信息安全培训讲义

国际标准化组织国际标准化组织(ISO)(ISO)的定义为：的定义为： “ “为数据处理系统建立和采用的技术为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、件和数据不因偶然和恶意的原因遭到破坏、更改和泄露更改和泄露”。信息安全的定义信息安全的定义物理安全物理安全操作步骤安全操作步骤安全网络安全网络安全人事安全人事安全系统安全系统安全应用安全应用安全安全领域安全领域为什么信息系统存在安全问题为什么信息系统存在安全问题攻击与破坏的动机攻击与破坏的动机我们需要保护什么我们需要保护什么?答案并不总是明确的：答案并不总是明确的： 打算破坏或占有一台主机的黑客通常将对该主打算破坏或占有一台主机的黑客通常将对该主机全部资源进行访问：机全部资源进行访问： 文件、存储设备、电话线等。文件、存储设备、电话线等。 某些黑客最感兴趣的是滥用主机标识，而不是某些黑客最感兴趣的是滥用主机标识，而不是过分触及主机的专门资源，他们利用这些标识，过分触及主机的专门资源，他们利用这些标识，暗渡陈仓，向外连接其他可能更感兴趣的目标。暗渡陈仓，向外连接其他可能更感兴趣的目标。 有些人可能对机器中的数据感兴趣，不管它们有些人可能对机器中的数据感兴趣，不管它们是否是公司的敏感材料或政府机密。是否是公司的敏感材料或政府机密。 电脑黑客电脑黑客 操作系统安全操作系统安全 应用服务安全应用服务安全 网络设备安全网络设备安全 网络传输安全网络传输安全 网络的普及使学习网络进攻变得容易网络的普及使学习网络进攻变得容易信息安全的威胁 全球超过全球超过2626万个黑客站点提供系统万个黑客站点提供系统漏洞和攻击知识漏洞和攻击知识 越来越多的容易使用的攻击软件的越来越多的容易使用的攻击软件的出现出现信息安全的威胁信息安全的威胁非授权访问非授权访问 没有预先经过同意，就使用网络或计算机资源没有预先经过同意，就使用网络或计算机资源被看作非授权访问。被看作非授权访问。信息泄漏或丢失信息泄漏或丢失 敏感数据在有意或无意中被泄漏出去或丢失敏感数据在有意或无意中被泄漏出去或丢失破坏数据完整性破坏数据完整性 以非法手段窃得对数据的使用权，删除、修改、以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击插入或重发某些重要信息，以取得有益于攻击者的响应者的响应 恶意添加，修改数据，以干扰用户的正常使用恶意添加，修改数据，以干扰用户的正常使用拒绝服务攻击拒绝服务攻击 不断对网络服务系统进行干扰，改变其正常的作不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪，业流程，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。能进入计算机网络系统或不能得到相应的服务。信息安全的威胁利用网络传播病毒利用网络传播病毒 通过网络传播计算机病毒，其破坏性大通过网络传播计算机病毒，其破坏性大大高于单机系统，而且用户很难防范。大高于单机系统，而且用户很难防范。信息安全的威胁网络的整体安全是由安全的操作系统、应网络的整体安全是由安全的操作系统、应用系统、防火墙、网络监控、安全扫描、信用系统、防火墙、网络监控、安全扫描、信息审计、通信加密、灾难恢复、网络反病毒息审计、通信加密、灾难恢复、网络反病毒等多个安全组件共同组成的，但是每一个单等多个安全组件共同组成的，但是每一个单独的组件只能完成其中部分功能，而不能完独的组件只能完成其中部分功能，而不能完成全部功能。成全部功能。