十、安全操作系统和安全数据库
安全操作系统是指计算机信息系统在自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、可信路径、可信恢复等十个方面满足相应的安全技术要求。安全操作系统主要特征:1、最小特权原则,即每个特权用户只拥有能进行他工作的权力;2、自主访问控制;强制访问控制,包括保密性访问控制和完整性访问控制;3、安全审计;4、安全域隔离。只要有了这些最底层的安全功能,各种混为“应用软件”的病毒、木马程序、网络入侵和人为非法操作才能被真正抵制,因为它们违背了操作系统的安全规则,也就失去了运行的基础。
数据库的安全性包括:机密性、完整性和可用性,数据库在三个层次上,客户机 /服务器通过开放的网络环境,跨不同硬件和软件平台通信,数据库安全问题在这个环境下变得更加复杂。管理分布或联邦数据库环境,每个结点服务器还能自治实行集中式安全管理和访问控制,对自己创建的用户、规则、客体进行安全管理。如由DBA或安全管理员执行本部门、本地区、或整体的安全策略,授权特定的管理员管理各组应用程序、用户、规则和数据库。因此访问控制和安全管理尤为重要。安全数据库是指数据库管理系统必须允许系统管理员有效地管理数据库管理系统和它的安全,并且只有被授权的管理员才可以使用这些安全功能和设备。数据库管理系统保护的资源包括数据库管理系统存储、处理或传送的信息。数据库管理系统阻止对信息的未授权访问,以防止信息的泄漏、修改和破坏。
十一、网页恢复产品的用途
网页恢复产品是对受保护网页目录、文件的未授权破坏进行识别,并能用备份目录、文件进行自动恢复,主要包括:1、网页目录、文件未授权增加的恢复;2、网页目录、文件未授权删除的恢复;3、网页目录、文件未授权修改(包括目录、文件属性修改、重命名、移动等)的恢复。
十二、安全审计产品
安全审计产品是对网络或指定系统的使用状态进行跟踪记录和综合梳理的工具,分为用户自主保护、系统审计保护两级。
网络安全审计能够对网络进行动态实时监控,可通过寻找入侵和违规行为,记录网络上发生的一切,为用户提供取证手段。网络安全审计不但能够监视和控制来自外部的入侵,还能够监视来自内部人员的违规和破坏行动,它是评判一个系统是否安全的重要尺度。
十三、什么是PKI/CA
PKI(Public Key Infrastructure)指的是公钥基础设施。CA(Certificate Authority)指的是认证中心。PKI从技术上解决了网络通信安全的种种障碍。CA从运营、管理、规范、法律、人员等多个角度来解决了网络信任问题。由此,人们统称为“PKI/CA”。从总体构架来看,PKI/CA主要由最终用户、认证中心和注册机构来组成。
(1)、PKI/CA的工作原理
PKI/CA的工作原理就是通过发放和维护数字证书来建立一套信任网络,在同一信任网络中的用户通过申请到的数字证书来完成身份认证和安全处理。
(2)、什么是数字证书?
数字证书就像日常生活中的身份证、驾驶证,在您需要表明身份的时候,必须出示证件来明确身份。您在参与电子商务的时候就依靠这种方式来表明您的真实身份。
(3)、什么是认证中心(CA)?
一个认证中心是以它为信任源,由她维护一定范围的信任体系,在该信任体系中的所有用户、服务器,都被发放一张数字证书来证明其身份已经被鉴定过,并为其发放一张数字证书,每次在进行交易的时候,通过互相检查对方的数字证书即可判别是否是本信任域中的可信体。
(4)、什么是注册机构?
注册中心负责审核证书申请者的真实身份,在审核通过后,负责将用户信息通过网络上传到认证中心,由认证中心负责最后的制证处理。证书的吊销、更新也需要由注册机构来提交给认证中心做处理。总的来说,认证中心是面向各注册中心的,而注册中心是面向最终用户的,注册机构是用户与认证中心的中间渠道。
(5)、 PKI/CA的作用?
