計算機病毒防治策略 上海交通大學信息安全工程學院 本章學習重點 掌握病毒防治的基本準則 掌握單機用戶病毒防治策略 掌握企業級用戶病毒防治策略 了解病毒未來防治措施 了解計算機病毒相關法律法規 信息安全工程學院 計算機病毒防治策略 為什么需要策略？ 技術不能完全解決問題 策略是對技術的補充 策略可以使有限技術發揮最大限度的作用 信息安全工程學院 計算機病毒防治策略的基本準則 拒絕訪問能力 來歷不明的各種應用軟件，尤其是通過網絡傳過來的應用軟件，不得進入計算機系統。 病毒檢測能力 計算機病毒總是有機會進入系統，因此，系統中應設置檢測病毒的機制來阻止外來病毒的侵犯。 控制病毒傳播的能力 被病毒感染將是一個必然事件。關鍵是，一旦病毒進入了系統，應該具有阻止病毒在系統中到處傳播的能力和手段。 信息安全工程學院 清除能力 如果病毒突破了系統的防護，即使它的傳播受到了控制，但也要有相應的措施將它清除掉。 恢復能力 “在病毒被清除以前，就已經破壞了系統中的數據”，是非常可怕但是又非常可能發生的事件。因此，系統應提供一種高效的方法來恢復這些數據，使數據損失盡量減到最少。 替代操作 可能會遇到這種情況：當發生問題時，手頭又沒有可用的技術來解決問題，但是任務又必須繼續執行下去。為了解決這種窘況，系統應該提供一種替代操作方案：在系統未恢復前用替代系統工作，等問題解決以后再換回來。 信息安全工程學院 國家層面上的病毒防治策略 第一，落實病毒防治的規章制度 第二，建立我國的計算機病毒預警系統 第三，建立快速、有效的病毒應急體系 第四，建立動態的系統風險評估措施 第五，建立病毒事故分析制度 信息安全工程學院 第六，制定備份和恢復計劃，減少損失 第七，進一步加強計算機安全培訓 第八，提高國內運營商自身的安全性 第九，加強技術防范措施 信息安全工程學院 單機用戶病毒防治策略 單機系統的特點： 只有一臺計算機 上網方式簡單（只通過單一網卡與外界進行數據交互） 威脅相對較低 損失相對較低 個人用戶的特點： 相對簡單 防范意識相對較差 防范技術更是特別的薄弱 信息安全工程學院 一般技術措施 1）經常從軟件供應商那邊下載、安裝安全補丁程序和升級殺毒軟件。 2）新購置的計算機和新安裝的系統，一定要進行系統升級，保證修補所有已知的安全漏洞。 3）使用高強度的口令。 4）經常備份重要數據。特別是要做到經常性地對不易復得數據（個人文檔、程序源代碼等等）完全備份。 5）選擇并安裝經過公安部認證的防病毒軟件，定期對整個硬盤進行病毒檢測、清除工作。 6）安裝防火墻（軟件防火墻），提高系統的安全性。 信息安全工程學院 7）當計算機不使用時，不要接入互聯網，一定要斷掉連接。 8）不要打開陌生人發來的電子郵件，無論它們有多么誘人的標題或者附件。同時也要小心處理來自于熟人的郵件附件。 9）正確配置、使用病毒防治產品。 10）正確配置計算機系統，減少病毒侵害事件。充分利用系統提供的安全機制，提高系統防范病毒的能力。 11）定期檢查敏感文件。對系統的一些敏感文件定期進行檢查，保證及時發現已感染的病毒和黑客程序。 信息安全工程學院 上網基本策略 第一、采用匿名方式瀏覽。 第二、在進行任何的交易或發送信息之前閱讀網站的隱私保護政策。 第三、安裝個人防火墻，保護隱私信息。 第四、使用個人防火墻防病毒程序以防黑客攻擊和檢查黑客程序（一個連接外部服務器并將你的信息傳遞出去的軟件）。 