信息与网络安全组件信息与网络安全组件 防止计算机病毒以及恶性程序的入侵防止计算机病毒以及恶性程序的入侵 提供垃圾邮件以及邮件内容过滤的功能提供垃圾邮件以及邮件内容过滤的功能 目前安工院已采用目前安工院已采用2 2台台Fortigate300Fortigate300系列防火墙产品，系列防火墙产品，一台对安工院互联网出口，一台对中石化总部。一台对安工院互联网出口，一台对中石化总部。 对防病毒、入侵检测、网络特征事件的攻击、垃圾对防病毒、入侵检测、网络特征事件的攻击、垃圾邮件等已有较为针对性的防御。但由于内部应用的邮件等已有较为针对性的防御。但由于内部应用的需要必须打开一些端口，如需要必须打开一些端口，如HTTPHTTP协议的协议的8080端口，端口，DNSDNS服务的服务的5353端口，端口，FTPFTP协议的协议的2121端口等等，因此病毒仍端口等等，因此病毒仍可因为这些端口和协议的开放而攻入网络，可因为这些端口和协议的开放而攻入网络，尤其尤其是是httphttp协议，即浏览网页时，病毒可通协议，即浏览网页时，病毒可通过网页下载到计算机上。过网页下载到计算机上。防毒墙网关防毒墙网关IDSIDS（Intrusion Detection SystemIntrusion Detection System） 入侵检测的主要功能包括入侵检测的主要功能包括: : 检测并分析用户在网络中的活动，识别检测并分析用户在网络中的活动，识别已知的攻击行为，统计分析异常行为，核查已知的攻击行为，统计分析异常行为，核查系统配置和漏洞，评估系统关键资源和数据系统配置和漏洞，评估系统关键资源和数据文件的完整性，管理操作系统日志，文件的完整性，管理操作系统日志，识别识别违反安全策略的用户活动等。违反安全策略的用户活动等。IDSIDS核心交换机核心交换机4507 计算机病毒是指那些具有自我复制能计算机病毒是指那些具有自我复制能力的计算机程序，它能影响计算机软力的计算机程序，它能影响计算机软硬件的正常运行，破坏数据的正确与硬件的正常运行，破坏数据的正确与完整性。完整性。 占用系统资源占用系统资源 影响系统效率影响系统效率 删除、破坏数据删除、破坏数据 干扰正常操作干扰正常操作 阻塞网络阻塞网络 进行反动宣传进行反动宣传企业内病毒企业内病毒的非法传播危害的非法传播危害路由器DMZhttp(www)服务器防火墙客户端国际互联网FTP/HTTP代理 服务器应用服务器1. 软盘或软盘或光盘光盘2. 内联网档案共享内联网档案共享3. 互联网互联网档案共享档案共享4. 电子邮件的电子邮件的恶意恶意附件附件5. 黑黑客程序客程序6. 恶毒的恶毒的 Java Applets,ActiveX Components 和和网页含有网页含有 VBScript.SMTP 服务器FTP 服务器文件共享服务器文件共享服务器邮件服务器邮件服务器Client网关网关防火墙防火墙病毒利用病毒利用emailemail web FTPweb FTP等应用等应用服务进入企业内服务进入企业内部网络进行传播部网络进行传播現今現今emailemail病毒都病毒都具有利用具有利用电子邮件电子邮件系统自动快速散播系统自动快速散播的特性，迅速造成的特性，迅速造成重大损失重大损失 蠕虫与病毒相似，蠕虫也是设计用来蠕虫与病毒相似，蠕虫也是设计用来将自己从一台计算机复制到另一台计将自己从一台计算机复制到另一台计算机，但是它自动进行。首先，它控算机，但是它自动进行。首先，它控制计算机上可以传输文件或信息的功制计算机上可以传输文件或信息的功能。一旦您的系统感染蠕虫，蠕虫即能。一旦您的系统感染蠕虫，蠕虫即可独自传播。可独自传播。 最危险的是，蠕虫可大量复制。例最危险的是，蠕虫可大量复制。例如，蠕虫可向电子邮件地址簿中的所有如，蠕虫可向电子邮件地址簿中的所有联系人发送自己的副本，那些联系人的联系人发送自己的副本，那些联系人的计算机也将执行同样的操作，结果造成计算机也将执行同样的操作，结果造成多米诺效应（网络通信负担沉重），使多米诺效应（网络通信负担沉重），使商业网络和整个商业网络和整个 Internet Internet 的速度减慢。