企业网络安全病毒防范体系建立研究与实现

学校代码学号硕士学位论文（专业学位）企业网络安全病毒防范体系建立研究与实现院系软件学院专业软件工程姓名指导教师完成日期目录摘要2ABSTRACT2第一章绪论211背景212目的213方案概述2小结2第二章需求分析与规划221企业网络安全现状222计算机病毒2221计算机病毒的定义2222计算机病毒的危害性2223计算机病毒的传播途径223网络环境分析2231公司简介2232内部网络环境2233外部网络环境分析224安全需求分析225未来模式规划2251未来总体模式设计2252病毒防范体系对信息化支持模式错误未定义书签。小结2第三章企业网络安全病毒防范体系建设方案231概述232安全服务、机制与技术233网络安全体系结构2331物理安全2332网络结构2333网络系统安全2334系统安全2335信息安全2336应用安全2337安全管理234安全解决配置方案2小结2第四章体系架构241设计原则242软件架构设计242硬件架构设计2第五章体系详细设计251设计思路2511切断病毒感染源2512切断病毒传播途径2533过滤网络攻击2534灾难性备份机制2535提高员工安全意识252设计模块2521采用网络版杀毒软件进行查毒、防毒；2522可靠的防火墙技术及配置；2523文件备份系统的实施2524采用自行开发的内部文件传输系统交流文件。2第六章未来改进方向261防范体系保障企业的正常生产262防范体系降低了企业成本263防范体系提高企业的效率2第七章结论2参考文献2致谢2摘要本文致力于用已学过的理念和方法对北京SW公司的网络安全系统问题进行研究，并建立一款符合公司本身的病毒防御体系。论文在入侵检测技术理论的支持下，通过对大量资料、数据的分析，对企业所面临的外部和内部网络安全问题进行了分析和判断，以U盘病毒的攻击方法、中毒现象进行了调研和分析，并在理论层面对公司现存网络病毒体系提出了建议。从而保护公司网络资源与技术专利的安全性，确保商业及技术机密不会被竞争对手盗用的同时员工还可以非常方便的调用、共享资源。本文在结构上分为四章，以公司现有病毒防御体系为主体，分别对“网络环境（其中包括外部网络、内部网络）、“现存防范体系的隐患”、“新建网络安全病毒体系”、“实施及支持系统”进行了较为详细的分析论述。第一章是现有网络环境分析，内部环境通过对本公司现有防范体系进行分析，找出漏洞，外部环境从国内现有的网络病毒入手，着重分析了目前国内最流行的病毒种类，发作机理，中毒的表现特征等。第二章针对现有防范体系的漏洞，做出一套完全适合公司的防范体系，从而可以更好的保护公司资源，防止信息泄漏。第三章介绍了该网络防护系统的实施及支持系统，其保证措施是进行内部网络与外部网络的融合、进一步放大技术优势；还有就是采取的一系列措施，其中包括1、采用网络版杀毒软件进行查毒、防毒；2、可靠的防火墙技术及配置；3、文件备份系统的实施；4、采用自行开发的内部文件传输系统交流文件。最后，预测一下未来网络安全可能出现的的安全隐患和问题以及避免这些隐患和解决问题的方法。关键词网络安全，病毒，防范体系ABSTRACTTHISPAPERAIMSATSTUDYINGTHENETWORKSECURITYSYSTEMOFABEIJINGBASEDCOMPANYUSINGTHECONCEPTSANDMETHODSWEHAVELEARNED,ANDCREATINGANANTIVIRUSSYSTEMMEETINGTHENEEDSOFTHECOMPANYITSELFWITHTHESUPPORTOFTHEINTRUSIONDETECTIONTHEORY,ANDTHROUGHTHEANALYSISOFEXTENSIVEMATERIALSANDDATA,THEPAPERHASANALYZEDANDJUDGEDTHEEXTERNALANDINTERNALNETWORKSECURITYISSUESFACEDBYCOMPANIES,HASSURVEYEDANDANALYZEDTHEATTACKMETHODSANDINFECTIONSYMPTOMSOFTHEUSBDISKVIRUSES,ANDHASPROVIDEDRECOMMENDATIONSONTHEEXISTINGNETWORKVIRUSPROTECTIONSYSTEMOFTHECOMPANYATTHETHEORETICALLEVEL,SOASTOPROTECTTHESECURITYOFTHECOMPANYSNETWORKRESOURCESANDTECHNOLOGICALPATENTS,ANDTOENSURETHATTHEBUSINESSANDTECHNICALSECRETSOFTHECOMPANYCANNOTBESTOLENBYCOMPETITORSBUTTHEEMPLOYEESCANUSEANDSHARETHERESOURCESVERYCONVENIENTLYATTHESAMETIMETHEPAPERISSTRUCTUREDINTOFOURCHAPTERS,PROVIDINGDETAILEDANALYSESANDDISCUSSIONSOF“NETWORKENVIRONMENT”INCLUDINGBOTHEXTERNALNETWORKANDINTERNALNETWORK,“POTENTIALRISKSOFTHEEXISTINGPROTECTIONSYSTEM”,“THENEWLYBUILTNETWORKSECURITYEXTERNALENVIRONMENTISANALYZEDTHROUGHNETWORKVIRUSESCURRENTLYSEENINCHINA,FOCUSINGONTHECURRENTLYMOSTEPIDEMICVIRUSVARIETIESINCHINA,THEIRTRIGGERINGMECHANISMS,ANDTHEIRINFECTIONSYMPTOMS,ETCCHAPTERTWOOFFERSAPROTECTIONSYSTEMTOTALLYSUITABLETOTHECOMPANYAGAINSTTHEVULNERABILITIESOFTHEEXISTINGPROTECTIONSYSTEM,SOASTOBETTERPROTECTTHERESOURCESOFTHECOMPANY,ANDTOPREVENTINFORMATIONLEAKAGECHAPTERTHREEDESCRIBESTHEIMPLEMENTATIONANDSUPPORTSYSTEMOFTHENETWORKPROTECTIONSYSTEM,ANDITSUNDERLYINGMEASURESARETOCONVERGETHEINTERNALNETWORKANDEXTERNALNETWORKANDTOFURTHERAUGMENTTHETECHNOLOGICALADVANTAGEINADDITION,ASERIESOFOTHERMEASURESHAVEALSOBEENTAKEN,INCLUDING1USINGTHEWEBVERSIONSOFANTIVIRUSSOFTWARETOSCANANDTOPREVENTVIRUSES2RELIABLEFIREWALLTECHNOLOGYANDCONFIGURATION3IMPLEMENTATIONOFTHEFIREBACKUPSYSTEM4USINGTHEINTERNALFILETRANSMISSIONSYSTEMDEVELOPEDBYOURSELVESTOTRANSMITFILESFINALLY,THEPAPERHASMADEAFORECASTOFTHEPOSSIBLENETWORKSECURITYRISKSANDPROBLEMSINTHEFUTUREASWELLASTHEMETHODSTOAVOIDTHESERISKSANDTOSOLVETHEPROBLEMSKEYWORDSNETWORKSECURITYVIRUSPROTECTIONSYSTEM第一章绪论11背景在计算机技术高速发展的新形势下，企业要提高竞争能力发展壮大，减少运营成本，越来越依赖于企业信息化，而做为企业信息化支撑的企业网络经常受到计算机病毒的攻击和侵扰。随着业务市场在企业之间的较量日益剧烈，企业也将面对更加强大的竞争对手，此时这种的隐患随时都将呈几何状放大，造成连锁反应。随着企业对企业网络安全的逐渐认同，病毒防范逐步走上日程，企业迫切需要一套企业网络安全病毒防范体系，来保障公司通过网络的内部的知识共享、交流、协作的正常进行，从而使企业网络更好的提高员工的业务技能和工作效率，进而提高客户服务水平。12目的本系统解决方案是根据企业自身网络环境，通过组建企业网络安全病毒防范体系，形成稳定、无毒的网络环境，达到保障和提高企业核心竞争力的目的。本系统解决方案将安全策略、硬件及软件等方法结合起来，构成一个统一的防御系统，其次通过规章制度和职员培训提高职员对病毒防范体系的理解程度，使其很快的适应防范模式，达到成功的组建企业网络安全病毒防范体系的目的。在21世纪信息化社会里，企业网络安全病毒防范体系的建设与运营可以让企业及时发现问题，解决问题，有效地积累经验，强化自身的快速响应能力，达到持续性地创造企业价值的目的。13方案概述本论文系统方案建按照以下内容组织1需求分析与规划根据企业对网络安全病毒防范的需求进行分析，并结合企业网络的现状和对计算机病毒的认识，设计了企业在网络安全病毒防范体系支持下的防范模式；2、企业网络安全病毒防范体系建设方案以企业的网络安全病毒防范体系建设为目标，从物理安全、网络系统安全、系统安全、信息安全等方面阐述了如何在企业内部形成安全的企业网络及业务环境，以保证网络安全病毒防范体系的成功实施；3、体系架构网络安全病毒防范体系采用瑞星的杀毒软件网络版为基础架构；在硬件方面，根据客户的要求进行适当调整。4、体系详细设计详细介绍系统的设计模块和设计思路，包括相关配置和备份机制都在这里进行具体阐述。5、意义和未来改进的方向对建设意义进行论述和本论文的不足之处进行总结，并提出未来的改进趋势和发展方向。小结在本章中描述了该系统的背景和显示意义，并给出了整个论文的规划。第二章需求分析与规划21企业网络安全现状北京SW公司是一家从事冶金行业的中等规模公司，随着市场经济的迅速发展和在中国加入WTO之后，SW公司历经十二年的风风雨雨，开始高速扩张。其企业网络也从一开始的几台电脑到现在几百台电脑组成的企业局域网，见证了SW公司的高速发展。随着企业的高速发展，其企业网络在服务于企业信息化,支撑企业内部快速上传下达的同时，企业网络中存在的安全隐患也逐步暴露出来1大量操作系统漏洞和软件漏洞的出现和网内机器不能按时打补丁导致企业网络安全受到威胁。