校园网络应用服务及安全防御ppt-PowerPoint.ppt

校园网络应用及安全防御 2008 11 05 报告提纲 校园网络应用服务校园网络安全状态网络的安全防御措施 一 校园网络应用服务 校园网络应用服务结构分布图 互为备份 HW S8512 互为备份 校园网提供的服务 服务数字化 目前 网络中心承载教务 图书 财务 校务办公信息等十多个教学 科研管理系统 拥有包括学校和各部门在内的七十多个二级网站 约几十万个文件和数据库 提供约四十多个DNS域名服务 提供约四十多个FTP服务 学校主页 网络中心主页 网站管理系统 网站管理系统 网络中心业务办公系统 网络中心业务办公系统 数字资源库 数字资源库 WindowsUpdate自动更新服务 网络带给我们便捷通信 自由交流 海量信息 同时也带来不可忽视的安全隐患与潜在威胁 二 校园网络的安全状态 国家计算机网络应急技术处理协调中心 CNCERT CC 互联网业务流量监测分析 根据CNCERT CC在2007年上半年对互联网业务流量的抽样统计 在TCP协议中 占用带宽最多的网络应用有四类 Web浏览 P2P下载 电子邮件和即时聊天工具 UDP协议中当前最占用带宽的是Windows信使服务使用的1026和1027端口 此端口常被滥用发送垃圾信息 此外 P2P下载软件迅雷和eMule占用较多带宽 我国互联网高速发展 CNNIC 08 截至2008年6月底 中国网民数量达到2 53亿 网民规模跃居世界第一位 但是普及率只有19 1 仍然低于全球平均水平 21 1 中国网站数量为191 9万个 年增长率为46 3 其中CN下的网站数为137万 占总网站数71 4 网上银行使用率为23 4 用户增长率较快 半年用户增长率达到47 1 但使用率远低于美国网民53 的使用率 也低于韩国网民39 1 的使用率 网上炒股 基金使用率为16 9 网上炒股 基金的使用率与中国的股市同步波动 使用率在下降 总体用户量略涨了466万 目前中国网民的使用率仍高于韩国网民的5 4 也高于美国网民的11 病毒传播的主要途径 我国最流行的十种病毒 校园网络是互联网络的有机组成部分 同时又是为师生员工的教学 科研 管理 服务 文化娱乐等服务的特殊支撑平台 校园网络存在安全隐患 各种各样的应用软件在校园网中广泛使用 Windows系统存在很多的系统安全漏洞 浏览器IE存在严重的安全漏洞 被广泛使用的FTP服务器Serv U也存在严重的缓冲区溢出漏洞 病毒的破坏黑客攻击 校园网络既是学习研究平台 又是大学文化建设的窗口学生对新技术有好奇 好学的心理 在校园网上测试 使用各种各样网络安全技术和工具 扫描工具 系统漏洞探测工具 学生正处于成长期 不健康内容会对他们的成长产生不利的影响 色情的 反动的 校园网络存在安全隐患 校园网面临的多种威胁 校园网提供各种服务 提供服务的部门安全意识不统一 各种服务器存在安全威胁 教师 学生与外界的频繁Email联系 垃圾邮件非常多 三 网络的安全防御措施 1 ARP病毒 现象 1 使用校园网时会突然掉线 过一段时间后又恢复正常 2 用户频繁断网 IE浏览器频繁出错 3 一些常用软件出现故障 ARP是 AddressResolutionProtocol 地址解析协议 的缩写 将IP地址转化为MAC地址 局域网内 一台中了ARP木马的电脑 把自己伪装成网关地址 告诉所有的电脑 我是网关大家都来 结果大家的电脑相信了他 他就可以随意的把改装过的网络数据发送给所有电脑 在这个数据里可以插入能盗号的程序 ARP病毒简单原理 网络拓扑环境 正常情况下数据包的发送过程 ARP欺骗PC机 ARP欺骗网关 ARP欺骗广播包 ARP病毒防治方法 一 主机静态绑定网关MACarp d将arp缓存中的内容删空arp s网关IP网关MAC需要说明的是 手工绑定在计算机关机重开机后就会失效 需要再绑定 优点 简单易行 普通用户都能操作缺点 只能单向绑定 需要跟网关绑定MAC结合使用 