前言:中文期刊网精心挑选了网络蠕虫的传播途径范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络蠕虫的传播途径范文1
关键词:蠕虫;病毒;预防;检测;原理
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)23-902-03
Network Worms Introduction,Analysis and Prevention
SHI Jie1, JIANG Lei2
(1.East China University of Science and Technology,Department of Mathematics,Shanghai 200237,China;2.Jiangnan University,Department of Computer Sicence,Wuxi 214122, China)
Abstract: Worms are the new method of virus to infect computer programs. In this paper we will discuss all the possible method the worm will have to attack network computers and network itself. Companies and single person will have different experience of worm attack.And we will discuss it from different views. Finally we will give out a practical solution to this threat.
Key words: Worms; virus prevention; detection; principle
1 蠕虫病毒的定义
1.1 蠕虫病毒的定义
计算机病毒自出现之日起,就成为计算机的一个巨大威胁,而当网络迅速发展的时候,蠕虫病毒引起的危害开始显现!从广义上定义,凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。所以从这个意义上说,蠕虫也是一种病毒!但是蠕虫病毒和一般的病毒有着很大的区别。对于蠕虫,现在还没有一个成套的理论体系,一般认为,蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性,隐蔽性,破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合等等!在产生的破坏性上,蠕虫病毒也不是普通病毒所能比拟的,网络的发展使得蠕虫可以在短短的时间内蔓延整个网络,造成网络瘫痪!
根据使用者情况可将蠕虫病毒分为2类,一种是面向企业用户和局域网而言,这种病毒利用系统漏洞,主动进行攻击,可以对整个互联网可造成瘫痪性的后果!以“红色代码”,“尼姆达”,以及“sql蠕虫王”为代表。另外一种是针对个人用户的,通过网络(主要是电子邮件,恶意网页形式)迅速传播的蠕虫病毒,以爱虫病毒,求职信病毒为例.在这两类中,第一类具有很大的主动攻击性,而且爆发也有一定的突然性,但相对来说,查杀这种病毒并不是很难。第二种病毒的传播方式比较复杂和多样,少数利用了微软的应用程序的漏洞,更多的是利用社会工程学对用户进行欺骗和诱使,这样的病毒造成的损失是非常大的,同时也是很难根除的,比如求职信病毒,在2001年就已经被各大杀毒厂商发现,但直到2002年底依然排在病毒危害排行榜的首位就是证明!出得在接下来的内容中,将分别分析这两种病毒的一些特征及防范措施。
自从2007年开始,蠕虫的作用方式已经从直接感染文件并加以破坏转为更为商业化和利益化的攻击方式:恶意广告和僵尸网络已经成为利用蠕虫手段进行商业牟利的重要手段。蠕虫往往会通过向宿主注入各种恶意代码使得宿主被动访问一些收费站点或者在宿主机中执行各种广告软件来为蠕虫作者带来各种收益,最近的形势看来这种蠕虫的倾向越来越有预谋有组织,有时甚至可能是某些商业软件公司的公司行为。对于僵尸网络的利用目前也逐渐从黑客工具变为商业牟利的手段。僵尸网络,顾名思义就是一群中了蠕虫而被获得管理员权限的网络计算机的群体,利用这些群体可以轻而易举的造成各种网络攻击或者流量阻塞的破坏。在以前这些网络主机往往是作为黑客的攻击工具而存在,但在现在,这些主机往往被挂牌出租,未那些没有成熟的攻击主机的黑客提供平台。
1.2 蠕虫病毒与一般病毒的异同
蠕虫也是一种病毒,因此具有病毒的共同特征。一般的病毒是需要的寄生的,它可以通过自己指令的执行,将自己的指令代码写到其他程序的体内,而被感染的文件就被称为”宿主”,例如,Windows下可执行文件的格式为pe格式(Portable Executable),当需要感染pe文件时,在宿主程序中,建立一个新节,将病毒代码写到新节中,修改的程序入口点等,这样,宿主程序执行的时候,就可以先执行病毒程序,病毒程序运行完之后,在把控制权交给宿主原来的程序指令。可见,病毒主要是感染文件,当然也还有像DIRII这种链接型病毒,还有引导区病毒。引导区病毒他是感染磁盘的引导区,如果是软盘被感染,这张软盘用在其他机器上后,同样也会感染其他机器,所以传播方式也是用软盘等方式。
蠕虫一般不采取利用pe格式插入文件的方法,而是复制自身在互联网环境下进行传播,病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫病毒的传染目标是互联网内的所有计算机.局域网条件下的共享文件夹,电子邮件email,网络中的恶意网页,大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球,而且蠕虫的主动攻击性和突然爆发性将使得人们手足无策。
可以预见,未来能够给网络带来重大灾难的主要必定是网络蠕虫病毒!
