|
六、 安全措施之四-全面可靠的防病毒体系
6.1 病毒的传播
由于数据信息交换的特殊性,使得网络在成为“信息使者”的同时,也成了病毒等垃圾的寄居传播地,其危害性也凸现出来。病毒一般通过软盘、硬盘、光盘、电子邮件、压缩文件、下载文件等载体传播。
6.2 病毒的种类
根据多年对计算机病毒的研究,按照科学、系统、严密的方法,计算机病毒可分类如下:
6.2.1根据病毒存在的媒体,病毒可以划分为网络病毒,文件病毒,引导型病毒。
6.2.2根据病毒破坏的能力可划分为以下几种:
无害型:除了传染时减少磁盘的可用空间外,对系统没有其它影响。
无危险型:这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。
危险型:这类病毒在计算机系统操作中造成严重的错误。
非常危险型:这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。
这些病毒对系统造成的危害,并不是本身的算法中存在危险的调用,而是当它们传染时会引起无法预料的和灾难性的破坏。由病毒引起其它的程序产生的错误也会破坏文件和扇区,这些病毒也按照他们引起的破坏能力划分。一些现在的无害型病毒也可能会对新版的操作系统造成破坏。
6.2.3根据病毒特有的算法,病毒可以划分为:
伴随型病毒:这一类病毒并不改变文件本身,它们根据算法产生EXE文件的伴随体,具有同样的名字和不同的扩展名(COM),例如:XCOPY.EXE的伴随体是XCOPY.COM。病毒把自身写入COM文件并不改变EXE文件,当DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的EXE文件。
“蠕虫”型病毒:通过计算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其它机器的内存,计算网络地址,将自身的病毒通过网络发送。有时它们在系统存在,一般除了内存不占用其它资源。
寄生型病毒:除了伴随和“蠕虫”型,其它病毒均可称为寄生型病毒,它们依附在系统的引导扇区或文件中,通过系统的功能进行传播,按算法分为:
练习型病毒:病毒自身包含错误,不能进行很好的传播,例如一些病毒在调试阶段。
诡秘型病毒:它们一般不直接修改DOS中断和扇区数据,而是通过设备技术和文件缓冲区等系统内部修改,不易看到资源的使用情况。使用比较高级的技术,利用系统空闲的数据区进行工作。
变型病毒(又称幽灵病毒):这一类病毒使用一个复杂的算法,使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。
6.3 病毒攻击的目标
计算机病毒的破坏行为体现了病毒的杀伤能力。病毒破坏行为的激烈程度取决于病毒作者的主观愿望和他所具有的技术能量。数以万计、不断发展扩张的病毒,其破坏行为千奇百怪,不可能穷举其破坏行为,难以做全面的描述。根据有的病毒资料可以把病毒的破坏目标和攻击部位归纳如下:
6.3.1攻击系统数据区,攻击部位包括硬盘主引寻扇区、Boot扇区、分区表、文件目录。一般来说,攻击系统数据区的病毒是恶性病毒,受损的数据不易恢复。
6.3.2攻击文件,病毒对文件的攻击方式很多,可列举如下:删除、改名、替换内容、丢失部分程序代码、内容颠倒、写入时间空白、变碎片、假冒文件、丢失文件簇、丢失数据文件。
6.3.3攻击内存
内存是计算机的重要资源,也是病毒的攻击目标。病毒额外地占用和消耗系统的内存资源,可以导致一些大程序受阻。病毒攻击内存的方式如下:占用大量内存、改变内存总量、禁止分配内存、蚕食内存。
6.3.4干扰系统运行
