防病毒管理制度
1.总则
计算机防病毒、攻击系统是公司防病毒体系的具体防护系统软件。无论是业务网还是办公网,只要可能遭受计算机病毒侵袭的服务器和桌面机都要安装防病毒软件,安装了windows操作系统的计算机都要安装统一部署的防病毒软件产品。
目前公司的防护软件是 赛门铁克(Symantec Antivirus)软件
2.防护软件客户端分发原则
2.1 规范分发原则的意义
出于正版防护软件的验证需求考虑,必须规范的管理公司防护软件客户端的分配原则,避免因为客户端相互冲突造成的业务系统计算机防护软件失效,从而给业务系统的稳定造成隐患。防护软件客户端配置标准
3.1 规范防护软件客户端配置标准的意义
针对需求计算机系统版本制定规范的客户端配置标准,有利于防护软件客户端的统筹管理,从而减轻系统运营部防护软件管理的工作压力,使得公司防护软件的管理更加有序。防护软件服务端的配置标准
4.1 规范防护软件服务端的配置标准的意义
参照Symantec 技术文档制定的Linux/Unix操作系统的服务端配置标准,有利于防护系统的维护、更新、备份,便于防护系统的统计和分析工作
5.防护软件服务端的更新方案
防护软件服务端的更新工作,目的是要保持公司防护软件的同步性,是有效防御新型病毒、攻击的重要手段。
6.防护软件服务端日志备份方案
由于防护软件服务端对各种客户端防御日志都进行了记录,防护软件的数据冗余速度是很快的,而防御日志是灾难恢复时所必须的一个信息参照,所以对防护软件服务端的日志备份工作是必要的。
7.防护软件服务端监测方案
随着国家电网公司SG186信息化工程建设的不断深入, 对网络安全运行的要求越来越高, 涉及防火墙、入侵检测、CA、加密、网络管理等。其中, 防病毒系统是最基本而又最重要的部分。由于计算机病毒的无孔不入, 从计算机终端、服务器、E-mail到Internet网关服务器, 网络管理人员莫不严阵以待, 安装各式防病毒软件以防止病毒入侵所造成的损失。电力系统大型网络, 一般都已采取了全方位的病毒防护措施, 拥有了几乎所有的防病毒软件。这带来了新的问题:防病毒软件多了, 情况复杂, 需要全面管理。网络管理人员想了解全公司防病毒软件安装、病毒库升级以及病毒记录时, 必须登录到防病毒软件服务器去查看, 并将所有产品的记录文件汇总;需要改变某些病毒防御策略时, 也要使用不同的防病毒软件管理工具。
目前国家电网公司各单位已全面部署桌面终端标准化管理系统, 功能具体包括资产管理、软件管理、补丁管理以及安全管理, 已具备对主流的防病毒软件进行识别管理, 包括防病毒软件的安装和启用情况。但是无法获取并分析、统计防病毒系统日志以及对未知的病毒行为进行侦测、集中运行状态监控等, 做到对多种防病毒系统的综合控制管理。
为此, 需要一套能够对多种防病毒软件客户端进行集中管理的综合防病毒产品统一安全管理平台, 提供对不同厂商的防病毒软件的统计、分析和监控管理。通过这个平台可集中进行防病毒系统日志分析、运行状态监控, 形成防病毒安全管理信息库规范和中间件产品, 同时提供统一的演示平台和通用的开放接口等。
1 功能设计
(1) 防病毒软件识别:支持的防病毒产品包括网络版、网关版和单机版。
(2) 防病毒软件控制:实现对全网计算机终端所安装的不同防病毒软件进行远程控制病毒查杀、查杀盘符选择, 以及通过策略控制实现定时操作等。
(3) 防病毒日志信息拦截:在计算机终端安装防病毒软件条件下, 查杀病毒同时, 对所查杀的病毒日志进行拦截, 在控制台进行告警并存储。
(4) 防病毒日志信息采集及集中分析:针对采集的所有防病毒软件信息进行汇总统计, 动态分析网络、主机病毒安全态势。
(5) 防病毒系统软件统一升级控制:针对网络中不同的防病毒软件, 搭建统一升级平台, 将不同厂商防病毒软件的最新升级文件放在指定位置, 由各计算机终端代理程序按照策略下载安装。
(6) 防病毒产品统一安全管理平台管理信息库:为统一管理、监控不同防病毒软件产品而建立的标识信息数据库, 能够实现对各种防病毒软件的识别、调度、控制、信息存储等关联处理功能, 具有可扩容性、可修订性。信息库数据规范格式如表1所示。
(7) 防病毒产品统一安全管理平台具有开放性, 其管理信息库可以根据规则添加新产生的防病毒软件信息, 以应对市场上出现的新的厂商防病毒软件和新版本的防病毒软件。
2 平台架构
防病毒产品统一安全管理平台采用C/S模式, 主要由以下模块组成:防病毒软件识别模块、病毒信息获取模块、未知病毒行为检测模块、守护模块、分析处理模块、策略执行模块、数据上报模块等。平台架构如图1所示。
防病毒软件识别模块、病毒信息获取模块、未知病毒行为检测模块主要用来获取病毒相关的信息;守护模块用来守护平台的运行状态, 防止平台由于意外被停止的情况;分析处理模块用来控制和管理平台的各个模块;策略执行模块用于执行强制升级、杀毒等管理中心下发的策略;数据上报模块用来进行数据的传递, 并提供开放的API接口。
同时该平台采用统一的管理界面, 集中显示所有病毒记录;实时地显示产品状况;实时病毒监控, 当任何一个病毒入侵渠道发现病毒时都可及时通知网络管理人员;病毒扩散警示, 当在某一小段时间内发现大量的病毒入侵事件时, 也可及时通知网络管理人员。
3 模块介绍
(1) 防病毒软件识别模块:此模块用来判断防病毒软件是否安装、是否运行, 使用的防病毒软件的生产厂商, 以及使用的防病毒软件的版本号。
