碩士學(xué)位論文《企業(yè)網(wǎng)絡(luò)安全病毒防范體系建立研究與實現(xiàn)》

1、學(xué)校代碼： 學(xué) 號： 碩 士 學(xué) 位 論 文 （專 業(yè) 學(xué) 位） 企業(yè)網(wǎng)絡(luò)安全病毒防范體系建立研究與實現(xiàn)企業(yè)網(wǎng)絡(luò)安全病毒防范體系建立研究與實現(xiàn) 院 系： 軟件學(xué)院 專 業(yè)： 軟件工程 姓 名： * 指 導(dǎo) 教 師： * 完 成 日 期： 2007 年 2 月 29 日 企業(yè)網(wǎng)絡(luò)安全病毒防范體系建立研究與實現(xiàn) 目錄 i 目錄 摘摘 要要.1 1 abstractabstract.2 2 第一章第一章 緒緒 論論.4 4 第二章第二章 公司環(huán)境分析公司環(huán)境分析.5 5 2.1 公司簡介 .5 2.2 內(nèi)部網(wǎng)絡(luò)環(huán)境 .5 2.2.1 網(wǎng)絡(luò)概述.5 2.2.2 網(wǎng)絡(luò)結(jié)構(gòu).6 2.2.3 網(wǎng)絡(luò)應(yīng)用.7

2、2.3 外部網(wǎng)絡(luò)環(huán)境分析 .7 2.3.1 病毒入侵帶來的安全隱患.8 2.3.2 系統(tǒng)漏洞帶來的安全隱患.12 2.4 安全需求分析 .14 第三章第三章 防范體系分析防范體系分析.1515 3.1 安全方案設(shè)計原則 .15 3.2 安全服務(wù)、機(jī)制與技術(shù) .16 3.3 網(wǎng)絡(luò)安全體系結(jié)構(gòu) .16 3.3.1 物理安全.16 3.3.2 網(wǎng)絡(luò)結(jié)構(gòu).17 3.3.3 網(wǎng)絡(luò)系統(tǒng)安全.17 3.3.4 系統(tǒng)安全.21 3.3.5 信息安全.21 3.3.6 應(yīng)用安全.21 3.3.7 安全管理.22 3.4 安全解決配置方案 .22 第四章第四章 防范體系實施防范體系實施.2424 4.1 采用網(wǎng)絡(luò)

3、版殺毒軟件進(jìn)行查毒、防毒； .24 4.2 可靠的防火墻技術(shù)及配置； .25 4.3 文件備份系統(tǒng)的實施 .27 企業(yè)網(wǎng)絡(luò)安全病毒防范體系建立研究與實現(xiàn) 目錄 ii 4.4 采用自行開發(fā)的內(nèi)部文件傳輸系統(tǒng)交流文件。 .28 第五章第五章 結(jié)結(jié) 論論.3232 參考文獻(xiàn)參考文獻(xiàn).3333 致致 謝謝.3434 企業(yè)網(wǎng)絡(luò)安全病毒防范體系建立研究與實現(xiàn) 摘要 1 摘摘 要要 本文致力于用已學(xué)過的理念和方法對北京 sw 公司的網(wǎng)絡(luò)安全系統(tǒng)問題進(jìn)行研究，并建 立一款符合公司本身的病毒防御體系。論文在入侵檢測技術(shù)理論的支持下，通過對大量資 料、數(shù)據(jù)的分析，對企業(yè)所面臨的外部和內(nèi)部網(wǎng)絡(luò)安全問題進(jìn)行了分析和判

4、斷，以 u 盤病 毒的攻擊方法、中毒現(xiàn)象進(jìn)行了調(diào)研和分析，并在理論層面對公司現(xiàn)存網(wǎng)絡(luò)病毒體系提出 了建議。從而保護(hù)公司網(wǎng)絡(luò)資源與技術(shù)專利的安全性，確保商業(yè)及技術(shù)機(jī)密不會被競爭對 手盜用的同時員工還可以非常方便的調(diào)用、共享資源。 本文在結(jié)構(gòu)上分為四章，以公司現(xiàn)有病毒防御體系為主體，分別對“網(wǎng)絡(luò)環(huán)境（其中 包括外部網(wǎng)絡(luò)、內(nèi)部網(wǎng)絡(luò)） 、 “現(xiàn)存防范體系的隱患” 、 “新建網(wǎng)絡(luò)安全病毒體系” 、 “實施及 支持系統(tǒng)”進(jìn)行了較為詳細(xì)的分析論述。第一章是現(xiàn)有網(wǎng)絡(luò)環(huán)境分析，內(nèi)部環(huán)境通過對本 公司現(xiàn)有防范體系進(jìn)行分析，找出漏洞，外部環(huán)境從國內(nèi)現(xiàn)有的網(wǎng)絡(luò)病毒入手，著重分析 了目前國內(nèi)最流行的病毒種類，發(fā)作機(jī)理，

5、中毒的表現(xiàn)特征等。第二章針對現(xiàn)有防范體系 的漏洞，做出一套完全適合公司的防范體系，從而可以更好的保護(hù)公司資源，防止信息泄 漏。第三章介紹了該網(wǎng)絡(luò)防護(hù)系統(tǒng)的實施及支持系統(tǒng)，其保證措施是進(jìn)行內(nèi)部網(wǎng)絡(luò)與外部 網(wǎng)絡(luò)的融合、進(jìn)一步放大技術(shù)優(yōu)勢；還有就是采取的一系列措施，其中包括：1、采用網(wǎng)絡(luò) 版殺毒軟件進(jìn)行查毒、防毒；2、可靠的防火墻技術(shù)及配置；3、文件備份系統(tǒng)的實施；4、 采用自行開發(fā)的內(nèi)部文件傳輸系統(tǒng)交流文件。最后，預(yù)測一下未來網(wǎng)絡(luò)安全可能出現(xiàn)的的 安全隱患和問題以及避免這些隱患和解決問題的方法。 關(guān)鍵詞：網(wǎng)絡(luò)安全，病毒，防范體系 企業(yè)網(wǎng)絡(luò)安全病毒防范體系建立研究與實現(xiàn) abstract 2 abs

