网络安全9病毒课件(1308KB).ppt

病毒的介绍- 蠕虫程序 蠕虫程序是一种通过某种网络媒介---电子邮件、远程执行、远程登陆、TCP/IP等自身从一台计算机复制到其它计算机的程序。与病毒在文件之间进行传播不同，它们是从一台计算机传播到另一台计算机，从而感染整个系统。 蠕虫与病毒的区别在于“附着”。蠕虫不需要宿主，不会与其他特定程序混合，自行通过网络连接或邮件传播。病情表现 蠕虫可以大量地消耗计算机时间和网络通信带宽，导致整个计算机系统及其网络的崩溃，成为拒绝服务攻击的工具。 由于它大多是一个可执行文件，因此产生的危害行为更严重，如可植入木马，进行破坏活动。 典型病毒如： 冲击波Worm.Blaster病毒、 2003蠕虫王(Wkiller 2003)病毒 、尼姆达（Nimda）病毒 病毒的介绍- 木马(trojan horse)程序 木马泛指那些内部包含有为完成特殊任务而编制的代码的程序，其为包含在有用或者看起来有用的程序或命令过程中的隐秘代码段，一种潜伏执行非授权功能的技术，木马本身不进行自我复制。 木马的欺骗性是其得以传播的根本原因，经常伪装成游戏软件、搞笑程序、屏保、非法软件、色情资料等，上载到电子新闻组或通过电子邮件直接传播，很容易被不知情的用户接收和继续传播。 存在位置:用寄生，或是作为邮件附件 病情表现:与儒虫病毒类似 逻辑炸弹是指修改计算机程序，使它在某种特殊条件下按某种不同的方式运行，逻辑炸弹也是有程序员插入其它程序代码中间的，但并不进行自我复制。 逻辑炸弹的出现早于病毒和蠕虫，逻辑炸弹实际上是嵌入在合法程序中的代码段，在某些条件满足的时候该炸弹引爆，这些条件如包括特定文件的出现，某一星期中的一个特定日子，或者某特的用户运行了程序，一旦引爆，逻辑炸弹将修改、删除数据和文件，使系统停机或带来一些其它的危害。 一个著名的例子是美国马里兰州某县的图书馆系统，开发该系统的承包商在系统中插入了一个逻辑炸弹，如果承包商在规定日期得不到全部酬金，它将在该日期使整个系统瘫痪。当图书馆因系统响应时间过长准备扣留最后酬金时，承包商指出了逻辑炸弹的存在，并威胁如果酬金不到位的话就会让它爆炸。 病毒的介绍- 逻辑炸弹程序 病毒防御 有效的病毒防治部署是采用基于网络的多层次的病毒防御体系。该体系在整个网络系统的各组成环节处，包括客户端、服务器、Internet网关和防火墙，设置防线，形成多道防线。即使病毒突破了一道防线，还有第二、第三道防线拦截，因此，能够有效地遏制病毒在网络上的扩散 客户端病毒防御 客户端主要是指用户桌面系统和工作站，它们是主要的病毒感染源。因此，有必要在客户端实施面向桌面系统和工作站的病毒防治措施，增强客户端系统的抗病毒能力。 客户端病毒防御是传统防御模式，作为固守网络终端的最后防线。 客户端防御对于广大家庭用户、小型网络用户无论是在效果、管理、实用价值上都有意义的：阻止来自软盘、光盘、共享文件、互联网的病毒入侵，进行重要数据备份等其他功能，防护单台计算机。 服务器病毒防御 整体上,根据网络操作系统使用情况，服务器必须配备相应防病毒软件，基于多个操作系统如UNIX/LINUX、Windows/98NT/2000、及dos等，全方位的防卫病毒的入侵。 对于电子邮件服务器，如Microsoft Exchange和Lotus Notes/Domino服务器，要特别重点保护，因为电子邮件是目前传播最快、范围最广、危害最大的蠕虫病毒的最主要的传播途径。 在局域网内配备网络防病毒管理平台，如在网管中心中，配备病毒集中监控中心，集中管理整个网络的病毒疫情， 在各分支网络也配备监控中心，以提供整体防病毒策略配置，病毒集中监控，灾难恢复等管理功能，工作站、服务器较多的网络可配备软件自动分发中心。 广域网络病毒防御 在局域网病毒防御的基础上构建广域网总部病毒报警查看系统，监控本地、远程异地局域网病毒防御情况，统计分析整个集团网络的病毒爆发种类、发生频度、易发生源等信息。 广域网病毒防御策略是基于三级管理模式：单机终端杀毒-局域网集中监控-广域网总部管理。 邮件网关病毒防御 政府机关、军队、金融、及科研院校等机构办公自动化（OA）系统中的邮件服务器作为内部网络用户邮件的集中地和发散地，也成为病毒邮件、垃圾邮件进出的门户，如果能够在网络入口处将邮件病毒、邮件垃圾截杀掉，则可以确保内部网络用户收到安全无病毒的邮件。 邮件网关防毒系统放置在邮件网关入口处，接收来自外部的邮件，对病毒、不良邮件（如带有色情、政治反动色彩）等进行过滤，处理完毕后再将安全邮件转发至邮件服务器，全面保护内部网络用户的电子邮件安全。 防火墙联动防御 在网络出口处设置了有效的病毒过滤系统，防火墙将数据提交给网关杀毒系统进行检查，如有病毒入侵，网关防毒系统将通知防火墙立刻阻断病毒攻击的IP。 利用防火墙实