几乎每天都有新的漏洞被发现和公布，补丁提供者在修改已知漏洞的同时又可能使它产生新的漏洞。此外，系统的漏洞经常被病毒攻击，导致内部网络的瘫痪，而且这种攻击通常不会产生日志，几乎无据可查。2计算机技术的提高，导致攻击手段在不断更新。安全工具的更新速度太慢，绝大多数情况需要人为参与才能发现以前未知的安全问题，这就使得它们对新出现的安全问题总是反应太慢。因此，病毒制造者总是可以找到安全工具漏洞进行攻击。3传统安全工具难于保护系统的后门。一般防火墙很难考虑到这类安全问题，大多数情况下，这类入侵行为可以堂而皇之地绕过防火墙而很难被察觉。4安全工具的使用受到人为因素的影响。一个安全工具能不能实现期望的效果，在很大程度上取决于使用者，包括系统管理者和普通用户。5每一种安全机制都有一定的应用范围和环境。防火墙是一种有效的安全工具，它可以隐蔽内部网络结构，限制外部网络到内部网络的访问，但对于内部网络之间的访问往往是无能为力的。6旧的隐患还未彻底解决，新的问题层出不穷，企业网络安全严重受到计算机病毒的威胁（1）网络蠕虫病毒造成企业网络堵塞。随着计算机技术的发展，计算机技术的进步，病毒技术也随着水涨船高，很多计算机病毒会主动攻击企业网络中其他计算机，寻找企业网络中其他计算机漏洞，快速感染和传播病毒，导致企业网络堵塞。如冲击波病毒和ARP攻击病毒等。对于企业网络而言，一旦受到网络蠕虫病毒的威胁，受伤的不仅是一台两台的计算机，而是整个企业网络。（2）木马病毒造成企业机密被窃。木马病毒已经形成一套完整的黑色产业链，不但给黑客提供攻击方便，形成并造就僵尸网络，更会盗窃企业的核心机密，被黑客用于以此要挟企业或出售给竞争对手。如KLEZ病毒等。更有甚者，木马病毒会通过被感染用户的OUTLOOK或FOXMAIL发送电子邮件，威胁企业合作伙伴的企业网络安全，可能会造成链式反应，导致合作伙伴企业机密被窃。（3）计算机病毒会造成企业重大经济损失。据中国国家计算机网络应急处理中心估计，病毒这条“黑色产业链”的年产值已超过238亿元人民币，造成的损失则超过76亿元。综上所见，在企业网络安全受到严重威胁的情况下，如何保障企业的网络安全,如何防范病毒传播，成为了企业需要迫切解决的重大问题。22计算机病毒知己知彼，百战百胜，在当前这种竞争异常激烈的市场经济环境下，这句话仍然相当重要。要建立企业网络安全病毒防范体系，那么首先我们要了解计算机病毒的定义、危害性和传播途径，才能针对性的解决问题。221计算机病毒的定义计算机病毒COMPUTERVIRUS在中华人民共和国计算机信息系统安全保护条例中被明确定义，病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。222计算机病毒的危害性计算机资源的损失和破坏，不但会造成企业资源和财富的巨大浪费，而且有可能造成社会性的灾难，随着信息化社会的发展，计算机病毒的威胁日益严重，反病毒的任务也更加艰巨了。1988年11月2日下午5时1分59秒，美国康奈尔大学的计算机科学系研究生，23岁的莫里斯（MORRIS）将其编写的蠕虫程序输入计算机网络，致使这个拥有数万台计算机的网络被堵塞。这件事就像是计算机界的一次大地震，引起了巨大反响，震惊全世界，引起了人们对计算机病毒的恐慌，也使更多的计算机专家重视和致力于计算机病毒研究。1988年下半年，我国在统计局系统首次发现了“小球”病毒，它对统计系统影响极大，此后由计算机病毒发作而引起的“病毒事件”接连不断，如CIH、美丽杀等病毒更是给各大企业造成了很大损失。223计算机病毒的传播途径众所周知,计算机病毒具有自我复制和传播的特点，因此，要彻底解决企业网络安全问题，必须研究计算机病毒的传播途径，严防计算机病毒的感染和传播。分析计算机病毒的传播机理可知，只要是能够进行数据交换的介质都可能成为计算机病毒传播途径。就当前的病毒特点分析，传播途径有两种，一种是通过网络传播，一种是通过硬件设备（存储介质）传播。1首先，我们来看看网络传播的途径。网络传播，又分为因特网传播和局域网传播两种。网络信息时代，因特网和局域网提升了企业的沟通效率，成为了企业信息化中不可或缺的组成部分。特别是因特网，已经越来越多地被用于企业获取信息、发送和接收文件、接收和发布新的消息以及下载文件和程序。随着因特网的高速发展，计算机病毒也走上了高速传播之路，已经成为计算机病毒的第一传播途径。（1）因特网传播INTERNET既方便又快捷，不仅提高人的工作效率，而且降低企业运作成本，逐步被企业所接受并得到广泛的使用。商务来往的电子邮件，还有浏览网页、下载软件、即时通讯软件等等，都是通过互联网这一媒介进行。如此频繁的使用率，注定备受病毒的“青睐”。通过电子邮件传播在电脑和网络日益普及的今天，商务联通更多使用电子邮件传递，病毒也随之找到了载体，最常见的是通过INTERNET交换WORD格式的文档。由于INTERNET使用的广泛，其传播速度相当神速。电子邮件携带病毒、木马及其他恶意程序，会导致收件者的计算机被黑客入侵。EMAIL协议的新闻组、文件服务器、FTP下载和BBS文件区也是病毒传播的主要形式。经常有病毒制造者上传带毒文件到FTP和BBS上，通常是使用群发到不同组，很多病毒伪装成一些软件的新版本，甚至是杀毒软件。很多病毒流行都是依靠这种方式同时使上千台计算机染毒。