的速度减慢。当新的蠕虫爆发时，它们传播的速度非当新的蠕虫爆发时，它们传播的速度非常快。它们常快。它们堵塞网络并可能导致您（以堵塞网络并可能导致您（以及其他每个人）等很长的时间才能查看及其他每个人）等很长的时间才能查看 Internet Internet 上的网页。上的网页。蠕虫的破坏性蠕虫的破坏性病毒名称病毒名称持续时间持续时间造成损失造成损失莫里斯蠕虫莫里斯蠕虫1988年年6000多台计算机停机多台计算机停机,直直接经济损失达接经济损失达9600万美万美元元!美丽杀手美丽杀手1999年年3月月政府部门和一些大公司政府部门和一些大公司紧急关闭了网络服务器紧急关闭了网络服务器,经济损失超过经济损失超过12亿美元亿美元!爱虫病毒爱虫病毒2000年年5月至今月至今众多用户电脑被感染，众多用户电脑被感染，损失超过损失超过100亿美元以上亿美元以上红色代码红色代码2001年年7月月网络瘫痪，直接经济损网络瘫痪，直接经济损失超过失超过26亿美元亿美元求职信求职信2001年年12月至今月至今大量病毒邮件堵塞服务大量病毒邮件堵塞服务器，损失达数百亿美元器，损失达数百亿美元Sql蠕虫王蠕虫王2003年年1月月网络大面积瘫痪网络大面积瘫痪,银行自银行自动提款机运作中断动提款机运作中断,直接直接经济损失超过经济损失超过26亿美元亿美元 蠕虫发作的一些特点和发展趋势蠕虫发作的一些特点和发展趋势 1.利用操作系统和应用程序的利用操作系统和应用程序的漏洞漏洞主动进行攻击主动进行攻击2.传播方式多样传播方式多样 可利用的传播途径包括可利用的传播途径包括文件、电子邮件、文件、电子邮件、WebWeb服务器、服务器、网网络中络中共享文件夹所使用的端口共享文件夹所使用的端口、恶意网页恶意网页等等。等等。3.病毒制作技术新病毒制作技术新 与传统的病毒不同的是，许多新病毒是利用当前最新与传统的病毒不同的是，许多新病毒是利用当前最新的编程语言与编程技术实现的，易于修改以产生新的的编程语言与编程技术实现的，易于修改以产生新的变种，从而逃避反病毒软件的搜索。变种，从而逃避反病毒软件的搜索。4.与黑客技术相结合与黑客技术相结合5.潜在的威胁和损失更大潜在的威胁和损失更大 以红色代码为例以红色代码为例,感染后的机器的感染后的机器的web目录的目录的scripts下将生成一个下将生成一个root.exe,可以远程执行任何命令可以远程执行任何命令,从而从而使黑客能够再次进入。使黑客能够再次进入。 对个人用户产生直接威胁的蠕虫病毒对个人用户产生直接威胁的蠕虫病毒 对于利用对于利用Email传播的蠕虫病毒来说，通常利用传播的蠕虫病毒来说，通常利用的是社会工程学的是社会工程学(Social Engineering),即以各种即以各种各样的欺骗手段诱惑用户点击的方式进行传播各样的欺骗手段诱惑用户点击的方式进行传播 恶意网页确切的讲是一段黑客破坏代码程序，它恶意网页确切的讲是一段黑客破坏代码程序，它内嵌在网页中，当用户在不知情的情况下打开含内嵌在网页中，当用户在不知情的情况下打开含有病毒的网页时，病毒就会发作有病毒的网页时，病毒就会发作 通过共享文件夹所打开的端口进行攻击和传播通过共享文件夹所打开的端口进行攻击和传播 sql蠕虫蠕虫 攻击的是微软数据库系统攻击的是微软数据库系统 Microsoft SQL Server 2000 利用了利用了MSSQL2000服务远程堆栈缓冲区溢出服务远程堆栈缓冲区溢出漏洞漏洞 此蠕虫病毒本身除了对网络产生拒绝服务攻击此蠕虫病毒本身除了对网络产生拒绝服务攻击外外,并没有别的破坏措施并没有别的破坏措施 