計算機病毒及其防范技術(shù)（第2版）第12章 計算機病毒防治策略

計算機病毒防治策略 上海交通大學(xué)信息安全工程學(xué)院 本章學(xué)習(xí)重點 掌握病毒防治的基本準(zhǔn)則 掌握單機用戶病毒防治策略 掌握企業(yè)級用戶病毒防治策略 了解病毒未來防治措施 了解計算機病毒相關(guān)法律法規(guī) 信息安全工程學(xué)院 計算機病毒防治策略 為什么需要策略？ 技術(shù)不能完全解決問題 策略是對技術(shù)的補充 策略可以使有限技術(shù)發(fā)揮最大限度的作用 信息安全工程學(xué)院 計算機病毒防治策略的基本準(zhǔn)則 拒絕訪問能力 來歷不明的各種應(yīng)用軟件，尤其是通過網(wǎng)絡(luò)傳過來的應(yīng)用軟件，不得進入計算機系統(tǒng)。 病毒檢測能力 計算機病毒總是有機會進入系統(tǒng)，因此，系統(tǒng)中應(yīng)設(shè)置檢測病毒的機制來阻止外來病毒的侵犯。 控制病毒傳播的能力 被病毒感染將是一個必然事件。關(guān)鍵是，一旦病毒進入了系統(tǒng)，應(yīng)該具有阻止病毒在系統(tǒng)中到處傳播的能力和手段。 信息安全工程學(xué)院 清除能力 如果病毒突破了系統(tǒng)的防護，即使它的傳播受到了控制，但也要有相應(yīng)的措施將它清除掉。 恢復(fù)能力 “在病毒被清除以前，就已經(jīng)破壞了系統(tǒng)中的數(shù)據(jù)”，是非?？膳碌怯址浅？赡馨l(fā)生的事件。因此，系統(tǒng)應(yīng)提供一種高效的方法來恢復(fù)這些數(shù)據(jù)，使數(shù)據(jù)損失盡量減到最少。 替代操作 可能會遇到這種情況：當(dāng)發(fā)生問題時，手頭又沒有可用的技術(shù)來解決問題，但是任務(wù)又必須繼續(xù)執(zhí)行下去。為了解決這種窘?jīng)r，系統(tǒng)應(yīng)該提供一種替代操作方案：在系統(tǒng)未恢復(fù)前用替代系統(tǒng)工作，等問題解決以后再換回來。 信息安全工程學(xué)院 國家層面上的病毒防治策略 第一，落實病毒防治的規(guī)章制度 第二，建立我國的計算機病毒預(yù)警系統(tǒng) 第三，建立快速、有效的病毒應(yīng)急體系 第四，建立動態(tài)的系統(tǒng)風(fēng)險評估措施 第五，建立病毒事故分析制度 信息安全工程學(xué)院 第六，制定備份和恢復(fù)計劃，減少損失 第七，進一步加強計算機安全培訓(xùn) 第八，提高國內(nèi)運營商自身的安全性 第九，加強技術(shù)防范措施 信息安全工程學(xué)院 單機用戶病毒防治策略 單機系統(tǒng)的特點： 只有一臺計算機 上網(wǎng)方式簡單（只通過單一網(wǎng)卡與外界進行數(shù)據(jù)交互） 威脅相對較低 損失相對較低 個人用戶的特點： 相對簡單 防范意識相對較差 防范技術(shù)更是特別的薄弱 信息安全工程學(xué)院 一般技術(shù)措施 1）經(jīng)常從軟件供應(yīng)商那邊下載、安裝安全補丁程序和升級殺毒軟件。 2）新購置的計算機和新安裝的系統(tǒng)，一定要進行系統(tǒng)升級，保證修補所有已知的安全漏洞。 3）使用高強度的口令。 4）經(jīng)常備份重要數(shù)據(jù)。特別是要做到經(jīng)常性地對不易復(fù)得數(shù)據(jù)（個人文檔、程序源代碼等等）完全備份。 5）選擇并安裝經(jīng)過公安部認證的防病毒軟件，定期對整個硬盤進行病毒檢測、清除工作。 6）安裝防火墻（軟件防火墻），提高系統(tǒng)的安全性。 信息安全工程學(xué)院 7）當(dāng)計算機不使用時，不要接入互聯(lián)網(wǎng)，一定要斷掉連接。 8）不要打開陌生人發(fā)來的電子郵件，無論它們有多么誘人的標(biāo)題或者附件。同時也要小心處理來自于熟人的郵件附件。 9）正確配置、使用病毒防治產(chǎn)品。 10）正確配置計算機系統(tǒng)，減少病毒侵害事件。充分利用系統(tǒng)提供的安全機制，提高系統(tǒng)防范病毒的能力。 11）定期檢查敏感文件。對系統(tǒng)的一些敏感文件定期進行檢查，保證及時發(fā)現(xiàn)已感染的病毒和黑客程序。 信息安全工程學(xué)院 上網(wǎng)基本策略 第一、采用匿名方式瀏覽。 