通过浏览网页和下载软件传播很多人都遇到过这样的情况，在浏览过某网页之后，IE标题便被修改了，并且每次打开IE都被迫登陆某一固定网站，有的还被禁止恢复还原，这便是恶意代码在作怪。当你的IE被修改，注册表不能打开了，开机后IE疯狂地打开窗口，被强制安装了一些不想安装的软件，甚至可能当你访问了某个网页时，而自己的硬盘却被格式化那么很不幸，你肯定是中了恶意网站或恶意软件的毒了。当您浏览一些不健康网站或误入一些黑客站点，访问这些站点的同时或单击其中某些链接或下载软件时，便会自动在您的浏览器或系统中安装上某种间谍程序。这些间谍程序便可让您的浏览器不定时地访问其站点，或者截获您的私人信息并发送给他人。（2）局域网传播局域网是由相互连接的一组计算机组成的，这是数据共享和相互协作的需要。组成网络的每一台计算机都能连接到其他计算机，数据也能从一台计算机发送到其他计算机上。如果发送的数据感染了计算机病毒，接收方的计算机将自动被感染，因此，有可能在很短的时间内感染整个网络中的计算机。局域网络技术的应用为企业的发展作出巨大贡献，同时也为计算机病毒的迅速传播铺平了道路。同时，由于系统漏洞所产生的安全隐患也会使病毒在局域网中传播。2硬件设备传播（1）通过不可移动的计算机硬件设备传播此种传播方式，是通过不可移动的计算机硬件设备进行病毒传播，其中计算机的专用集成电路芯片ASIC和硬盘为病毒的重要传播媒介。通过ASIC传播的病毒极为少见，但是，其破坏力却极强，一旦遭受病毒侵害将会直接导致计算机硬件的损坏，检测、查杀此类病毒的手段还需进一步的提高。硬盘是计算机数据的主要存储介质，因此也是计算机病毒感染的重灾区。硬盘传播计算机病毒的途径是硬盘向软盘上复制带毒文件、带毒情况下格式化软盘、向光盘上刻录带毒文件、硬盘之间的数据复制，以及将带毒文件发送至其它地方等。（2）通过移动存储设备传播更多的计算机病毒逐步转为利用移动存储设备进行传播。移动存储设备包括我们常见的软盘、磁带、光盘、移动硬盘、U盘含数码相机、MP3等、ZIP和JAZ磁盘，后两者仅仅是存储容量比较大的特殊磁盘。软盘主要是携带方便，早期在网络还不普及时，软盘是使用广泛、移动频繁的存储介质，因此也成了计算机病毒寄生“温床”。光盘的存储容量大，所以大多数软件都刻录在光盘上，以便互相传递同时，盗版光盘上的软件和游戏及非法拷贝也是目前传播计算机病毒主要途径。随着大容量可移动存储设备如ZIP盘、可擦写光盘、磁光盘MO等的普遍使用，这些存储介质也将成为计算机病毒寄生的场所。随着时代的发展，移动硬盘、U盘等移动设备也成为了新攻击目标。而U盘因其超大空间的存储量，逐步成为了使用最广泛、最频繁的存储介质，为计算机病毒寄生的提供更宽裕的空间。目前，U盘病毒逐步的增加，使得U盘成为第二大病毒传播途径。（3）无线设备传播目前，这种传播途径随着手机功能性的开放和增值服务的拓展，已经成为有必要加以防范的一种病毒传播途径。随着智能手机的普及，通过彩信、上网浏览与下载到手机中的程序越来越多，不可避免的会对手机安全产生隐患，手机病毒会成为新一轮电脑病毒危害的“源头”。手机、特别是智能手机和3G网络发展的同时，手机病毒的传播速度和危害程度也与日俱增。通过无线传播的趋势很有可能将会发展成为第二大病毒传播媒介，并很有可能与网络传播造成同等的危害。计算机病毒的种类繁多，特性不一，只要对其有了认识，了解计算机病毒的危害性，掌握了其流通传播方式和传播途径，才能对症下药。23网络环境分析对计算机病毒有了一个比较清晰的认识以后，我们还需要对SW公司的企业环境进行分析，以达到治病救人、对症下药的目的。231公司简介北京SW公司同许多企业一样，面临着国内同行业的激烈竞争，这不仅是产品种类、质量、价格和售后服务的竞争，也是企业对多变市场的适应和应变能力的一场竞争，是一场企业间整体综合实力的较量。而如何为公司提供一个安全、高效的网络安全平台，以确保可以更好的收集信息，公布信息是目前迫在眉睫的问题。从网络安全威胁看，公司网络的威胁主要包括外部的攻击和入侵、内部的攻击或误用、企业内的病毒传播，以及安全管理漏洞等方面。这个企业的局域网是一个信息点较为密集的千兆局域网络系统，它所联接的现有近千个信息点为在整个企业内办公的各部门提供了一个快速、方便的信息交流平台。不仅如此，通过专线与INTERNET的连接，打通了一扇通向外部世界的窗户，各个部门可以直接与互联网用户进行交流、查询资料等。通过公开服务器，企业可以直接对外发布信息或者发送电子邮件。高速交换技术的采用、灵活的网络互连方案设计为用户提供快速、方便、灵活通信平台的同时，也为网络的安全带来了更大的风险。因此，在原有网络上实施一套完整、可操作的安全解决方案不仅是可行的，而且是必需的。232内部网络环境2321网络概述SW公司目前拥有420余台台式计算机（主要是DELLOPTIPLEX320台式机）与70余台移动计算机（IBMTHINKPAD系列），共分为财务、设计、业务三个分支部门，其中公司的核心“设计部门”区域有380多台计算机（包括移动计算机），“财务部门”有将近25台计算机，余下大部分的计算机属于平时日常事务处理，而全部计算机中的三分之二没有和INTERNET及局域网连接，属于独立工作的，从而导致部门间由于业务需求，数据及文件的传递需要依靠U盘来完成，并且大都没有更新微软XP系统的漏洞补丁，极易遭受病毒攻击。