05恶意代码分析与防护.ppt

恶意代码分析与防护 恶意代码分析与防护 什么是恶意软件 恶意软件的特征 传输机制 负载 触发机制 防护机制 防护机制 防护机制 防护机制 防护机制 恶意代码分析与防护 恶意软件的威胁方法 客户端防护 客户端的病毒防护步骤 客户端应用程序的防病毒设置 服务器防护 服务器的病毒防护步骤 网络防护层 网络防护层 物理安全性 恶意代码分析与防护 突发控制与恢复 深层防护安全模型 集中的深层防护视图 深层病毒防护 恶意软件的威胁方法 恶意软件防护方法 客户端防护 服务器防护 网络防护层 物理安全性 策略、过程和意识 客户端的病毒防护步骤 客户端应用程序的防病毒设置 步骤 1：减小攻击面 步骤 2：应用安全更新 步骤 3：启用基于主机的防火墙 步骤 4：安装防病毒软件 步骤 5：测试漏洞扫描程序 步骤 6：使用最少特权策略 步骤 7：限制未授权的应用程序 电子邮件客户端 桌面应用程序 即时消息应用程序 Web 浏览器 对等应用程序 深层病毒防护 恶意软件的威胁方法 恶意软件防护方法 客户端防护 服务器防护 网络防护层 物理安全性 策略、过程和意识 服务器的病毒防护步骤 一般的服务器防病毒软件 角色特定的防病毒配置和软件 客户端的病毒防护步骤 客户端应用程序的防病毒设置 服务器的病毒防护步骤 使用漏洞扫描程序进行测试。使用Nessus /MBSA (Windows Server 2003 ) 等漏洞扫描程序帮助识别服务器配置中可能存在的漏洞。 4. 启用基于主机的防火墙。Windows Server 2003/XP, Linux 都包括基于主机的防火墙，可以使用它减小服务器的攻击面以及删除不需要的服务和应用程序。 3. 应用安全更新。如有可能，请确保所有服务器计算机运行的都是必威体育精装版的安全更新。根据需要执行其他测试，以确保新的更新不会对关键任务服务器产生负面影响。 2. 减小攻击面。从服务器中删除不需要的服务和应用程序，将其攻击面减到最小。 1. 一般的服务器防病毒软件 为客户端环境（如 Windows XP）设计的防病毒应用程序和为服务器环境（如 Windows Server 2003）设计的防病毒应用程序之间的主要差异在于，基于服务器的扫描程序和任何基于服务器的服务（如消息服务或数据库服务）之间的集成级别。许多基于服务器的防病毒应用程序还提供了远程管理功能，以最大限度地减少物理访问服务器控制台的需要。 角色特定的防病毒配置和软件 协作服务器如运行 Microsoft Windows SharePoint Services 和 Microsoft Office SharePoint Portal Server 2003 的服务器 ? 数据库服务器如运行 Microsoft SQL Server 2000 的服务器 ? 消息服务器如 Microsoft Exchange 2003 ? Web 服务器如 Microsoft Internet 信息服务 (IIS) ? 深层病毒防护 恶意软件的威胁方法 恶意软件防护方法 客户端防护 服务器防护 网络防护层 物理安全性 策略、过程和意识 网络防病毒配置 有许多专门设计用于为组织提供网络安全的配置和技术。虽然这些是组织安全设计的重要部分，但是这里仅集中说明与恶意软件防护有直接关系的区域。网络安全和设计小组应该确定在组织中如何使用以下每种方法： 网络入侵检测系统 、应用程序层筛选、内容扫描、URL 筛选、隔离网络 网络入侵检测系统 应用程序层筛选 内容扫描 URL 筛选 隔离网络 深层病毒防护 恶意软件的威胁方法 恶意软件防护方法 客户端防护 服务器防护 网络防护层 物理安全性 策略、过程和意识 与其说物理安全性是特定的恶意软件问题，不如说它是一般的安全问题，但是如果没有用于组织基础结构中所有客户端、服务器和网络设备的有效物理防护计划，则无法避免恶意软件的攻击。在有效的物理防护计划中有许多关键元素，其中包括： (1)建立安全性; (2)人员安全性; (3)网络接入点; (4)服务器计算机; (5)工作站计算机; (6)移动计算机和设备 深层病毒防护 恶意软件的威胁方法 恶意软件防护方法 客户端防护 服务器防护 网络防护层 物理安全性 策略、过程和意识 策略、过程和意识 客户端、服务器和网络的操作策略及过程是组织中病毒防护层的基本方面。建议将以下策略和过程视为组织深层病毒防护解决方案的一部分： 允许的应用程序和服务的相关策略。应该存在明确传达的策略，以说明在组织的计算机上允许使用哪些应用程序以及哪些可以访问组织资源。可以导致问题的应用程序的示例包括：对等网络应用程序和用户可能直接从恶意网站下载的应用程序。 ? 防病毒签名更新例程。大多数的现代防病毒应用程序支持