(2) 病毒信息获取模块:此模块用来获取防病毒软件的报警信息, 并在进行分析后, 将有用的信息传输给分析处理模块。报警信息主要通过以下的方式进行获取截获:1) 使用底层hook截获技术, 从防病毒软件报警API中的截获相关信息, 获取有关的病毒报警及策略配置信息并上报;2) 通过SYS (FSD技术:File System Drive) 、VxD (Virtual Device) 和Syslog等方式获取病毒信息后, 在病毒行为判断的基础上加以分析, 获取真正需要的信息并上报;3) 通过协调好的接口, 获取需要的信息并上报。
(3) 未知病毒行为探测模块:通过此模块, 对可能影响网络正常的网络终端病毒可疑行为进行探测。主要病毒可疑行为包括病毒发包行为、病毒扫描探测行为等。
(4) 守护模块:平台使用中, 可能会出现个别用户故意关闭平台的情况, 也可能出现由于操作系统错误导致进程关闭的情况, 因此需要守护模块, 保证在使用时不会被意外关闭, 即使在平台发生意外错误关闭时, 守护模块也可重新启动管理程序, 以保证平台的有效性和可靠性。
(5) 分析处理模块:平台的控制中心, 所有获取的数据在此模块进行汇总和分析, 分析后的数据进行上报。同时管理中心的策略也可以通过此模块下发至其他模块。
(6) 策略执行模块:对于需要通过策略进行控制的防病毒软件客户端或管理端, 执行强制升级或杀毒等策略。
(7) 数据上报模块:将分析好的数据, 按照协调好的格式和接口进行数据上报, 同时接收管理端的策略, 传达给分析处理模块。信息的传递可通过XML、SNMP等多种标准的接口进行, 此模块提供开放的API编程接口。
4 接口描述
防病毒产品统一安全管理平台基于Web方式, 应用HTTP协议进行用户界面接口管理 (见图2) 。管理平台为用户提供集中监控和管理的界面 (包括日常参数设置、功能设置、系统设置和报告模块配置等) , 还提供了基于XML的二次开发接口, 方便用户的定制开发。
防病毒产品统一安全管理平台提供2种接口上报信息格式。第1种:分析处理模块可直接进行TCP格式的数据上报 (考虑到由于客户端计算机可能禁止SNMP协议, 所以这里不使用SNMP协议) ;第2种:数据上报模块可提供SNMP接口进行数据上报和交换, 也可以通过接口协调获得其他防病毒产品的上报信息。所使用的SNMP支持所有版本的SNMP协议, 管理平台可通过SNMP Trap获取信息或使用SNMP团体名获取信息。
统一安全管理平台信息接口主要支持的防病毒厂商有:瑞星、金山、江民、北信源、赛门铁克、趋势、卡巴斯基、冠群金辰、McAfee等, 涉及单机版、网络版、防病毒网关 (软硬件) 杀毒软件。
4.1 SNMP Trap方式
SNMP Trap方式接口:平台与第三方的报警接口采用S N M P的TRAP (陷阱) 方式, 具体的报警格式设计为字符串报警类型。防病毒产品统一安全管理平台报警对应关系如表2所示。
SNMP设备状态查询:以对某台计算机192.168.0.167进行设备状态查询为例, 在该计算机上安装代理snmpget程序, 192.168.0.231为防病毒产品统一安全管理平台服务器, 并执行如下命令:
上述信息将反馈到服务器控制台报警界面。
对于接口杀毒控制操作:s n m p s e t.e x e-v 2 c-c p u b l i c192.168.0.231.1.3.6.1.4.1.22105.1.7.1.14.192.168.0.167integer1则是控制192.168.0.167计算机启动杀毒。
4.2 TCP/IP协议实时连接方式
(1) 卡巴斯基杀毒软件信息获取分析:该杀毒软件的获取病毒信息进程名为kavsvc.exe, 其用来保存病毒信息的日志文件扩展名为.rept, 分析截获其病毒信息的具体实现算法为:
5 结语
一、完善卫生防病业务档案的归档范围
中心职能的转向,带来了中心卫生防病业务档案的相应变化。在及时调整卫生防病业务档案分类方案的同时,完善卫生防病业务档案归档范围尤为重要,它是丰富中心卫生防病业务档案的关键所在。
1、法定传染病、地方病的各项监测计划、方案、总结以及专题性调查分析与总结;2、主要传染病流行趋势预测、传染病疫情爆发流行调查处理、分析、总结性报告;3、慢性非传染病防治计划与专项总结;4、免疫接种监测、免疫水平监测以及免疫预防针对疾病监测的专项总结;5、免疫预防流行病学、人群免疫、免疫接种质量的效果评价;6、重大异常反应、接种事故的调查处理、分析、总结性报告;7、病原学及血清学监测分析与总结;8、食品卫生、环境卫生、学校卫生、射线防护、职业卫生的各项监测计划、总结以及专题性调查分析与总结;9、医幼机构、消杀灭产品及病媒医学昆虫各项监测工作总结以及专题性调查分析与总结;10、重大疫情、食物中毒、饮水污染、放射事故的调查处理、分析、总结性报告;11、北京承办国内外重大活动的公共卫生保障专项工作总结;12、微生物学、卫生理化、毒理检验技术性总结;13、健康教育与健康促进专题性总结;14、疾病预防控制系统论文专刊、汇编;15、针对卫生防病工作的建设性、指导性、管理性、综合性论述以及学术论文等。
二、关注卫生防病工作中产生的新内容
1、新发传染病产生的相关材料。注意关注在抗击非典型肺炎?穴以下简称非典?雪工作过程中可能产生的档案内容,如现归档的“北京市出院非典患者以及家庭成员血清流行病学调查”、“北京市1091例严重呼吸综合症临床诊断病例流行病学史再调查”;针对2004-2005年间国内外禽流感的出现,同样也应关注在防治禽流感工作过程中可能产生的档案内容。另外,要监控每年在开展性病与艾滋病防治工作中可能产生的档案内容,如现归档的“性病疫情、艾滋病哨点监测及流行趋势分析”、“北京市艾滋病/性病综合防治示范区基线调查工作总结”、“北京市高危人群行为干预试点工作总结”等。