公司的局域网物理跨度不大，通过百兆交换机在主干网络上提供100M的独享带宽，通过下级交换机与各部门的工作站和服务器连结，并为之提供10M的独享带宽。利用与中心交换机连结的CISCO2600路由器，部分用户可通过10MB光纤接口，直接访问INTERNET。由于公司发展过程中，对于网络资源利用的随意性，接入因特网的情况比较混乱，很多不需因特网服务的员工也开通了，而部分电脑甚至没有安装杀毒软件，这些电脑也成为影响公司网络安全的极大因素。公司计算机目前采用的防病毒软件是大都是江民和瑞星两种，而由于众多的计算机是独立办公，没有联接互联网络，无法更新病毒库，防病毒软件形同虚设，这样更是滋生了病毒的成长。在目前电脑化办公的环境中，计算机中了病毒而导致的工作延误是最大的问题。光系统维护，每天重装系统、安装各类办公软件，也是一个相当繁琐的事情。2322网络结构本企业的局域网按访问区域可以划分为三个主要的区域INTERNET区域、内部网络、公开服务器区域。内部网络又可按照所属的部门、职能、安全重要程度分为许多子网，包括财务子网、领导子网、设计子网、中心服务器子网、办公子网等。在安全方案设计中，我们基于安全的重要程度和要保护的对象，可以在CATALYST型交换机上直接划分四个虚拟局域网（VLAN），即中心服务器子网、财务子网、领导子网、其他子网。不同的局域网分属不同的广播域，由于财务子网、领导子网、中心服务器子网、设计子网属于重要网段，因此在中心交换机上将这些网段各自划分为一个独立的广播域，而将其他的工作站划分在一个相同的网段。通过查询相关资料了解到CISCO2600是一个外型紧凑的单一设备，足以满足公司分支部门的需求，其通过一个可选的16端口10/100ETHERSWITCH网络模块，可以在一个设备中集成路由和交换功能，从而获得较高的灵活性和较低的端口密度。这种解决方案可以通过一个第二层设备在各个台式机和其他网络资源之间提供高速的连接，并且可以在路由器的第三层建立WAN连接。见图一所示。图一CISCO2600应用2323网络应用本企业的局域网可以为用户提供如下主要应用文件共享、办公自动化、WWW服务、电子邮件服务；文件数据的统一存储；针对特定的应用在数据库服务器上进行二次开发比如公司内部网络办公软件；提供与INTERNET的访问；通过公开服务器对外发布企业信息、发送电子邮件等；SW公司是一家集设计、制造、施工为一体的高新技术企业，设计研发部门是核心部门，设计已经实现了数字化，全部电脑出图，绘图软件使用AUTODESK公司的二维设计软件AUTOCAD2006，每个项目的出图量折合为电子文档的文件数量约为600个左右，因此，电子文档的管理，备份也希望实现网络自动化。233外部网络环境分析随着INTERNET网络急剧扩大和上网用户迅速增加，风险变得更加严重和复杂。原来由单个计算机病毒入侵事故引起的损害可能传播到其他系统，引起大范围的瘫痪和损失；另外加上缺乏安全控制机制和对INTERNET安全政策的认识不足，这些风险正日益严重。针对本企业局域网中存在的安全隐患，在进行安全方案设计时，病毒入侵的安全风险我们必须要认真考虑，并且要针对面临的风险，采取相应的安全措施。根据江民反病毒中心公布的2007年度十大病毒排行及疫情报告1排名第一位的ANI病毒病毒采用新的挂马方式，利用WINDOWS系统文件处理漏洞的恶意代码，自我复制，双击盘符即可激活病毒；而利用微软系统自动播放功能传播的U盘寄生虫病毒同样让广大用户苦不堪言，自动播放文件AUTORUNINF一般存在于U盘、MP3、移动硬盘和硬盘各个分区的根目录下，当用户双击U盘等设备的时候，就会优先运行AUTORUNINF文件，而该文件就会立即执行所要加载的病毒程序，从而破坏用户计算机，使用户计算机遭受损失。资料显示仅半年时间全国就有一千四百万台计算机感染了病毒，其中木马病毒为祸最广，占感染电脑总数的67，而病毒疫情比较严重的地区中，北京地区排名第四位。因此，利用系统漏洞进行攻击和利用U盘传播病毒成为当前病毒的主流技术。2331病毒入侵带来的安全隐患本人想通过分析U盘病毒的发作机理，中毒的表现特征来说明一下现在外部网络环境的现状。1什么是自动运行及AUTORUNINF文件的作用用过类似于“开天辟地”、“新视野大学英语”之类教学光盘的人应该清楚，光盘放进去后会自动执行某个程序，实现这个自动功能的就是AUTORUNINF，只不过现在一些不法分子利用它来传播病毒。不过U盘插入后不会像光盘一样，不经同意就自动执行程序，而只有你双击打开U盘或者用右键菜单打开U盘才可能会执行。2AUTORUNINF文件内容AUTORUNINF文件里面的内容非常灵活，写法不唯一，不同病毒的AUTORUNINF文件的内容不尽相同。对病毒制造者来说，只要达到100感染的目的即可。下面让我们揭开AUTORUNINF看看内幕吧（每行给出了解释）以病毒“唯一的爱”（该病毒几乎具备上述全部邪恶特征，病毒原体“唯一的爱EXE”，伪装为MP3图标）为例，介绍其AUTORUNINF的内容AUTORUN该标志表示本U盘打开方式发生改变，并按以下内容执行OPEN479839E1EXE定义双击打开U盘为执行病毒（此病毒名称是随机生成的）SHELLOPEN打开O重定义右键菜单中的打开项，替代正常的打开项SHELLOPENCOMMAND479839E1EXE将右键菜单中的“打开”项指向病毒体SHELLOPENDEFAULT1“打开”为默认项，并显示为粗体（VISTA下无效）SHELLEXPLORE资源管理器X重定义右键菜单的“资源管理器”项，替代正常项SHELLEXPLORECOMMAND479839E1EXE将右键菜单中的“资源管理器”项指向病毒体注意对于某些病毒的右键菜单中会有两个“打开”，一个是黑体的一个是正常字体。