但如果病毒编写者在编写病毒的时候加入破坏但如果病毒编写者在编写病毒的时候加入破坏代码代码,后果将不堪设想后果将不堪设想 安装了该数据库的计算机一定要安装补丁安装了该数据库的计算机一定要安装补丁,目前目前版本为版本为service pack 4(可从管理平台下载可从管理平台下载) 二、木马病毒二、木马病毒 木马病毒源自古希腊特洛伊战争中著名木马病毒源自古希腊特洛伊战争中著名的的“木马计木马计”而得名，顾名思义就是一而得名，顾名思义就是一种伪装潜伏的网络病毒，等待时机成熟种伪装潜伏的网络病毒，等待时机成熟就出来害人。就出来害人。 传染方式传染方式: :通过电子邮件附件发出，捆绑通过电子邮件附件发出，捆绑在其他的程序中。在其他的程序中。 病毒特性病毒特性: :会修改注册表、驻留内存、在会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的系统中安装后门程序、开机加载附带的木马。木马。 木马病毒的破坏性木马病毒的破坏性: :木马病毒的发作要木马病毒的发作要在用户的机器里运行客户端程序，一在用户的机器里运行客户端程序，一旦发作，就可设置后门，定时地发送旦发作，就可设置后门，定时地发送该用户的隐私到木马程序指定的地址，该用户的隐私到木马程序指定的地址，一般同时内置可进入该用户电脑的端一般同时内置可进入该用户电脑的端口，并可任意控制此计算机，进行文口，并可任意控制此计算机，进行文件删除、拷贝、改密码等非法操作。件删除、拷贝、改密码等非法操作。 防范措施防范措施: :用户提高警惕，不随意浏览用户提高警惕，不随意浏览网页，不下载和运行来历网页，不下载和运行来历不明的程序，不明的程序，对于不明来历的邮件附件也不要随意对于不明来历的邮件附件也不要随意打开。打开。三、流氓软件 什么是流氓软件？什么是流氓软件？“流氓软件流氓软件”是介于病毒和正规软件之间的软是介于病毒和正规软件之间的软件。件。计算机病毒指的是：自身具有、或使其它程序计算机病毒指的是：自身具有、或使其它程序具有破坏系统功能、危害用户数据或其它恶意行为具有破坏系统功能、危害用户数据或其它恶意行为的一类程序。这类程序往往影响计算机使用，并能的一类程序。这类程序往往影响计算机使用，并能够自我复制。够自我复制。正规软件指的是：为方便用户使用计算机工作、正规软件指的是：为方便用户使用计算机工作、娱乐而开发，面向社会公开发布的软件。娱乐而开发，面向社会公开发布的软件。“流氓软件流氓软件”介于两者之间，同时具备正常功介于两者之间，同时具备正常功能（下载、媒体播放等）和恶意行为（弹广告、开能（下载、媒体播放等）和恶意行为（弹广告、开后门等），给用户带来实质危害。后门等），给用户带来实质危害。 流氓软件的分类流氓软件的分类根据不同的特征和危害，困扰广大计算机用户的根据不同的特征和危害，困扰广大计算机用户的流氓软件主要有如下几类：流氓软件主要有如下几类：1 1、广告软件（、广告软件（AdwareAdware）定义：广告软件是指未经用户允许，下载并安装定义：广告软件是指未经用户允许，下载并安装在用户电脑上；或与其他软件捆绑，通过弹出式广告在用户电脑上；或与其他软件捆绑，通过弹出式广告等形式牟取商业利益的程序。等形式牟取商业利益的程序。危害：此类软件往往会强制安装并无法卸载；在危害：此类软件往往会强制安装并无法卸载；在后台收集用户信息牟利，危及用户隐私；频繁弹出广后台收集用户信息牟利，危及用户隐私；频繁弹出广告，消耗系统资源，使其运行变慢等。告，消耗系统资源，使其运行变慢等。例如：用户安装了某下载软件后，会一直弹出带例如：用户安装了某下载软件后，会一直弹出带有广告内容的窗口，干扰正常使用。还有一些软件安有广告内容的窗口，干扰正常使用。还有一些软件安装后，会在装后，会在IEIE浏览器的工具栏位置添加与其功能不相浏览器的工具栏位置添加与其功能不相干的广告图标，普通用户很难清除。