Episode VI
各种网络环境下的综合防范
3
单机的防范特点
• 最基本的防护点
• 最容易控制,本地登录用户对本机
操作拥有比较大的权限,很多防范
工作容易展开
• 成熟的手段和产品较多
• 防范重点:严防“
病”
从“
口”
入
• 新的软件可能带来新的风险
4
单机防范的技术要点
• 从硬盘引导系统
• 关闭BIOS
升级功能,底板跳线设为
Disable
iseaDbl
• 安装正式版的反病毒软件,保留一套
DOS
下的杀毒软件,并启用实时监控功
能
• 定时升级病毒数据库和反病毒软件
• Windows NT/2000/XP/2003
等操作系统
经常打补丁
5
单机防范的技术要点(续)
• 备份系统关键数据,如MBR
,BOOT
等
• 经常备份重要的文档、用户数据等
• 在使用外来软盘/
光盘/U
盘前先查毒
• 将操作系统、应用程序和用户文件分别
放在不同的分区(盘符)
• 在Word/Excel/PowerPoint
等软件中开启
“
宏病毒保护”
功能
6
单机防范的技术要点(续)
• 关闭Outlook/Outlook Express
lseoxuOoptkr 的邮件预
览功能
• 在IE
浏览器中正确设置安全等级
• 在各种媒体播放器(Windows Media
Player
lraPye
、Real Player
leraRPlye
等)中设置无效的代
理服务器,防止流媒体文件访问网络
• 关闭Windows
snWdiow
的Active Desktop
和“
按
Web
bWe
页查看”
功能
• 关闭所有磁盘的“
自动播放”
功能
7
单机防范的技术要点(续)
• 使用Windows
snWdiow
传统风格的文件夹,并选
择查看所有文件,显示已知的文件类型
(后缀名)
• 对下载、接收的软件先查毒后运行
• 不随便打开邮件的附件、硬盘上的可疑
文件
• 关闭不需要的网络应用服务
• 安装个人防火墙(或者打开WinXP/2003
自带的防火墙)、反间谍软件
8
单机防范方法
• 安装杀毒软件并启用自动更新
• 经常升级操作系统补丁和重要应用程序
补丁
• 安全地设置常用应用程序的运行参数
• 配置合适的IE
设置选项
• 设置合理的桌面、文件夹选项
• 定期检查注册表、启动菜单
• 关闭不必要的服务进程
• 安装个人防火墙、反间谍软件
• 做好备份
9
小型局域网络
Internet
File Server
PCs
Switch
Notebook computer
10
小型局域网络的防范特点
• 避免交叉感染
• 核心地带控制
• 统一各台机器防护的程度
• 及时打补丁很重要
11
小型局域网络防范的技术要点
• 对各工作站包含所有单机的防范措施
• 按需开设文件共享及权限,并且及时关
闭;共享必须设密码或使用用户级访问
控制
• 对于Windows NT/2000/XP/2003
操作系
统使用NTFS
划分分区,服务器不应该
有FAT/FAT32
分区
• 服务器上安装网络版的反病毒软件
12
小型局域网络防范的技术要点(续)
• 控制用户的访问权限,启用对象级的安
全机制
• 尽量不直接在服务器上使用Office
、
Outlook
等应用程序;尽量不用服务器直
接上网浏览
• 利用登录脚本功能实现工作站上的反病
毒软件自动升级和病毒数据库的自动更
新
13
小型局域网络防范的技术要点(续)
• 服务器本身必须物理上绝对安全
• 对服务器上的文件定期备份
• 在工作站上尽量少用超级用户帐号登录
服务器
• 经常对服务器和工作站进行安全评估,
并安装最新的补丁程序
14
小型局域网络防范概要
Internet
File Server
PCs
Switch
Notebook computer
服务器版
客户端版
中央控管服务器
(可选)
15
大型网络
Internet
Web
bWe
DNS
Switch
AD
Exchange
Server
. . .
Extranet/DMZ
Intranet
Hub
Router
FW
Back bone
Switch
16
大型网络的病毒防范(续)
• 在因特网接入口处安装网关型反病毒产
品
• 在外网安装网络版反病毒软件,并对整
个外网进行实时监控
• 外网上如果有工作站,需要进行单机防
范布防
• 在各个应用服务器上安装对应的反病毒
软件,如在Exchange Server
rvxhESceaenge
上安装For
Exchange
的反病毒软件
• 在每个内网参照小型局域网的防范要点
布防
17
大型网络的病毒防范(续)
• 安装集中式的防杀病毒管理中心,便于
管理反病毒软件
• 桌面反病毒软件尽量采用同一厂商的产
品,并尽量与网关防毒产品品牌不同,
要具有远程查毒功能,便于管理,并且
不会产生防范病毒的薄弱环节
• 建立严格的规章制度和操作规范,制定
完善的反病毒策略;定期检查各防范点
的工作状态
• 考虑移动工作站(便携机)的反病毒策
略和潜在的危险
18
大型网络病毒防范概要
Internet
Web
bWe
DNS
Switch
AD
Mail
Server
. . .