6、tractabstract this paper aims at studying the network security system of a beijing-based company using the concepts and methods we have learned, and creating an anti-virus system meeting the needs of the company itself. with the support of the intrusion detection theory, and through the analysis of

7、extensive materials and data, the paper has analyzed and judged the external and internal network security issues faced by companies, has surveyed and analyzed the attack methods and infection symptoms of the usb disk viruses, and has provided recommendations on the existing network virus protection

8、 system of the company at the theoretical level, so as to protect the security of the companys network resources and technological patents, and to ensure that the business and technical secrets of the company can not be stolen by competitors but the employees can use and share the resources very con

9、veniently at the same time. the paper is structured into four chapters, providing detailed analyses and discussions of “network environment” (including both external network and internal network), “potential risks of the existing protection system”, “the newly built network security external environ

10、ment is analyzed through network viruses currently seen in china, focusing on the currently most epidemic virus varieties in china, their triggering mechanisms, and their infection symptoms, etc. chapter two offers a protection system totally suitable to the company against the vulnerabilities of th

11、e existing protection system, so as to better protect the resources of the company, and to prevent information leakage. chapter three describes the implementation and support system of the network protection system, and its underlying measures are to converge the internal network and external networ

12、k and to further augment the technological advantage; in addition, a 企業(yè)網(wǎng)絡(luò)安全病毒防范體系建立研究與實現(xiàn) abstract 3 series of other measures have also been taken, including: 1. using the web versions of anti-virus software to scan and to prevent viruses; 2. reliable firewall technology and configuration; 3. impleme

13、ntation of the fire backup system; 4. using the internal file transmission system developed by ourselves to transmit files. finally, the paper has made a forecast of the possible network security risks and problems in the future as well as the methods to avoid these risks and to solve the problems.

14、keywords: network security; virus; protection system 企業(yè)網(wǎng)絡(luò)安全病毒防范體系建立研究與實現(xiàn) 第一章 緒論 4 第一章第一章 緒緒 論論 本方案為 sw 公司局域網(wǎng)網(wǎng)絡(luò)安全病毒防御體系的建立方案，包括原有網(wǎng)絡(luò) 系統(tǒng)分析、安全需求分析、安全目標(biāo)的確立、安全體系結(jié)構(gòu)的設(shè)計等。本安全 解決方案的目標(biāo)是在不影響企業(yè)局域網(wǎng)當(dāng)前業(yè)務(wù)的前提下，實現(xiàn)對他們局域網(wǎng) 全面的安全管理。 1.將安全策略、硬件及軟件等方法結(jié)合起來，構(gòu)成一個統(tǒng)一的防御系統(tǒng)， 有效阻止非法用戶進(jìn)入網(wǎng)絡(luò)，減少網(wǎng)絡(luò)的安全風(fēng)險。 2.定期進(jìn)行漏洞掃描，及時發(fā)現(xiàn)問題，解決問題。 3.通過入侵檢測

15、等方式實現(xiàn)實時安全監(jiān)控，提供快速響應(yīng)故障的手段，同 時具備很好的安全取證措施。 4.使網(wǎng)絡(luò)管理者能夠很快重新組織被破壞了的文件或應(yīng)用。使系統(tǒng)重新恢 復(fù)到破壞前的狀態(tài)，最大限度地減少損失。 5.在工作站、服務(wù)器上安裝相應(yīng)的防病毒軟件，由中央控制臺統(tǒng)一控制和 管理，實現(xiàn)全網(wǎng)統(tǒng)一防病毒。 企業(yè)網(wǎng)絡(luò)安全病毒防范體系建立研究與實現(xiàn) 第二章 公司環(huán)境分析 5 第二章第二章 公司環(huán)境分析公司環(huán)境分析 2.1 公司簡介公司簡介 北京 sw 公司是一個位于冶金行業(yè)，新發(fā)展起來的較大公司，隨著市場經(jīng)濟(jì) 的迅速發(fā)展和在中國加入 wto 之后，sw 公司歷經(jīng)十二年的創(chuàng)業(yè)歷程，從一開始 的幾臺電腦到現(xiàn)在組成的內(nèi)部網(wǎng)局域

16、系統(tǒng)，同許多企業(yè)一樣，面臨著國內(nèi)同行 業(yè)的激烈競爭，這不僅是產(chǎn)品種類、質(zhì)量、價格和售后服務(wù)的競爭，也是企業(yè) 對多變市場的適應(yīng)和應(yīng)變能力的一場競爭，是一場企業(yè)間整體綜合實力的較量。 而如何為公司提供一個安全、高效的網(wǎng)絡(luò)安全平臺，以確?？梢愿玫氖占?息，公布信息是目前迫在眉睫的問題。 從網(wǎng)絡(luò)安全威脅看，公司網(wǎng)絡(luò)的威脅主要包括外部的攻擊和入侵、內(nèi)部的 攻擊或誤用、企業(yè)內(nèi)的病毒傳播，以及安全管理漏洞等方面。 這個企業(yè)的局域網(wǎng)是一個信息點較為密集的千兆局域網(wǎng)絡(luò)系統(tǒng)，它所聯(lián)接 的現(xiàn)有近千個信息點為在整個企業(yè)內(nèi)辦公的各部門提供了一個快速、方便的信 息交流平臺。不僅如此，通過專線與 internet 的連