2、新增慢性非传染病疾病预防与控制工作中产生的相关材料。注意关注慢性非传染性疾病的防治,运用新的医学模式、新技术、新方法开展慢性非传染性疾病的探讨与研究等方面可能产生的档案内容,如现归档的“北京市城区居民几种主要慢性病患病现状及趋势分析”、“中国慢性病相关危险因素北京监测点监测方案与总结”等。
3、新增职业卫生与职业病防治工作中产生的相关材料。注意关注急性职业中毒的调查处理、职业病危害检测等方面可能产生的档案内容,如现归档的“北京市洗衣房中四氯乙烯污染现状”、“氯气对作业工人肺通气功能影响的调查”等。
4、新增公共卫生突发事件应急处理工作中产生的相关材料。注意关注对突发事件、重大疫情事件的应急处理等方面可能产生的档案内容,如对猴痘事件、多发食物中毒以及多起饮水污染事故的调查处理与总结等。
5、新增建设项目卫生评价工作中产生的相关材料。注意关注在开展卫生工程技术防护设施效果评价、对建设项目卫生评价的研究方面可能产生的档案内容。
6、新增从业人员健康体检工作中产生的相关材料。注意观察在工作中有可能产生的,如现归档的“健康体检培训信息系统全市联网管理总结”等方面的档案材料。
7、新增健康教育与健康促进工作中产生的相关材料。注意关注在开展健康促进项目、对不同人群行为危险因素进行监测以及媒体在健康促进、健康教育、健康宣传中所起的作用等方面可能产生的档案内容。如现归档的“北京市居民健康需求调查总结”、“北京市城区老年人需求调查及对策探讨”等。
8、扩充信息统计工作中产生的相关材料。注意关注每年法定传染病及居民病伤死亡原因疫情统计、信息化建设等方面可能产生的档案内容。如现归档的“北京市外来人口传染病疫情分析”、“建国以来北京市人口健康状况变化的分析”、“我国传染病疫情报告体系的现状分析与研究”等。
9、在京举办国内外各种重大活动公共卫生保障工作中新产生的相关材料。如卫生防病保障工作专项总结等。10、新增社会医学与卫生经济学研究部门工作中产生的相关材料。注意关注在北京市疾病控制系统发展规划、学科建设等涉及建议性、意见性、学术性方面可能产生的档案内容,如现归档的“非典对卫生和疾病控制机构影响的分析与研究”等。
三、提高卫生防病业务档案服务的有效性
1、丰富室藏,提高室藏质量。这是实现有效服务的必要条件,也是拓宽档案信息资源的基本要求。毋庸置疑,搞好卫生防病业务档案基础建设,实行规范化管理,是丰富室藏、提高室藏质量的根本所在。特别是机构调整后,卫生防病工作成为中心的重头戏,档案部门更要开阔工作思路,广泛进行收集,深入科室指导,不断充实卫生防病业务档案,使室藏内容更加丰富。
2、准确把握中心卫生防病工作的重点,提升卫生防病业务档案服务的前瞻性,有计划、有目标地开展卫生防病业务档案多途径服务。这是档案部门主动服务的一种有效手段。如针对2008年奥运会在京举办,卫生防病保障工作方面的档案将成为近年来档案提供利用的热点。档案人员必须要有服务的超前意识和创新意识,开拓思路,主动出击。这样,档案服务工作才能有计划、有准备地提前投入到北京奥运卫生防病保障工作中。
3、盘活现有档案室藏资源,多开展专题性的档案编研,充分发挥卫生防病业务档案资源优势。根据利用者不同需求,瞄准档案提供利用的热点和规律,可以有针对性地开展多角度、多层次的档案编研,实现档案信息资源的最大利用与实效。同时,也要提高卫生防病业务档案的使用价值,把最有价值的档案信息传递给利用者。如“历年北京市病毒性肝炎数据汇集及动态分析”、“历年北京市狂犬病发病死亡数据与分析”、“历年北京市流脑发病死亡数据与分析”等编研材料,已经常被业务人员应用于科研、专题调查等实际工作中,显示了很强的实用性;再如2002年编制完成的“历年北京市举办大型运动会期间卫生防病要情”编研材料,系统列举了北京市在各种大型运动会期间的卫生防病情况与经验,为中心奥运卫生防病筹备组开展奥运重大疫情及公共卫生风险评估工作,及时提供了更直接、更具体的借鉴与帮助,档案信息资源有效性得到了极大的发挥。
4、充分利用计算机技术和网络技术,提供档案利用服务,实现档案信息资源共享共用。可以通过计算机档案管理网络窗口,开展档案信息多途径的检索、查询,如利用OA办公自动化网络进行档案案卷级、文件级目录检索,并借助档案案卷或文件的题名、主题词、责任者、年度等多种方式进行查询;还可以根据利用者的需求,及时公布所需要的档案文件信息等,从而达到为中心卫生防病工作提供更快捷、更有效的档案信息服务的目的。
第一条为了加强对计算机病毒的预防和治理,保护计算机信息系统安全,保障计算机的应用与发展,根据《中华人民共和国计算机信息系统安全保护条例》的规定,制定本办法。
第二条本办法所称的计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
第三条中华人民共和国境内的计算机信息系统以及未联网计算机的计算机病毒防治管理工作,适用本办法。
第四条公安部公共信息网络安全监察部门主管全国的计算机病毒防治管理工作。地方各级公安机关具体负责本行政区域内的计算机病毒防治管理工作。
第五条任何单位和个人不得制作计算机病毒。
第六条任何单位和个人不得有下列传播计算机病毒的行为:
(一)故意输入计算机病毒,危害计算机信息系统安全;
(二)向他人提供含有计算机病毒的文件、软件、媒体;
(三)销售、出租、附赠含有计算机病毒的媒体;
(四)其他传播计算机病毒的行为。
第七条任何单位和个人不得向社会发布虚假的计算机病毒疫情。