1.3 蠕虫的破坏和发展趋势
1988年一个由美国CORNELL大学研究生莫里斯编写的蠕虫病毒蔓延造成了数千台计算机停机,蠕虫病毒开始现身网络;而后来的红色代码,尼姆达病毒疯狂的时候,造成几十亿美元的损失;北京时间2003年1月26日, 一种名为“2003蠕虫王”的电脑病毒迅速传播并袭击了全球,致使互联网网路严重堵塞,作为互联网主要基础的域名服务器(DNS)的瘫痪造成网民浏览互联网网页及收发电子邮件的速度大幅减缓,同时银行自动提款机的运作中断, 机票等网络预订系统的运作中断,信用卡等收付款系统出现故障!专家估计,此病毒造成的直接经济损失至少在12亿美元以上。
由表2可以知道,蠕虫病毒对网络产生堵塞作用,并造成了巨大的经济损失!
通过对以上蠕虫病毒的分析,可以知道,蠕虫发作的一些特点和发展趋势:
1)利用操作系统和应用程序的漏洞主动进行攻击。此类病毒主要是“红色代码”和“尼姆达”,以及至今依然肆虐的”求职信”等.由于IE浏览器的漏洞(Iframe Execcomand),使得感染了“尼姆达”病毒的邮件在不去手工打开附件的情况下病毒就能激活,而此前即便是很多防病毒专家也一直认为,带有病毒附件的邮件,只要不去打开附件,病毒不会有危害。“红色代码”是利用了微软IIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播。Sql蠕虫王病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击。
2)传播方式多样 如“尼姆达”病毒和”求职信”病毒,可利用的传播途径包括文件、电子邮件、Web服务器、网络共享等等。
3)病毒制作技术与传统的病毒不同的是,许多新病毒是利用当前最新的编程语言与编程技术实现的,易于修改以产生新的变种,从而逃避反病毒软件的搜索。另外,新病毒利用Java、ActiveX、VB Script等技术,可以潜伏在HTML页面里,在上网浏览时触发。
4)与黑客技术相结合,潜在的威胁和损失更大!以红色代码为例,感染后的机器的web目录的\scripts下将生成一个root.exe,可以远程执行任何命令,从而使黑客能够再次进入。
2 网络蠕虫病毒分析和防范
蠕虫和普通病毒不同的一个特征是蠕虫病毒往往能够利用漏洞,这里的漏洞或者说是缺陷,我们分为2种,软件上的缺陷和人为上的缺陷。软件上的缺陷,如远程溢出,微软ie和outlook的自动执行漏洞等等,需要软件厂商和用户共同配合,不断的升级软件。而人为的缺陷,主要是指的是计算机用户的疏忽。这就是所谓的社会工程学(social engineering),当收到一封邮件带着病毒的求职信邮件时候,大多数人都会报着好奇去点击的。对于企业用户来说,威胁主要集中在服务器和大型应用软件的安全上,而个人用户而言,主要是防范第二种缺陷。
2.1 利用系统漏洞的恶性蠕虫病毒分析
在这种病毒中,以红色代码,尼姆达和sql蠕虫为代表,他们共同的特征是利用微软服务器和应用程序组件的某个漏洞进行攻击,由于网上存在这样的漏洞比较普遍,使得病毒很容易的传播,而且攻击的对象大都为服务器,所以造成的网络堵塞现象严重。
以2003年1月26号爆发的sql蠕虫为例,爆发数小时内席卷了全球网络,造成网络大塞车。亚洲国家中以人口上网普及率达七成的韩国所受影响较为严重。韩国两大网络业KFT及南韩电讯公司,系统都陷入了瘫痪,其它的网络用户也被迫断线,更为严重的是许多银行的自动取款机都无法正常工作, 美国许美国银行统计,该行的13000台自动柜员机已经无法提供正常提款。网络蠕虫病毒开始对人们的生活产生了巨大的影响。