干的广告图标，普通用户很难清除。 2 2、间谍软件、间谍软件(Spyware(Spyware) )定义：间谍软件是一种能够在用户不知情的情定义：间谍软件是一种能够在用户不知情的情况下，在其电脑上安装后门、收集用户信息的软件。况下，在其电脑上安装后门、收集用户信息的软件。危害：用户的隐私数据和重要信息会被危害：用户的隐私数据和重要信息会被“后门后门程序程序”捕获，并被发送给黑客、商业公司等。这些捕获，并被发送给黑客、商业公司等。这些“后门程序后门程序”甚至能使用户的电脑被远程操纵，组甚至能使用户的电脑被远程操纵，组成庞大的成庞大的“僵尸网络僵尸网络”，这是目前网络安全的重要，这是目前网络安全的重要隐患之一。隐患之一。例如：某些软件会获取用户的软硬件配置，并例如：某些软件会获取用户的软硬件配置，并发送出去用于商业目的。发送出去用于商业目的。 3 3、浏览器劫持、浏览器劫持定义：浏览器劫持是一种恶意程序，通过浏览器定义：浏览器劫持是一种恶意程序，通过浏览器插件、插件、BHOBHO（浏览器辅助对象）、（浏览器辅助对象）、Winsock LSPWinsock LSP等形式等形式对用户的浏览器进行篡改，使用户的浏览器配置不正对用户的浏览器进行篡改，使用户的浏览器配置不正常，被强行引导到商业网站。常，被强行引导到商业网站。危害：用户在浏览网站时会被强行安装此类插件，危害：用户在浏览网站时会被强行安装此类插件，普通用户根本无法将其卸载，被劫持后，用户只要上普通用户根本无法将其卸载，被劫持后，用户只要上网就会被强行引导到其指定的网站，严重影响正常上网就会被强行引导到其指定的网站，严重影响正常上网浏览。网浏览。 例如：一些不良站点会频繁弹出安装窗口，迫使例如：一些不良站点会频繁弹出安装窗口，迫使用户安装某浏览器插件，甚至根本不征求用户意见，用户安装某浏览器插件，甚至根本不征求用户意见，利用系统漏洞在后台强制安装到用户电脑中。这种插利用系统漏洞在后台强制安装到用户电脑中。这种插件还采用了不规范的软件编写技术（此技术通常被病件还采用了不规范的软件编写技术（此技术通常被病毒使用）来逃避用户卸载，往往会造成浏览器错误、毒使用）来逃避用户卸载，往往会造成浏览器错误、系统异常重启等。系统异常重启等。 4 4、行为记录软件（、行为记录软件（Track WareTrack Ware）定义：行为记录软件是指未经用户许可，窃取定义：行为记录软件是指未经用户许可，窃取并分析用户隐私数据，记录用户电脑使用习惯、网并分析用户隐私数据，记录用户电脑使用习惯、网络浏览习惯等个人行为的软件。络浏览习惯等个人行为的软件。危害：危及用户隐私，可能被黑客利用来进行危害：危及用户隐私，可能被黑客利用来进行网络诈骗。网络诈骗。例如：一些软件会在后台记录用户访问过的网例如：一些软件会在后台记录用户访问过的网站并加以分析，有的甚至会发送给专门的商业公司站并加以分析，有的甚至会发送给专门的商业公司或机构，此类机构会据此窥测用户的爱好，并进行或机构，此类机构会据此窥测用户的爱好，并进行相应的广告推广或商业活动。相应的广告推广或商业活动。 5 5、恶意共享软件、恶意共享软件(malicious shareware)(malicious shareware)定义：恶意共享软件是指某些共享软件为了获定义：恶意共享软件是指某些共享软件为了获取利益，采用诱骗手段、试用陷阱等方式强迫用户取利益，采用诱骗手段、试用陷阱等方式强迫用户注册，或在软件体内捆绑各类恶意插件，未经允许注册，或在软件体内捆绑各类恶意插件，未经允许即将其安装到用户机器里。即将其安装到用户机器里。危害：使用危害：使用“试用陷阱试用陷阱”强迫用户进行注册，强迫用户进行注册，否则可能会丢失个人资料等数据。