方正集团计算机使用常识.ppt

计算机使用与安全,方正集团 方正信息安全技术有限公司 路彤,内容提要,1：方正集团简介 2：还原卡使用 3：网络安全,方正集团简介,硬盘保护卡功能介绍,1：硬盘还原 2：网络对拷 3：网络管理,硬盘还原,国际领先的软件还原技术，无需重做硬盘，重新分区，直接安装，所有硬盘资料即可被完全保护起来。即使卸载，硬盘资料依旧； 病毒破坏、系统资料完全丢失、 Format/Fdisk破坏，只需执行还原，一切完好如初； 还原速度极快， 几G的硬盘资料，不到 几秒即可恢复；多台电脑同时还原，速度丝毫不受影响； 能保护硬盘的多个分区，设有自动 /手动 /定时 /不还原 /资料转储等多种不同模式，让硬盘资料的保护更灵活、更自由； 提供安装模式，具有 COMS资料备份和还原功能、防止硬盘 I/O破坏功能，支持多重开机，还原保护面面俱到； 还原、保留、转储等操作，可从单机进行，更可通过网络远程执行。,网络对拷,对拷速度快， 大容量资料，只需几分钟；最多可实现 一对多台电脑的同时对拷，速度丝毫不受影响； 即使是硬盘未经分区和格式化的电脑，一经对拷，即可拥有和对拷主机一模一样的分区、操作系统、各种软件程序，甚至包括还原程序； 可选择逐个扇区的对拷方式，对整个硬盘作最完整的复制；也可通过独特的有效资料对拷方式，来加快对拷速度； 对拷完成后，系统自动分配 IP、计算机名，也可以手动修改； 可设定调节参数，适应不同的对拷网络环境。,网络管理,远程执行还原、保留、转储，远程设定、更改被控端硬盘还原方式，真正实现网络化的系统、资料保护； 远程开机、关机、重启、注销、安装、移除，同步 CMOS，遥控式的操作，让网络 “活 “起来； 远程参数设置（还原参数、 IP地址等），无须到每台计算机上重复性地操作； 信息传送功能，网络维护时，可实时通知被控端进行对应的配合操作； 远程信息功能，可在任何时间，远程监视网络电脑的硬盘空间使用情况，便于及时地释放硬盘空间； 频道设置实现群组管理，安装时，可对被控端设定不同的频道，以方便维护与管理。例如不同的教室分成几个频道； 远程文件传输，让主控端与被控端的文件共享、信息传递更方便，更重要的是它不仅可传送文件，还可传送文件夹，即使是几十兆的资料也能传送自如； 远程计划排程设定，让各种维护操作自动执行，给网络管理员全面减压； 远程遥控还原与管理，瞬间完成 上百台电脑的维护； 网络对拷功能使整个网络电脑系统的安装速度极大提高； Windows下操作界面让各种操作更直观更简单。,安装说明,1：进入CMOS 2：关闭CMOS中的病毒警告。 3：将CMOS中显卡以外的映射地址设为Disable。 4：将CMOS中的Network/LAN引导选项，设为Enabled或设定为网络优先启动（该项没有,可以不设定）。 5：如CMOS中有Fast Boot的选项，请将此项设定为Disable（该项没有,可以不设定）。,安装说明,网络安装,按F10 工具网络拷贝工具执行网络拷贝发送端,网络安全,1：网络安全基础 2：计算机病毒 3：如何预防,安全隐患问题,1：计算机硬件损坏 2：系统的崩溃 3：非法攻击 4：计算机病毒 5：,前言 网络安全基础,什么是网络安全,网络安全的核心,ISO信息安全定义： 为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。,网络安全现状-国际,由计算机安全协会（CSI）和联邦调查局（FBI）调查得出美国大公司、金融机构、医疗机构、大学和政府机构中：,70经历过比病毒和雇员滥用网络 更严重的破坏！,42声称由于计算机攻击而遭受 到经济损失，总价值超过2.65亿美元！,90的人员反映遭受过安全破坏！,网络安全现状-国内,利用计算机网络进行的各类违法行为在中国以每年30%的速度递增，而已发现的黑客攻击案只占总数的30%,中国国内80%网站有安全隐患， 20网站有严重安全问题,中国的金融业过去两年损失1.6亿人民币,国内安全产品需求,国内安全产品使用,95.50%,45.00%,5.00%,4.50%,4.00%,3.50%,1.50%,1.00%,0.00%,0.00%,10.00%,20.00%,30.00%,40.00%,50.00%,60.00%,70.00%,80.00%,90.00%,100.00%,1,中国网络安全产品市场,攻击：欺骗（spoof）,攻击：窃听（password