病毒会干扰系统的正常运行,以此做为自己的破坏行为。此类行为也是花样繁多,可以列举下述诸方式:不执行命令、干扰内部命令的执行、虚假报警、打不开文件、内部栈溢出、占用特殊数据区、换现行盘、时钟倒转、重启动、死机、强制游戏、扰乱串并行口。
6.3.5 速度下降
病毒激活时,其内部的时间延迟程序启动。在时钟中纳入了时间的循环计数,迫使计算机空转,计算机速度明显下降。
6.3.6攻击磁盘
攻击磁盘数据、不写盘、写操作变读操作、写盘时丢字节。
6.3.7扰乱屏幕显示
病毒扰乱屏幕显示的方式很多,可列举如下:字符跌落、环绕、倒置、显示前一屏、光标下跌、滚屏、抖动、乱写、吃字符等。
6.3.8键盘
病毒干扰键盘操作,已发现有下述方式:响铃、封锁键盘、换字、抹掉缓存区字符、重复、输入紊乱等。
6.3.9喇叭
许多病毒运行时,会使计算机的喇叭发出响声。有的病毒作者让病毒演奏旋律优美的世界名曲,在高雅的曲调中去杀戮人们的信息财富。有的病毒作者通过喇叭发出种种声音。已发现的有以下方式:演奏曲子、警笛声、炸弹噪声、鸣叫、咔咔声、嘀嗒声。
6.3.10 攻击CMOS
在机器的CMOS区中,保存着系统的重要数据。例如系统时钟、磁盘类型、内存容量等,并具有校验和。有的病毒激活时,能够对CMOS区进行写入动作,破坏系统CMOS中的数据。
6.3.11干扰打印机,使之出现假报警、间断性打印、更换字符等。
6.4 病毒检测的主要方法
在与病毒的对抗中,及早发现病毒很重要。早发现,早处置,可以减少损失。检测病毒方法有:特征代码法、校验和法、行为监测法、软件模拟法,
这些方法依据的原理不同,实现时所需开销不同,检测范围不同,各有所长。
6.5 全面可靠的防病毒体系主要特点
计算机病毒的防治要从防毒、查毒、解毒三方面来进行;系统对于计算机病毒的实际防治能力和效果也要从防毒能力、查毒能力和解毒能力三方面来评判。
“防毒”是指根据系统特性,采取相应的系统安全措施预防病毒侵入计算机。“查毒”是指对于确定的环境,能够准确地报出病毒名称,该环境包括,内存、文件、引导区(含主导区)、网络等。“解毒”是指根据不同类型病毒对感染对象的修改,并按照病毒的感染特性所进行的恢复。该恢复过程不能破坏未被病毒修改的内容。感染对象包括:内存、引导区(含主引导区)、可执行文件、文档文件、网络等。
防毒能力是指预防病毒侵入计算机系统的能力。通过采取防毒措施,应可以准确地、实时地监测预警经由光盘、软盘、硬盘不同目录之间、局域网、因特网(包括FTP方式、E-MAIL、HTTP方式)或其它形式的文件下载等多种方式进行的传输;能够在病毒侵入系统是发出警报,记录携带病毒的文件,即时清除其中的病毒;对网络而言,能够向网络管理员发送关于病毒入侵的信息,记录病毒入侵的工作站,必要时还要能够注销工作站,隔离病毒源。
查毒能力是指发现和追踪病毒来源的能力。通过查毒应该能准确地发现计算机系统是否感染有病毒,并准确查找出病毒的来源,并能给出统计报告;查解病毒的能力应由查毒率和误报率来评判。
解毒能力是指从感染对象中清除病毒,恢复被病毒感染前的原始信息的能力;解毒能力应用解毒率来评判。
由于企业网络环境非常复杂,它拥有不同的系统和应用。因此,对于整个企业网络病毒的防治,要兼顾到各个环节,否则有某些环节存在问题,则很可能造成整体防治的失败。因而,对于反病毒软件来说,需要在技术上做的面面俱到,才能实现全面防毒。
由于网络病毒与单机病毒在本质上是相同的,都是人为编制的计算机程序,因此反病毒的原理是一样的,但是由于网络具有的特殊复杂性,使得对网络反病毒的要求不仅是防毒、查毒、杀毒,而且还要求做到与系统的无缝联结。因为,这项技术是影响软件运行效率、全面查杀病毒的关键所在。但是要做到无缝链接,必须充分掌握系统的底层协议和接口规范。