软件集成的插件否则可能会丢失个人资料等数据。软件集成的插件可能会造成用户浏览器被劫持、隐私被窃取等。可能会造成用户浏览器被劫持、隐私被窃取等。例如：用户安装某款媒体播放软件后，会被强例如：用户安装某款媒体播放软件后，会被强迫安装与播放功能毫不相干的软件（搜索插件、下迫安装与播放功能毫不相干的软件（搜索插件、下载软件）而不给出明确提示；并且用户卸载播放器载软件）而不给出明确提示；并且用户卸载播放器软件时不会自动卸载这些附加安装的软件。软件时不会自动卸载这些附加安装的软件。又比如某加密软件，试用期过后所有被加密的又比如某加密软件，试用期过后所有被加密的资料都会丢失，只有交费购买该软件才能找回丢失资料都会丢失，只有交费购买该软件才能找回丢失的数据。的数据。 6 6、其它、其它随着网络的发展，随着网络的发展，“流氓软件流氓软件”的的分类也越来越细，一些新种类的流氓软分类也越来越细，一些新种类的流氓软件在不断出现，分类标准必然会随之调件在不断出现，分类标准必然会随之调整。整。 策略策略1： 规范上网行为。规范上网行为。不要浏览与工作无关的网站，不要浏览与工作无关的网站，不要安装与工作无关的软件。因为许多网页中暗含了木不要安装与工作无关的软件。因为许多网页中暗含了木马、广告、间谍、病毒等文件，还有许多软件直接捆绑马、广告、间谍、病毒等文件，还有许多软件直接捆绑了流氓软件，而流氓软件更容易暗含着上述软件。在浏了流氓软件，而流氓软件更容易暗含着上述软件。在浏览网页时，在安装软件时，要注意不是自己需要的软件览网页时，在安装软件时，要注意不是自己需要的软件不要装。敬告：安工院的网络与计算机并不是你们的私不要装。敬告：安工院的网络与计算机并不是你们的私有财产，可以不计后果任意使用，请自觉遵守安工院的有财产，可以不计后果任意使用，请自觉遵守安工院的各项网络管理制度。各项网络管理制度。策略策略2 2：必须统一安装：必须统一安装Symantec Antivirus ClientSymantec Antivirus Client防防病毒客户端程序，尤其现版本号已升级至病毒客户端程序，尤其现版本号已升级至10.1.0.39410.1.0.394。防病毒策略策略策略3 3：尽量减少授权使用你计算机的人，包括：尽量减少授权使用你计算机的人，包括： 1 1、设置管理员、设置管理员administratoradministrator及登录用户的及登录用户的 开机密码。开机密码。 2 2、关闭共享文件夹或为共享文件夹设置长度、关闭共享文件夹或为共享文件夹设置长度 超过超过8 8位的密码，并且字母与数字相结合。位的密码，并且字母与数字相结合。 （尤其适用于蠕虫病毒。）（尤其适用于蠕虫病毒。）策略策略4 4：定期安装最新的安全补丁。包括操作系统：定期安装最新的安全补丁。包括操作系统补丁及数据库补丁，甚至还有补丁及数据库补丁，甚至还有office2003office2003的补丁。的补丁。按我们的要求配置好你的组策略，可从院内的补丁按我们的要求配置好你的组策略，可从院内的补丁分发服务器自动获得最新补丁。分发服务器自动获得最新补丁。( (开始开始运行，输运行，输入入gpedit.mscgpedit.msc http http：/10.206.2.70)/10.206.2.70)（尤其适用（尤其适用于蠕虫病毒。）于蠕虫病毒。） 另外还要定期（每半个月）运行一下计算机自带的补丁更新另外还要定期（每半个月）运行一下计算机自带的补丁更新程序：开始程序：开始Windows UpdateWindows Update策略策略5：不要随便打开邮件的附件。不要随便打开邮件的附件。策略策略6 6：从外部（：从外部（U U盘、软盘、光盘）获取数据前先进行检查。盘、软盘、光盘）获取数据前先进行检查。