二 网关使用IP MAC绑定模式交换机启用静态ARP绑定功能 将用户的IP与MAC进行静态绑定 防止ARP欺骗发生 优点 效果明显缺点 操作复杂 工作量巨大 无法保证主机端不被欺骗 需要与主机端绑定网关MAC结合使用 ARP病毒防治方法 三 使用防ARP攻击的软件下载和使用防ARP攻击的软件 如ARPFix或者是AntiARP等 优点 简单易行缺点 需要用户端都安装 无法保证网关不被欺骗 ARP病毒防治方法 2 磁碟机 病毒 现象 1 系统运行缓慢 频繁出现死机 蓝屏 报错等现象 2 进程中出现两个lsass exe和两个smss exe 且病毒进程的用户名是当前登陆用户名 3 杀毒软件被破坏 多种安全软件无法打开 安全站点无法访问 4 系统时间被篡改 无法进入安全模式 隐藏文件无法显示 5 病毒感染 exe文件导致其图标发生变化 6 会对局域网发起ARP攻击 并篡改下载链接为病毒链接 2 磁碟机 病毒 磁碟机 病毒的传播途径 1 U盘 移动硬盘 数码存储卡传播 移动存储介质 2 各种木马下载器之间相互传播3 通过恶意网站下载4 通过感染文件传播5 通过内网ARP攻击传播 磁碟机 病毒的解决方法 磁碟机病毒和AV终结者 机器狗的表现很类似 技术上讲磁碟机的抗杀能力更强 从我们了解到的情况看 多种杀毒软件无法拦截磁碟机的最新变种 在中毒之后 安装杀毒软件失败的可能性很大 因此 目前的方案是优先使用磁碟机专杀工具 3 AV终结者 现象 此病毒以U盘与网络的传播方式为主 采用Windows映像劫持技术 又名IFEO劫持 当病毒在被感染的客户机运行时 随机产生一组字母数字随机型8位数运行进程 并依靠自身的强大威力 试行关闭计算机中安装的杀毒软件与防火墙及等第三方安全工具的系统进程 甚至连系统更新则无法运行 无法在搜索引擎上搜索相关防毒杀毒之类的网页 系统时间被更改 无法打开注册表 任务管理器等 重装系统不能解决 快速解决方法 1 先关闭windows自动播放功能 依次点击开始 运行 输入gpedit msc 打开组策略编辑器 查找计算机配置 管理模板 系统 在右边窗格中双击 关闭自动播放 对话框中选择所有驱动器 确定即可 2 执行AV终结者病毒专杀工具 4 auto病毒 现象 将U盘插在电脑上的时候 可以识别出来优盘 但是双击U盘的时候却怎么也打不开 在盘符上单击右键 可以看到有 auto 这么个选项 这也就是auto病毒名称的来源 同时 在D盘很可能会发现有两个隐藏文件AutoRun inf和Pagefile存在 auto病毒防护方法 1 在没有感染计算机上的其它文件之前 格式化U盘 这样病毒也就被一起删除了 2 为降低感染U盘病毒的风险 请关闭WindowsXP的自动播放功能 操作方法如下 1 点击 开始 选择 运行 键入 gpedit msc 并运行 打开 组策略 窗口 2 在左栏的 本地计算机策略 下 打开 计算机配置 管理模板 系统 然后在右栏的 设置 标题下 双击 关闭自动播放 auto病毒防护方法 auto病毒防护方法 3 选择 设置 选项卡 勾取 已启用 复选钮 然后在 关闭自动播放 框中选择 所有驱动器 单击 确定 按钮 退出 组策略 窗口 auto病毒防护方法 4 在 用户配置 中同样也可以定制这个 关闭自动播放 但 计算机配置 中的设置比 用户配置 中的设置范围更广 有助于多个用户都使用这样的设置 此外 可以使用Auto病毒专杀V2 0正式版 auto病毒防护方法 三分技术 七分管理 对校园网用户的建议 1 避免类似网络安全问题的根本解决办法是定期更新操作系统 系统未及时更新的用户请下载系统补丁 打上各种漏洞补丁 2 立即安装或更新防病毒软件并对内存和硬盘全面扫描 3 给系统管理员帐户设置足够复杂的强密码 最好能是12位以上 字母 数字 符号的组合 也可以禁用 删除一些不使用的帐户 4 不要随便共享文件或文件夹 即使要使用共享 应先设置好权限 一般指定帐号或特定机器才能访问