这次sql蠕虫攻击的是微软数据库系Microsoft SQL Server 2000的,利用了MSSQL2000服务远程堆栈缓冲区溢出漏洞, Microsoft SQL Server 2000是一款由Microsoft公司开发的商业性质大型数据库系统。SQL Server监听UDP的1434端口,客户端可以通过发送消息到这个端口来查询目前可用的连接方式(连接方式可以是命名管道也可以是TCP),但是此程序存在严重漏洞,当客户端发送超长数据包时,将导致缓冲区溢出,黑客可以利用该漏洞在远程机器上执行自己的恶意代码。
微软在200年7月份的时候就为这个漏洞了一个安全公告,但当sql蠕虫爆发的时候,依然有大量的装有ms sqlserver 2000的服务器没有安装最新的补丁,从而被蠕虫病毒所利用,蠕虫病毒通过一段376个字节的恶意代码,远程获得对方主机的系统控制权限, 取得三个Win32 API地址,GetTickCount、socket、sendto,接着病毒使用GetTickCount获得一个随机数,进入一个死循环继续传播。在该循环中蠕虫使用获得的随机数生成一个随机的ip地址,然后将自身代码发送至1434端口(Microsoft SQL Server开放端口),该蠕虫传播速度极快,其使用广播数据包方式发送自身代码,每次均攻击子网中所有255台可能存在机器。由于这是一个死循环的过程,发包密度仅和机器性能和网络带宽有关,所以发送的数据量非常大。该蠕虫对被感染机器本身并没有进行任何恶意破坏行为,也没有向硬盘上写文件,仅仅存在与内存中。对于感染的系统,重新启动后就可以清除蠕虫,但是仍然会重复感染。由于发送数据包占用了大量系统资源和网络带宽,形成Udp Flood,感染了该蠕虫的网络性能会极度下降。一个百兆网络内只要有一两台机器感染该蠕虫就会导致整个网络访问阻塞。
通过以上分析可以知道,此蠕虫病毒本身除了对网络产生拒绝服务攻击外,并没有别的破坏措施.但如果病毒编写者在编写病毒的时候加入破坏代码,后果将不堪设想。
2.2 企业防范蠕虫病毒措施
此次sql蠕虫病毒,利用的漏洞在2002年7月份微软的一份安全公告中就有详细说明!而且微软也提供了安全补丁提供下载,然而在时隔半年之后互联网上还有相当大的一部分服务器没有安装最新的补丁,其网络管理员的安全防范意识可见一斑。
当前,企业网络主要应用于文件和打印服务共享、办公自动化系统、企业业务(MIS)系统、Internet应用等领域。网络具有便利信息交换特性,蠕虫病毒也可以充分利用网络快速传播达到其阻塞网络目的。企业在充分地利用网络进行业务处理时,就不得不考虑企业的病毒防范问题,以保证关系企业命运的业务数据完整不被破坏。
企业防治蠕虫病毒的时候需要考虑几个问题:病毒的查杀能力,病毒的监控能力,新病毒的反应能力。而企业防毒的一个重要方面是是管理和策略。推荐的企业防范蠕虫病毒的策略如下:
1)加强网络管理员安全管理水平,提高安全意识。由于蠕虫病毒利用的是系统漏洞进行攻击,所以需要在第一时间内保持系统和应用软件的安全性,保持各种操作系统和应用软件的更新!由于各种漏洞的出现,使得安全不在是一种一劳永逸的事,而作为企业用户而言,所经受攻击的危险也是越来越大,要求企业的管理水平和安全意识也越来越高。
2)建立病毒检测系统。能够在第一时间内检测到网络异常和病毒攻击。
3)建立应急响应系统,将风险减少到最小!由于蠕虫病毒爆发的突然性,可能在病毒发现的时候已经蔓延到了整个网络,所以在突况下,建立一个紧急响应系统是很有必要的,在病毒爆发的第一时间即能提供解决方案。
4)建立灾难备份系统。对于数据库和数据系统,必须采用定期备份,多机备份措施,防止意外灾难下的数据丢失。
5)对于局域网而言,可以采用以下一些主要手段:①在因特网接入口处安装防火墙式防杀计算机病毒产品,将病毒隔离在局域网之外;②对邮件服务器进行监控,防止带毒邮件进行传播;③对局域网用户进行安全培训;④建立局域网内部的升级系统,包括各种操作系统的补丁升级,各种常用的应用软件升级,各种杀毒软件病毒库的升级等等。