tracking）,攻击：数据窃取（Data stealing）,攻击：数据篡改（ packet forging）,攻击：拒绝服务（Dos）,DDOS,1： TCP-SYN flood（三次握手） 请求方向服务方发送一个SYN消息，服务方收到SYN后，会向请求方回送一个SYN-ACK表示确认，当请求方收到SYN-ACK后则再次向服务方发送一个ACK消息，一次成功的TCP连接 2：UDP,网络攻击发展趋势,典型黑客攻击过程,自我隐藏 网络刺探和信息收集 确认信任的网络组成 寻找网络组成的弱点 利用弱点实施攻击 攻破后的善后工作,网络攻击的结果,数据篡改,数据窃取,欺骗,拒绝服务,敏感信息被窃取,主机资源被利用,网络瘫痪,重要数据丢失,局域网立体安全防护体系,对网络攻击的阻挡,攻击预警和访问控制,被攻破后的分析与补救,远程传输的安全,安全防护层次,立体防护体系,VPN,木桶理论,一个桶能装多少水不取决于桶有多高，而取决于组成该桶的最短的那块木条的高度。,安全策略 系统配置 技术漏洞,病毒基本知识,病毒(Virus) 的定义： 1994年2月18日，我国正式颁布实施了中华人民共和国计算机信息系统安全保护条例，其中第二十八条中明确指出： “计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码”。,病毒的起源,1977年夏天，Thomas.J.Ryan的科幻小说P-1的春天成为美国的畅销书，作者在这本书中描写了一种可以在计算机中互相传染的病毒，病毒最后控制了 7,000 台计算机，造成了一场灾难。 虚拟科幻小说世界中的东西，在几年后终于逐渐开始成为电脑使用者的噩梦。 而差不多在同一时间，美国著名的AT&T贝尔实验室中，三个年轻人在工作之余，很无聊的玩起一种游戏:彼此撰写出能够吃掉别人程序的程序来互相作战。这个叫做“磁芯大战“（core war）的游戏，进一步将电脑病毒“感染性“的概念体现出来。 1983年11月3日，一位南加州大学的学生弗雷德科恩（Fred Cohen）在UNIX系统下，写了一个会引起系统死机的程序，但是这个程序并未引起一些教授的注意与认同。科恩为了证明其理论而将这些程序以论文发表，在当时引起了不小的震撼。科恩的程序，让电脑病毒具备破坏性的概念具体成形。,真正的病毒诞生了！,1987年，巴基斯坦兄弟C-BRAIN,病毒基本知识,病毒的类型： 引导型病毒（引导区） 文件型病毒（各种可执行文件中） 目录型病毒（与目录有关） 宏病毒（感染Office文档）,病毒基本知识,蠕虫 (Worm) 是一类通过网络传播的恶意程序。即在计算机之间进行传播，而病毒是在本机上传播。蠕虫具有自我复制的能力，但没有寄生性。 Loveletter(爱虫)、BugBear(怪物)、Klez(求职信)、SirCam(Cam先生)、LovGate(爱情后门)、NetSky(网络天空)、Beagle(恶鹰)、Gaobot(高波)、Mimail(小邮差)、Mydoom(末日) 对于蠕虫处理方式一般为删除！,病毒基本知识,特洛依木马 (Trojan Horse) 特洛伊木马的关键是采用潜伏机制来执行非授权的功能。特洛伊木马即没有寄生性，也没有自我复制能力。 木马通常由服务器端(被控端)和客户端(控制端) 程序组成。 典型木马：BO2k(国外)，冰河(国内) 对于木马的处理方式通常也是删除。,病毒基本知识,混合型病毒 即具有病毒、蠕虫和木马至少两种以上特性的恶意程序。此时他们将分别表现出所对应的特征。 目前混合型病毒出现得越来越多。,病毒基本知识,广义病毒的定义 目前广义上，将病毒、蠕虫、木马以及当今流行的恶意程序间谍程序、广告软件、黑客工具、玩笑程序、恶意拨号程序、网络钓鱼等，都统称为病毒。国外则一般称为恶意软件。 但是从技术角度而言，他们各自之间是有本质区别的。,病毒基本知识,间谍程序 秘密监控人们计算机行为程序的统称，可人们不知情的情况下窃取用户计算机中的信息。 玩笑程序 可引起人们恐慌的大规模传播的恶意消息。 广告软件 超出合理广告范围的一类广告软件，通常依附于免费软件或共享软件。,病毒基本知识,恶意拨号程序 可在人们不知情时向Internet发起连接的拨号程序，往往使受害者支付昂贵费用。 黑客程序 黑客们用于”踩点”、攻击、分析的一类工具，此类程序较难定义，因为它们可以用于有益的方面，也可能被用户黑客攻击手段。 