一些人认为点击正常字体的“打开”会是安全的。的确，就某些病毒AUTORUNINF内容来看，这么做是安全，但是大家要相信病毒是狡猾的，绝对不要抱以侥幸的心理，不管怎样这个右键菜单都很危险，不同的AUTORUNINF语句定义出来的结果是不同的，所以，绝不要认为用右键菜单打开U盘会很安全。3那么怎么防御U盘病毒养成从“文件夹”进入磁盘的好习惯点击工具栏上的“文件夹”，单击从左边文件夹栏中的“可移动磁盘”进入U盘，这样便可以绕过AUTORUNINF，而不会染毒。而从AUTORUNINF的全部功能来看，它是无法左右“文件夹”栏的，所以这一种方法是安全的。从资源管理器的文件夹栏进入U盘亦可。4对于感染病毒的U盘的处理删除病毒文件，病毒一般伪装为图片和快捷方式文件，区分病毒和非病毒的方法很简单，病毒一般是EXE可执行文件，因此只需要在文件夹选项里去掉了“隐藏已知文件的扩展名”前面的勾，病毒文件就暴露出来了。还有一些病毒喜欢躲在回收站里，例如CTFMON病毒AUTORUNINF中有两句是SHELLEXECUTERECYCLEDCTFMONEXESHELLOPEN0COMMANDRECYCLEDCTFMONEXE这就证明它躲在回收站（RECYCLED文件夹）中。U盘属于ZIP/FDD型移动设备，理应没有回收站（RECYCLED文件夹）和系统还原（SYSTEMVOLUMEINFORMATION文件夹），您删除的任何文件将是完全删除，而不会被放入所谓的“RECYCLED”中。所以，一旦您在U盘上发现看似回收站图标的文件夹，可以直接认为那是病毒的老巢，请不要进入，而是直接删除移动硬盘属于HDD型移动设备，属于硬盘系列，对于它而言，操作系统会自动建立回收站（RECYCLED文件夹）和系统还原（SYSTEMVOLUMEINFORMATION文件夹），并且系统还原文件夹还不能被删除，如果您发现这两个文件夹，不必惊慌但是如果您还发现本目录下有AUTORUNINF文件，不论它指向的病毒是否在回收站（RECYCLED）中，回收站都有被感染过的可能（有的新病毒会把老病毒从AUTORUNINF中踢出去，但是老病毒可能还呆在回收站中并等候反扑）。如果您确定移动硬盘回收站里没有什么重要文件，请不要进入回收站，而是直接将其删除当然，您也可以使用最新更新的杀毒软件对可移动设备进行扫描，达到清除病毒的目的。不过之所以介绍那么多手动清除事项和方法，是因为杀毒软件有可能无法查出新病毒和新变种，所以网管必须具备手动杀毒的能力。杀毒软件删除病毒后，如果没有删掉AUTORUNINF，再次打开U盘就会出现“打开方式”窗口，因为AUTORUNINF指向的文件不存在，打开方式窗口便跳了出来。这个时候需要从“文件夹”栏进入U盘，手动删除AUTORUNINF，然后拔下并重新插入问题就解决了。对于没有关闭自动播放的电脑，插入U盘或者移动硬盘之后，有一个自动播放的功能列表，其中有一个“打开文件夹以查看文件”的功能，使用这个也可以安全地进入U盘。如果您的电脑感染过U盘病毒，隐藏文件无论如何也看不到了，可以通过修改注册表解决运行注册表编辑器REGEDIT进入HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWSCURRENTVERSIONEXPLORERADVANCEDFOLDERHIDDENSHOWALL，找到类型为REG_DWORD的CHECKEDVALUE，把它由0改为1。本人认为，U盘成为计算机病毒传播的主要途径之一，主要原因在于U盘本身不会防毒，病毒很容易就会感染U盘，而当U盘插入电脑时还会自动播放，病毒就会即刻被自动运行。加之大部分电脑用户都通过U盘进行数据互换，U盘的广泛应用也为病毒的传播提供了温床，由于众多电脑用户使用U盘都没有先进行病毒扫描的习惯，病毒开始瞄准了这一空档藏身其中，而病毒写入U盘时悄无声息，悄悄潜伏，危害更大，因此利用U盘传播病毒具有极高的感染率。利用网络传播病毒通过网络传播计算机病毒，其破坏性大大高于单机系统，而且用户很难防范。从根本上完全杜绝和预防计算机病毒的产生和发展是不可能的。目前面临的计算机病毒的攻击事件不但没有减少,而且日益增多,并且,病毒的种类越来越多,破坏方式日趋多样化每出现一种新病毒,就要有一些用户成为病毒的受害者面对此种形势,不能坐以待毙,而是要寻找一种解决方案,力争将计算机病毒的危害性降至最低。一般来说，计算机网络的基本构成包括网络服务器和网络节点站。计算机病毒一般首先通过各种途径进入到有盘工作站，也就进入网络，然后开始在网上的传播。具体地说，其传播方式有以下几种。（1）病毒直接从工作站拷贝到服务器中或通过邮件在网内传播；（2）病毒先传染工作站，在工作站内存驻留，等运行网络盘内程序时再传染给服务器；（3）病毒先传染工作站，在工作站内存驻留，在病毒运行时直接通过映像路径传染到服务器中；（4）如果远程工作站被病毒侵入，病毒也可以通过数据交换进入网络服务器中。