17、接，打通了一扇通向外部世 界的窗戶，各個部門可以直接與互聯(lián)網(wǎng)用戶進(jìn)行交流、查詢資料等。通過公開 服務(wù)器，企業(yè)可以直接對外發(fā)布信息或者發(fā)送電子郵件。高速交換技術(shù)的采用、 靈活的網(wǎng)絡(luò)互連方案設(shè)計為用戶提供快速、方便、靈活通信平臺的同時，也為 網(wǎng)絡(luò)的安全帶來了更大的風(fēng)險。因此，在原有網(wǎng)絡(luò)上實施一套完整、可操作的 安全解決方案不僅是可行的，而且是必需的。 2.2 內(nèi)部網(wǎng)絡(luò)環(huán)境內(nèi)部網(wǎng)絡(luò)環(huán)境 2.2.1 網(wǎng)絡(luò)概述網(wǎng)絡(luò)概述 sw 公司目前擁有 420 余臺臺式計算機(jī)（主要是 dell optiplex 320 臺式機(jī)） 與 70 余臺移動計算機(jī)（ibm thinkpad 系列） ，共分為財務(wù)、設(shè)計、業(yè)務(wù)三個

18、分 支部門，其中公司的核心“設(shè)計部門”區(qū)域有 380 多臺計算機(jī)（包括移動計算 機(jī)） ， “財務(wù)部門”有將近 25 臺計算機(jī)，余下大部分的計算機(jī)屬于平時日常事務(wù) 處理，而全部計算機(jī)中的三分之二沒有和 internet 及局域網(wǎng)連接，屬于獨立工 作的，從而導(dǎo)致部門間由于業(yè)務(wù)需求，數(shù)據(jù)及文件的傳遞需要依靠 u 盤來完成， 并且大都沒有更新微軟 xp 系統(tǒng)的漏洞補(bǔ)丁，極易遭受病毒攻擊。 公司的局域網(wǎng)物理跨度不大，通過百兆交換機(jī)在主干網(wǎng)絡(luò)上提供 100m 的獨 企業(yè)網(wǎng)絡(luò)安全病毒防范體系建立研究與實現(xiàn) 第二章 公司環(huán)境分析 6 享帶寬，通過下級交換機(jī)與各部門的工作站和服務(wù)器連結(jié)，并為之提供 10m 的

19、獨享帶寬。利用與中心交換機(jī)連結(jié)的 cisco 2600 路由器，部分用戶可通過 10mb 光纖接口，直接訪問 internet。 由于公司發(fā)展過程中，對于網(wǎng)絡(luò)資源利用的隨意性，接入因特網(wǎng)的情況比 較混亂，很多不需因特網(wǎng)服務(wù)的員工也開通了，而部分電腦甚至沒有安裝殺毒 軟件，這些電腦也成為影響公司網(wǎng)絡(luò)安全的極大因素。公司計算機(jī)目前采用的 防病毒軟件是大都是江民和瑞星兩種，而由于眾多的計算機(jī)是獨立辦公，沒有 聯(lián)接互聯(lián)網(wǎng)絡(luò)，無法更新病毒庫，防病毒軟件形同虛設(shè)，這樣更是滋生了病毒 的成長。在目前電腦化辦公的環(huán)境中，計算機(jī)中了病毒而導(dǎo)致的工作延誤是最 大的問題。光系統(tǒng)維護(hù)，每天重裝系統(tǒng)、安裝各類辦公軟件，

20、也是一個相當(dāng)繁 瑣的事情。 2.2.2 網(wǎng)絡(luò)結(jié)構(gòu)網(wǎng)絡(luò)結(jié)構(gòu) 本企業(yè)的局域網(wǎng)按訪問區(qū)域可以劃分為三個主要的區(qū)域：internet 區(qū)域、 內(nèi)部網(wǎng)絡(luò)、公開服務(wù)器區(qū)域。內(nèi)部網(wǎng)絡(luò)又可按照所屬的部門、職能、安全重要 程度分為許多子網(wǎng)，包括：財務(wù)子網(wǎng)、領(lǐng)導(dǎo)子網(wǎng)、設(shè)計子網(wǎng)、中心服務(wù)器子網(wǎng)、 辦公子網(wǎng)等。在安全方案設(shè)計中，我們基于安全的重要程度和要保護(hù)的對象， 可以在 catalyst 型交換機(jī)上直接劃分四個虛擬局域網(wǎng)（vlan） ，即：中心服務(wù) 器子網(wǎng)、財務(wù)子網(wǎng)、領(lǐng)導(dǎo)子網(wǎng)、其他子網(wǎng)。不同的局域網(wǎng)分屬不同的廣播域， 由于財務(wù)子網(wǎng)、領(lǐng)導(dǎo)子網(wǎng)、中心服務(wù)器子網(wǎng)、設(shè)計子網(wǎng)屬于重要網(wǎng)段，因此在 中心交換機(jī)上將這些網(wǎng)段各自

21、劃分為一個獨立的廣播域，而將其他的工作站劃 分在一個相同的網(wǎng)段。 通過查詢相關(guān)資料了解到 cisco 2600 是一個外型緊湊的單一設(shè)備，足以滿 足公司分支部門的需求，其通過一個可選的 16 端口 10/100 ether switch 網(wǎng)絡(luò) 模塊，可以在一個設(shè)備中集成路由和交換功能，從而獲得較高的靈活性和較低 的端口密度。這種解決方案可以通過一個第二層設(shè)備在各個臺式機(jī)和其他網(wǎng)絡(luò) 資源之間提供高速的連接，并且可以在路由器的第三層建立 wan 連接。見圖一 所示。 企業(yè)網(wǎng)絡(luò)安全病毒防范體系建立研究與實現(xiàn) 第二章 公司環(huán)境分析 7 圖一 cisco2600 應(yīng)用 2.2.3 網(wǎng)絡(luò)應(yīng)用網(wǎng)絡(luò)應(yīng)用 本企