Extranet/DMZ
Intranet
Hub
Router
FW
Back bone
Switch
集中控管
中心
防毒网关
服务器版
客户端版
AV For Mail server
19
网络化病毒防杀体系
Firewall
Internet
File Server
Client
Internet Gateway
网关病毒防杀
网关病毒防杀
服务器病毒防杀
服务器病毒防杀
for NT
for NetWare
Server
客户端病毒防杀
客户端病毒防杀
客户端病毒服务器
客户端病毒服务器
Central Control
Mail Server
邮件病毒防杀
邮件病毒防杀
for Exchange
for Lotus Notes
Client
病毒管理控制中心
病毒管理控制中心
Online Scan Server
Scan On Guard
Scan On Guard
手工
笔记本
20
跨地域的集团网络
直属单位
DD aattaa GG ee nnee rraa ll 分中心
省公司
DDaa ttaa GG ee nnee rr aa ll 地区
分中心
集团总公司
DDaattaa GG eennee rraall 总控中心
省公司
DDaa ttaa GG ee nnee rr aa ll 地区
分中心市县公司n
DD aattaa GG ee nnee rraa ll
分中心
市县公司1
DD aattaa GG ee nnee rraa ll
分中心…
21
病毒防范的管理制度
• 1.
1 .
范围
• 2.
2 .
定义
• 3.
3 .
目的
• 4.
4 .
管理职责
• 5.
5 .
管理内容和要求
• 安装
• 使用
• 升级
• 管理
• 例行检查
22
应急处理预案
• 重大安全问题和相应解决办法的发布;
• 采用相关技术措施,对计算机病毒的源
头进行查找和定位,利用相关的产品进
行查杀;
• 切断源头与网络的连接,断绝计算机病
毒在整个网络种的扩散。
• 采用手动或病毒专杀工具对病毒清除;
• 通过对相关防病毒产品的及时升级,对
病毒进行清除。
23
应急处理预案
• 根据病毒源头的位置所在,可采用
的隔离办法:
• 在不影响相关应用情况下,关闭相关
端口;
• 通过防火墙切断连接;
• 封堵相应IP
地址的访问权限;
• 对于主机可采用物理断开措施等。
24
例:应急处理流程
病毒事件
报警
上报
可能是疑
似,也可能
是反病毒软
件的报警
启动
应急处理
安全应急
处理中心
临时措施
切断感染点
查找病毒源
制定
解决方案
手工/
工具
清除病毒
预防
发文
通知
必要的修补
事后检查
消除临时措施
处理报告、
结论,存档恢复联网系统修补
专家、厂商
搜寻
病毒信息
上报疫情
病毒取样
分析
信息安全
管理机构
检查确诊
25
为什么要选择正版反病毒软件?
• 若反病毒软件本身存在问题,轻则不能
很好地保护计算机不受病毒侵害,严重
的还会影响系统的正常运行,甚至会破
坏本来完好的数据和系统。
• 正版反病毒软件的生产、流通比较正规
• 能够在一定时期内享受厂商提供的服务
• 销售的正版反病毒软件都通过了公安部
的检测,取得销售许可证
• 正版=原厂正式发行版≠原厂beta版
26
单位和个人在病毒防治方面有哪些责任和义务?
• 建立本单位的计算机病毒防治管理制度
• 对本单位计算机信息系统使用人员进行计算
机病毒防治教育和培训
• 采取计算机病毒安全技术防治措施
• 及时检测、清除计算机信息系统中的计算机
病毒,并备有检测、清除的记录
• 使用具有销售许可证的计算机病毒防治产品
• 对因计算机病毒引起的计算机信息系统瘫痪、
程序和数据严重破坏等重大事故及时向公安
机关报告,并保护现场
27
受病毒感染后的修复方法一般有哪些?
• 使用杀毒软件、专杀工具
• 删除病毒文件,手工修复系统
• 用干净的文件覆盖染毒文件
• 格式化重装系统
• 手工杀除病毒__