华东师大网络信息安全建议

华东师大网络信息安全建议华东师大网络信息安全建议华东师大网络信息安全建议华东师大网络信息安全建议常潘pchang@ecnu.edu.cn华东师范大学网络中心华东师范大学版权所有，未经授权不得使用与传播华东师范大学版权所有，未经授权不得使用与传播主要内容介绍主要内容介绍系统漏洞及常见网络攻击手段系统漏洞及常见网络攻击手段病毒（蠕虫）技术发展及防范病毒（蠕虫）技术发展及防范病毒（蠕虫）技术发展及防范病毒（蠕虫）技术发展及防范木马技术介绍及防范措施木马技术介绍及防范措施木马技术介绍及防范措施木马技术介绍及防范措施托管服务器的建议托管服务器的建议网站的安全建议网站的安全建议个人电脑的安全建议个人电脑的安全建议2微软安全漏洞微软安全漏洞20052005年年5555个个20062006年年7878个个20062006年年7878个个20072007年年6969个个20082008年年7878个个20092009年已经发布年已经发布6262个漏洞补丁个漏洞补丁htt//ift/hi/tht/it/t面对漏洞我们应该怎么做？面对漏洞我们应该怎么做？••打补丁。以往的统计数字表明，及时打补丁能有效打补丁。以往的统计数字表明，及时打补丁能有效打补丁。以往的统计数字表明，及时打补丁能有效打补丁。以往的统计数字表明，及时打补丁能有效防止大多数病毒爆发。防止大多数病毒爆发。攻击名称补丁发布日期攻击开始日期可利用时间Worm.sasser2004年4月13日2004年5月1日18天MSBlaster2003年7月15日2003年8月10日26天Trojan.Kaht2003年3月17日2003年5月5日49天SQLSlammer2002年7月24日2003年1月24日184天KlE2001年3月29日2002年1月17日294天Klez-E2001年3月29日2002年1月17日294天Nimda2000年10月17日2001年9月18日336天4日怎样打补丁？对用户进行安全培训对用户进行安全培训，，形成定期更新系统的习惯形成定期更新系统的习惯。。WindowsWindows系统尽量开启自动定时更新系统尽量开启自动定时更新，，以减少网络管理人以减少网络管理人员的工作量员的工作量员的工作量员的工作量。。对重要系统实行手动更新对重要系统实行手动更新，，更新前做好备份和记录工作更新前做好备份和记录工作。。在需要打补丁的系统数量多的情况下在需要打补丁的系统数量多的情况下，，使用补丁管理系统使用补丁管理系统，，实现补丁的扫描实现补丁的扫描分发和安装分发和安装。。实现补丁的扫描实现补丁的扫描、、分发和安装分发和安装。。系统管理服务器系统管理服务器（（SystemsSystemsManagementManagementServerServer））终端服务终端服务（（TerminalTerminalservicesservices））360360自动下载补丁自动下载补丁360360自动下载补丁自动下载补丁病毒的分类病毒的分类19951995年以前年以前引导区病毒引导区病毒DOSDOS病毒病毒DOSDOS病毒病毒WindowsWindows病毒病毒19961996--19981998年年宏病毒宏病毒Script病毒Java病毒Java病毒19991999年以後年以後6特洛伊木马特洛伊木马、、蠕虫蠕虫、、恶作剧程序恶作剧程序、、黑客工具黑客工具当今病毒演化趋势当今病毒演化趋势病毒演化趋势病毒演化趋势邮件/互联网邮件物理介质CodeRedNimdaGoner邮件BubbleboyMelissaLoveLetterApple1,2,3BrainGoodTimes20012002…19992000198119861994攻击和威胁转移到服务器和互连网网关，对之提出新的安全挑战7病毒的发展趋势病毒的发展趋势病毒更新换代向多元化发展病毒更新换代向多元化发展依赖网络进行传播依赖网络进行传播攻击方式多样攻击方式多样（（邮件邮件网页网页局域网等局域网等））攻击方式多样攻击方式多样（（邮件邮件，，网页网页，，局域网等局域网等））利用系统漏洞成为病毒有力的传播方式利用系统漏洞成为病毒有力的传播方式病毒与黑客技术相融合病毒与黑客技术相融合伪装的更巧妙伪装的更巧妙伪装的更巧妙伪装的更巧妙。。