22、業(yè)的局域網(wǎng)可以為用戶提供如下主要應(yīng)用： 文件共享、辦公自動化、www 服務(wù)、電子郵件服務(wù)； 文件數(shù)據(jù)的統(tǒng)一存儲； 針對特定的應(yīng)用在數(shù)據(jù)庫服務(wù)器上進(jìn)行二次開發(fā)(比如公司內(nèi)部網(wǎng)絡(luò)辦 公軟件)； 提供與 internet 的訪問； 通過公開服務(wù)器對外發(fā)布企業(yè)信息、發(fā)送電子郵件等； sw 公司是一家集設(shè)計、制造、施工為一體的高新技術(shù)企業(yè)，設(shè)計研發(fā)部門 是核心部門，設(shè)計已經(jīng)實現(xiàn)了數(shù)字化，全部電腦出圖，繪圖軟件使用 autodesk 公司的二維設(shè)計軟件 autocad 2006，每個項目的出圖量折合為電子文檔的文件 數(shù)量約為 600 個左右，因此，電子文檔的管理，備份也希望實現(xiàn)網(wǎng)絡(luò)自動化。 2.3 外部網(wǎng)

23、絡(luò)環(huán)境分析外部網(wǎng)絡(luò)環(huán)境分析 隨著 internet 網(wǎng)絡(luò)急劇擴(kuò)大和上網(wǎng)用戶迅速增加，風(fēng)險變得更加嚴(yán)重和復(fù) 雜。原來由單個計算機(jī)病毒入侵事故引起的損害可能傳播到其他系統(tǒng)，引起大 范圍的癱瘓和損失；另外加上缺乏安全控制機(jī)制和對 internet 安全政策的認(rèn)識 不足，這些風(fēng)險正日益嚴(yán)重。 針對本企業(yè)局域網(wǎng)中存在的安全隱患，在進(jìn)行安全方案設(shè)計時，病毒入侵 的安全風(fēng)險我們必須要認(rèn)真考慮，并且要針對面臨的風(fēng)險，采取相應(yīng)的安全措 企業(yè)網(wǎng)絡(luò)安全病毒防范體系建立研究與實現(xiàn) 第二章 公司環(huán)境分析 8 施。 根據(jù)江民反病毒中心公布的2007 年度十大病毒排行及疫情報告1：排 名第一位的 ani 病毒病毒采用新的掛

24、馬方式，利用 windows 系統(tǒng)文件處理漏洞 的惡意代碼，自我復(fù)制，雙擊盤符即可激活病毒；而利用微軟系統(tǒng)自動播放功 能傳播的 u 盤寄生蟲病毒同樣讓廣大用戶苦不堪言，自動播放文件 autorun.inf 一般存在于 u 盤、mp3、移動硬盤和硬盤各個分區(qū)的根目錄下，當(dāng) 用戶雙擊 u 盤等設(shè)備的時候，就會優(yōu)先運行 autorun.inf 文件，而該文件就會 立即執(zhí)行所要加載的病毒程序，從而破壞用戶計算機(jī)，使用戶計算機(jī)遭受損失。 資料顯示僅半年時間全國就有一千四百萬臺計算機(jī)感染了病毒，其中木馬 病毒為禍最廣，占感染電腦總數(shù)的 67，而病毒疫情比較嚴(yán)重的地區(qū)中，北京 地區(qū)排名第四位。 因此，利用系

25、統(tǒng)漏洞進(jìn)行攻擊和利用 u 盤傳播病毒成為當(dāng)前病毒的主流技 術(shù)。 2007 年雖然已經(jīng)過去了，但是在網(wǎng)絡(luò)安全界還是給我們留下了一些遺憾。 在年底評出的“十大病毒排行榜” ，u 盤病毒居然成為年度毒之王。在通過 web 傳播的病毒成為主流的現(xiàn)在，通過 u 盤這種傳統(tǒng)介質(zhì)傳播的病毒“u 盤寄生蟲” 竟然可以獲得“2007 年度毒王”的稱號，說明很多用戶乃至整個反病毒行業(yè)， 對這方面的重視都很不夠。據(jù)了解，目前絕大部分廠商都沒有推出完善的 u 盤 反病毒方案。 bitscn.net*中國網(wǎng)管博客 必備利器暗藏威脅 u 盤病毒何時能休 bitscn_com 現(xiàn)在，幾乎所有個人電腦擁有 usb 接口：u

26、盤等移動存儲設(shè)備已經(jīng)成為商 務(wù)人士必備的產(chǎn)品，而年輕人鐘愛的 ipod、拍照手機(jī)、dv、dc 等，也大多是通 過 usb 接口與電腦連接。但與此同時，由于現(xiàn)有殺毒產(chǎn)品的缺陷，利用 usb 設(shè) 備傳播的病毒已成為個人網(wǎng)絡(luò)安全的重大隱患。最近一個調(diào)查顯示，全球 46% 的網(wǎng)管員認(rèn)為，隨身攜帶的閃存盤已經(jīng)成為一個新的安全隱患。 bitscn.net* 中國網(wǎng)管博客 u 盤病毒個人用戶的網(wǎng)絡(luò)安全造成的威脅，主要表現(xiàn)在竊取私密信息，造 成用戶網(wǎng)絡(luò)交易和網(wǎng)游虛擬財產(chǎn)的損失。例如著名的 u 盤病毒 worm_sillydc， 企業(yè)網(wǎng)絡(luò)安全病毒防范體系建立研究與實現(xiàn) 第二章 公司環(huán)境分析 9 感染該病毒后，會