2.3 对个人用户产生直接威胁的蠕虫病毒
在以上分析的蠕虫病毒中,只对安装了特定的微软组件的系统进行攻击,而对广大个人用户而言,是不会安装iis(微软的因特网服务器程序,可以使允许在网上提供web服务)或者是庞大的数据库系统的!因此上述病毒并不会直接攻击个个人用户的电脑(当然能够间接的通过网络产生影响),但接下来分析的蠕虫病毒,则是对个人用户威胁最大,同时也是最难以根除,造成的损失也更大的一类蠕虫病毒。
对于个人用户而言,威胁大的蠕虫病毒采取的传播方式一般为电子邮件(Email)以及恶意网页等等。
对于利用email传播得蠕虫病毒来说,通常利用的是社会工程学(Social Engineering),即以各种各样的欺骗手段那诱惑用户点击的方式进行传播。
恶意网页确切的讲是一段黑客破坏代码程序,它内嵌在网页中,当用户在不知情的情况下打开含有病毒的网页时,病毒就会发作。这种病毒代码镶嵌技术的原理并不复杂,所以会被很多怀不良企图者利用,在很多黑客网站竟然出现了关于用网页进行破坏的技术的论坛,并提供破坏程序代码下载,从而造成了恶意网页的大面积泛滥,也使越来越多的用户遭受损失。
对于恶意网页,以前常常采取vb script和java script编程的形式!由于编程方式十分的简单!所以在网上非常的流行!但是目前对于此种病毒的防范软件较多,这种传播方式已经不流行了。目前经常使用的恶意网络蠕虫传染方式往往是基于主机的操作系统漏洞进行主动传播,有些甚至利用到了ARP欺骗等手段想尽办法欺骗客户下载含有病毒主题的可执行模块并运行,更有甚者直接利用微软操作系统的RPC机制,远程控制直接下载病毒并远程运行。对于个人用户来说,不通过防火墙或者是网关直接暴露于因特网上无异于羊在狼群之中。
2.4 个人用户对蠕虫病毒的防范措施
通过上述的分析,我们可以知道,病毒并不是非常可怕的,网络蠕虫病毒对个人用户的攻击主要还是通过社会工程学,而不是利用系统漏洞!所以防范此类病毒需要注意以下几点:
1)购合适的杀毒软件!网络蠕虫病毒的发展已经使传统的杀毒软件的“文件级实时监控系统”落伍,杀毒软件必须向内存实时监控和邮件实时监控发展!另外面对防不胜防的网页病毒,也使得用户对杀毒软件的要求越来越高!现有的依靠特征识别的杀毒软件对于日新月异发展的蠕虫病毒已经越来越力不从心,唯有改变现有的病毒识别模式才是能够真正有效预防蠕虫病毒的手段!
2)经常升级系统补丁。由于越来越多的网络蠕虫依靠操作系统自身的漏洞进行传播,因此及时对操作系统的漏洞进行补丁操作已经成为当前网络蠕虫病毒防治的一个重要环节。在有条件有能力的局域网环境中可以安排专门的更新服务器对局域网内部所有的主机进行集体升级操作。
3)提高防杀毒意识。不要轻易去点击陌生的站点,有可能里面就含有恶意代码!
当运行IE时,点击“工具”“Internet选项”“安全”“Internet区域的安全级别”,把安全级别由“中”改为“高” 。因为这一类网页主要是含有恶意代码的ActiveX或Applet、 JavaScript的网页文件 ,所以在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以大大减少被网页恶意代码感染的几率。具体方案是:在IE窗口中点击“工具”“Internet选项”,在弹出的对话框中选择“安全”标签,再点击“自定义级别”按钮,就会弹出“安全设置”对话框,把其中所有ActiveX插件和控件以及与Java相关全部选项选择“禁用”。但是,这样做在以后的网页浏览过程中有可能会使一些正常应用ActiveX的网站无法浏览。
4)不随意查看陌生邮件,尤其是带有附件的邮件,由于有的病毒邮件能够利用ie和outlook的漏洞自动执行,所以计算机用户需要升级ie和outlook程序,及常用的其他应用程序!