svchostsvchost..exeexe等等，，看起来和系统程序很接近看起来和系统程序很接近8病毒的危害病毒的危害病毒的危害病毒的危害占用系统资源占用系统资源，，使被感染主机运行速度变得极为缓慢甚至崩使被感染主机运行速度变得极为缓慢甚至崩溃溃，，正常应用无法运行正常应用无法运行。。占用大量网络带宽占用大量网络带宽，，甚至使网络瘫痪甚至使网络瘫痪。。占用大量网络带宽占用大量网络带宽，，甚至使网络瘫痪甚至使网络瘫痪。。对特定著名服务器发动对特定著名服务器发动DOSDOS攻击攻击。。如微软如微软、、yahooyahoo、、ll等等googlegoogle等等。。反复重启系统反复重启系统，，如冲击波如冲击波、、震荡波等震荡波等攻击防病毒软件攻击防病毒软件。。放置木马放置木马后门后门偷取商业信息及个人偷取商业信息及个人企业用户的隐私企业用户的隐私放置木马放置木马、、后门后门，，偷取商业信息及个人偷取商业信息及个人、、企业用户的隐私企业用户的隐私。。其他其他9病毒入侵途径病毒入侵途径中毒的网站主机Internet/HTTP网页夹带HTTP病毒指令HTTP用户机虽已经安装防病毒用户机虽已经安装防病毒软件软件但病毒但病毒((HTTPHTTP指令格指令格软件软件,,但病毒但病毒((HTTPHTTP指令格指令格式式))经由网页浏览经由网页浏览,,透过透过IEIE的安全性漏洞的安全性漏洞直接感染用直接感染用有安装防毒软件的用户机的安全性漏洞的安全性漏洞,,直接感染用直接感染用户机户机10的用户机病毒的应对措施病毒的应对措施病毒的应对措施病毒的应对措施病毒防病毒防治治对学校对学校言是言是个整体个整体安全安全问题问题不不病毒防病毒防治治，，对学校对学校而言已是而言已是一个整体一个整体安全安全问题问题，，不不再是再是单纯单纯的的买几买几套套装软装软件就可以解件就可以解决问题决问题的的。。学校学校需要集中需要集中管理管理CentralCentralControlControl。。系统维护系统维护病毒特征码病毒特征码定期定期及及时时更新更新系统维护系统维护,,病毒特征码病毒特征码定期定期，，及及时时更新更新......找出找出并并有效防堵所有病毒入侵管道有效防堵所有病毒入侵管道。。11如何才能有效防治病毒如何才能有效防治病毒预防为主预防为主++紧急措施紧急措施建立局域网内部的升级系统建立局域网内部的升级系统，，包括各种操作系统的补丁升包括各种操作系统的补丁升级级，，各种常用的软件升级各种常用的软件升级，，各种杀毒软件病毒库的升级各种杀毒软件病毒库的升级。。级级，，各种常用的软件升级各种常用的软件升级，，各种杀毒软件病毒库的升级各种杀毒软件病毒库的升级对邮件服务器进行监控对邮件服务器进行监控，，防止带毒邮件进行传播防止带毒邮件进行传播。。对局域网用户进行安全培训对局域网用户进行安全培训对局域网用户进行安全培训对局域网用户进行安全培训去掉服务器中不必要的共享和服务去掉服务器中不必要的共享和服务控制传染源控制传染源InternetInternet网关网关9090%%病毒的病毒的入侵入侵渠道渠道网络客户机网络客户机12其余其余1010%%病毒的入侵渠道病毒的入侵渠道如何才能有效防治病毒如何才能有效防治病毒如何才能有效防治病毒如何才能有效防治病毒控制病毒的扩散途径控制病毒的扩散途径邮件服务器邮件服务器WebWeb服务器服务器文件服务器文件服务器客户端客户端、、PCPC安装反病毒防火墙安装反病毒防火墙培训培训，，养成不打开来历不明的邮件的习惯养成不打开来历不明的邮件的习惯。。