27、自動連線到指定的遠(yuǎn)程網(wǎng)站，讓遠(yuǎn)程網(wǎng)站惡意使用者從被感 染的系統(tǒng)中竊取信息，并讓遠(yuǎn)程控制者在遭感染的系統(tǒng)中執(zhí)行特定命令，為進(jìn) 一步竊取資料打開方便之門。從危害角度來講，u 盤病毒已經(jīng)和其它通過 web 傳播的病毒不相上下。而 u 盤經(jīng)常在不同電腦上頻繁插拔的特點，也為病毒的 傳播大開方便之門。 中國_網(wǎng)管聯(lián)盟 bitscn.com 但是，現(xiàn)在業(yè)內(nèi)對于 u 盤病毒的防護(hù)手段還不甚完善。趨勢科技的工程師 指出，現(xiàn)有的針對 u 盤病毒的解決方案都只是以一個插件的形式出現(xiàn)，并未真 正嵌入殺毒軟件內(nèi)部，這樣，就不能實現(xiàn)與主程序同步防護(hù)。但由于在 u 盤插 入電腦后即開始工作，其所附帶的病毒也能同時侵入系統(tǒng)

28、，有可能在打開殺毒 軟件殺毒之前，個人私密信息就已經(jīng)泄露。同時，一些廠商的 u 盤病毒解決方 案還是沿用以病毒碼為基準(zhǔn)分析的方法，在病毒庫更新時間上也存在滯后性。 除此之外，現(xiàn)有的反 u 盤病毒解決方案對于 autorun.inf 這個文件并沒有進(jìn)行 有針對性的處理，殺毒后殘留的 autorun.inf 文件會造成雙擊無法打開 u 盤， 給用戶今后的使用帶來很大的不便。 wwwbitscncom 為此，趨勢科技特別在其 08 年新產(chǎn)品趨勢科技網(wǎng)絡(luò)安全專家（tis） 2008 內(nèi)部，嵌入了首個應(yīng)用了主動防御技術(shù)的反 u 盤病毒解決方案，為個人用 戶提供了全方位的安全保護(hù)。 中國_網(wǎng)管聯(lián)盟 bit

29、scn.com 如何降服 u 盤病毒 bbs.bitscn.com 為了對付 u 盤病毒，趨勢科技在新推出的網(wǎng)絡(luò)安全專家（tis）2008 產(chǎn)品 中提供了完整的針對 u 盤病毒的解決方案，整合三項防范技術(shù)：免疫、查殺、 啟發(fā)式檢測，形成了有效的應(yīng)對方案。 wwwbitscncom 一般人使用 u 盤的習(xí)慣都是：插入 u 盤，在“我的電腦”里找到 u 盤圖標(biāo) 企業(yè)網(wǎng)絡(luò)安全病毒防范體系建立研究與實現(xiàn) 第二章 公司環(huán)境分析 10 后啟動殺毒軟件殺毒，然后開始使用。這個看似正常的過程其實卻蘊(yùn)含著感染 病毒的風(fēng)險。這是因為，u 盤都有插入電腦后自動運行的功能，而這個本意是 方便使用者的功能經(jīng)常會被病毒制

30、造者利用，使病毒用戶系統(tǒng)完全不知情的情 況下自動執(zhí)行，第一時間進(jìn)入了用戶的系統(tǒng)：從插入 u 盤到開始?xì)⒍局g的短 短幾分鐘時間，病毒可能已經(jīng)攻破了用戶的安全防線。趨勢科技本次推出的解 決方案中的“免疫”技術(shù)就專門針對這個問題，自動禁用包括光盤在內(nèi)的所有 移動設(shè)備的自動播放功能（u 盤病毒自啟動的方式） ，讓 u 盤病毒無法自動激活， 封鎖了病毒侵入計算機(jī)的通路。由于該解決方案是嵌入到殺毒軟件內(nèi)部的，會 與系統(tǒng)防火墻同步運行，所以用戶不用單獨執(zhí)行任何操作，即可避免從插入 u 盤到查殺病毒之間的防御“真空” 。 www_bitscn_com 中國.網(wǎng)管聯(lián)盟 “查殺”技術(shù)會自動搜索并刪除所有磁盤根目

31、錄下的 autorun.inf 文件， 并根據(jù)這個文件的信息反向查殺已知和未知的病毒體文件和進(jìn)程，使病毒無處 藏身。此外，病毒殘留的 autorun.inf 文件導(dǎo)致用戶無法再用雙擊圖標(biāo)的方法 打開 u 盤， “查殺”技術(shù)把該文件徹底刪除，這個問題也就迎刃而解，使得殺毒 之后的 u 盤可以完好如初。 bitscn.net*中國網(wǎng)管博客 而“啟發(fā)式檢測”則可以檢測可疑 autorun.inf 文件，并阻止對該文件訪 問，以阻止 u 盤病毒通過 autorun.inf 激活,抑制 u 盤病毒的傳播，使之無路可 逃。這三項技術(shù)的互相支撐，使用戶真正避免了 u 盤病毒的侵襲，全方位保障 用戶的網(wǎng)絡(luò)安全

32、。同時，由于該解決方案被嵌入趨勢科技網(wǎng)絡(luò)安全專家（tis） 2008 的主程序，u 盤插入后系統(tǒng)就自動開始對其中病毒的監(jiān)控，無需另外啟動 殺毒程序進(jìn)行查殺。這樣一來，插入 u 盤后直接就可以放心使用，使用戶可以 安心、方便地使用移動存儲設(shè)備。 bitscn_com 據(jù)了解，本次趨勢科技網(wǎng)絡(luò)安全專家（tis）2008 所包含的 u 盤病毒解決 方案，是業(yè)內(nèi)首次將“啟發(fā)式檢測”這種主動防御功能應(yīng)用于 u 盤病毒防范， 比傳統(tǒng)的防護(hù)方案響應(yīng)速度上更快，防范效果更好。對付 u 盤病毒，擁有主動 防御的趨勢科技網(wǎng)絡(luò)安全專家（tis）2008 顯然讓使用者更省心省力。 企業(yè)網(wǎng)絡(luò)安全病毒防范體系建立研究與實