第八条从事计算机病毒防治产品生产的单位,应当及时向公安部公共信息网络安全监察部门批准的计算机病毒防治产品检测机构提交病毒样本。
第九条计算机病毒防治产品检测机构应当对提交的病毒样本及时进行分析、确认,并将确认结果上报公安部公共信息网络安全监察部门。
第十条对计算机病毒的认定工作,由公安部公共信息网络安全监察部门批准的机构承担。
第十一条计算机信息系统的使用单位在计算机病毒防治工作中应当履行下列职责:
(一)建立本单位的计算机病毒防治管理制度;
(二)采取计算机病毒安全技术防治措施;
(三)对本单位计算机信息系统使用人员进行计算机病毒防治教育和培训;
(四)及时检测、清除计算机信息系统中的计算机病毒,并备有检测、清除的记录;
(五)使用具有计算机信息系统安全专用产品销售许可证的计算机病毒防治产品;
(六)对因计算机病毒引起的计算机信息系统瘫痪、程序和数据严重破坏等重大事故及时向公安机关报告,并保护现场。
第十二条任何单位和个人在从计算机信息网络上下载程序、数据或者购置、维修、借入计算机设备时,应当进行计算机病毒检测。
第十三条任何单位和个人销售、附赠的计算机病毒防治产品,应当具有计算机信息系统安全专用产品销售许可证,并贴有“销售许可”标记。
第十四条从事计算机设备或者媒体生产、销售、出租、维修行业的单位和个人,应当对计算机设备或者媒体进行计算机病毒检测、清除工作,并备有检测、清除的记录,
第十五条任何单位和个人应当接受公安机关对计算机病毒防治工作的监督、检查和指导。
第十六条在非经营活动中有违反本办法第五条、第六条第二、三、四项规定行为之一的,由公安机关处以一千元以下罚款。
在经营活动中有违反本办法第五条、第六条第二、三、四项规定行为之一,
没有违法所得的,由公安机关对单位处以一万元以下罚款,对个人处以五千元以下罚款;有违法所得的,处以违法所得三倍以下罚款,但是最高不得超过三万元。违反本办法第六条第一项规定的,依照《中华人民共和国计算机信息系统安全保护条例》第二十三条的规定处罚。
第十七条违反本办法第七条、第八条规定行为之一的,由公安机关对单位处以一千元以下罚款,对单位直接负责的主管人员和直接责任人员处以五百元以下罚款;对个人处以五百元以下罚款。
第十八条违反本办法第九条规定的,由公安机关处以警告,并责令其限期改正;逾期不改正的,取消其计算机病毒防治产品检测机构的检测资格。
第十九条
在一种可怕的新型冠状病毒降临在了中国,让人们的生活变得混乱不堪,大街上空无一人,一但有人出门就是去买口罩或者买菜了,一个个都裹得严严实实的。
现在,口罩成为了人们每天必带的一件物品,每次出门看见别人时,只能看见一双炯炯有神大眼睛,那樱桃小嘴巴都被口罩紧紧地护住了。
口罩成了今年的一个火爆品,在医院有的时候都买不到,现在好多人为了赚钱都把口罩的价格提的很高,本来卖五元,现在去卖成十元,让自己赚上钱。还有一种更可恶的是,因为现在口罩非常难买,所以有的人会在网上卖一些口罩,但是一些往家自身没有口罩,却非说自己有口罩,让买家来买,买家付完钱后,网家就消失不见了。但是他们只是想拿到钱,却没有想到现在的科技发达,轻轻松松的就能找到他,让他做入监狱,到那时候后悔退钱也都不管用了。
口罩还是分为医用口罩,N95口罩,一次性口罩,一般来说,人们都适用一次性口罩,医生用医用口罩,但在传染性病毒来临的时候,就要用N95口罩,来保护自己。
对于使用路由器共享ADSL上网的用户来说,可以对路由器进行全面设置,让路由器这款网络设备也具备防范病毒和防攻击的能力。路由器是一款提供共享上网服务的设备,怎么会防范病毒和木马呢?
路由器是如何防范病毒木马的?
从技术角度来讲,只有集成了防火墙功能的路由器才具备防范病毒木马的能力,这是一个大前提。如果用户的路由器没有防火墙功能组件,该路由器是不具备防范病毒木马能力的,不过,目前大多数路由器都集成了防火墙功能组件。
更准确的讲,路由器防火墙中的一些具体设置,可以有效的防止病毒木马入侵,也可以禁止 对ADSL上网用户的扫描及入侵。举个例子来说, 要想对ADSL用户发起攻击,必须先扫描该ADSL用户当前的IP地址,没有IP地址, 是无法进行攻击的。
为此,路由器防火墙中的一些功能,可以从根源上杜绝来自外界的攻击。除此之外,诸如ARP这样非常顽固的病毒,现有的杀毒软件或防火墙软件很难防范,而具备IP与MAC地址绑定功能的路由器,则可以轻松防范ARP病毒。
498)this.style.width=498;“ />
可以防范ARP病毒的绑定功能
在防火墙中,能够防范病毒、木马传播的一个安全设置选项就是IP过滤规则,通过设置IP过滤规则,可以关闭病毒传播的网络端口,这样路由器就可以将病毒拒之门外,
目前,由于家庭路由器防火墙组件的功能相对简单,其防范病毒的能力也非常有限,只能对一些借助网络传播的病毒进行防范,并防范一些来自外界的网络攻击。下面,笔者结合实际情况介绍一下如何对路由器进行全面的安全设置,让路由器也能防病毒,防攻击。
路由器防范病毒设置篇
使用路由器中的防火墙组件可以防范病毒和木马的入侵,但并不能防范所有的病毒或木马,仅仅针对一部分利用网络漏洞传播的病毒或木马。诸如冲击波、震荡波这样的病毒,将病毒的传播端口关闭,病毒就不会再殃及ADSL用户了。以臭名昭著的“震荡波”病毒为例,使用路由器可以轻松防范该病毒的传播。
由于“震荡波”病毒是利用TCP 5544端口下载病毒,然后借助TCP 9966端口创建远程Shell。另外,病毒还会通过TCP 445端口影响机器的网络性能。为此,我们只需要在路由器中,将TCP 5544端口、TCP 9966端口和TCP 445端口关闭,就可以防范震荡波病毒的传播了。以TP-Link WR641G/642G无线路由器为例,具体做法如下:
1、开启IP地址过滤功能:
在“安全设置”选项中,先启用防火墙,因为要想启用IP地址过滤功能,必须启用防火墙。
498)this.style.width=498;” />
启用路由器防火墙
2、设置IP地址过滤:
点击“添加新条目”后,出现一个对话框,我们可以根据提示填写。“局域网IP地址”一栏中,填写共享路由器上网的用户IP地址就可以了,如果是多台机器,可以填写起始IP和结束IP。
关键词:网络,服务器管理,病毒,防护
1 问题的提出
随着互联网的发展,网络安全问题日益突出,网络入侵、攻击和病毒以及不良和有害信息对国家安全和社会稳定带来相当大的影响。新的网络安全漏洞和黑客攻击手法,给网络服务器的安全、稳定运行带来了极大的威胁。为了应对日益严重的网络安全威胁,我们必须提高服务器的安全保障能力,防止多种的恶意攻击,提高服务器防篡改与自动修复能力,这是网络服务器管理者重点研究的课题。
本文分析了网络服务器面临的主要威胁和攻击,讨论了在服务器管理中,服务器存在的安全隐患以及服务器容易受到的攻击类型,并提出了基于病毒检测的病毒防治和服务器的网络安全方案。
2 病毒的危害
病毒泛滥问题日趋突现,2003年电脑病毒对全球企业所造成的损失己达到505亿美元。此外,有11%左右的机器几乎每个月都中毒。80%的病毒感染了至少一台伺服器,感染的伺服器至少要被迫停机平均17个小时。这样的话,每一次病毒事故所带来的损失都在十万美元左右。可以说病毒给人类造成的损失已经越来越大。
2.1 服务器管理中的安全威胁
服务器部署在托管中心,其安全措施相对简单。随着新的网络安全漏洞的产生,黑客攻击手法的不断变化、升级,给网站的安全运行带来极大的威胁。目前,黑客攻击已经由原来的显示个人技术,破坏数据等转变为以攻击重要目标、窃取机密和篡改重要数据来获得政治和经济利益,对国家和社会危害极大。
Web服务器存在的主要安全隐患有:
1)没有安全隔离。服务器与托管中心没有进行有效的安全隔离,无法防御来自托管中心的内部攻击,一旦黑客攻陷其中一台服务器,将直接威胁到服务器的安全。
2)网络监控措施不足。目前服务器所在的网络中没有部署入侵检测系统,无法实现对网络的实时监控。
3)没有定期对网络进行安全漏洞检测。由于网络安全威胁不断更新变化,为了发现新的潜在威胁,需要漏洞扫描工具进行定期扫描,消除安全隐患。
4)没有部署网页防篡改系统。主页被篡改也是黑客攻击手法之一。
2.2 病毒在服务器管理中的危害
随着网络的普及和网络技术的发展,病毒制作者和黑客从传统意义上的这两个独立的群体己经有合二为一的倾向,他们攻击系统漏洞,利用漏洞进行病毒传播,驻留后门及特洛伊木马程序,造成系统瘫痪、网络堵塞。而且针对不同的服务器类型也出现了相应的病毒,如攻击WEB服务器的红色代码病毒,攻击邮件服务器的爱丽兹、专门攻击微软SQL服务器的病毒SQLSnake(又叫Spida),感染Apaehe服务器的蠕虫Scalper病毒等,攻击的网络类型也越来越多,从互联网到PPZ网络和无线网络上的病毒正在不断增多。
1)蠕虫病毒的危害
在Nimda蠕虫病毒出现以前,“蠕虫”技术一直是独立发展的。Nmida病毒第一次将“蠕虫”技术和“计算机病毒”技术结合起来。从Nimda的攻击方式来看,Nimda蠕虫病毒只攻击微软的WniX系列操作系统,它通过电子邮件、网络临近共享文件、IE浏览器的内嵌MIME类型自动执行漏洞、IIS服务器文件目录遍历漏洞、CodeRdeII和Sadmind/IIS蠕虫留下的后门共五种方式进行传播,其中前三种方式是病毒传播方式。
2)木马病毒的危害
木马本身并不能称作病毒,因为木马本身不具有传染性。但是,现在的网络病毒很多已经和木马技术结合起来。现在知名的病毒查、杀毒软件早己经将木马列为了他们的查杀对象,这就更加地说明了木马本身及其和病毒传播技术结合起来所能造成的危害是非常巨大的。这种危害可能没有蠕虫病毒那样广泛,但是木马病毒可以窃取目标机上的密码、机密文件等信息,在很多情况下尤其是在网络商业活动中,木马病毒的这种行为所带来的损失更加直接。操纵着使用木马病毒进行的这些行为,己经构成了犯罪,因而对木马病毒技术进行研究对于增强计算机病毒防治手段是十分必要的。
3 病毒的防治
要想在服务器管理中,对病毒进行防护,首先要能检测出病毒,并在此基础上进行病毒的防护。
3.1 病毒的检测
理论证明,所有可能的计算机病毒的集合是不可判定的,也就是说检测出所有可能的计算机病毒是不可能的,当然所有的计算机病毒包括己知的计算机病毒和未知的计算机病毒。在实际应用中,总是判定某个程序是否被特殊的计算机病毒传染。在实践管理中检测计算机病毒有若干种方法,下面作一个简单的介绍。
1)通过行为异常来检测
计算机病毒往往有其特有的行为,这些行为与一般正常的程序不同,我们称之为异常行为。通过监视系统的程序,判断其是否有异常行为来检测该程序是否为病毒,这便是通过行为异常来检测病毒的方法。
在这种途径中,计算机系统由干净的文件启动,并将一个病毒监控器软件装入机器,用它来监视计算机系统在日常应用中的不同行为。监控器知道病毒有一些试图传染和逃避检测的典型活动,例如,试图写根扇区、修改中断向量、写系统文件等。当程序运行时监控其行为,一旦发现病毒行为,立即报警。
一般病毒的行为特征有:
a)抢占INT13H号中断。几乎所有的引导型病毒都会攻击Boot扇区或主引导扇区。系统启动时,Boot扇区或主引导扇区获得执行权,系统会执行INT 1 3H功能,来完成各种初始化设置及引导系统,这时,作为引导型病毒,它会占用INT 13H功能,并在其中放置病毒所需的代码,这时系统引导会首先加载病毒代码,完成驻留后,会将自身隐藏起来,继续执行系统的正常功能。
b)修改系统内存总量。病毒为了完成其特定的任务必须常驻在内存中,为了防止系统程序及其它应用程序将其覆盖,病毒程序会将系统内存总量适量减少,使系统程序及其它应用程序不会占用其病毒代码驻留空间。
c)更改COM、EXE文件内容。常见的病毒需要依附于其它计算机程序文档,当病毒执行时必须将自身的代码附加在被感染的文件之中,常见的可执行文件以COM、EXE文件为主,所以病毒为了感染一般会对COM、EXE文件执行写入的动作。
监控器软件在计算机系统的正常特征和病毒特征之间有相当大的差距时,工作效果最好。但这些合理的特征并不总是能够得到。管理员必须对病毒的行为或功能有相当的了解,同时还必须知道自己的系统如何工作,才能发现哪些行为是可疑的行为。这种方法的最大好处是它适用于所有病毒,己发现的和未知的。另一个好处是它能够在传染前发现病毒。不幸的是,为了总能发现传染,监控器的阂值必须被设置得很高,这通常会导致很多误报。另外,这样的检测器必须安装在目标机的底层,而且必须永远运行。一个被病毒传染了的检测器对避免进一步的传染,毫无用处。
2)通过效验和来检测
大多病毒都是寄存或依附于其它的文档或程序中,而不是单独存在的,所以,一个程序或文档被感染往往伴随着文件大小或文件内容属性的变化。为了保护一个程序不被病毒修改,一个基于程序内容的效验和被计算出来并以加密方式存贮在程序内部或外部。加密使用单向函数,因此想在传染之后伪造一个正确的校验和在计算上非常困难。
运行效验和法查毒一般有三种方式:
a)在检测工具中纳入效验和法,对被查的对象文件计算正常状态的效验和,将效验和加密后写入文件或检测工具中,而后进行比较。
b)在应用程序中放入效验和自我检查功能,程序启动时实现行效验和原效验和,以实现自检测。
c)校验和程序常驻内存,应用程序运行时,自动计算应用程序的效验和,并和预先保存的效验和相比较。
针对效验和检测方法的主要争论在于它不能检测己经被病毒传染的程序。在产生第一个效验和之前,它不能检测己发生的传染。它还存在一种危险,当传染发生在复制文件或编译时,即如果一个传染仅仅发生在关闭一个被写过的文件之后,则效验和与以前的肯定不一样,而此时无法决定是否发生了一个传染。
3)通过时间戳修改来检测
它非常类似于通过效验和来检测的方法,在其中程序的最后修改时间被用于校验和。
一个程序的最后修改时间通常保持在存放程序的环境的外面。在规则的时间间隔内,时间戳是匹配的以确保程序的完整。对病毒来说,这里应该没有任何方法访问这个文件以便销毁它活动的证据。这个方法的另一个需求是对时间戳的操作不能被系统中的任何进程逆转。例如,一个UNIX的i节点的修改时间不能作为一个这种类型的时间戳机制,因为系统时钟可以被往回设置,同时节点可以通过原始磁盘访问来写入。
3.2 病毒的防护
1)从基础做起
从基础做起很关键。服务器管理员需将服务器上的数据区域转换成NTFS格式。在服务器上安装防毒软件,且防毒程序必须按时更新。存取服务器上的任何数据需通过密码登录。
2)数据备份
在系统安全建设中必不可少的一个环节就是数据的常规备份和历史保存。备份主要目的是:数据由于系统或人为误操作造成损坏或丢失,以及发生地域性灾难(地震、火灾、机器毁坏等)后,可及时有效地实现数据及整个系统的灾难恢复。所以备份是所有服务器防护的重中之重,而备份又特别容易被忽视。制定一套完整严谨、行之有效的日常备份制度是必不可少的。日常备份制度描述了每天是以什么方式备份的、使用的是什么备份介质,是系统备份方案的具体实施细则。在制订完毕后,应严格按照制度进行日常备份,否则将无法达到备份方案的目标。
3)保护备份
在一定程度上,备份本身就存在安全漏洞。网管员可以利用密码保护磁盘,若是备份程序支持加密功能,还要对数据进行加密。
4)加装防火墙
防火墙是通过计算机硬件、软件与安全策略的组合,在被保护的内部网与外部网之间建立一个安全网关,从而保护内部网免受外部侵犯的系统。防火墙决定内部服务中哪些可被外界访问,外界的哪些用户可以访问内部服务以及可以访问哪些服务,同时还决定内部人员可以访问哪些外部服务。因此,防火墙的本质是一种隔离技术,它有两个不同方向的安全准则:
a)禁止所有未被明确许可的服务。
b)允许所有未被明确禁止的服务。
防火墙能提供的保护能力主要有:拒绝未经授权的用户进人内部网络;禁止易受攻击的服务进出受保护的网络;防止各类路由攻击;允许合法用户不受妨碍地访问网络资源;执行日志和审计功能;对非法人侵的跟踪和报警等。
4 结束语
该文主要讨论了在服务器管理中,服务器存在的安全隐患以及服务器容易受到的攻击类型,并提出了基于病毒检测的病毒防治和服务器的网络安全方案。在病毒防护方面,还有许多方面工作要做,一些新的课题还需要我们认真去研究,只要网络服务器管理人员提高防毒意识,规范网络安全管理,切实地建立一套完善的防病毒系统,才能将病毒的危害降到最低。
参考文献
[1]中国互联网络信息中心.中国互联网络发展状况统计报告.2006.1.
[2]张荣.基于网站web服务器网络安全的分析与设计[D],四川大学,2006.
[3]刘雪晴Linux服务器防毒策略研究及实现[D].四川电子科技大学,2006.
[4]肖军.网络环境中的新复合型病毒防御体系[J].计算机安全,2004(04):8-10.