第五、網上購物時，確定你采用的是安全的連接方式。 第六、在線時不要向任何人透露個人信息和密碼。 信息安全工程學院 第七、經常更改你的密碼。 第八、在不需要文件和打印共享時，關閉這些功能。 第九、掃描計算機并查找安全漏洞，提高計算機防護蠕蟲病毒和惡意代碼的能力。 第十、不厭其煩地安裝補丁程序。 第十一、盡量關閉不需要的組件和服務程序。 第十二、盡量使用代理服務器。 信息安全工程學院 企業病毒防治策略 一個好的企業級病毒防御策略包括以下幾個步驟： 開發和實現一個防御計劃 使用一個好的反病毒掃描程序 加固每個單獨系統的安全 配置額外的防御工具 信息安全工程學院 如何建立防御計劃 第一，對預算的管理 第二，精選一個計劃小組 第三，組織操作小組 第四，制定技術編目 標示信息 功能 /操作系統 序列號 機器名稱 用戶名稱 位置 務器 其他 D D 息安全工程學院 第五，確定防御范圍 第六，討論和編寫計劃 第七，測試計劃 第八，實現計劃 第九，提供質量保證測試 第十，保護新加入的資產 十一，對快速反應小組的測試 十二，更新和復查的預定過程 信息安全工程學院 執行計劃 軟件部署 分布式更新 溝通方式 最終用戶的培訓 應急響應 （面對一次病毒事故需要考慮的步驟） 第一，向負責人報告事故 第二，收集原始資料 信息安全工程學院 第三，最小化傳播 第四，讓最終用戶了解最新的危險 第五，收集更多的事實 第六，制定并實現一個最初的根除計劃 第七，驗證根除工作正在進行 第八，恢復關閉的系統 第九，為惡意程序的再次發作做好準備 第十，確認公眾關系的影響 十一，做一次更加深入的分析 信息安全工程學院 反病毒掃描引擎相關問題 何時進行掃描？ 實時掃描因為任何原因訪問到的文件 定時掃描 按需掃描 只掃描進入的新文件 信息安全工程學院 額外的防御工具 防火墻 入侵檢測 系統 蜜罐 端口監視和掃描程序 漏洞掃描程序 其他工具 ： 序鎖定、 罪羊文件 良好的備份 信息安全工程學院 真正的防范措施 審核所有的代碼 最終的認證 更安全的操作系統應用程序 防止未授權的代碼被篡改 僅允許執行已提交的內容 國家安全機構 更嚴厲的懲罰 信息安全工程學院 在美國， 1994年制定的聯邦計算機處罰法案特別規定了在未得到授權許可的條件下對一臺受保護的計算機“故意傳播程序、信息、代碼、命令或導致相關結果的行為造成了損失的”屬犯罪行為。對于觸法者將被處以監禁。如果不是故意的，將處以 1年以下的監禁和罰金。如果被證明為故意所為，那么將被罰款并處以 10年左右的監禁。法案特別規定，如果發現病毒作者不構成犯罪，也可以采取民事措施。 據報道， 2003年 6月 3日，我國臺灣地區的有關部門通過了一項法律修正草案，其中包括這樣一條：“制作計算機病毒程序導致他人損害者，可處 5年以下有期徒刑、拘役或科或并科 20萬元新臺幣以下罰金”。 我國的 刑法 第 286條規定，故意制作、傳播計算機病毒后果嚴重的，處 5年以下有期徒刑或拘役，后果特別嚴重的，處 5年以上有期徒刑。 信息安全工程學院 防病毒相關法律法規 計算機病毒防治管理辦法 第十九條 計算機信息系統的使用單位有下列行為之一的，由公安機關處以警告，并根據情況責令其限期改正；逾期不改正的，對單位處以一千元以下罰款，對單位直接負責的主管人員和直接責任人員處以五百元以下罰款： （一）未建立本單位計算機病毒防治管理制度的； （二）未采取計算機