升是体积单位;斤是重量单位;因为两者的单位不同;所以是无法直接进行换算的以水为例,3l水的重量为6斤。升是体积单位,斤是重量单位,因为两者的单位不同,所以是无法直接进行换算的。不过重量可以通过密度和体积来计算,计算公式为:重量=密度乘以体积。以3l水为例:水的密度是1000kg每立方米,体积为3升,那么水的重量是多少?根据换算公式可得,3升等于0.003立方米;1000kg每立方米×0.003立方米=3kg;将...
-
电脑保修期一般多长时间
硬件,系统,多长时间,损坏,主板,一般情况下,笔记本主板部件和主要部件保修两年,其他部件保修一年一般情况下,笔记本主板部件和主要部件保修两年,其他部件保修一年。但是现在来说,大多数的笔记本售后支持的时间都支持付费延保,少则一年,多则三年。这样,笔记本最长保修时间可以达到五年,但不同的厂家的保修政策不一样,需要用户分别查询,或者直接打电话到售后询问。电脑各部件的具体保修时间如下:1、CPU的一般盒装时间是三年,散包的时间为一年;2、内存一般都...
-
否极泰来的上一句和下一句
六十四卦,注释,周易,理论,系统,上一句:物极必反。下一句:乐极生悲“否极泰来”的上一句是:物极必反。“否极泰来”的下一句是:乐极生悲。“否极泰来”意思是逆境达到极点,就会向顺境转化,指坏运到了头好运就来了。出处《周易否》:“否之匪人,不利君子贞,大往小来。”周易《易传》是现存最早、最系统的注释《周易》的著作。它的成书对《周易》产生了很大的影响,是学习、研究《周易》的必读之书。从抽象意义上对《周易》作了注释,即将《周易》六十四卦三百八十四爻...
-
lne等于多少
常多,运算符,证明,科学技术,运算,等于1等于1。lnx 指的是 以e为底x的对数,所以为1。ln是什么㏑即“自然对数”,以e为底数的对数通常用于㏑,而且e还是一个超越数e在科学技术中用得非常多,一般不使用以10为底数的对数。以e为底数,许多式子都能得到简化,用它是最“自然”的,所以叫“自然对数”。e约等于2.71828........e = 2。718281828459,那lne又怎么说是等于一呢?lnx 指的是 以e为底x的对数 所以...