【关键词】计算机 制度 病毒防范
从各大高校的教育基础设施建设来看,为了满足计算机专业及其他各专业课程要求的上机实验课程,各个学校配置了大量的教学计算机。另外,一些学校除了本校的教育需求外还承担了一些对外服务需求,如对外培训、全国及省计算机等级考试及其它单位委托的认证考试等任务。这种庞大的需求大大增加了高校计算机的利用率,也对机房管理人员的要求越来越高,对计算机的维护和管理提出了更多的要求。
一、高校计算机机房的管理制度和措施
1、严格执行各项管理规章和制度
首先,高校應就计算机管理建立一套完善的规章管理制度,做到“有章可循,有据可依”。比如在学生上机管理的制度上,因少量学生的自我约束能力较差,所以对学生上机的要求须明确规定,如上机时间、注意事项、操作规范以及违反惩罚规定加以详细说明,以此指引学生们正确操作和使用计算机,让学生们明白什么行为可为之,什么行为不可为之,什么行为会受到惩罚,这就是规章制度的事前预防作用。
2、定期对计算机软硬件进行维护
高校机房使用的教学软件是有严格规定的,不能像网吧那样随意安装各种软件,因为很容易使机器软件系统被破坏,所以机房的软件安装应进行统一管理和安排。每学期结束,根据下学期的教学任务和外部需求对软件进行优化、升级、安装。作为机房管理人员需定期对软件环境进行“清理”,以保证机器系统的“干净”性。如果在检查过程中发现原软件被破坏,系统失去保护而瘫痪,应用还原命令进行还原。对机房相同的大批量计算机进行软件安装时,只需安装好一台机器的软件系统,然后通过网络克隆的方法及时安装就可以了。
机房设备主要包括机房电脑以及各种外围辅助设备,应定期进行检查,以防止在使用过程中出现故障而无法正常使用,现有的设备进行分类区分管理,主要是对设备的基本信息、使用状况、维修情况应建立电子档案,便于存档和以后的查询工作。
3、机房管理软件实现上机用户管理自动化
为满足教学需求,学校的计算机规模越来越大,必须进行适当的分区管理。为了更好的对机器进行管理而分为多个机房,每个机房设有管理人员,但由于上机的学生很多,机房使用频率较高,而仅靠机房管理人员进行人工管理是即费时又费力。针对此情况,学校引进了联创机房管理系统,可支持多种上机(管理)模式:1)通过用户帐号和密码进行上机模式;2)利用磁条卡刷卡上机模式,支持自费刷卡。学生在上机时,无需管理人员参与,系统智能识别各种上机状态并处理各种异常情况,自行记录所有的上机使用信息。该系统具有教学管理、帐户及收费管理以及机器控制维护管理等功能,使很多的教学行为变成可自动化管理。可自动禁止学生上网和玩游戏、禁止学生访问未经许可的网站,禁止运行各类聊天程序等。
二、计算机病毒的防范措施
计算机病毒的危害随着计算机的普及和互联网的迅速发展而不断严重,它是以网络为最主要的媒介进行传播,它不仅是对计算机本身进行攻击,还包括对整个计算机系统的破坏。对于这种传播周期短,并具有毁灭性的病毒,我们应采取何种防范呢?使用常规的计算机病毒防范手段(如安装杀毒软件)将无法有效阻断病毒的传播。应该说,病毒的防范关键不在于防,而在于控。防是根据无法完全杜绝计算机病毒的存在,还不如直接面对它,采取控制的手段,控制病毒不发作,控制在不影响计算机和机房正常运行的范围内。因此这就需要有一定的技术手段来支持,并辅之以对机房计算机的监控和定期维护。下面就介绍几种有效的计算机病毒的防范措施。
1、为计算机安装硬盘保护卡。我们将计算机系统分为C盘和D盘两个分区。C盘做为系统软件和应用软件安装区,并用硬盘保护卡将该分区保护起来。D盘做为用户区留给上机人存储文件用,不受硬盘保护卡保护。硬盘保护卡不仅可对上机人有意或无意地破坏计算机软件起到保护作用,其更重要的作用是控制计算机病毒。因为如果计算机误运行了病毒程序,但只要计算机重新启动,该系统的分区(即C盘)将还原到初始状态,使计算机病毒无法安插到系统中。这样就可以控制计算机病毒不发作,使计算机的正常使用不受影响,更不会使计算机成为病毒传播渠道去攻击其它计算机。硬盘保护卡还可以防范破坏计算机硬件的病毒,对计算机的BIOS程序保护。而机房管理人员系统进行升级或新应用软件安装等维护工作,先须断开网络(只保留局域网),清理硬盘用户区(即D盘),在确保无病毒的情况下,才可打开硬盘保护卡的写保护进行维护。
2、对机房计算机端口进行定时扫描。对于误运行了病毒程序而又没有重新启动的计算机,很有可能危害到机房的局域网。这时,我们可用漏洞扫描软件对机房计算机端口采取定时扫描的方法,固定隔段时间对计算机扫描,若是发现某台计算机端口被病毒软件打开,就会强行的将该计算机进行重新启动。因计算机的用户分区(即D盘)未受硬盘保护卡保护,有可能会被病毒入侵,所以在机算机重启后,还须将D盘进行快速格式化,删除病毒。管理人员需要注意的就是要对漏洞扫描软件的漏洞库及时更新,提高扫描的准确有效性。
3、不安装邮件客户端软件。因在收发邮件时都是先从邮件服务器下载到客服端,这样很有可能下载携带病毒的邮件,只要点开预览病毒就会运行,因此,我们严禁安排邮件客户端软件。若需要查看邮件只能使用WEB形式,因为WEB形式的邮件是存在服务器端,若是打开的邮件带有病毒,立刻提示警示,有效预防潜在病毒的侵害。
三、结束语
大量教学实践证明,通过以上途径对进行机房管理和维护,可以有效提高机房的使用效率,保障高校机房能够长期、稳定的正常运行。随着机房设备的不断更新,用户需求也在不断提高,对机房管理工作也必须有相应的创新,我们也必须在摸索中不断完善管理过程中的一些不足之处。
参考文献:
[1]郑峰. 实验室的开放式管理[J]. 实验技术与管理,2004,21(4)
[2]孙晓华. 高校计算机实验室管理的思考[J]. 实验技术与管理,2004,21(6)
1、病毒获取用户的MSN好友名单,向每个好友发送病毒文件或恶意网址;
2、当MSN好友们接收运行病毒文件,或者点击了恶意网址后,遭到感染;
3、病毒在每个好友的机器上,又开始了步骤1~3的工作流程。
凭借MSN即时通讯和用户量大的特征,很多MSN病毒都在短时间(几个小时)内感染了大量用户。对于病毒来说,MSN是个传播平台,因此,称它们为MSN蠕虫来得更加准确。