尤其不要打开附件尤其不要打开附件。。选择昀快的升级途径选择昀快的升级途径，，包括对操作系统和反病毒软件的升级包括对操作系统和反病毒软件的升级选择昀快的升级途径选择昀快的升级途径，，包括对操作系统和反病毒软件的升级包括对操作系统和反病毒软件的升级。。通过通过InternetInternet升级进行每天升级进行每天//每小时的升级每小时的升级企业网内防毒产品自动部署机制企业网内防毒产品自动部署机制企业网内防毒产品自动部署机制企业网内防毒产品自动部署机制安装安装，，随时升级随时升级13如何才能有效防治病毒如何才能有效防治病毒集中的管理集中的管理集中的病毒警报机制集中的病毒警报机制集中的安全产品部署集中的安全产品部署策略部署和升级机制策略部署和升级机制集中的安全产品部署集中的安全产品部署、、策略部署和升级机制策略部署和升级机制集中的系统日志集中的系统日志、、报告机制报告机制14最危险的病毒－－木马最危险的病毒－－木马木马木马，，其实质只是一个非法的其实质只是一个非法的、、未经许可安装和运行未经许可安装和运行木马木马，，其实质只是个非法的其实质只是个非法的、、未经许可安装和运行未经许可安装和运行的网络客户端的网络客户端//服务器程序服务器程序。。有明确的窃取敏感信息和恶意控制主机的意图有明确的窃取敏感信息和恶意控制主机的意图如窃如窃有明确的窃取敏感信息和恶意控制主机的意图有明确的窃取敏感信息和恶意控制主机的意图，，如窃如窃取银行帐户密码取银行帐户密码。。非常隐蔽非常隐蔽，，非专业人员很难发现其踪迹非专业人员很难发现其踪迹。。难以清除难以清除难以清除难以清除。。对受害者造成的损失巨大对受害者造成的损失巨大。。15偷窥用户信息偷窥用户信息凡是你在凡是你在PCPC前所说前所说、、所做的一切所做的一切，，都有可都有可凡是你在凡是你在PCPC前所说前所说、、所做的切所做的切，，都有可都有可能被记录能被记录！！木马具有捕获每一个用户屏幕木马具有捕获每一个用户屏幕、、每一次键击事件的能力每一次键击事件的能力。。完全的控制宿主主机完全的控制宿主主机。。可以打开摄像头可以打开摄像头、、麦克风麦克风，，并将得到并将得到的图像的图像、、声音传给木马控制者声音传给木马控制者（（20042004..66发现的蜜蜂大盗发现的蜜蜂大盗））。。带有包嗅探器带有包嗅探器，，它能够捕获和分析流经网卡的每一个数据包它能够捕获和分析流经网卡的每一个数据包带有包嗅探器带有包嗅探器，，它能够捕获和分析流经网卡的每个数据包它能够捕获和分析流经网卡的每个数据包随意操控随意操控PCPC本身资源的能力本身资源的能力，，而且还能够冒充而且还能够冒充PCPC合法用户合法用户，，例如冒充合法用户发送邮件例如冒充合法用户发送邮件修改文档修改文档甚至进行银行转帐甚至进行银行转帐例如冒充合法用户发送邮件例如冒充合法用户发送邮件、、修改文档修改文档，，甚至进行银行转帐甚至进行银行转帐操作操作。。16记录用户数据记录用户数据盗取包括工商银行盗取包括工商银行、、招商银行招商银行、、建设银行建设银行、、交通银行交通银行、、深圳发展银行深圳发展银行、、民生银行民生银行、、华夏银行华夏银行、、上海银行等银行上海银行等银行及付费通及付费通、、支付宝支付宝、、中国在线支付网中国在线支付网、、银联支付网关等银联支付网关等网上支付机构的帐号网上支付机构的帐号、、密码密码、、验证码等验证码等每隔每隔1010毫秒检查一次用户是否正在使用涉及到的银行毫秒检查一次用户是否正在使用涉及到的银行每隔每隔1010毫秒