3 小结
网络蠕虫病毒作为一种互联网高速发展下的一种新型病毒,必将对网络产生巨大的危险。在防御上,已经不再是由单独的杀毒厂商所能够解决,而需要网络安全公司,系统厂商,防病毒厂商及用户共同参与,构筑全方位的防范体系!
蠕虫和黑客技术的结合,使得对蠕虫的分析,检测和防范具有一定的难度,同时对蠕虫的网络传播性,网络流量特性建立数学模型也是有待研究的工作!
参考文献:
[1] Schneier B.Secrets and lies: digital security in a networked world[M].New York:John Wiley Press,2000.
[2] Brenton C.Active defense: a comprehensive guide to network security[M].San Francisco:Sybex Press,2001:100-146.
[3] 山秀明,李@,焦健,等.网络病毒行为模式分析[J].The Mode of Net-virus Actions [中国工程科学 Engineering Science].
[4] 任勇,山秀明,李@.网络安全概述[J].中国工程科学,2004,6(1):10-15.
网络蠕虫的传播途径范文2
[关键词]互联网;病毒;防治
一、计算机病毒的定义
国内通常用1994年颁布的《中华人民共和国计算机信息系统安全保护条例》第一十条中的定义,即“计算机病毒,是指编制或者在计算程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能够自我复制或者在计算程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能够自我复制的一组计算机指令或者程序代码”。
二、互联网病毒的特点
随着互联网的风靡,给病毒的传播又增加了新的途径,它的发展使病毒可能成为灾难,病毒的传播更迅速,反病毒的任务更加艰巨。Internet带来两种不同的安全威胁,一种威胁来自文件下载,这些被浏览的或是被下载的文件可能存在病毒。另一种威胁来自电子邮件。大多数互联网邮件系统提供了在网络间传送附带格式化文档邮件的功能,因此,遭受病毒的文档或文件就可能通过网关和邮件服务器涌入企业网络。网络使用的简易性和开放性使得这种威胁越来越严重。网络环境下的计算机病毒不仅包括传统的病毒程序,还包括网络蠕虫和木马程序。网络病毒的发展呈现出新的特点和趋势:
1.病毒表现形式多样化。在网络环境下,可执行程序、脚本文件、HTML页面、电子邮件、网上贺卡、卡通图片、ICQ,OICQ等都有可能携带计算机病毒。
2.破坏性更大更强。网络病毒的破坏性日益增强,它们可以造成网络的拥塞、瘫痪,网络终端的数据丢失,机密信息失窃,甚至通过病毒控制计算机终端和网络。越来越多的网络病毒兼有病毒、蠕虫和后门黑客程序的功能,破坏性更大。如2001年流行的“尼姆达”病毒就兼具三者的功能。
3.病毒清除的难度日益增大。在网络中,只要有一台计算机感染病毒,就可迅速通过内部网络很快使整个网络上的终端受到影响,使网络拥堵,严重的甚至引起网络瘫痪或终端的崩溃。
4.传播介质与攻击对象多元化,传播速度更快,覆盖面更广。网络病毒利用网络上的各种通信端口和邮件等迅速传播。攻击对象由传统的个人电脑变为所有具备通信机制的工作站、服务器乃至掌上型移动通信工具PDA和手机。
三、网络病毒的防治
病毒防治的根本目的是保护用户的数据安全,因此网络病毒的防治可以从以下3个方面入手:(1)数据备份;(2)封堵漏洞,查杀病毒;(3)灾难恢复。数据备份是降低病毒破坏性的最有效方法。定期进行数据备份,这样即使遭受病毒攻击,也可以恢复关键数据。对付病毒一方面要封堵系统及应用程序漏洞,另一方面还要定期地更新病毒库和查杀病毒。由于在网络环境下不存在完全的抗病毒方案和产品,因此,灾难恢复是防治病毒的一个重要措施。用户系统发生意外、数据遭受破坏后,应立即关闭系统,以防止更多的数据遭受破坏,然后根据具体情况选择合适的方案进行数据恢复。