以数字证书为核心的PKI/CA技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,从而保证:信息除发送方和接收方外不被其它人窃取;信息在传输过程中不被篡改;发送方能够通过数字证书来确认接收方的身份;发送方对于自己的信息不能抵赖。PKI/CA解决方案已经普遍地应用于全球范围的电子商务应用中,为电子商务保驾护航,为电子商务的健康开展扫清了障碍。
十四、电磁泄漏和电磁干扰
电磁泄漏是指信息系统的设备在工作时能经过地线、电源线、信号线、寄生电磁信号或谐波等辐射出去,产生电磁泄漏。这些电磁信号如果被接收下来,经过提取处理,就可恢复出原信息,造成信息失密。具有保密要求的计算机信息系统必须注意防止电磁泄漏。
电磁干扰是指雷电电磁脉冲、电网操作过电压、静电放电等电磁场会对计算机信息系统运行造成干扰。
十五、计算机信息系统雷击灾害与防雷保安器
计算机设备大量采用的大规模集成电路芯片,其耐过电压、过电流的能力极低。在雷电天气状况下,避雷针引雷时,强大的雷电流经避雷针入地并在避雷针周围产生强电磁场,在电磁场内的电子设备可被感应出较高的雷电压、雷电流,造成电子设备损坏。
计算机信息系统防范雷击灾害可以在与计算机连接的所有外线上(包括电源线和通信线)加设防雷保安器,同时规范地线,防止雷击时在地线上产生的高电位反击。
十六、计算机信息系统安全专用产品销售许可管理
销售许可管理是依据国务院《中华人民共和国计算机信息系统安全保护条例》和公安部《计算机信息系统安全专用产品检测和销售许可证管理办法》的规定而实行的一项行政管理。我国境内的计算机安全专用产品进入市场销售须申领公安部颁发的销售许可证,已取得销售许可证的产品应在固定位置标明“销售许可”标记。
十七、如何选择安全专用产品
目前,我国计算机信息系统安全专用产品的种类已由单机防病毒产品发展到现在的网络防毒、防火墙、身份鉴别、网络隔离、网页保护、漏洞扫描、防攻击预警、操作系统、数据库等十几大类信息安全保护产品,产品的功能检测也随着安全保护技术的完善由简单的功能确认发展到分级检验。在选择安全专用产品时应当考虑产品的性价比、特征库的升级与维护费用、最大处理能力、产品的可伸缩性、运行与维护开销、产品是否容易被躲避及响应方法、是否获得安全专用产品销售许可证。
第三部分:计算机病毒防治
一、什么是计算机病毒
计算机病毒不同于生物医学上的“病毒”,计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用并能自我复制的一组计算机指令或者程序代码。由于它的所做所为与生物病毒很相像,人们才给它起了这么一个“响亮”的名字。与生物病毒不同的是几乎所有的计算机病毒都是人为地故意制造出来的,有时一旦扩散出来后连制造者自己也无法控制。它已经不是一个简单的技术问题,而是一个严重的社会问题了。目前,全球已有的计算机病毒约7万余种。
下面我们将生物医学病毒与感染IBM-PC机的DOS环境下的病毒的特征进行对比。生物病毒 计算机病毒攻击生物机体特定细胞攻击特定程序(所有*.COM 和*.EXE文 件[针对MS-DOS环境])修改细胞的遗传信息,使病毒在被感 染的细胞中繁殖操纵程序使被感染程序能复制病毒程序被感染的细胞不再重复感染,并且被 感染的机体很长时间没有症状很多计算机病毒只感染程序一次,被感染的程序很长时间可以正常运行病毒并非感染所有的细胞,并且病毒 可以产生变异程序能够加上免疫标志,防止感染。但计算机病毒能够修改自身使免疫失效
二、网络蠕虫和特洛伊木马程序