一旦病毒进入文件服务器，就可通过它迅速传染到整个网络的每一个计算机上。由以上病毒在网络上的传播方式可见，在网络环境下，网络病毒除了具有可传播性、可执行性、破坏性等计算机病毒的共性外，还具有一些新的特点。（1）感染速度快在单机环境下，病毒只能通过介质从一台计算机带到另一台，而在网络中则可以通过网络通讯机制进行迅速扩散。根据测定，在网络正常工作情况下，只要有一台工作站有病毒，就可在几十分钟内将网上的数百台计算机全部感染。（2）扩散面广由于病毒在网络中扩散非常快，扩散范围很大，不但能迅速传染局域网内所有计算机，还能通过远程工作站将病毒在一瞬间传播到千里之外。（3）传播的形式复杂多样计算机病毒在网络上一般是通过“工作站“到“服务器“到“工作站“的途径进行传播的，但现在病毒技术进步了不少，传播的形式复杂多样。（4）难于彻底清除单机上的计算机病毒有时可以通过带毒文件来解决。低级格式化硬盘等措施能将病毒彻底清除。而网络中只要有一台工作站未能清除干净，就可使整个网络重新被病毒感染，甚至刚刚完成杀毒工作的一台工作站，就有可能被网上另一台带毒工作站所感染。因此，仅对工作站进行杀毒，并不能解决病毒对网络的危害。（5）破坏性大网络病毒将直接影响网络的工作，轻则降低速度，影响工作效率，重则使网络崩溃，破坏服务器信息，使多年工作毁于一旦。（6）可激发性网络病毒激发的条件多样化，可以是内部时钟、系统的日期和用户名，也可以是网络的一次通信等。一个病毒程序可以按照病毒设计者的要求，在某个工作站上激发并发出攻击。（7）潜在性网络一旦感染了病毒，即使病毒已被清除，其潜在的危险性也是巨大的。根据统计，病毒在网络上被清除后，85的网络在30天内会被再次感染。例如尼姆达病毒，会搜索本地网络的文件共享，无论是文件服务器还是终端客户机，一旦找到，便安装一个隐藏文件，名为RICHED20DLL到每一个包含“DOC“和“EML“文件的目录中，当用户通过WORD、写字板、OUTLOOK打开“DOC“和“EML“文档时，这些应用程序将执行RICHED20DLL文件，从而使机器被感染，同时该病毒还可以感染远程服务器被启动的文件。带有尼姆达病毒的电子邮件，不需你打开附件，只要阅读或预览了带病毒的邮件，就会继续发送带毒邮件给你通讯簿里的朋友。随着计算机网络的发展,计算机病毒对信息安全的威胁日益严重,我们一方面要掌握对当前的计算机病毒的防范措施,另一方面要加强对未来病毒发展趋势的研究,超前培训,武装好我们的反病毒“杀手“,真正做到防患于未然目前,随着掌上型移动通讯工具和PDA的广泛使用,针对这类系统的病毒已经开始出现尤其是随着WAP协议的功能日益增强,病毒对手机和无线网络的威胁越来越大因此,我们还要提前做好技术上的储备,严阵以待,保障我们的信息安全2332系统漏洞带来的安全隐患系统漏洞并不是病毒，但是他往往为病毒所利用，成为入侵系统影响安全的“快速路”。下面谈谈我对系统漏洞的一些了解。1）什么是系统漏洞漏洞即某个程序包括操作系统在设计时未考虑周全，当程序遇到一个看似合理，但实际无法处理的问题时，引发的不可预见的错误。系统漏洞又称安全缺陷，对用户造成的不良后果如下所述如漏洞被恶意用户利用，会造成信息泄漏，如黑客攻击网站即利用网络服务器操作系统的漏洞。对用户操作造成不便，如不明原因的死机和丢失文件等。综上所述，仅有堵住系统漏洞，用户才会有一个安全和稳定的工作环境。2）为什么会存在漏洞漏洞的产生大致有三个原因，具体如下所述编程人员的人为因素，在程序编写过程，为实现不可告人的目的，在程序代码的隐蔽处保留后门。受编程人员的能力、经验和当时安全技术所限，在程序中难免会有不足之处，轻则影响程序效率，重则导致非授权用户的权限提升。由于硬件原因，使编程人员无法弥补硬件的漏洞，从而使硬件的问题通过软件表现。XP系统已经成为微软公司最为成功的操作系统之一，他占据了绝大部分的用户桌面，因树大招风，XP系统也最受病毒制造者的青睐，而XP漏洞层出不穷也有其客观原因，即任何事物都并非十全十美，作为应用于桌面的操作系统也是如此。微软的系统为非开源系统，因此安全问题均由微软自身解决，正版用户只需要开启自动更新服务并联接到互联网就可以定期检查重要更新，下载补丁以修补系统漏洞。了解了漏洞的产生原因和危害，如何解决就成了重中之重。首先用户应及时了解自身的WINDOWS系统存在哪些已知漏洞，做到“防患于未然”，建议用户通过专用软件对系统进行全面检测。我推荐使用的WINDOWS系统检测工具为微软开发的BASELINESECURITYANALYZER基准安全分析器，简称MBSA。BASELINESECURITYANALYZER软件为免费软件，仅可运行于WINDOWS2000、WINDOWSXP和最新的WINDOWSVISTA系统中，该软件可检测与系统相关的不正确安全设置并给出建议，官方下载网址10为HTTP/DOWNLOADMICROSOFTCOM/DOWNLOAD/WIN2000PLATFORM/INSTALL/10/NT5XP/ENUS/MBSASETUPMSI。143版本的MBSA可对本地或远程的WINDOWS系统进行检测，将扫描对象扩大到网络中的一个域或IP地址段，检测内容包括为微软产品的漏洞及缺少的补丁，如WINDOWSNT40、WINDOWS2000、WINDOWSXP、IIS、SQLSERVER、INTERNETEXPLORER及办公软件OFFICE2000等，并可为每台检测过的计算机创建和保存独立的XML格式安全报告。