防火墙技术
(1)防火墙的概念
防火墙(Fire Wall)是架设在内部网络和外部公共网络之间的软硬件组合,提供两个网络之间的防御,对其中一个网络提供安全保护。
防火墙的结构:
(2)防火墙的作用
控制对系统的访问
集中的安全管理
增强保密性
记录和统计网络使用数据
策略执行
(3)防火墙的类型
包过滤防火墙
代理服务防火墙
(4)防火墙的策略
凡是未被准许的就不准通过
凡是未被禁止的就可以通过
(5)防火墙的局限性
防火墙不能防范不经过防火墙的攻击
防火墙不能解决来自内部网络的攻击
防火墙不能防备未知威胁
防火墙不能防病毒
入侵检测技术
(1)入侵检测技术的概念
入侵检测系统(Intrusion Detection System,IDS)是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或攻击结果,以保证网络系统资源的机密性、完整性和可用性。
(2)入侵检测系统的功能
监视、分析用户及系统活动
系统构造和弱点的审计
识别反映已知进攻的活动模式并报警
异常行为模式的统计分析
评估重要系统和数据文件的完整性
操作系统的审计跟踪管理
识别用户违反安全策略的行为
(3)入侵检测系统的分类
根据入侵行为的属性分为异常检测和误用检测
根据系统监测对象分为基于主机的入侵检测系统和基于网络的入侵检测系统。
虚拟专用网技术
(1)虚拟专用网的概念
虚拟专用网(Virtual Private Network,VPN)是指在公共网络中建立一个专用网络,并使数据通过建立的虚拟安全通道在公共网络中传播。
(2)虚拟专用网的特点
安全保障
服务质量保证
可扩充性
灵活性
可管理性
(3)虚拟专用网的类型
Access VPN
Intranet VPN
Extranet VPN
反病毒技术
(1)病毒的概念
计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
(2)病毒的特点
刻意编写,人为破坏
自我复制能力
夺取系统控制权
隐蔽性
潜伏性
破坏性
不可预见性
(3)病毒的类型
按传染方式分为引导型、文件型和混合型病毒
按连接方式分为源码型、入侵型、操作系统型和外壳型病毒
按破坏性可分为良性病毒和恶性病毒
(4)病毒的防范
建立、健全法律和管理制度
加强教育和宣传
采取更有效的技术措施
信息窃密案例
信息窃密指的是秘密地从某机构复制计算机信息及非法拿走它们。
日本某杂志社发行代理公司将耗资5亿日元收集到的订户名单等公司商业绝密信息委托给太平洋计算机中心处理,在转手处理过程中,其信息磁带被人转录,并以82万日元出手。
近些年来,国外已发生多起信息窃密案件。据报载,俄罗斯一家贸易公司的计算机人员通过互联网络把纽约华尔街花旗银行计算机系统中的三家银行账户,转到他们在加州和以色列银行的账户中,非法转账资金高达1 000万美元,后来虽被客户银行发现并提出指控,警方将作案罪犯逮捕,追回了960万美元的赃款,但此案已使人们警觉到因特网上的信息并非都是安全的,信息窃密者随时都可以侵入计算机网络,不仅商业和银行信息有被窃可能,甚至某些重要的国家机密信息也会被窃取。
资料来源:宋文官:《电子商务概论》,北京:高等教育出版社,2004
思考问题:
1.案例中的信息窃密事件造成了哪些后果?
2.信息泄密可能由于哪些渠道造成的?
【资源列表】
1.51CTO网络安全频道:http://netsecurity.51cto.com/
2.天极网网络安全频道:http://soft.yesky.com/security/
3.中国IT实验室网络安全频道:http://security.chinaitlab.com/
4.红黑联盟:http://www.2cto.com/ebook/safe/
如何准确的查找出木马假冒的系统进程
任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,又如何准确的查找出木马假冒的系统进程呢?我们一起来看一下。
1.病毒进程隐藏三法
当我们确认系统中存在病毒,但是通过“任务管理器”查看系统中的进程时又找不出异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法:
(1) 以假乱真
系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,可能你发现过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe.对比一下,发现区别了么?这是病毒经常使用的伎俩,目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0,l改为i,i改为j,然后成为自己的进程名,仅仅一字之差,意义却完全不同。又或者多一个字母或少一个字母,例如explorer.exe和iexplore.exe本来就容易搞混,再出现个iexplorer.exe就更加混乱了。如果用户不仔细,一般就忽略了,病毒的进程就逃过了一劫。
(2) 偷梁换柱
如果用户比较心细,那么上面这招就没用了,病毒会被就地正法。于是乎,病毒也学聪明了,懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe,和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢?非也,其实它只是利用了“任务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:WINDOWSsystem32”目录下(Windows2000则是C:WINNTsystem32目录),如果病毒将自身复制到“C:WINDOWS”中,并改名为svchost.exe,运行后,我们在“任务管理器”中看到的也是svchost.exe,和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗?
(3) 借尸还魂
所谓的借尸还魂就是病毒采用了进程插入技术,将病毒运行所需的dll文件插入正常的系统进程中,表面上看无任何可疑情况,实质上系统进程已经被病毒控制了,除非我们借助专业的进程检测工具,否则要想发现隐藏在其中的病毒是很困难的。
2.系统进程解惑
上文中提到了很多系统进程,这些系统进程到底有何作用,其运行原理又是什么?下面我们将对这些系统进程进行逐一讲解,相信在熟知这些系统进程后,就能成功破解病毒的“以假乱真”和“偷梁换柱”了。
(1) svchost.exe
常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe.随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的,它们把可执行程序指向scvhost,由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务,双击其中“ClipBook”服务,在其属性面板中可以发现对应的可执行文件路径为“C:WINDOWSsystem32clipsrv.exe”。再双击“Alerter”服务,可以发现其可执行文件路径为“C:WINDOWSsystem32svchost.exe -k LocalService”,而“Server”服务的可执行文件路径为“C:WINDOWSsystem32svchost.exe -k netsvcs”。正是通过这种调用,可以省下不少系统资源,因此系统中出现多个svchost.exe,其实只是系统的服务而已。
在Windows2000系统中一般存在2个svchost.exe进程,一个是RPCSS(RemoteProcedureCall)服务进程,另外一个则是由很多服务共享的一个svchost.exe;而在WindowsXP中,则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个,就要小心了,很可能是病毒假冒的,检测方法也很简单,使用一些进程管理工具,例如Windows优化大师的进程管理功能,查看svchost.exe的可执行文件路径,如果在“C:WINDOWSsystem32”目录外,那么就可以判定是病毒了。
(2) explorer.exe
常被病毒冒充的进程名有:iexplorer.exe、expiorer.exe、explore.exe.explorer.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束,那么包括任务栏、桌面、以及打开的文件都会统统消失,单击“任务管理器”→“文件”→“新建任务”,输入“explorer.exe”后,消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。
资料来源:http://security.chinaitlab.com/wlaq/911191.html经删减整理
