网络安全基础

网络安全—网络安全基础

一、信息安全管理基础

1.1 信息安全概述

1.1.1 信息安全面临的主要问题

1、人员问题：

信息安全意识薄弱的员工误操作、误设置造成系统宕机、数据丢失，信息泄漏

等问题

特权人员越权访问，如：系统管理员，应用管理员越权访问、传播敏感数据

内部员工和即将离职员工窃取企业秘密，尤其是骨干员工流动、集体流动等

2、技术问题：

病毒和黑客攻击越来越多、爆发越来越频繁，直接影响企业正常的业务运作

3、法律方面

网络滥用：员工发表政治言论、访问非法网站

法制不健全，行业不正当竞争（如：窃取机密，破坏企业的业务服务）

1.1.2 信息安全的相对性

安全没有100%，完美的健康状态永远也不能达到。

安全工作的目标：将风险降到最低。

第2 章计算机病毒及防范技术

2.1 计算机病毒介绍

2.1.1 计算机病毒定义

什么是病毒?

医学上的病毒定义：是一类比较原始的、有生命特征的、能够自我复制和在细胞内寄

生

的非细胞生物。

什么是计算机病毒?

计算机病毒通常是指可以自我复制，以及向其他文件传播的程序

2.1.2 计算机病毒起源和发展史

而

制

开心

粹寻计算机病毒的来源多种多样，有的是计算机工作人员或业余爱好者为了纯

复性

罚

惩

制造的报

造出来的，有的则是软件公司为保护自己的产品被非法拷贝而

“计算机病毒”这一概念是1977年由美国著名科普作家“雷恩”在一部科幻小说《P1

的青春》中提出

1983年美国计算机安全专家“考因”首次通过实验证明了病毒的可实现性。

1987年世界各地的计算机用户几乎同时发现了形形色色的计算机病毒，如大麻、IBM 圣诞树、黑色星期五等等

1989年全世界的计算机病毒攻击十分猖獗，其中“米开朗基罗”病毒给许多计算机用

。、

户造成极大损失

1991年在“海湾战争”中，美军第一次将计算机病毒用于实战

1999年Happy99等完全通过Internet传播的病毒的出现标志着I nternet病毒将成为病毒新

的增长点。

⋯⋯

2.1.3 传统计算机病毒分类

传统计算机病毒分为：

引导型病毒

DOS病毒

Windows病毒

宏病毒

脚本病毒

2.1.4 现代计算机病毒介绍

特洛伊木马：特洛伊木马程序往往表面上看起来无害，但是会执行一些未预料或未经授权，通常是恶意的操作。

玩笑程序：玩笑程序是普通的可执行程序，这些程序建立的目的是用于和计算机用户开

玩笑。这些玩笑程序设计时不是致力于破坏用户的数据，但是某些不知情的用户可能会引发

不正当的操作，从而导致文件的损坏和数据的丢失。

病毒或恶意程序Droppers：病毒或恶意程序Droppers被执行后，会在被感染系统中植入

病毒或是恶意程序，在病毒或恶意程序植入后，可以感染文件和对系统造成破坏。

后门程序：后门程序是一种会在系统中打开一个秘密访问方式的程序，经常被用来饶过系统安全策略。

DDos攻击程序：DDos 攻击程序用于攻击并禁用目标服务器的web服务，导致合法用户无法获得正常服务。如下图所示：

图：DDOS 攻击示意图

2.1.5 网络病毒介绍

网络病毒的概念：利用网络协议及网络的体系结构作为传播的途径或传播机制，并对网络或联网计算机造成破坏的计算机病毒称为网络病毒。

网络病毒的特点及危害：破坏性强、传播性强、针对性强、扩散面广、传染方式多

网络病毒同黑客攻击技术的融合为网络带来了新的威胁。攻击者可以用病毒作为网络攻

击的有效载体，呈几何级地扩大破坏能力。

网络攻击的程序可以通过病毒经由多种渠道广泛传播，攻击程序可以利用病毒的隐蔽性

来逃避检测程序的搜查，病毒的潜伏性和可触发性使网络攻击防不胜防，许多病毒程序可以直接发起网络攻击，植入攻击对象内部的病毒与外部攻击里应外合，破坏目标系统。

2.2 计算机病毒分析与防护

2.2.1 病毒的常见症状及传播途径

（一）病毒的常见症状

电脑运行比平常迟钝

程序载入时间比平常久

对一个简单的工作，磁盘似乎花了比预期长的时间

不寻常的错误信息出现

硬盘的指示灯无缘无故的亮了

系统内存容量忽然大量减少

可执行程序的大小改变了

内存内增加来路不明的常驻程序

文件奇怪的消失

文件的内容被加上一些奇怪的资料

文件名称，扩展名，日期，属性被更改过

（二）病毒的常见传播途径

文件传输介质：例如CIH病毒，通过复制感染程序传播

电子邮件：例如梅丽莎病毒，第一个通过电子邮件传播的病毒

网络共享：例如WORM_OPASERV.F 病毒可以通过网络中的可写共享传播

文件共享软件：例如WORM_LIRVA.C 病毒可以通过Kazaa点对点文件共享软件传播

2.2.2 病毒传播或感染途径

病毒感染的常见过程：通过某种途径传播，进入目标系统，自我复制,并通过修改系统设置实现随系统自启动，激活病毒负载的预定功能。

·打开后门等待连接

·发起DDOS 攻击

·进行键盘记录

除引导区病毒外，所有其他类型的病毒，无一例外，均要在系统中执行病毒代码，才能实现感染系统的目的。

1、利用电子邮件感染病毒：邮件附件为病毒压缩文件，HTML 正文可能被嵌入恶意脚本，利用社会工程学进行伪装，增大病毒传播机会，传播速度非常快

2、利用网络共享感染病毒：

病毒会搜索本地网络中存在的共享，如ADMIN$ ,IPC$,E$ ,D$,C$

通过空口令或弱口令猜测，获得完全访问权限，有的病毒自带口令猜测列表

将自身复制到网络共享文件夹中，通常以游戏,CDKEY 等相关名字命名

利用社会工程学进行伪装，诱使用户执行并感染。例如：WORM_SDBOT 等

病毒

3、利用P2P共享软件感染病毒：

将自身复制到P2P共享文件夹，通常以游戏,CDKEY 等相关名字命名

通过P2P软件共享给网络用户

利用社会工程学进行伪装，诱使用户下载

WORM_PEERCOPY.A 等病毒

4、利用系统漏洞感染病毒：

由于操作系统固有的一些设计缺陷,导致恶意用户可以通过畸形的方式利用这

些缺陷,达到在目标机器上执行任意代码的目的,这就是系统漏洞。

病毒往往利用系统漏洞进入系统, 达到快速传播的目的。

常被利用的漏洞：

·RPC-DCOM 缓冲区溢出(MS03-026)

·Web DAV (MS03-007)

·LSASS (MS04-011)

2.2.3 病毒自启动方式

? 修改系统

–修改注册表

? 启动项

? 文件关联项

? 系统服务项

? BHO 项