策略策略7 7： 综合各种反病毒技术，包括安装个人防火墙及各种综合各种反病毒技术，包括安装个人防火墙及各种 专杀工具、恶意软件清除工具及手工清除注册表专杀工具、恶意软件清除工具及手工清除注册表 里面的、里面的、WINNTSystem32WINNTSystem32、IEIE浏览器临时文件夹里等浏览器临时文件夹里等 等所包含的木马、间谍及病毒文件。等所包含的木马、间谍及病毒文件。策略策略8 8： 建立一个系统恢复盘（新装机器均有，不要删除建立一个系统恢复盘（新装机器均有，不要删除 D:C_PAN.GHOD:C_PAN.GHO，大小约，大小约2GB2GB左右左右） 策略策略9 9： 定期备份你的文件定期备份你的文件 策略策略1010：镇定：镇定 具体操作：具体操作：（一）为（一）为管理员帐户管理员帐户administratoradministrator设设置密码置密码许多用户登录计算机系统时不是用许多用户登录计算机系统时不是用的的administratoradministrator，因此不知道或者忽，因此不知道或者忽略了略了administratoradministrator这个用户的密码是这个用户的密码是否设立。否设立。而病毒往往会利用这个漏洞来试探而病毒往往会利用这个漏洞来试探你的机器，发现你没有设立密码，很容你的机器，发现你没有设立密码，很容易就攻入进来。易就攻入进来。 如果为了工作需要，临时共享一个文件夹时，请如果为了工作需要，临时共享一个文件夹时，请务必务必为该文件夹为该文件夹设置设置访问访问用户用户的的权限和密码。方法如权限和密码。方法如下：下：（1 1）WindowsXPWindowsXP Professional Professional、为文件夹创建一个专门的用户，方法：为文件夹创建一个专门的用户，方法： 右键点击右键点击“我的电脑我的电脑”，管理，本地用户和，管理，本地用户和 组，右键点击组，右键点击“用户用户”，新用户，输入用户名，新用户，输入用户名 和密码。和密码。（二）严禁不设密码就共享文件夹（二）严禁不设密码就共享文件夹把把“用户下次登录时需更改密码用户下次登录时需更改密码”前面的勾去掉，在前面的勾去掉，在“选择密码永不过选择密码永不过期期”前面打勾，然后点击前面打勾，然后点击“创建创建”。该用户即创建完毕。该用户即创建完毕。2、 打开打开“我的电脑我的电脑”“工具工具”“文文件夹选项件夹选项”“查看查看”：“使用简单文使用简单文件夹共享（推荐）件夹共享（推荐）”前面的对勾去掉前面的对勾去掉、打开、打开“我的电脑我的电脑”，右键点击要共，右键点击要共享的文件夹，选择享的文件夹，选择“共享和安全共享和安全”。、点击、点击“权限权限”按钮，按钮，一定要先删除一定要先删除“everyoneeveryone”用户，用户，然后点击然后点击“添加添加”，在弹出的窗口中选择在弹出的窗口中选择“高级高级”，然后选择，然后选择“立立即查找即查找”，窗口下方将出现你的系统中所有的，窗口下方将出现你的系统中所有的用户，选中刚刚创建的那个新用户用户，选中刚刚创建的那个新用户useruser，点，点“确定确定”，再，再“确定确定”。在随后的窗口中为该。在随后的窗口中为该用户分配读写的权限，有三个选项：完全控制、用户分配读写的权限，有三个选项：完全控制、更改、读取，在允许或拒绝的方框里根据需要更改、读取，在允许或拒绝的方框里根据需要打勾，点打勾，点“确定确定”即可。即可。 （2 2）Windows2000Windows2000的用户不需要设置：的用户不需要设置：“使用简单文件夹共享（推荐）使用简单文件夹共享（推荐）”前面前面的对勾去掉。的对勾去掉。 这样别的用户在网络中访问你的这样别的用户在网络中访问你的共享文件夹时，系统会提示输入用户共享文件夹时，系统会提示输入用户名和密码。