病毒网络攻击基础知识(3)

病毒网络攻击基础知识(3)十一、如何选择计算机病毒防治产品一般用户应选择：1、具有发现、隔离并清除病毒功能的计算机病毒防治产品；2、产品是否具有实时报警（包括文件监控、邮件监控、网页脚本监控等）功能；3、多种方式及时升级；4、统一部署防范技术的管理功能；5、对病毒清除是否彻底，文件修复后是否完整、可用；6、产品的误报、漏报率较低；7、占用系统资源合理，产品适应性较好。对于企业用户要选择能够从一个中央位置进行远程安装、升级，能够轻松、自动、快速地获得最新病毒代码、扫描引擎和程序文件，使维护成本最小化的产品；产品提供详细的病毒活动记录，跟踪病毒并确保在有新病毒出现时能够为管理员提供警报；为用户提供前瞻性的解决方案，防止新病毒的感染；通过基于web和Windows的图形用户界面提供集中的管理，最大限度地减少网络管理员在病毒防护上所花费的时间。十二、计算机病毒防治管理办法为了加强计算机病毒的防治管理工作，2000年公安部发布了《计算机病毒防治管理办法》。规定各级公安机关负责本行政区域内的计算机病毒防治管理工作。规定禁止制作、传播计算机病毒，向社会发布虚假计算机病毒疫情，承担计算机病毒的认定工作的机构应由公安部公共信息网络安全监察部门批准，计算机信息系统的使用单位应当履行防治计算机病毒的职责第二部分：防范网络攻击一、保护WEB服务器的关键是什么？ WEB服务器自身脆弱性：Web服务器软件自身存在安全问题，如Web服务器软件缺省安装提供了过多的不必要功能，密码过于简单遭到破解，当服务器管理员使用了不安全协议的软件（如telnet）进行管理时，被监听而导致信息外泄。 Web应用程序安全性差：主要是指CGI程序和ASP、PHP脚本等等程序的安全性。这些程序大大扩展了Web服务器的功能，但它们往往只重功能而忽视了安全性。保护WEB服务的方法: 1、用防火墙保护网站，可以有效地对数据包进行过滤，是网站的第一道防线； 2、用入侵监测系统监测网络数据包，可以捕捉危险或有恶意的访问动作，并能按指定的规则，以记录、阻断、发警报等等多种方式进行响应，既可以实时阻止入侵行为，又能够记录入侵行为以追查攻击者； 3、正确配置Web服务器，跟踪并安装服务器软件的最新补丁； 4、服务器软件只保留必要的功能，关闭不必要的诸如FTP、SMTP等公共服务，修改系统安装时设置的默认口令，使用足够安全的口令； 5、远程管理服务器使用安全的方法如SSH，避免运行使用明文传输口令的telnet、ftp等程序； 6、谨慎使用CGI程序和ASP、PHP脚本程序7、使用网络安全检测产品对安全情况进行检测，发现并弥补安全隐患。二、如何防范CGI脚本漏洞 CGI（COMMOM GATE INTERFACE）是外部应用程序与WEB服务器交互的一个标准接口，它可以完成客户端与服务器的交互操作。CGI带来了动态的网页服务，CGI脚本是主页安全漏洞的主要来源，这主要是由于CGI程序设计不当，暴露了未经授权的数据。通过构造特殊字符串给CGI程序就可能得到这种权限。 防范CGI脚本漏洞主要是： 1、使用最新版本的Web服务器，安装最新的补丁程序，正确配置服务器； 2、按照帮助文件正确安装CGI程序，删除不必要的安装文件和临时文件； 3、使用C编写CGI程序时，使用安全的函数； 4、使用安全有效的验证用户身份的方法； 5、验证用户的来源，防止用户短时间内过多动作； 6、推荐过滤“& ; ` ' \ ” | * ? ~ < > ^ ( ) [ ] { } $ \n \r \t \0 # ../； 7、在设计CGI脚本时，其对输入数据的长度有严格限制； 8、实现功能时制定安全合理的策略，CGI程序还应具有检查异常情况的功能，在检查出陌生数据后CGI应能及时处理这些情况。三、如何保护FTP服务器 （一）禁止匿名登录。允许匿名访问有时会导致被利用传送非法文件。取消匿名登录，只允许被预定义的用户帐号登录，配置被定义在FTP主目录的ACL[访问控制列表]来进行访问控制，并使用NTFS许可证。 （二）设置访问日志。通过访问日志可以准确得到哪些IP地址和用户访问的准确纪录。定期维护日志能估计站点访问量和找出安全威胁和漏洞。 （三）强化访问控制列表。采用NTFS访问许可，运用ACL[访问控制列表]控制对您的FTP目录的的访问。 （四）设置站点为不可视。如您只需要用户传送文件到服务器而不是从服务器下载文件，可以考虑配置站点为不可视。这意味着用户被允许从FTP目录写入文件不能读取。这样可以阻止未授权用户访问站点。要配置站点为不可视，应当在“站点”和“主目录”设置访问许可。 （五）使用磁盘配额。磁盘配额可能有效地限制每个用户所使用的磁盘空间。授予用户对自己上传的文件的完全控制权。使用磁盘配额可以检查用户是否超出了使用空间，能有效地限制站点被攻破所带来的破坏。并且，限制用户能拥有的磁盘空间，站点将不会成为那些寻找空间共享媒体文件的黑客的目标。 （六）使用访问时间限制。限制用户只能在指定的日期的时间内才能登陆访问站点。如果站点在企业环境中使用，可以限制只有在工作时间才能访问服务请。下班以后就禁止登录以保障安全。 （七）基于IP策略的访问控制。FTP可以限制具体IP地址的访问。限制只能由特定的个体才能访问站点，可以减少未批准者登录访问的危险。 （八）审计登陆事件。审计帐户登录事件，能在安全日志查看器里查看企图登陆站点的（成功/失败）事件，以警觉一名恶意用户设法入侵的可疑活动。它也作为历史记录用于站点入侵检测。 （九）使用安全密码策略。复杂的密码是采用终端用户认证的安全方式。这是巩固站点安全的一个关键部分，FTP用户帐号选择密码时必须遵守以下规则：不包含用户帐号名字的全部或部份；必须是至少6个字符长；包含英文大、小写字符、数字和特殊字符等多个类别。 （十）限制登录次数。Windows系统安全策略允许管理员当帐户在规定的次数内未登入的情况下将帐户锁定。四、邮件服务器易受哪些攻击，如何保护邮件服务器 目前互连网上的邮件服务器所受攻击有两类：一类就是中继利用（Relay），即远程机器通过你的服务器来发信，这样任何人都可以利用你的服务器向任何地址发邮件，久而久之，你的机器不仅成为发送垃圾邮件的帮凶，也会使你的网络流量激增，同时将可能被网上的很多邮件服务器所拒绝；另一类攻击称为垃圾邮件（Spam），即人们常说的邮件炸弹，是指在很短时间内服务器可能接收大量无用的邮件，从而使邮件服务器不堪负载而出现瘫痪。这两种攻击都可能使邮件服务器无法正常工作。 防止邮件服务器被攻击的方法有三种： 第一种是升级高版本的服务器软件，利用软件自身的安全功能限制垃圾邮件的大量转发或订阅反垃圾邮件服务； 第二种就是采用第三方软件利用诸如动态中继验证控制功能来实现，从而确保接受邮件的正确性； 第三种是配置病毒网关、病毒过滤等功能，从网络的入口开始，阻止来自互联网的邮件病毒入侵，同时还要防内部网络时的传播。