1988年一个由美国CORNELL大学研究生莫里斯编写的蠕虫病毒蔓延造成了数千台计算机停机,蠕虫病毒开始现身网络。而后来的红色代码,尼姆达病毒疯狂的时候,造成几十亿美元的损失。2003年1月26日, 一种名为“2003蠕虫王”的蠕虫病毒迅速传播并袭击了全球,致使互联网网路严重堵塞,互联网域名服务器瘫痪,造成网民浏览互联网网页及收发电子邮件的速度大幅减缓, 同时银行自动提款机的运作中断, 机票等网络预订系统的运作中断, 信用卡等收付款系统出现故障。国外专家估计,造成的直接经济损失在12亿美元以上。
网络蠕虫(worm)主要是利用操作系统和应用程序漏洞传播,通过网络的通信功能将自身从一个结点发送到另一个结点并启动运行的程序,可以造成网络服务遭到拒绝并发生死锁。“蠕虫”由两部分组成:一个主程序和一个引导程序。主程序一旦在机器上建立就会去收集与当前机器联网的其它机器的信息。它能通过读取公共配置文件并运行显示当前网上联机状态信息的系统实用程序而做到这一点。随后,它尝试利用前面所描述的那些缺陷去在这些远程机器上建立其引导程序。
特洛伊木马程序(Trojan horse)是一个隐藏在合法程序中的非法的程序。该非法程序被用户在不知情的情况下被执行。其名称源于古希腊的特洛伊木马神话,传说希腊人围攻特洛伊城,久久不能得手。后来想出了一个木马计,让士兵藏匿于巨大的木马中。大部队假装撤退而将木马摈弃于特洛伊城,让敌人将其作为战利品拖入城内。木马内的士兵则乘夜晚敌人庆祝胜利、放松警惕的时候从木马中爬出来,与城外的部队里应外合而攻下了特洛伊城。当有用程序被调用时,隐藏的木马程序将执行某种有害功能,例如显示讯息、删除文件或将磁盘格式化,并能用于间接实现非授权用户不能直接实现的功能。特洛依木马型病毒不会感染其他寄宿文件,清除特洛依木马型病毒的方法是直接删除受感染的程序。
三、计算机病毒的传播
计算机病毒的传播途径主要有:1、通过文件系统传播;2、通过电子邮件传播;3、通过局域网传播;4、通过互联网上即时通讯软件和点对点软件等常用工具传播;利用系统、应用软件的漏洞进行传播;6、利用系统配置缺陷传播,如弱口令、完全共享等;7、利用欺骗等社会工程的方法传播。计算机病毒的传播过程可简略示意如下:
四、计算机病毒的特征
计算机病毒作为一种特殊的程序具有以下特征:
(一)非授权可执行性,计算机病毒隐藏在合法的程序或数据中,当用户运行正常程序时,病毒伺机窃取到系统的控制权,得以抢先运行,然而此时用户还认为在执行正常程序;
(二)隐蔽性,计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序,它通常总是想方设法隐藏自身,防止用户察觉;
(三)传染性,传染性是计算机病毒最重要的一个特征,病毒程序一旦侵入计算机系统就通过自我复制迅速传播。
(四)潜伏性,计算机病毒具有依附于其它媒体而寄生的能力,这种媒体我们称之为计算机病毒的宿主。依靠病毒的寄生能力,病毒可以悄悄隐藏起来,然后在用户不察觉的情况下进行传染。
(五)表现性或破坏性。无论何种病毒程序一旦侵入系统都会对操作系统的运行造成不同程度的影响。即使不直接产生破坏作用的病毒程序也要占用系统资源。而绝大多数病毒程序要显示一些文字或图象,影响系统的正常运行,还有一些病毒程序删除文件,甚至摧毁整个系统和数据,使之无法恢复,造成无可挽回的损失。
(六)可触发性,计算机病毒一般都有一个或者几个触发条件。一旦满足触发条件或者激活病毒的传染机制,使之进行传染;或者激活病毒的表现部分或破坏部分。触发的实质是一种条件的控制,病毒程序可以依据设计者的要求,在一定条件下实施攻击。这个条件可以是敲入特定字符,某个特定日期或特定时刻,或者是病毒内置的计数器达到一定次数等。