3如何处理系统中的漏洞WINDOWS操作系统的漏洞，某些由于软件设计失误而产生，另一些则由于用户设置不当所引发，均会严重影响系统安全。针对两种不同的错误需采用不同的方式加以解决，如下所述1针对设计错误，微软公司会及时推出补丁程序，用户只需及时下载并安装即可，因此建议用户经常浏览微软的安全公告，并及时下载补丁，官方网址为HTTP/WWWUPDATEMICROSOFTCOM/WINDOWSUPDATE/V6/DEFAULTASPXLNZHCN2对于设置错误，则应及时修改配置，使系统更加安全可靠。总而言之,随着网络的不断发展,全球信息化已成为人类发展的大趋势尽管网络也会受到病毒,黑客,怪客,恶意软件和其他不轨行为的攻击,但我们不能不用电脑,我们也不能不用网络,只是我们今天更需要安全的电脑网络24安全需求分析通过前面我们对这个企业局域网络结构、内外部网络环境分析，可以看出其安全问题主要集中在对服务器的安全保护、防黑客和病毒以及系统漏洞的维护上。因此，我们必须采取相应的安全措施杜绝安全隐患，其中应该做到防止黑客从外部攻击，入侵检测与监控，病毒防护，数据安全保护，数据备份与恢复，修补系统漏洞。针对这个企业局域网络系统的实际情况，在系统考虑如何解决上述安全问题的设计时应满足如下要求1大幅度地提高系统的安全性（重点是可用性和可控性）；2保持网络原有的能特点，即对网络的协议和传输具有很好的透明性，能透明接入，无需更改网络设置；3易于操作、维护，并便于自动化管理，而不增加或少增加附加操作；4尽量不影响原网络拓扑结构，同时便于系统及系统功能的扩展；5安全保密系统具有较好的性能价格比，一次性投资，可以长期使用；基于以上的分析，我们认为这个局域网网络系统安全应该实现以下目标建立一套完整可行的网络安全与网络管理策略，将内部网络、公开服务器网络和外网进行有效隔离，避免与外部网络的直接通信，建立网站各主机和服务器的安全保护措施，保证他们的系统安全，对网上服务请求内容进行控制，使非法访问在到达主机前被拒绝，加强合法用户的访问认证，同时将用户的访问权限控制在最低限度，全面监视对公开服务器的访问，及时发现和拒绝不安全的操作和黑客攻击行为，加强对各种访问的审计工作，详细记录对网络、公开服务器的访问行为，形成完整的系统日志，备份与灾难恢复，强化系统备份，实现系统快速恢复，加强网络安全管理，提高系统全体人员的网络安全意识和防范技术。25未来模式规划基于SW公司现有的企业环境，从现实情况出发，本着严谨、科学的原则，经过系统论证和科学决策，SW公司提出了必须建立一套完整的、完善的企业网络安全病毒防范体系，从各个层面予以考虑，对病毒进行彻底的打击，彻底防治病毒。251未来总体模式设计计算机网络是由一台一台计算机通过网络设备连接起来的，也就说企业病毒防范体系的重点还是对员工计算机的病毒防范和保护。企业网络安全病毒防范体系，通过严格控制文件传输、防止网络攻击、记录性备份等方式，把SW公司的员工所有网络行为，有体系地进行查毒、杀毒和灾难性备份，使员工拥有一个干净无毒的网络环境，同时利用培训，将病毒防范灌输给企业员工，从而提高员工素质，达到人人拥有防毒意识的要求。小结本章详细描述了企业网络安全病毒防范体系的需求要求和对其进行总体分析和规划。第三章企业网络安全病毒防范体系建设方案31概述尽管多年来全球无数网络安全专家都在着力开发病毒防范系统的解决办法，但到目前为止收效不大，这是因为病毒攻击通常利用了系统刚暴露出来的系统漏洞进行攻击，并且各种变种层出不穷，另杀毒软件疲于应付。病毒攻击使目标系统完全瘫痪，甚至破坏整个网络。因此只有从网络的全局着眼，在网间基础设施的各个层面上采取应对措施，包括在局域网层面上采用特殊措施，及在网络传输层面上进行必要的安全设置。32安全服务、机制与技术安全服务安全服务主要有控制服务、对象认证服务、可靠性服务等；安全机制访问控制机制、认证机制等；安全技术防火墙技术、鉴别技术、病毒防治技术等；在安全的开放环境中，用户可以使用各种安全应用。安全应用由一些安全服务来实现；而安全服务又是由各种安全机制或安全技术来实现的。应当指出，同一安全机制有时也可以用于实现不同的安全服务。33网络安全体系结构通过对网络的全面了解，按照安全策略的要求、风险分析的结果及整个网络的安全目标，整个网络措施应按系统体系建立。具体的安全控制系统由以下几个方面组成物理安全、网络安全、系统安全、信息安全、应用安全和安全管理331物理安全保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提，物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面环境安全对系统所在环境的安全保护，如区域保护和灾难保护；（参见国家标准GB5017393电子计算机机房设计规范、国标GB288789计算站场地技术条件、GB936188计算站场地安全要求设备安全主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等；媒体安全包括媒体数据的安全及媒体本身的安全。在网络的安全方面，主要考虑两个大的层次，一是整个网络结构成熟化，主要是优化网络结构，二是整个网络系统