33、現(xiàn) 第二章 公司環(huán)境分析 11 計算機(jī)會計信息系統(tǒng)實現(xiàn)網(wǎng)絡(luò)處理后，由于系統(tǒng)的入口增多，操作人員和信息使用者 干預(yù)系統(tǒng)的機(jī)會增大，系統(tǒng)面臨的安全隱患也必然增多。尤其隨著 internet/intranet 的應(yīng)用， 外部日益擴(kuò)大的網(wǎng)絡(luò)環(huán)境對會計信息系統(tǒng)本身及其安全又將產(chǎn)生更大的影響，不僅影響傳 統(tǒng)的會計業(yè)務(wù)處理及信息的披露方式，而且安全方面會產(chǎn)生更多的不確定因素。除了計算 機(jī)軟硬件的不安全因素之外，會計信息系統(tǒng)還將面臨人文方面的更大風(fēng)險，例如來自不法 之徒的風(fēng)險就有： 1 利用網(wǎng)絡(luò)及安全管理的漏洞窺探用戶口令或電子帳號，冒充合法用戶作案，篡改磁 性介質(zhì)記錄竊取資產(chǎn)。 2 利用網(wǎng)絡(luò)遠(yuǎn)距離竊取企業(yè)的

34、商業(yè)秘密以換取錢財，或利用網(wǎng)絡(luò)傳播計算機(jī)病毒以破 壞企業(yè)的信息系統(tǒng)。 3 建立在計算機(jī)網(wǎng)絡(luò)基礎(chǔ)上的電子商貿(mào)使貿(mào)易趨向“無紙化”，越來越多的經(jīng)濟(jì)業(yè)務(wù)的 原始記錄以電子憑證的方式存在和傳遞。不法之徒通過改變電子貨幣帳單、銀行結(jié)算單及 其它帳單，就有可能將公私財產(chǎn)的所有權(quán)進(jìn)行轉(zhuǎn)移。 計算機(jī)網(wǎng)絡(luò)帶來會計系統(tǒng)的開放與數(shù)據(jù)共享，而開放與共享的基礎(chǔ)則是安全。企業(yè)一 方面通過網(wǎng)絡(luò)開放自己，向全世界推銷自己的形象和產(chǎn)品，實現(xiàn)電子貿(mào)易、電子信息交換， 但也需要守住自己的商業(yè)秘密、管理秘密和財務(wù)秘密，而其中已實現(xiàn)了電子化且具有貨幣 價值的會計秘密、理財秘密是最重要的。我們有必要為它創(chuàng)造一個安全的環(huán)境，抵抗來自 系統(tǒng)

35、內(nèi)外的各種干擾和威協(xié)，做到該開放的放開共享，該封閉的要讓黑客無奈。 一、網(wǎng)絡(luò)安全審計及基本要素 安全審計是一個新概念，它指由專業(yè)審計人員根據(jù)有關(guān)的法律法規(guī)、財產(chǎn)所有者的委 托和管理當(dāng)局的授權(quán)，對計算機(jī)網(wǎng)絡(luò)環(huán)境下的有關(guān)活動或行為進(jìn)行系統(tǒng)的、獨立的檢查驗 證，并作出相應(yīng)評價。 沒有網(wǎng)絡(luò)安全，就沒有網(wǎng)絡(luò)世界。任何一個建立網(wǎng)絡(luò)環(huán)境計算機(jī)會計系統(tǒng)的機(jī)構(gòu)，都 會對系統(tǒng)的安全提出要求，在運行和維護(hù)中也都會從自己的角度對安全作出安排。那么系 統(tǒng)是否安全了呢？這是一般人心中無數(shù)也最不放心的問題。應(yīng)該肯定，一個系統(tǒng)運行的安 全與否，不能單從雙方當(dāng)事人的判斷作出結(jié)論，而必須由第三方的專業(yè)審計人員通過審計 作出評價。

36、因為安全審計人員不但具有專門的安全知識，而且具有豐富的安全審計經(jīng)驗， 只有他們才能作出客觀、公正、公平和中立的評價。 安全審計涉及四個基本要素：控制目標(biāo)、安全漏洞、控制措施和控制測試。其中，控 制目標(biāo)是指企業(yè)根據(jù)具體的計算機(jī)應(yīng)用，結(jié)合單位實際制定出的安全控制要求。安全漏洞 是指系統(tǒng)的安全薄弱環(huán)節(jié)，容易被干擾或破壞的地方?？刂拼胧┦侵钙髽I(yè)為實現(xiàn)其安全控 制目標(biāo)所制定的安全控制技術(shù)、配置方法及各種規(guī)范制度。控制測試是將企業(yè)的各種安全 控制措施與預(yù)定的安全標(biāo)準(zhǔn)進(jìn)行一致性比較，確定各項控制措施是否存在、是否得到執(zhí)行、 企業(yè)網(wǎng)絡(luò)安全病毒防范體系建立研究與實現(xiàn) 第二章 公司環(huán)境分析 12 對漏洞的防范是否