五、用户计算机中毒的24种症状
一是计算机系统运行速度减慢。二是计算机系统经常无帮故发生死机。三是计算机系统中的文件长度发生变化。四是计算机存储的容量异常减少。五是系统引导速度减慢。六是丢失文件或文件损坏。七是计算机屏幕上出现异常显示。八是计算机系统的蜂鸣器出现异常声响。九是磁盘卷标发生变化。十是系统不识别硬盘。十一是对存储系统异常访问。十二是键盘输入异常。十三是文件的日期、时间、属性等发生变化。十四是文件无法正确读取、复制或打开。十五是命令执行出现错误。十六是虚假报警。十七是换当前盘。有些病毒会将当前盘切换到C盘。十八是时钟倒转。有些病毒会命名系统时间倒转,逆向计时。十九是WINDOWS操作系统无故频繁出现错误。二十是系统异常重新启动。二十一是一些外部设备工作异常。二十二是异常要求用户输入密码。二十三是WORD或EXCEL提示执行“宏”。二十四是不应驻留内存的程序驻留内存。
六、计算机病毒防治策略
计算机病毒的防治要从防毒、查毒、解毒三方面来进行;系统对于计算机病毒的实际防治能力和效果也要从防毒能力、查毒能力和解毒能力三方面来评判。
(一)防毒。是指根据系统特性,采取相应的系统安全措施预防病毒侵入计算机。防毒能力是指通过采取防毒措施,可以准确、实时监测预警经由光盘、软盘、硬盘不同目录之间、局域网、互联网(包括FTP方式、E-MAIL、HTTP方式)或其它形式的文件下载等多种方式的病毒感染;能够在病毒侵入系统时发出警报,记录携带病毒的文件,即时清除其中的病毒;对网络而言,能够向网络管理员发送关于病毒入侵的信息,记录病毒入侵的工作站,必要时还要能够注销工作站,隔离病毒源。
(二)查毒。是指对于确定的环境,能够准确地报出病毒名称,该环境包括,内存、文件、引导区(含主导区)、网络等。查毒能力是指发现和追踪病毒来源的能力,通过查毒能准确地发现信息网络是否感染有病毒,准确查找出病毒的来源,给出统计报告;查解病毒的能力应由查毒率和误报率来评判。
(三)解毒。是指根据不同类型病毒对感染对象的修改,并按照病毒的感染特性所进行的恢复。该恢复过程不能破坏未被病毒修改的内容。感染对象包括:内存、引导区(含主引导区)、可执行文件、文档文件、网络等。 解毒能力是指从感染对象中清除病毒,恢复被病毒感染前的原始信息的能力。
七、计算机病毒诊断方法
通常计算机病毒的检测方法有两种:
(一)手工检测。是指通过一些软件工具(如DEBUG.COM、PCTOOLS.EXE、NU.COM、SYSINFO.EXE等)提供的功能进行病毒的检测。这种方法比较复杂,需要检测者熟悉机器指令和操作系统,因而无法普及。它的基本过程是利用一些工具软件,对易遭病毒攻击和修改的内存及磁盘的有关部分进行检查,通过和正常情况下的状态进行对比分析,来判断是否被病毒感染。这种方法检测病毒,费时费力,但可以剖析新病毒,检测识别未知病毒,可以检测一些自动检测工具不认识的新病毒。
(二)自动检测。是指通过一些诊断软件来判读一个系统或一个软盘是否有毒的方法。自动检测则比较简单,一般用户都可以进行,但需要较好的诊断软件。这种方法可方便地检测大量的病毒,但是,自动检测工具只能识别已知病毒,而且自动检测工具的发展总是滞后于病毒的发展,所以检测工具对未知病毒很难识别。
八、防范特洛伊木马攻击
特洛伊木马是在执行看似正常的程序时,还同时运行了未被察觉的有破坏性的程序;木马通常能够将重要的信息传送给攻击者,而且攻击者可以把任意数量的程序植入木马。对于木马的防范可以采取以下措施:
不要执行任何来历不明的软件或程序;不要轻易打开陌生邮件,或许当你打开的同时就已经中了别人设置的木马;不要因为对方是你的好朋友就轻易执行他发过来的软件或程序,因为你不确信他是否也像你一样装上了病毒防火墙,也许你的朋友已经中了黑客程序自己却不知道!同时,你也不能担保是否有别人冒他的名给你发 mail;千万不要随便留下你的个人资料,因为你永远不会知道是否有人会处心积虑收集起来。
九、网络病毒的清理和防治
网络病毒的清理防治方法主要有:1、全面地与互联网结合,对网络层、邮件客户端进行实时监控,防止病毒入侵;2、快速反应的病毒检测网,在病毒爆发的第一时间即能提供解决方案;3、病毒防治产品完善的在线升级,随时拥有最新的防病毒能力;4、对病毒经常攻击的应用程序提供重点保护(如Office、 Outlook、IE、ICQ/QQ等);5、获取完整、即时的反病毒咨询,尽快了解新病毒的特点和解决方案。
十、如何防治病毒
根据计算机病毒的传播特点,防治计算机病毒关键是注意以下几点:
(一)要提高对计算机病毒危害的认识。计算机病毒再也不是象过去那样的无关紧要的小把戏了,在计算机应用高度发达的社会,计算机病毒对信息网络破坏造成的危害越来越大大。
(二)养成使用计算机的良好习惯。对重要文件必须保留备份、不在计算机上乱插乱用盗版光盘和来路不明的盘,经常用杀毒软件检查硬盘和每一张外来盘等。
(三)大力普及杀毒软件,充分利用和正确使用现有的杀毒软件,定期查杀计算机病毒,并及时升级杀毒软件。有的用户对杀毒软件从不升级,仍用几年前的老版本来对付新病毒;有的根本没有启用杀毒软件;还有的则不会使用杀毒软件的定时查杀等功能。
(四)及时了解计算机病毒的发作时间,及时采取措施。大多数计算机病毒的发作是有时间限定的。如CIH病毒的三个变种的发作时间就限定为4月26日、6月26日、每月26日。特别是在大的计算机病毒爆发前夕。
(五)开启计算机病毒查杀软件的适时监测功能,特别是有利于及时防范利用网络传播的病毒,如一些恶意脚本程序的传播。
(六)加强对网络流量等异常情况的监测,做好异常情况的技术分析。对于利用网络和操作系统漏洞传播的病毒,可以采取分割区域统一清除的办法,在清除后要及时采取打补丁和系统升级等安全措施。
(七)有规律的备份系统关键数据,建立应对灾难的数据安全策略,如灾难备份计划(备份时间表、备份方式、容灾措施)和灾难恢复计划,保证备份的数据能够正确、迅速地恢复。
十一、如何选择计算机病毒防治产品
一般用户应选择:1、具有发现、隔离并清除病毒功能的计算机病毒防治产品;2、产品是否具有实时报警(包括文件监控、邮件监控、网页脚本监控等)功能; 3、多种方式及时升级;4、统一部署防范技术的管理功能;5、对病毒清除是否彻底,文件修复后是否完整、可用;6、产品的误报、漏报率较低;7、占用系统资源合理,产品适应性较好。
对于企业用户要选择能够从一个中央位置进行远程安装、升级,能够轻松、自动、快速地获得最新病毒代码、扫描引擎和程序文件,使维护成本最小化的产品;产品提供详细的病毒活动记录,跟踪病毒并确保在有新病毒出现时能够为管理员提供警报;为用户提供前瞻性的解决方案,防止新病毒的感染;通过基于web和 Windows的图形用户界面提供集中的管理,最大限度地减少网络管理员在病毒防护上所花费的时间。
十二、计算机病毒防治管理办法
为了加强计算机病毒的防治管理工作,2000年公安部发布了《计算机病毒防治管理办法》。规定各级公安机关负责本行政区域内的计算机病毒防治管理工作。
规定禁止制作、传播计算机病毒,向社会发布虚假计算机病毒疫情,承担计算机病毒的认定工作的机构应由公安部公共信息网络安全监察部门批准,计算机信息系统的使用单位应当履行防治计算机病毒的职责。
| 共8页: 上一页 [1] 2 [3] [4] [5] [6] [7] [8] 下一页 |