第二、在進行任何的交易或發(fā)送信息之前閱讀網(wǎng)站的隱私保護政策。 第三、安裝個人防火墻，保護隱私信息。 第四、使用個人防火墻防病毒程序以防黑客攻擊和檢查黑客程序（一個連接外部服務(wù)器并將你的信息傳遞出去的軟件）。 第五、網(wǎng)上購物時，確定你采用的是安全的連接方式。 第六、在線時不要向任何人透露個人信息和密碼。 信息安全工程學(xué)院 第七、經(jīng)常更改你的密碼。 第八、在不需要文件和打印共享時，關(guān)閉這些功能。 第九、掃描計算機并查找安全漏洞，提高計算機防護蠕蟲病毒和惡意代碼的能力。 第十、不厭其煩地安裝補丁程序。 第十一、盡量關(guān)閉不需要的組件和服務(wù)程序。 第十二、盡量使用代理服務(wù)器。 信息安全工程學(xué)院 企業(yè)病毒防治策略 一個好的企業(yè)級病毒防御策略包括以下幾個步驟： 開發(fā)和實現(xiàn)一個防御計劃 使用一個好的反病毒掃描程序 加固每個單獨系統(tǒng)的安全 配置額外的防御工具 信息安全工程學(xué)院 如何建立防御計劃 第一，對預(yù)算的管理 第二，精選一個計劃小組 第三，組織操作小組 第四，制定技術(shù)編目 標(biāo)示信息 功能 /操作系統(tǒng) 序列號 機器名稱 用戶名稱 位置 務(wù)器 其他 D D 息安全工程學(xué)院 第五，確定防御范圍 第六，討論和編寫計劃 第七，測試計劃 第八，實現(xiàn)計劃 第九，提供質(zhì)量保證測試 第十，保護新加入的資產(chǎn) 十一，對快速反應(yīng)小組的測試 十二，更新和復(fù)查的預(yù)定過程 信息安全工程學(xué)院 執(zhí)行計劃 軟件部署 分布式更新 溝通方式 最終用戶的培訓(xùn) 應(yīng)急響應(yīng) （面對一次病毒事故需要考慮的步驟） 第一，向負責(zé)人報告事故 第二，收集原始資料 信息安全工程學(xué)院 第三，最小化傳播 第四，讓最終用戶了解最新的危險 第五，收集更多的事實 第六，制定并實現(xiàn)一個最初的根除計劃 第七，驗證根除工作正在進行 第八，恢復(fù)關(guān)閉的系統(tǒng) 第九，為惡意程序的再次發(fā)作做好準(zhǔn)備 第十，確認公眾關(guān)系的影響 十一，做一次更加深入的分析 信息安全工程學(xué)院 反病毒掃描引擎相關(guān)問題 何時進行掃描？ 實時掃描因為任何原因訪問到的文件 定時掃描 按需掃描 只掃描進入的新文件 信息安全工程學(xué)院 額外的防御工具 防火墻 入侵檢測 系統(tǒng) 蜜罐 端口監(jiān)視和掃描程序 漏洞掃描程序 其他工具 ： 序鎖定、 罪羊文件 良好的備份 信息安全工程學(xué)院 真正的防范措施 審核所有的代碼 最終的認證 更安全的操作系統(tǒng)應(yīng)用程序 防止未授權(quán)的代碼被篡改 僅允許執(zhí)行已提交的內(nèi)容 國家安全機構(gòu) 更嚴厲的懲罰 信息安全工程學(xué)院 在美國， 1994年制定的聯(lián)邦計算機處罰法案特別規(guī)定了在未得到授權(quán)許可的條件下對一臺受保護的計算機“故意傳播程序、信息、代碼、命令或?qū)е孪嚓P(guān)結(jié)果的行為造成了損失的”屬犯罪行為。對于觸法者將被處以監(jiān)禁。如果不是故意的，將處以 1年以下的監(jiān)禁和罰金。如果被證明為故意所為，那么將被罰款并處以 10年左右的監(jiān)禁。法案特別規(guī)定，如果發(fā)現(xiàn)病毒作者不構(gòu)成犯罪，也可以采取民事措施。 據(jù)報道， 2003年 6月 3日，我國臺灣地區(qū)的有關(guān)部門通過了一項法律修正草案，其中包括這樣一條：“制作計算機病毒程序?qū)е滤藫p害者，可處 5年以下有期徒刑、拘役或科或并科 20萬元新臺幣以下罰金”。 我國的 刑法 第 286條規(guī)定，故意制作、傳播計算機病毒后果嚴重的，處 5年以下有期徒刑或拘役，后果特別嚴重的，處 5年以上有期徒刑。 信息安全工程學(xué)院 防病毒相關(guān)法律法規(guī) 計算機病毒防治管理辦法 第十九條 計算機信息系統(tǒng)的使用單位有下列行為之一的，由公安機關(guān)處以警告，并根據(jù)情況責(zé)令其限期改正；逾期不改正的，對單位處以一千元以下罰款，對單位直接負責(zé)的主管人員和直接責(zé)任人員處以五百元以下罰款： （一）未建立本單位計算機病毒防治管理制度的； （二）未采取計算機