而不相干的人就不能轻易名和密码。而不相干的人就不能轻易打开你的共享文件夹随意浏览、删除、打开你的共享文件夹随意浏览、删除、破坏机器上的文件了，能够在一定程破坏机器上的文件了，能够在一定程度上保护你的信息安全，更有利于防度上保护你的信息安全，更有利于防范蠕虫病毒在网络内大面积扩散。范蠕虫病毒在网络内大面积扩散。（三）停用（三）停用GuestGuest帐户帐户 为了网络和信息的安全，请一定停用为了网络和信息的安全，请一定停用GuestGuest帐户，因为该帐户是操作系统自带的，如果不帐户，因为该帐户是操作系统自带的，如果不设密码就启用，病毒或黑客会利用其先进行试设密码就启用，病毒或黑客会利用其先进行试探性攻击，因此非常不安全。探性攻击，因此非常不安全。方法：方法： 右键点击右键点击“我的电脑我的电脑”，管理，本地用户，管理，本地用户和组，打开和组，打开“用户用户”，在右边窗口选中，在右边窗口选中GuestGuest，点右键选点右键选“属性属性”，在，在“帐户已停用帐户已停用”前打勾。前打勾。（四）在组策略里设置补丁自动安装策略：（四）在组策略里设置补丁自动安装策略： 1、开始、开始运行运行输入输入gpedit.msc，点击，点击“确定确定”。 2、打开、打开“计算机配置计算机配置”，“管理模板管理模板”，“windows组组件件”，“windows update”。 3、双击右边窗口里的、双击右边窗口里的“自动配置更新自动配置更新” ，选择，选择“已启已启用用”。 然后在然后在“配置自动更新配置自动更新” 里选择里选择“4自动下载并计自动下载并计划安装划安装”。防毒软件是最为人所熟悉的安全工具，可防毒软件是最为人所熟悉的安全工具，可以检测并清除各种文件型病毒、宏病毒和以检测并清除各种文件型病毒、宏病毒和邮件病毒等。在应对黑客入侵方面，它可邮件病毒等。在应对黑客入侵方面，它可以查杀特洛伊木马和蠕虫等病毒程序，但以查杀特洛伊木马和蠕虫等病毒程序，但对于基于网络的攻击行为（如扫描、针对对于基于网络的攻击行为（如扫描、针对漏洞的攻击）却无能为力。漏洞的攻击）却无能为力。Symantec Antivirus 10.1防病毒客户端 Symantec10.1特点说明特点说明增强了间谍软件、木马、钓鱼软件、广告软件等增强了间谍软件、木马、钓鱼软件、广告软件等威胁的防护能力；威胁的防护能力；新增了新增了“防篡改防篡改”功能，防止防病毒客户端的进功能，防止防病毒客户端的进程、服务被病毒结束；程、服务被病毒结束；增强的病毒处理能力，可以结束病毒的进程，再增强的病毒处理能力，可以结束病毒的进程，再对病毒文件、受影响注册表键值进行处理；对病毒文件、受影响注册表键值进行处理；增加了病毒报告功能，可根据时间、病毒名称等，增加了病毒报告功能，可根据时间、病毒名称等，通过图形化报表的形式进行统计报告；通过图形化报表的形式进行统计报告；防病毒客户端、服务器之间的通信采用防病毒客户端、服务器之间的通信采用PKIPKI体系体系进行认证、加密。进行认证、加密。管理措施管理措施一一、有病毒的机器，一经发现：有病毒的机器，一经发现：1 1、用户姓名、用户姓名、IPIP地址公布在管理平台地址公布在管理平台2 2、断开与院内的网络连接、断开与院内的网络连接3 3、病毒第一次被记录，然后可以帮助查杀、病毒第一次被记录，然后可以帮助查杀4 4、第二次如同一台机器，又发现病毒：、第二次如同一台机器，又发现病毒： （1 1）公布在管理平台）公布在管理平台 （2 2）断开与院内的网络连接）断开与院内的网络连接二、平台有关网络安全管理方面：二、平台有关网络安全管理方面：专项管理专项管理工具箱：工具箱： 防毒软件：杀毒软件，重要补丁下载等。防毒软件：杀毒软件，重要补丁下载等。 常用软件：办公软件下载常用软件：办公软件下载