据我所知,最早的MSN蠕虫是出现在2001年4月的I-Worm/Funny,也被叫做Worm.Hello,因为它会通过MSN发送一个名为“Hello.exe”的文件。2001年,我正在大学读计算机系,对MSN也只是略有耳闻,同学们几乎没人用它。那时国内的MSN用户量很少,所以这个病毒对国内用户影响很小。
随着MSN在国内用户数量的激增, MSN蠕虫家族的“后辈”们所带来的危害、影响远远超过了“开山鼻祖”。
2003年12月,江民公司截获了Flooder.MSN.Convont,运行后会向所有MSN好友发送“今天我请你吃饭”、“I love you, my baby”、“I love you. darling”等信息。它并不会主动把自己传播出去,所以并不是蠕虫,而只是一个恶作剧程序。即便如此,在2003年12月11日那天,我还是收到了来自好友们的4、5条“请饭邀请”。2004年7月,另一个很相似的样本被截获――Flooder.MSN.Marry,它发送的消息是“明天我结婚”。
国内早期的MSN病毒大多是这种恶作剧类型,它们不会通过MSN传播,也不会对系统造成什么破坏,唯一的功能是惹人烦。
相比之下,同期来自国外的MSN病毒更成熟些。2004年7月,一只名为“MSN射手”的蠕虫(I-Worm/MSN.Sinmsn.c)在韩国大面积爆发。“幸运”的是,“MSN射手”只针对韩文版的MSN,不会从非韩文用户的机器上扩散。它对国内用户基本上没有影响。
在我印象中,可以称得上“爆发”的第一只国产MSN蠕虫是2004年10月10日被江民截获的“MSN小丑”(I-Worm/MsnFunny)。它通过MSN向好友发送自身复本funny.exe和某个网站的地址,并把900多个常用网站重定向到该网站上。在传播的同时,为某网站大做广告,带来了巨大的访问量。该蠕虫爆发后的几个小时内,江民反病毒中心就收到了数百份感染报告。这也是相当比例的国内MSN用户第一次遭遇MSN蠕虫的袭击。
越来越多MSN蠕虫的出现,迫使微软对MSN进行了安全升级,禁止直接传送exe文件,希望借此遏制MSN蠕虫的势头。但就在2005年初,“MSN性感鸡”和“MSN好快”蠕虫的先后爆发,证明微软的这一安全升级完全是形同虚设,
2005年2月3日,MSN性感鸡(I-Worm/MSN.DropBot.b)爆发,该蠕虫运行后的最大特点是,会显示一幅恶搞的性感烧鸡图片。同时,蠕虫还会释放后门程序,感染计算机被 完全控制。它不仅通过MSN传播,还可以通过多种系统漏洞和弱口令传播,感染能力极强。“MSN好快”在同年3月爆发,可以通过MSN和P2P共享软件传播。这两只蠕虫都会发送自身的复本文件,它们把文件名后缀设置成“.pif”或“.scr”,这也是可执行文件的合法后缀名,很容易地绕过了MSN“禁止传送exe文件”的限制。
“MSN性感鸡”和“MSN好快”的“成功”,吸引了一大批跟风者。称2005年是 “即时通讯软件蠕虫年”,应该不过分。通过各种即时通讯软件传播的国产蠕虫比例急速上涨,并且第一次出现了通过QQ发送自身复本的蠕虫。到了这个时期,通过MSN传播的技术已经被病毒作者们熟练应用,很多老牌木马、后门也纷纷增加了MSN传播的功能。比如著名的 木马“武汉男生”(Trojan/PSW.Whboy)――让人联想到李俊,他在熊猫烧香病毒里面也留下了“Whboy”的字样――就增加了通过MSN、QQ、UC、网络泡泡传播的代码。
2006年对于MSN病毒来说,是波澜不惊的一年,种类和数量依然不少,却没有什么大规模爆发,能让人记得住它们的名字。如果一定要找出点关于MSN的回忆,那就是“中国缘”网站利用大批MSN机器人冒用网友MSN账号发起的“骚扰事件”了,可能有很多国内的MSN用户都遇到过。先是一个陌生人请求加为好友,一旦通过后,就会发来一个指向“中国缘”的网址;或者在hotmail信箱中发现自己的MSN好友发来的电子邮件,内容同样是在宣传该网站。为此,很多用户曾经求助于江民反病毒中心,怀疑自己感染了病毒。但经过调查发现,这并非病毒引起的。网友在中国缘网站的提示下,输入了自己的MSN账号密码,导致账号被冒用。
2007年6月1日被江民截获的 “性感相册”蠕虫是最近1年多以来爆发最为迅猛的MSN蠕虫。它会通过MSN发送一个含毒的ZIP压缩包,压缩包里面是病毒程序。中毒电脑还会连接远程的IRC服务器,接收 远程控制,成为“僵尸计算机”。
由于最新版本的MSN已经禁止直接传送exe、pif、scr等类型的文件,“性感相册”选择了把自己先放进ZIP压缩包,然后在发送ZIP的方法。这样虽可以绕过MSN的屏蔽,但似乎会降低病毒扩散的速度:用户需要接收含毒ZIP文件、解压ZIP文件、点击运行里面的程序,才会被感染。可是,从爆发当天的收到的感染报告数量来看,解压ZIP文件带来的麻烦显然不足以削弱用户的好奇心,蠕虫的传播速度一点也不比2年前的“MSN性感鸡”差。
上面简要回忆了一下我所知道的MSN蠕虫们。利用MSN进行传播,已经成为恶意软件的常用技术,五花八门的后门、蠕虫、木马都有能通过MSN传播的样本。其实,避免感染MSN蠕虫、感染后降低其危害程度,都是不难做到的,总结成下面4点,希望与读者分享:
1、对于好友发来的可疑文件,在接收前一定先询问清楚;
2、一定要安装杀毒软件,及时更新病毒库。从MSN接收下来的文件应使用杀毒软件扫描;
3、一旦发现自己的电脑有自动向好友发送信息、文件等症状,应立即结束MSN程序,然后更新病毒库,使用杀毒软件或专杀工具对系统进行扫描;
4、不要在不明网站上暴露自己MSN账号的密码。(责任编辑:李磊)
★ 手工干掉一般的病毒!病毒防范
★ 恶鹰变种AT病毒分析报告病毒防范
★ 《黑龙江省公共安全技术防范条例》全文
★ 物业与业主问题防范范文
★ 《魔鬼营销》连载(33):技术领先不如情感领先
★ VxD技术及其在实时反病毒中的应用
★ WORD文档杀手病毒技术分析报告
★ arp病毒利用的JS技术
★ “灾飞”病毒技术分析报告
【防病毒管理制度】推荐阅读:
秋季防病小常识06-05
白碗窑镇小学卫生防病工作总结06-01
病毒防范管理制度06-15
初中生物病毒06-18
诺如病毒暴发疫情06-14
万众一心抗击新型冠状病毒作文06-24
抗击新型冠状病毒肺炎疫情心得体会07-04
县防控新型冠状病毒感染的肺炎疫情广播讲话07-03
新型冠状病毒传播途径及预防措施是什么06-19
