北京医疗安全防御培训

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

北京医疗安全防御培训--网络安全风险分析•病毒与病毒的识别•风险分析•方案分析•公司简介及产品汇报•Q&A目录病毒与病毒识别•截止到6月30日,2008年上半年,金山毒霸共截获新增病毒、木马1242244个,较07年全年病毒、木马总数增长了338%。背景资料背景资料•新增木马数为640873个,占上半年新增病毒、木马总数的51.59%。而下载器类病毒占上半年新增病毒、木马总数的20.3%,成为增长速度昀快的一类病毒。从08年上半年十大病毒、木马的统计数据中显示,十大病毒中有六大病毒为下载器病毒•2008年上半年,据金山毒霸全球反病毒监测中心统计数据,全国共有22367994台计算机感染病毒,与07年同期相比增长了194%背景资料•自启动方式•传播方式•破坏系统•自保护及自隐藏•对抗安全软件目前使用的技术•一、病毒定义计算机病毒是指在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。•二、病毒起源1、计算机工作人员或业余爱好者寻开心而制造。2、软件公司为保护自己的产品被非法拷贝而制造。3、蓄意破坏,它分为个人行为和政府行为两种。个人行为多为雇员对雇主的报复行为,而政府行为则是有组织的战略战术手段。4、用于研究或实验而设计的“有用”程序,由于某种原因失去控制扩散出实验室或研究所,从而成为危害四方的计算机病毒。计算机病毒知识三、病毒历史1983年计算机安全专家考因证明了病毒的可实现性。1987年世界各地发现了形形色色的计算机病毒。1989年全世界的计算机病毒攻击十分猖獗。1989年10月13日为“世界计算机病毒流行日”1991年“海湾战争”中美军将计算机病毒用于实战。1992年出现针对杀毒软件的“幽灵”病毒。1996年首次出现针对微软公司Office的“宏病毒”。1998年被公认为计算机反病毒界的CIH病毒年。CIH病毒从台湾传入国内,共有三个版本:1.2版/1.3版/1.4版,发作时间分别是4月26日/6月26日/每月26日。该病毒是第一个直接攻击、破坏硬件的计算机病毒,是迄今为止破坏昀为严重的病毒。1999年完全通过Internet传播的病毒的出现,从而使病毒在极短的时间内遍布全球。2001年9月一种名为“尼姆达”的蠕虫病毒席卷世界。“尼姆达”病毒在全球各地侵袭了830万部电脑,总共造成约5.9亿美元的损失。2003年1月25日,一种新的蠕虫病毒再次震惊了世界。人们给这一病毒起了不同的名字:“2003蠕虫王”、“强风”、“SQL杀手”等等。这一蠕虫病毒攻击互联网开始于北京时间25日13时15分左右,除我国外,全球已经有2.2万个网络服务器受到这一病毒的攻击而瘫痪。我国互联网出现大面积网络流量异常,访问速度非常慢,情况严重的网络一度中断,无法使用。韩国全国的有线和无线互联网服务几乎同时中断,韩国情报通信部立即宣布进入紧急工作状态。美国昀大的银行之一美洲银行由于遭到病毒袭击,1.3万台自动取款机发生故障,长达几个小时的时间内不能为顾客进行交易……蠕虫病毒:就是像蠕虫一样“寄生”在其他东西上进行传播的计算机病毒。它的传染机理是利用网络进行复制和传播,传染途径是通过网络和电子邮件。四、病毒的特征1.传染性传染性是病毒的基本特征。计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。2.未经授权而执行病毒隐藏再正常程序中,当用户调用正常程序时窃取到系统的控制权,先于正常程序执行,病毒的动作、目的对用户时未知的,是未经用户允许的。3.隐蔽性病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方,也有个别的以隐含文件形式出现。目的是不让用户发现它的存在。4.潜伏性大部分的病毒感染系统之后一般不会马上发作,它可长期隐藏在系统中,只有在满足其特定条件时才启动其表现(破坏)模块。只有这样它才可进行广泛地传播。