安全的藝術(shù)課件

網(wǎng)絡(luò)與信息安全

目錄

系統(tǒng)安全設(shè)置

安全狀態(tài)檢測

病毒及流氓清除

安全事件處理基本流程

安全風(fēng)險預(yù)防

服務(wù)器安全防護概要

系統(tǒng)安全設(shè)置:基本安全

?基本安全設(shè)置

■系統(tǒng)補丁----WindowsUpdate

■殺毒軟件——優(yōu)先使用網(wǎng)絡(luò)殺毒、全網(wǎng)防毒

■防火墻----Sp2/ZoneAlarm

■安全級別——默認級別或以上

?病毒免疫

■ActiveX標志免疫——Guardio等

■流氓程序目錄/文件免疫——文件/目錄權(quán)限、軟件策略

■惡意程序文件免疫——軟件策略

?網(wǎng)站免疫

■站點限制免疫——Internet選項的站點限制

■HOSTS免疫—HOSTS文件及作用

一、系統(tǒng)安全設(shè)置：工具安全

?使用較安全的瀏覽器

Maxthon/Gexplorer/

FireFox/Opera

?使用安全文件管理器

TotalCommander

?使用安全的系統(tǒng)工具

改造的Taskmgr.exe>Registry

Workshop------改造原理和方法

系統(tǒng)安全設(shè)置:認知安全

?警惕安全問題的誤區(qū)

幾大典型誤區(qū)——

?把流氓當救星（160個流氓典型）

?病毒掃描可以防毒（某殺軟的自動掃描問題）

?多套殺毒共享可增強效果

?經(jīng)常發(fā)現(xiàn)本地病毒是殺軟有效的表現(xiàn)

?正版的就是最好的

?能殺就行，疏于防護

?格式化系統(tǒng)能夠徹底清除病毒

?“功能增強”、“助手”、“免費”都是好東西

二、安全狀態(tài)檢測：常規(guī)檢測

?常規(guī)進程檢測

任務(wù)管理器、Autoruns......

?隱藏進程檢測

IceSword>Syscheck

?端口及連接檢測

Netstat-an；Syscheck；TCPView

?文件檢測

IceSword>WindowsPE>Total

Commander

日期、類型與位置、大小

二、安全狀態(tài)檢測：自動加載檢測]]

?自動加載項目實時檢測

Regedit>RegistryWorkshop>

lceSword>Syscheck

?自動加載項目離線檢測

WindowsPE、第二操作系統(tǒng)

危險自動加載項目位置示例---Winpooch規(guī)則

二、安全狀態(tài)檢測：流氓檢測]]

?流氓程序的若干表現(xiàn)

以“專家”、“助手”、“增強”、“秘書”“XX霸”等項目出現(xiàn)

部分以安全工具的面目出現(xiàn)，賊喊捉賊

系統(tǒng)資源高度占用

添加不明進程

植入驅(qū)動

Hook系統(tǒng)函數(shù)

干擾輸入操作

接管搜索引擎

植入瀏覽器工具欄、右鍵菜單

接管瀏覽器部分功能

阻撓用戶順利卸載

卸載后保留后門文件

與免費或共享軟件大量捆綁

部分流氓軟件存在官方背景

二、安全狀態(tài)檢測：流氓檢測]]

?流氓程序檢測

流氓進程檢測

流氓文件檢測

注冊表流氓項目檢測

瀏覽器流氓插件檢測

流氓行為在線搜索檢測

綜合檢測工具：HijackThis

二、安全狀態(tài)檢測：病毒行為跟蹤分析

?靜態(tài)跟蹤分析

Whatchanged-----系統(tǒng)更改狀態(tài)監(jiān)測

AdvancedRegistryTracer----注冊表更改狀態(tài)監(jiān)測

Dir/sc:\>list.txt命令+FC命令對照系統(tǒng)狀態(tài)更改

文件二進制比較

目錄同步比較

?動態(tài)跟蹤分析

Regmon

FileMon

TcpView

防火墻規(guī)則捕獲

?代碼級分析

■OllyDebug>W32SAM

三、病毒及流氓清除：常規(guī)清除

?在線清除

嘗試卸載

進程清除

注冊表項清除（關(guān)閉瑞星！）

病毒文件清除

安全模式的運用

三、病毒及流氓清除：離線清除

?離線清除

適應(yīng)場合：頑固流氓程序

典型：CNNIC>3721

第二系統(tǒng)處理

如第二套Windows等

PE光盤引導(dǎo)處理

如“深山紅葉袖珍PE工具箱”