网络钓鱼(Phishing, Pharming),病毒传播途径,1. 利用Windows操作系统或某些系统服务（IIS服务）的系统漏洞进行感染； 2. 利用用户计算机某些用户的空口令、弱口令和文件夹共享进行感染； 3. 利用用户安装的某些软件的漏洞或设置不当进行感染； 4. 利用电子邮件来传播，一旦用户打开带病毒的邮件就可能被感染； 5. 利用用户受其他病毒感染留下的后门进行二次交叉感染,病毒商人,1：第四类身份者 2：病毒流失,INTERNET带给我们什么？,1：人于人之间的距离缩短 2：大量资源的共享 3：,我们怎么办？！,1：系统及时升级，及时查看安全公告 2：安装防病毒软件 3：及时更新，定期扫描 4：不轻信任何人 5：及时观察网络内数据流量 6：及时观察计算机运行情况,防病毒软件的构成,1：防病毒软件引擎 2：病毒代码库 3：LOGO,防病毒软件的作用,1：防范已知病毒 2：对计算机实时监控 3：对未知病毒进行启发式检测,防病毒软件？,防病毒软件 真的能保护我们吗？！,网络版防病毒产品自身隐患,病毒传播快，而大部分防病毒产品更新慢 出现愈来愈多针对防病毒软件的病毒 (Klez，Naco，Bugbear) 针对系统漏洞、驻留内存型病毒无法处理 (CodeRed、SQLSlammer) 防病毒的配置、产品Bug等也极大地影响了防病毒的能力,防病毒软件工作原理,一个新的恶意代码出现 该恶意代码开始传播 防病毒厂商获得该恶意代码的样本 在实验室内对该样本进行分析研究 防病毒厂商创建新恶意代码的识别器 更新病毒特征文件库，然后上传到因特网 用户根据已确定的情况更新,当前病毒防护存在的问题,高风险,防病毒产品防护,病毒出现,防病毒更新,低风险,低风险,特征文件分析 和开发,方正熊猫入侵防护TruPrevent企业版,用户正在寻找可以延伸病毒防护的相关解决方案： 启发式扫描 可分析静态代码，但很少有效 IDS (入侵监测) 没有自动防护功能 传统IPS(入侵防护) 近能检测已有的威胁，误报率高 防火墙 企业级/个人, 仅能作用于网络层和传输层 以上解决方案可以减少新威胁产生的风险，但是它们是不完善的，并且可能会产生负面影响。 目前市场上还没有可自动采取响应动作而无需人工干预的解决方案,当前可选择的解决方案,方正熊猫入侵防护TruPrevent企业版,我们需要什么？！,什么样的防病毒软件是我们需要的？,对系统中的进程行为分析，以检测是否有恶意代码运行。 采用智能事件关联(event correlation)技术辨别真正的威胁，并减少误报。 阻止和抑制针对系统的任何威胁。 阻止蠕虫感染整个企业网络。 包含已知病毒分析和清除技术。,病毒行为分析,方正熊猫入侵防护TruPrevent企业版,该技术可以检测如下病毒和蠕虫，甚至无需知道它们的特征码： 检测恶意网络数据包技术 CodeRed(红色代码)、SQLSlammer(SQL蠕虫)等蠕虫的传播 对缓冲区溢出的防护 阻止类似于Blaster(冲击波)、Sasser(振荡波)等恶意程序的攻击,LoveLetter(爱虫) Viyzva Navidad(圣诞节) Goner BugBear(怪物) CoolNotePad Klez(求职信),Badtrans(坏透了) SirCam(Cam先生) Anna KourniKova(库娃) Lentin(垃圾桶) LovGate(爱情后门) MyDoom(末日) NetSky(网络天空),Bagle(恶鹰) Dumaru(杜马) Mimail(小邮差) Gaobot(高波) Zobot(阻击波) Darby .,病毒行为检测,方正熊猫入侵防护TruPrevent企业版,“零度管理”深度数据包检测桌面防火墙，可分析系统中所有进出的TCP、UDP和ICMP协议数据，利用网络数据包分析技术查找漏洞。 在通讯层(communication layer)检测攻击，如即时通讯服务: AIM (AOL), YIM (Yahoo). 提供预警信息 和防病毒产品不同，它能够在网络病毒到达文件系统之前就对其进行检测和过滤。,网络恶意数据包检测,方正熊猫入侵防护TruPrevent企业版,阻止(DoS)攻击、端口扫描、直接黑客攻击、IP欺骗、MAC欺骗等。 利用应用层的行为分析模块，通过特征分析方式，将已经检测到的漏洞攻击阻止在系统入口处。 这项技术可以使用户避免未来的基于漏洞的攻击，如Sasser（振荡波）、SQLSlammer或