如著名的“黑色星期五”在逢13号的星期五发作。国内的“上海一号”会在每年三、六、九月的13日发作。5.破坏性任何病毒只要侵入系统,都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率,占用系统资源,重者可导致系统崩溃。6.不可预见性从对病毒的检测方面来看,病毒还有不可预见性。病毒的制作技术也在不断的提高,病毒对反病毒软件永远是超前的。五、病毒的传播途径1.通过移动存储设备来传播(包括软盘、光盘等)。2.通过计算机网络进行传播。3.通过点对点通信系统和无线通道传播。六、病毒的分类1.按传染方式分类引导型病毒主要是感染磁盘的引导区,启动计算机时它们就会首先取得系统控制权,驻留内存之后再引导系统,并伺机传染其它软盘或硬盘的引导区。文件型病毒一般只传染磁盘上的可执行文件(COM,EXE),在用户调用染毒的可执行文件时,病毒首先被运行,然后病毒驻留内存伺机传染其他文件。其特点是附着于正常程序文件,成为程序文件的一部分。混合型病毒兼有以上两种病毒的特点,既感染引导区又感染文件,因此扩大了这种病毒的传染途径。2.按破坏性分类病毒按破坏性可分为良性病毒和恶性病毒。良性病度可能只显示些画面或出点音乐、无聊的语句,或者根本没有任何破坏动作,但会占用系统资源。恶性病毒有明确得目的,或破坏数据、删除文件或加密磁盘、格式化磁盘,有的对数据造成不可挽回的破坏。3.新型病毒部分新型病毒由于其独特性而暂时无法按照前面的类型进行分类,如宏病毒、黑客软件、电子邮件病毒等。宏病毒主要是使用某个应用程序自带的宏编程语言编写的病毒,如感染WORD系统的WORD宏病毒、感染EXCEL系统的EXCEL宏病毒等。宏病毒与以往的病毒有着截然不同的特点,如它感染数据文件,彻底改变了人们的“数据文件不会传播病毒”的认识。黑客软件本身并不是一种病毒,它实质是一种通讯软件,而不少别有用心的人却利用它的独特特点来通过网络非法进入他人计算机系统,获取或篡改各种数据,危害信息安全。电子邮件病毒实际上并不是一类单独的病毒,它严格来说应该划入到文件型病毒及宏病毒中去,只不过由于这些病毒采用了独特的电子邮件传播方式,因此我们习惯于将它们定义为电子邮件病毒。七、病毒的破坏行为不同病毒有不同的破坏行为,其中有代表性的行为如下:攻击系统数据区即攻击计算机硬盘的主引寻扇区、Boot扇区、FAT表、文件目录等内容。攻击文件是删除文件、修改文件名称、替换文件内容、删除部分程序代码等等。攻击内存内存是计算机的重要资源,也是病毒的攻击目标。其攻击方式主要有占用大量内存、改变内存总量、禁止分配内存等。干扰系统运行不执行用户指令、干扰指令的运行、内部栈溢出、占用特殊数据区、时钟倒转、自动重新启动计算机、死机等。速度下降不少病毒在时钟中纳入了时间的循环计数,迫使计算机空转,计算机速度明显下降。攻击磁盘攻击磁盘数据、不写盘、写操作变读操作、写盘时丢字节等。扰乱屏幕显示字符显示错乱、跌落、环绕、倒置、光标下跌、滚屏、抖动、吃字符等。攻击键盘响铃、封锁键盘、换字、抹掉缓存区字符、重复输入。攻击喇叭发出各种不同的声音,如演奏曲子、警笛声、炸弹噪声、鸣叫、咔咔声、嘀嗒声攻击CMOS对CMOS区进行写入动作,破坏系统CMOS中的数据。干扰打印机间断性打印、更换字符等。八、防毒原则1.不使用盗版或来历不明的软件。2.绝不把用户数据写到系统盘上。3.安装真正有效的防毒软件,并经常进行升级。4.新购买的电脑要在使用之前首先要进行病毒检查,以免机器带毒。5.准备一张干净的系统引导盘,并将常用的工具软件拷贝到该软盘上保存。此后一旦系统受病毒侵犯,我们就可以使用该盘引导系统,然后进行检查、杀毒等操作。6.对外来程序要使用尽可能多的查毒软件进行检查(包括从硬盘、软盘、局域网、Internet、Email中获得的程序),未经检查的可执行文件不能拷入硬盘,更不能使用。7.经常对重要数据进行备份,防患于未然。8.随时注意计算机的各种异常现象(如速度变慢、出现奇怪的文件、文件尺寸发生变化、内存减少等),一旦发现,应立即用杀毒软件仔细检查。