改名的妙用

三、病毒及流氓清除：Rootkit清除

'?隱藏進程（Rootkit）清除

?使用IceSword禁止線程創(chuàng)建后檢測、清除

?使用SysCheck還原系統(tǒng)函數(shù)入口

?使用Totalcommander查看文件

?使用專殺工具處理

三、病毒及流氓清除：Rootkit清除W

?頑固文件清除

?充分運用軟件限制策略

?使用KillBox

?通過第二套系統(tǒng)清除

?使用PE光盤清除

四、安全事件處理基本流程

診斷威脅進程

項■清除威脅■^T

■設(shè)置阻斷文件■標志免疫

策略■清除威脅■策略免疫

■目錄/文件

■臨時改名加載項免疫

欺騙

五、安全風(fēng)險預(yù)防：重視日常備份

?重視早期安全部署

?重視用戶數(shù)據(jù)轉(zhuǎn)移

■嚴禁在系統(tǒng)分區(qū)保存用戶數(shù)據(jù)——轉(zhuǎn)移的方法

?多層次、多方面?zhèn)浞?/p>

■系統(tǒng)狀態(tài)備份---SystemState

■注冊表備份——EruNT

■系統(tǒng)分區(qū)備份---Ghost

■用戶數(shù)據(jù)備份---自動同步工具BackupOnDemand

?恰當選擇安全工具

殺毒軟件的選擇——網(wǎng)絡(luò)殺毒、卡巴斯基等

防火墻的選擇——SP2/ZoneAlarm等

其他輔助工具的選擇

(Winpooch、SysShieled.....)

?適當關(guān)心安全動態(tài)

補丁升級

安全產(chǎn)品升級

重大安全事件的及時響應(yīng)處理

五、安全風(fēng)險預(yù)防一一安全威脅類型分析

安全威脅類型

五、安全風(fēng)險預(yù)防：風(fēng)險評估

五、安全風(fēng)險預(yù)防：創(chuàng)建企業(yè)內(nèi)部安全服專

網(wǎng)絡(luò)

殺毒校園網(wǎng)安博士網(wǎng)絡(luò)殺毒

在線卓爾免費在線殺毒

殺毒

Windows部署企業(yè)內(nèi)部

kUpdate升級服務(wù)器

：分布式安全部署

立體安全卓爾UTffl

防毒堵

防及殿部件

GatG防火靖

UTM安全網(wǎng)關(guān)內(nèi)容過濾

機密信息

卓爾UTM200/3Q0/500ypn

IPS

個人及SOHO用戶

買得起用得好妒全網(wǎng)關(guān)

卓爾UTM：http://www.zrinfo.net/

五、安全風(fēng)險預(yù)防：網(wǎng)絡(luò)法律法規(guī)

.?中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定

\第十條個人、法人和其他組織（以下統(tǒng)稱用戶）使用的計算機或者計算機信

息網(wǎng)絡(luò)，需要進行國際聯(lián)網(wǎng)的，必須通過接入網(wǎng)絡(luò)進行國際聯(lián)網(wǎng)。前款規(guī)定的計算

機或者計算機信息網(wǎng)絡(luò)，需要接入接入網(wǎng)絡(luò)的，應(yīng)當征得接入單位的同意，并辦理登

記手續(xù)。

?第十三條從事國際聯(lián)網(wǎng)業(yè)務(wù)的單位和個人，應(yīng)當遵守國家有關(guān)法律、行政法

規(guī)，嚴格執(zhí)行安全保密制度，不得利用國際聯(lián)網(wǎng)從事危害國家安全、泄露國家秘密等

違法犯罪活動，不得制作、查閱、復(fù)制和傳播妨礙社會治安的信息和淫穢色情等信息

?第十四條違反本規(guī)定第六條、第八條和第十條的規(guī)定的，由公安機關(guān)責(zé)令停

止聯(lián)網(wǎng)，給予警告，可以并處15000元以下的罰款；有違法所得的，沒收違法所得。

?第十五條違反本規(guī)定，同時觸犯其他有關(guān)法律、行政法規(guī)的，依照有關(guān)法律

、行政法規(guī)的規(guī)定予以處罰；構(gòu)成犯罪的，依法追究刑事責(zé)任。

■

?中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定實施辦法

?中華人民共和國計算機信息系統(tǒng)安全保護條例

?互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定

?互聯(lián)網(wǎng)電子郵件服務(wù)管理辦法

六、服務(wù)器安全防護概要]

,?安裝過程中的安全策略：

\NTFS、干凈的軟件&工具、及時密碼

?系統(tǒng)基本安全策略：

文件和目錄權(quán)限、軟件限制策略、防火墻、IP篩選、路由和遠程訪問策略、自

動升級、口令策略、審核與日