(一)构建基于网络的多层次的病毒防护
多层防御的网络防毒体系应该由用户桌面、服务器、网关和病毒防火墙组成,具有层次性、集成性和自动化的特点。
1.要保证账号与密码的安全,特别要注意安全权限等关键配置,防止因配置疏忽留下漏洞而给病毒可乘之机,保证文件系统的安全。
2.及时升级系统最新系统平台,对BUG进行修补,要经常从相关的网站下载补丁程序,及时完善系统和应用程序,尽量减少系统和应用程序漏洞。无论是系统软件还是应用软件,它们本身的安全都是至关重要的。操作系统是计算机必备的软件,所以操作系统的安全是计算机安全的核心。由于各种原因,Windows9X和NT本身都存在着一些错误(即Bug),这些Bug使得非法用户可以从“后门”侵入系统,应用软件本身也可能因为开发的疏漏而产生“后门”。有些开发人员在编制软件时,为了方便调试和观察注册表安全,留下“后门”。
3.禁用不必要的服务,对不需要或不安全的功能性应用程序尽量不安装或者关闭,重要服务器要专机专用,通过服务管理器或注册表禁用不需要的服务。
(二)定期进行病毒扫描
采用防毒软件定期进行扫描是最常用的防范方法。病毒扫描程序一般使用特征文件在被传染的文件中查找病毒,用户通过更新特征文件来更新软件,以查找最新病毒。多数扫描程序在发现病毒后会执行一个独立的进程,对病毒进行清除或隔离。但目前已有一些病毒扫描程序不再局限于特征码匹配。例如,目前在瑞星杀毒软件中就采用了一种叫“病毒行为分析判断”的技术,它从病毒的行为而不是特征码入手来判断并查杀病毒,即使对于未知病毒也可以有效查杀。
病毒扫描程序的形式目前主要有以下几类:
1.手动扫描型。需手工启动或由一个自动进程启动运行。这种程序启动后,一般会在整个驱动器或系统中查毒,包括RAM内存、硬盘、软盘等,用户也可选择查毒范围。这种查毒方式一般是在事后工作,即系统先被感染了病毒之后,然后才能被发现,此方式适合定期对系统驱动器的杀毒。
2.内存驻留型。它是一种在后台运行的程序。一般在系统初始化时启动,然后一直在内存中保持激活状态。一旦有文件访问活动,内存驻留的扫描程序就会拦截对文件的调用,查看文件中是否有病毒,然后再决定是否允许文件装入内存。内存驻留型病毒扫描程序能够在病毒感染系统之前就发现病毒,但会引起系统的性能下降,降低系统的响应速度。
3.启发式扫描程序。此类型的防毒软件会进行统计分析以确定程序代码中存在病毒的可能性。这种扫描程序不像病毒扫描程序那样比较程序代码和特征文件,而是使用分级系统决定所分析的程序代码是否有病毒程序的概率。若分析某程序代码携带病毒的可能性足够大,启发式扫描程序就会报警。目前的多数病毒扫描程序都有启发式扫描功能。其优点是不需升级,就可能发现新病毒,缺点是可能误报。
网络蠕虫的传播途径范文3
随着Internet的普及,网络蠕虫、恶意攻击的日益猖獗,网络对安全的要求越来越高,只要稍有疏忽,灾难便如影随形。可见,对于管理员而言,网络安全工作尤其重要。如果网络中成百上千台计算机中的每台计算机都需要管理员单独防范,那将使管理员总是处于救火状态,疲于奔命,而效率却很低,效果也很差。我们必须认识到,影响网络安全的因素除了硬件之外,最主要的是病毒、恶意代码、黑客、漏洞等。
阻止病毒和木马主体
在主动防御病毒和木马之前,要先清楚病毒和木马的传播机制。了解其传输机制之后,才能进行针对性的防御,做到有的放矢。计算机病毒具有自我复制和传播的特点,能够进行数据交换的介质都可能成为计算机病毒的传播途径,常见的如可移动设备,包括软盘、光盘、磁带、U盘等。互联网的大量应用也为计算机病毒的传播提供了新的渠道。现在,互联网已经成为病毒和木马的重灾区。
病毒和木马在计算机中以应用程序的方式体现,只有病毒和木马程序主体文件在计算机中运行才能影响到计算机的正常运行。因此,阻止病毒和木马程序主体文件进入网络也是有效的防御方法。
清楚了病毒和木马的传输机制,就可以在网络边界处设置一面墙,截断病毒和木马程序的传播渠道,同时过滤掉病毒和木马程序主体文件。这样,网络中的计算机就处于安全的状态,从而达到自动防御的目的。