37、有效，評價企業(yè)安全措施的可依賴程度。顯然，安全審計作為一個專門 的審計項目，要求審計人員必須具有較強(qiáng)的專業(yè)技術(shù)知識與技能。 安全審計是審計的一個組成部分。由于計算機(jī)網(wǎng)絡(luò)環(huán)境的安全將不僅涉及國家安危， 更涉及到企業(yè)的經(jīng)濟(jì)利益。因此，我們認(rèn)為必須迅速建立起國家、社會、企業(yè)三位一體的 安全審計體系。其中，國家安全審計機(jī)關(guān)應(yīng)依據(jù)國家法律，特別是針對計算機(jī)網(wǎng)絡(luò)本身的 各種安全技術(shù)要求，對廣域網(wǎng)上企業(yè)的信息安全實施年審制。另外，應(yīng)該發(fā)展社會中介機(jī) 構(gòu)，對計算機(jī)網(wǎng)絡(luò)環(huán)境的安全提供審計服務(wù)，它與會計師事務(wù)所、律師事務(wù)所一樣，是社 會對企業(yè)的計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全作出評價的機(jī)構(gòu)。當(dāng)企業(yè)管理當(dāng)局權(quán)衡網(wǎng)絡(luò)系統(tǒng)所帶來

38、的潛在損失時，他們需要通過中介機(jī)構(gòu)對安全性作出檢查和評價。此外財政、財務(wù)審計也 離不開網(wǎng)絡(luò)安全專家，他們對網(wǎng)絡(luò)的安全控制作出評價， 幫助注冊會計師對相應(yīng)的信息處 理系統(tǒng)所披露信 息的真實性、可靠性作出正確判斷。 二、網(wǎng)絡(luò)安全審計的程序安全 審計程序是安全監(jiān)督活動的具體規(guī)程，它規(guī)定安全審計工作的具體內(nèi)容、時間安排、 具體的審計方法和手段。與其它審計一樣，安全審計主要包括三個階段：審計準(zhǔn)備階段、 實施階段以及終結(jié)階段。 安全審計準(zhǔn)備階段需要了解審計對象的具體情況、安全目標(biāo)、企業(yè)的制度、結(jié)構(gòu)、一 般控制和應(yīng)用控制情況，并對安全審計工作制訂出具體的工作計劃。在這一階段，審計人 員應(yīng)重點確定審計對象的安

39、全要求、審計重點、可能的漏洞及減少漏洞的各種控制措施。 1 了解企業(yè)網(wǎng)絡(luò)的基本情況。例如，應(yīng)該了解企業(yè)內(nèi)部網(wǎng)的類型、局域網(wǎng)之間是否設(shè) 置了單向存取限制、企業(yè)網(wǎng)與 internet 的聯(lián)接方式、是否建立了虛擬專用網(wǎng)（vpn）？ 2 了解企業(yè)的安全控制目標(biāo)。安全控制目標(biāo)一般包括三個方面：第一，保證系統(tǒng)的運 轉(zhuǎn)正常，數(shù)據(jù)的可靠完整；第二，保障數(shù)據(jù)的有效備份與系統(tǒng)的恢復(fù)能力；第三， 對系統(tǒng) 資源使用的授權(quán)與限制。當(dāng)然安全控制目標(biāo)因企業(yè)的經(jīng)營性質(zhì)、規(guī)模的大小以及管理當(dāng)局 的要求而有所差異。 3 了解企業(yè)現(xiàn)行的安全控制情況及潛在的漏洞。審計人員應(yīng)充分取得目前企業(yè)對網(wǎng)絡(luò) 環(huán)境的安全保密計劃，了解所有有關(guān)的控

40、制對上述的控制目標(biāo)的實現(xiàn)情況，系統(tǒng)還有哪些 潛在的漏洞。 安全審計實施階段的主要任務(wù)是對企業(yè)現(xiàn)有的安全控制措施進(jìn)行測試，以明確企業(yè)是 否為安全采取了適當(dāng)?shù)目刂拼胧@些措施是否發(fā)揮著作用。審計人員在實施環(huán)節(jié)應(yīng)充分 利用各種技術(shù)工具產(chǎn)品，如網(wǎng)絡(luò)安全測試產(chǎn)品、網(wǎng)絡(luò)監(jiān)視產(chǎn)品、安全審計分析器。 安全審計終結(jié)階段應(yīng)對企業(yè)現(xiàn)存的安全控制系統(tǒng)作出評價，并提出改進(jìn)和完善的方法 和其他意見。安全審計終結(jié)的評價，按系統(tǒng)的完善程度、漏洞的大小和存在問題的性質(zhì)可 以分為三個等級：危險、不安全和基本安全。危險是指系統(tǒng)存在毀滅性數(shù)據(jù)丟失隱患（如 企業(yè)網(wǎng)絡(luò)安全病毒防范體系建立研究與實現(xiàn) 第二章 公司環(huán)境分析 13 缺乏合理

41、的數(shù)據(jù)備份機(jī)制與有效的病毒防范措施）和系統(tǒng)的盲目開放性（如有意和無意用 戶經(jīng)常能闖入系統(tǒng)，對系統(tǒng)數(shù)據(jù)進(jìn)行查閱或刪改） 。不安全是指系統(tǒng)尚存在一些較常見的問 題和漏洞，如系統(tǒng)缺乏監(jiān)控機(jī)制和數(shù)據(jù)檢測手段等。基本安全是指各個企業(yè)網(wǎng)絡(luò)應(yīng)達(dá)到的 目標(biāo)，其大漏洞僅限于不可預(yù)見或罕預(yù)見性、技術(shù)極限性以及窮舉性等，其他小問題發(fā)生 時不影響系統(tǒng)運行，也不會造成大的損失，且具有隨時發(fā)現(xiàn)問題并糾正的能力。 三、網(wǎng)絡(luò)安全審計的主要測試 測試是安全審計實施階段的主要任務(wù)，一般應(yīng)包括對數(shù)據(jù)通訊、硬件系統(tǒng)、軟件系統(tǒng)、 數(shù)據(jù)資源以及安全產(chǎn)品的測試。 下面是對網(wǎng)絡(luò)環(huán)境會計信息系統(tǒng)的主要測試。 1 數(shù)據(jù)通訊的控制測試數(shù)據(jù)通訊控制