九、碰到病毒之后的解决办法1.在解毒之前,要先备份重要的数据文件。2.启动反病毒软件,并对整个硬盘进行扫描。3.发现病毒后,我们一般应利用反病毒软件清除文件中的病毒,如果可执行文件中的病毒不能被清除,一般应将其删除,然后重新安装相应的应用程序。4.某些病毒在Windows状态下无法完全清除,此时我们应采用事先准备的干净的系统引导盘引导系统,然后在DOS下运行相关杀毒软件进行清除。十、反病毒软件1、软件的安装2、病毒库的升级3、系统盘、杀毒盘的制作•通过Windows网络共享传播•通过U盘等可移动介质传播•通过ARP在局域网内传播•通过网络欺诈的方式•通过木马下载者传播方式•AV终结者变种木马下载者。根据文件名、版本信息、进程文件数据特征结束安全软件进程,删除安全软件进程文件。每15分钟检查一次升级状态。可以网络上升级数据特征库和病毒文件。•磁碟机木马下载者。感染型病毒。关机时写入启动项,运行后删除启动项。向安全软件发送大量垃圾消息,让安全软件无法正常运行。•机器狗木马下载者。替换系统文件。通过直接读写特征扇区穿透还原卡和还原软件。昀近的流行病毒可以通过检查对应的启动项、文件路径、版本信息、数字签名、是否加壳、节信息,判断一个文件是否为病毒。1.检查启动项病毒一般都会创建启动项。运行msconfig.exe、services.msc、清理专家启动项管理器、autorun等工具,若发现有对应此文件的启动项,且启动项的名称借用了系统名称或无意义的名称,则此文件可疑。2.文件路径若文件名为系统文件名但并不在该文件所在的目录下,或文件名为随机无意义的字符串且在系统目录下时,文件可疑。3.版本信息、数字签名若文件位于系统目录或windows目录下,却没有版本信息,文件可疑。若文件有数字签名,一般不会是有较大危害的程序。手工识别病毒风险分析!•在系统工程过程中,风险是对达到属于技术性能,成本和进度方面的目的和目标的不确定性的一种量度。•风险等级用事件和事件结果的概率来分类。对获取程序,系统在产品和过程方面进行风险评价。•风险源包括技术的(可行性,可操作性,生产性,测试性和系统的有效性);成本(预算,目标),计划表(即技术资料的可用性,技术成就,里程碑);和规划(即资源、合同)。风险综述出口带宽(3257M)出口带宽(出口带宽(32573257MM))上网主机数(1002万)主机数(242739)用户数(2650万)cn域名数(128362)中国的因特网发展(2001.6)Cert有关安全事件的统计Cert有关安全事件的统计年份事件报道数目19886198913219902521991406199277319931334199423401995241219962573199721341998373419999895200021756总数47711•98.4-mimeheaders•98.9/10-Javascript,Java•98.12-Jan99-Trojans•99.1-sscan•99.2/3-Slow/StealthScans•99.4-MelissaMacroVirus•99.8-DNS•99.12-Y2Ktrojans•2000.2-DistributedDenialofService计算机安全事件•2000.5-LoveBug,NewLove,Resume•2000.8/9-rpc.statdexploits•2000.12-Y2K•2001.1-Ramen,BINDvuls,Kournikova•2001.5-sadmind/IISworm•2001.7-CodeRedworm•2001.8-CodeRedII•2001.9-NIMDA计算机安全事件其它8%教育科研22%商业机构48%网络服务7%政府机关15%四月对中国网站的攻击(443次)其它12%网络服务6%军事网站2%教育网站4%机构网站6%商业网站65%政府网站5%五月1-7日对美国网站的攻击(10

1 / 68
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功