随着当代病毒技术的发展,病毒已经能够紧密地嵌入操作系统的深层,甚至是内核之中。这种深层次的嵌入,为彻底杀除病毒造成了极大的困难,如果不能确保在病毒被杀除的同时不破坏操作系统本身,那么,使用这种反病毒软件也许会出现事与愿违的严重后果。无缝链接技术可以保证反病毒模块从底层内核与各种操作系统、网络、硬件、应用环境密切协调,确保在病毒入侵时,反病毒操作不会伤及操作系统内核,同时又能确保对来犯病毒的防杀。
VxD是微软专门为Windows制订的设备驱动程序接口规范。简而言之,VxD程序有点类似于DOS中的设备驱动程序,它是专门用于管理系统所加载的各种设备。VxD不仅适用于硬件设备,而且由于它具有比其他类型应用程序更高的优先级,更靠近系统底层资源,因此,在Windows操作系统下,反病毒技术就需要利用VxD机制,才有可能全面、彻底地控制系统资源,并在病毒入侵时及时报警。而且,VxD技术与TSR技术有很大的不同,占用极少的内存,对系统性能影响极小。
由于病毒具备隐蔽性,所以它会在不知不觉中潜入你的机器。如果不能抵御这种隐蔽性,那么反病毒软件就谈不上防毒功能了。实时反病毒软件作为一个任务,对进出计算机系统的数据进行监控,能够保证系统不受病毒侵害。同时,用户的其他应用程序可作为其他任务在系统中并行运行,与实时反病毒任务毫不冲突。因此,在Windows环境下,如果不能实现实时反病毒,那么也将会为病毒入侵埋下隐患。针对这一特性,需要采取实时反病毒技术,保证在计算机系统的整个工作过程中,能够随时防止病毒从外界入侵系统,从而全面提高计算机系统的整体防护水平。
当前,大多数光盘上存放的文件和网络上传输的文件都是以压缩形式存放的,而且情况很复杂。现行通用的压缩格式较多,有的压缩工具还将压缩文件打包成一个扩展名为.EXE的“自解压”可执行文件,这种自解压文件可脱离压缩工具直接运行。对于这些压缩文件存在的复杂情况,如果反病毒软件不能准确判断,或判断片面,那就不可避免的会留有查杀病毒的“死角”,为病毒猖獗造成隐患。可通过全面掌握通用压缩算法和软件生产厂商自定义的压缩算法,深入分析压缩文件的数据内容,而并非采用简单的检查扩展文件名的方法,实现对所有压缩文件的查毒杀毒功能。
对于网络病毒的防治来说,反病毒软件要能够做到全方位的防护,才能对病毒做到密而不漏的查杀。对于网络病毒,除了对软盘、光盘等病毒感染最普遍的媒介具备保护功能外,对于更为隐性的企业网络传播途径,更应该把好关口。
当前,公司间以及人与人之间电子通讯方式的应用更为广泛。但是随着这种数据交换的增多,越来越多的病毒隐藏在邮件附件和数据库文件中进行传播扩散。因此,反病毒软件应该对这一病毒传播通道具备有效控制的功能。
伴随网络的发展,在下载文件时,被感染病毒的机率正在呈指数级增长。对这一传播更为广泛的病毒源,需要在下载文件中的病毒感染机器之前,自动将之检测出来并给予清除,对压缩文件同样有效。
简言之,要综合采用数字免疫系统、监控病毒源、主动内核技术、"分布式处理"技术、安全网管技术等措施,提高系统的抗病毒能力。
七、安全措施之五:防火墙及数据加密
7.1 防火墙技术
“防火墙”是一种形象的说法, 其实它是一种计算机硬件和软件的组合, 使互联网与内部网之间建立起一个安全网关
( security gateway), 从而保护内部网免受非法用户的侵入。所谓防火墙就是一个把互联网与内部网隔开的屏障。防火墙有二类,
标准防火墙和双家网关。标准防火墙系统包括一个UNIX工作站, 该工作站的两端各接一个路由器进行缓冲。其中一个路由器的接口是外部世界,
即公用网; 另一个则联接内部网。标准防火墙使用专门的软件, 并要求较高的管理水平, 而且在信息传输上有一定的延迟。双家网关