防止病毒和木马主体进入网络,建议使用防火墙产品,如ISA Server。将ISA Server部署在网络的边界处,安装完成后,默认禁止任何用户访问外部网络。简而言之,在ISA Server默认状态下,病毒和木马不能进入网络,网络中的任何人也不能访问互联网。这是最安全的防护体系。如果用户要访问互联网,可以使用ISA Server的新建访问规则向导,创建一条“允许内部用户访问互联网”的访问规则,指明允许何人(用户或者用户组)在何时(工作时间或者非工作时间)访问何种网站(网站集合)。规则创建完成并应用后,授权的用户即可访问互联网。
在互联网中,病毒或者木马主要通过网页挂马的方式进行传播。网页病毒或者木马完全不受计算机用户控制,一旦浏览含有该病毒的网页,在没有防护措施的情况下计算机会立即被感染,给用户系统带来不同程度的破坏,同时访问网页的速度变慢,甚至带来惨重的损失。
利用ISA Server访问规则的http过滤器单功能,启用禁止文件扩展名访问功能,例如禁止下载exe、com、bat、pif、scr以及vbs等后缀格式文件,将禁止病毒和木马主体程序进入到网络中,禁止浏览器插件dll和ocx的下载,将禁止恶意的浏览器插件安装到用户系统中。这样病毒和木马程序主体文件不能通过互联网访问模式进入网络中,像一面虚拟的墙阻挡病毒主体的进入。对病毒和木马来说,相当于关上了大门。
在ISA管理控制台的防火墙策略窗口中,选择创建的“允许内部用户访问互联网”访问规则,右击该规则并选择“配置http”选项,打开“为规则配置http策略”对话框并选择“扩展名”选项卡,在“指定对文件扩展名要执行的操作”下拉列表框中选择“阻止指定的扩展名”选项。
单击“添加”按钮,显示“扩展名”对话框,在“扩展名”文本框中输入需要禁止的文件扩展名,如“.exe”;在“描述”文本框中输入说明信息,例如禁止从互联网下载exe文件。
按照同样的方法,可以添加需要禁止的文件类型。在“扩展名”选项卡中,选择“阻止包含不明确的扩展名的请求”选项,这样当访问陌生的文件类型时,ISAServer将自动禁止该类型的访问,完成安全防护的目的。
部署密码策略
黑客出现的历史已经有多年,黑客技术对许多人来说已经不再高深莫测,逐渐被越来越多的人所掌握。黑客以获取系统管理权限为目的,大多是通过各种系统和设置漏洞,以获得管理员密码来获得管理员的权限,然后再实现对系统的恶意攻击。弱密码会让黑客很容易破解从而顺利访问计算机和网络,而强密码则难以破解,即使是密码最终可能被破解,那也难以在短时间内实现。
密码是用户登录网络的钥匙。无论入侵者采用何种远程攻击,如果无法获得管理员或超级管理员的用户密码,就无法完全控制整个系统。如果密码十分简单,黑客即可轻易地进入目标系统,从而控制网络,因此,部署强密码是基本防护准则。验证网络用户的用户名和密码是防止非法访问的第一道防线。用户在注册网络时,需键入用户名和密码,服务器将验证其合法性。其中,密码是问题的关键所在。据统计,大约80%的安全隐患是由于密码设置不当引起的。
为了防止黑客的攻击,最基本的安全方法就是强迫用户使用强密码,禁止常用网络命令行工具的使用。强密码具备以下特征:长度至少有7个字符,不包含用户的生日、电话、用户名、真实姓名或公司名等,不包含完整的字典词汇,应该包含大写字母、小写字母、数字、非字母字符等。
密码策略需要和账户锁定策略配合使用,如果仅部署了密码策略而没有部署账户锁定策略,那么黑客就可以使用暴力破解的方法无限制地尝试密码,从而达到得到正确密码的目的。因此,在账户锁定策略中,建议设置为用户密码无效登录3次后,账户锁定生效。锁定账户的时间为30分钟,30分钟之后自动进行解锁,从而达到保护账户的目的。
密码策略和账户锁定策略需要对网络中的所有用户进行部署,在域控制器上启动组策略管理控制台,在域站点找到“Default Domain Policy”策略,不能在组织单位的层次上部署。
