摆渡木马防御解决方案

浅浅的感觉
1 ℃
2020-06-18

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

摆渡木马防御解决方案二〇〇八年制目录1什么是摆渡木马........................................12摆渡木马的传播途径....................................13防御思路..............................................23.1针对第2条路径的防御..............................23.2针对第3条路径的防御..............................24解决方案..............................................34.1中间机过渡方法....................................44.2移动存储设备控制系统..............................5-1-1什么是摆渡木马现在许多单位为了防止木马病毒的感染，将存放单位机密文件、涉密资料等重要信息的计算机与互联网实行物理隔离，不联网使用。使得传统的木马病毒即使感染计算机，也无法对计算机进行控制和窃取计算机的信息。针对这种情况，木马开发者设计出以移动存储设备为媒介，在电脑间进行传播的“摆渡木马”。这种木马通过U盘等移动存储设备感染没有联网的计算机，然后搜索计算机的敏感信息（帐号、密码、涉密信息），再存储到优盘，进而传到联网的计算机上，再发送给窃取者。2摆渡木马的传播途径下图是木马传播的一个路径图：木马传播者的计算机互联网用户上网机01移动存储设备工作机或涉密机23其他上网机12图中0,1,2,3是木马传播的路径，其中第0条路径显然没有办法-2-可以防御；第1条路径由于其中的其他上网机很难控制，也不适合部署防御；因此，只能从第2，3条路径部署防御。3防御思路3.1针对第2条路径的防御在第2条路径上，我们假设所有的上网机都是不安全的，可能已经感染病毒或木马，那么我们的目的就是为了防止非法程序读写移动存储介质。最简单的一种方法就是购买专门用于拷贝上网数据的专用移动存储设备，必须带写保护。注意为了防止个人隐私流失，切记在该移动存储设备插到个人电脑上时候，写保护一定要处于不可写的状态！！！！！只有这样才能保证数据只有从上网机器——个人机器的单向流通，能够在一定程度上预防泄密；这种方法依赖于用户的良好使用习惯，一旦忘记打开写保护，就可能造成信息泄漏。另外一种方法就是移动存储设备被格式化成非标准的格式，只能由移动存储设备自带的程序才能读写，其他程序都不能访问，这样就屏蔽了病毒和木马访问的可能性，但这种方法必须基于移动存储设备的用户是可信赖的，而且用户还不能在上网机上打开移动存储设备上面的文件或者敏感的文件夹，否则也会造成信息泄漏。3.2针对第3条路径的防御在第3条路径上，我们假设移动存储设备都是不安全的。这就需-3-要在工作机或者涉密机上部署防御，最常见的方法就是安装杀毒软件和木马检测软件，用以检测优盘的病毒和木马，防止感染，但是，目前几乎所有的杀毒软件和木马检测软件都不能保证能够检测和清除所有的病毒和木马，这对于安全性要求较高的单位来说，不能满足要求。另外就是采用主动防御的手段，如安装进程控制系统，首先在安装计算机操作系统后，就对系统可以信任的可执行文件（包括exe文件，com文件，bat文件，dll文件，bpl文件等等）建立一个信任表，以后在用户或者系统自动运行程序时，都将所运行的程序和系统的信任表进行比较，如果不被信任，就提醒用户，让用户进行决定是否可以信任，这样就可以防止病毒或木马感染的机会，但这样对用户的要求提高，用户安装和使用新的程序都需要进行确认，使用也很不方便，并且这是基于使用人员是可信赖的，如果出现误操作、偷懒或故意的行为，也会将病毒和木马程序植入计算机。目前的计算机除了USB接口以外，还提供了其他物理隔离无效的形式的访问，如红外端口访问，蓝牙端口访问，无线网络访问等等，在作防御时，还必须考虑对这些访问形式的限制，才能够达到一个全面的防御效果。4解决方案从以上的分析可以看出，防御摆渡木马是一个综合性的问题，需要从计算机的各个方面进行考虑。-4-针对个人用户来说，首先要有良好的防御意识和使用习惯，并且根据个人的实际情况配置相应的设备和软件进行防御。但是针对一个群体或者涉密单位来说，就必须要采用综合的防御方法和针对性的专业防御系统。我们首先要求群体或者涉密单位的重要计算机系统与外网都是物理隔离的系统，在这样的情况下，我们设计以下的防御手段。l设立安全的中间机，进行内外系统的数据交换。l在工作机或者涉密机上部署专门的移动存储设备控制系统（包括对其他物理隔离无效的形式的设备的控制），禁止外来移动存储设备和其他无线访问设备的使用，只允许内部专用移动存储设备的使用。4.1中间机过渡方法中间机的部署如下图所示：这里我们将联网的机器统称为外机，将内部使用的工作机或涉密机称为内机。外来的移动存储设备不允许直接在内机上使用，只能通过中间机-5-进行交换，中间机由专业和可信任的管理人员管理，在中间机部署以下的防御方法：l安装杀毒软件和木马检测软件，用以检测病毒和木马程序；l断开中间机与内网的连接；l安装进程控制系统，防止未知的病毒或木马攻击；l安装移动存储介质控制系统，以便使用内部专用的移动存储设备，和内部进行数据交换，在中间机上，移动存储介质控制系统还需要放开外部移动存储设备的控制以便可以使用外部移动存储设备；4.2移动存储介质控制系统在内机上部署移动存储介质控制系统，该系统具有以下功能：l禁止外来移动存储设备的使用，防止被外来移动存储设备携带的病毒或木马感染；防止内部数据被非法带出；l禁止非物理形式的设备端口（如红外端口，蓝牙端口，无线网络等等）的访问，防止其他形式的存储设备携带的病毒或木马感染，及导致内部数据被非法带出；防止用户通过无线网络联网导致的病毒或木马感染，及导致内部数据被非法带出；l内部专用的移动存储设备的制作和访问，通过对移动存储设备进行特殊的格式化和专门的硬件加密手段，防止内部专用的移动存储设备被外机使用，及设备丢失后数据泄露。-6-l允许内部专用的移动存储设备的使用，便于内部交换数据。