(dual home gateway)则是标准防火墙的扩充, 又称堡垒主机(bation host) 或应用层网关(applications
layer gateway), 它是一个单个的系统, 但却能同时完成标准防火墙的所有功能。其优点是能运行更复杂的应用,
同时防止在互联网和内部系统之间建立的任何直接的边疆,可以确保数据包不能直接从外部网络到达内部网络, 反之亦然。随着防火墙技术的进步,
双家网关的基础上又演化出两种防火墙配置, 一种是隐蔽主机网关, 另一种是隐蔽智能网关( 隐蔽子网)。隐蔽主机网关是当前一种常见的防火墙配置。顾名思义,
这种配置一方面将路由器进行隐蔽, 另一方面在互联网和内部网之间安装堡垒主机。堡垒主机装在内部网上, 通过路由器的配置,使该堡垒主机成为内部网与互联网进行通信的唯一系统。目前技术最为复杂而且安全级别最商的防火墙是隐蔽智能网关,
它将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问, 同时阻止了外部未授权访问者对专用网络的非法访问。一般来说,
这种防火墙是最不容易被破坏的。
7.2 数据加密技术
与防火墙配合使用的安全技术还有数据加密技术是为提高信息系统及数据的安全性和保密性, 防止秘密数据被外部破析所采用的主要技术手段之一。随着信息技术的发展,
网络安全与信息保密日益引起人们的关注。目前各国除了从法律上、管理上加强数据的安全保护外, 从技术上分别在软件和硬件两方面采取措施,推动着数据加密技术和物理防范技术的不断发展。按作用不同,
数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。
(1)数据传输加密技术。目的是对传输中的数据流加密,
常用的方针有线路加密和端-端加密两种。前者侧重在线路上而不考虑信源与信宿, 是对保密信息通过各线路采用不同的加密密钥提供安全保护。后者则指信息由发送者端自动加密,
并进入TCP/IP数据包回封, 然后作为不可阅读和不可识别的数据穿过互联网, 当这些信息一旦到达目的地,
被将自动重组、解密, 成为可读数据。
(2)数据存储加密技术。目是防止在存储环节上的数据失密,
可分为密文存储和存取控制两种。前者一般是通过加密算法转换、附加密码、加密模块等方法实现; 后者则是对用户资格、格限加以审查和限制,
防止非法用户存取数据或合法用户越权存取数据。
(3)数据完整性鉴别技术。目的是对介入信息的传送、存取、处理的人的身份和相关数据内容进行验证,
达到保密的要求, 一般包括口令、密钥、身份、数据等项的鉴别, 系统通过对比验证对象输入的特征值是否符合预先设定的参数,
实现对数据的安全保护。
(4) 密钥管理技术。为了数据使用的方便,
数据加密在许多场合集中表现为密钥的应用, 因此密钥往往是保密与窃密的主要对象。密钥的媒体有:磁卡、磁带、磁盘、半导体存储器等。密钥的管理技术包括密钥的产生、分配保存、更换与销毁等各环节上的保密措施。
7.3 智能卡技术
与数据加密技术紧密相关的另一项技术则是智能卡技术。所谓智能卡就是密钥的一种媒体, 一般就像信用卡一样,
由授权用户所持有并由该用户赋与它一个口令或密码字。该密码与内部网络服务器上注册的密码一致。当口令与身份特征共同使用时,
智能卡的保密性能还是相当有效的。网络安全和数据保护的这些防范措施都有一定的限度, 并不是越安全就越可靠。因而,
在看一个内部网是否安全时不仅要考察其手段, 而更重要的是对该网络所采取的各种措施, 其中不光是物理防范,
还有人员的素质等其他“软”因素, 进行综合评估, 从而得出是否安全的结论。
上一页 下一页
|