42、的總目標(biāo)是數(shù)據(jù)通道的安全與完整。具體說，能 發(fā)現(xiàn)和糾正設(shè)備的失靈，避免數(shù)據(jù)丟失或失真，能防止和發(fā)現(xiàn)來自 internet 及內(nèi)部的非法 存取操作。為了達(dá)到上述控制目標(biāo)，審計人員應(yīng)執(zhí)行以下控制測試：（1）抽取一組會計數(shù) 據(jù)進(jìn)行傳輸，檢查由于線路噪聲所導(dǎo)致數(shù)據(jù)失真的可能性。 （2）檢查有關(guān)的數(shù)據(jù)通訊記錄， 證實所有的數(shù)據(jù)接收是有序及正確的。 （3）通過假設(shè)系統(tǒng)外一個非授權(quán)的進(jìn)入請求，測試 通訊回叫技術(shù)的運行情況。 （4）檢查密鑰管理和口令控制程序，確認(rèn)口令文件是否加密、 密鑰存放地點是否安全。 （5）發(fā)送一測試信息測試加密過程，檢查信息通道上在各不同點 上信息的內(nèi)容。 （6）檢查防火墻是否控制有效

43、。防火墻的作用是在 internet 與企業(yè)內(nèi)部網(wǎng) 之間建立一道屏障，其有效性主要包括靈活性以及過濾、分離、報警等方面的能力。例如， 防火墻應(yīng)具有拒絕任何不準(zhǔn)確的申請者的過濾能力，只有授權(quán)用戶才能通過防火墻訪問會 計數(shù)據(jù)。 2 硬件系統(tǒng)的控制測試硬件控制測試的總目標(biāo)是評價硬件的各項控制的適當(dāng)性與有效 性。測試的重點包括：實體安全、火災(zāi)報警防護(hù)系統(tǒng)、 使用記錄、后備電源、操作規(guī)程、災(zāi)害恢復(fù)計劃等。審計人員應(yīng)確定實物安全控制措施是 否適當(dāng)、在處理日常運作及部件失靈中操作員是否作出了適當(dāng)?shù)挠涗浥c定期分析、硬件的 災(zāi)難恢復(fù)計劃是否適當(dāng)、是否制定了相關(guān)的操作規(guī)程、各硬件的資料歸檔是否完整。 3 軟件系統(tǒng)

44、的控制測試軟件系統(tǒng)包括系統(tǒng)軟件和應(yīng)用軟件，其中最主要的是操作系統(tǒng)、 數(shù)據(jù)庫系統(tǒng)和會計軟件系統(tǒng)?？傮w控制目標(biāo)應(yīng)達(dá)到防止來自硬件失靈、計算機(jī)黑客、病毒 感染、具有特權(quán)職員的各種破壞行為，保障系統(tǒng)正常運行。對軟件系統(tǒng)的測試主要包括： （1）檢查軟件產(chǎn)品是否從正當(dāng)途徑購買，審計人員應(yīng)對購買訂單進(jìn)行抽樣審查。 （2）檢查 防治病毒措施，是否安裝有防治病毒軟件、使用外來軟盤之前是否檢查病毒。 （3）證實只 有授權(quán)的軟件才安裝到系統(tǒng)里。 4 數(shù)據(jù)資源的控制測試數(shù)據(jù)控制目標(biāo)包括兩方面：一是數(shù)據(jù)備份，為恢復(fù)被丟失、損 壞或被干擾的數(shù)據(jù)，系統(tǒng)應(yīng)有足夠備份；二是個人應(yīng)當(dāng)經(jīng)授權(quán)限制性地存取所需的數(shù)據(jù)， 未經(jīng)授權(quán)的個人

45、不能存取數(shù)據(jù)庫。審計測試應(yīng)檢查是否提供了雙硬盤備份、動態(tài)備份、業(yè) 企業(yè)網(wǎng)絡(luò)安全病毒防范體系建立研究與實現(xiàn) 第二章 公司環(huán)境分析 14 務(wù)日志備份等功能，以及在日常工作中是否真正實施了這些功能。根據(jù)系統(tǒng)的授權(quán)表，檢 查存取控制的有效性。 5 系統(tǒng)安全產(chǎn)品的測試隨著網(wǎng)絡(luò)系統(tǒng)安全的日益重要，各種用于保障網(wǎng)絡(luò)安全的軟、 硬件產(chǎn)品應(yīng)運而生，如 vpn、防火墻、身份認(rèn)證產(chǎn)品、ca 產(chǎn)品等等。企業(yè)將在不斷發(fā)展 的安全產(chǎn)品市場上購買各種產(chǎn)品以保障系統(tǒng)的安全，安全審計機(jī)構(gòu)應(yīng)對這些產(chǎn)品是否有效 地使用并發(fā)揮其應(yīng)有的作用進(jìn)行測試與作出評價。例如，檢查安全產(chǎn)品是否經(jīng)過認(rèn)證機(jī)構(gòu) 或公安部部門的認(rèn)征，產(chǎn)品的銷售商是否具有

46、銷售許可證產(chǎn)品的安全保護(hù)功能是否發(fā)揮作 用。 四、應(yīng)該建立內(nèi)部安全審計制度 為提高會計信息處理的準(zhǔn)確性、真實性和合法性，強(qiáng)化企業(yè)的內(nèi)部控制制度的落實， 防止會計信息系統(tǒng)出現(xiàn)各種安全隱患，應(yīng)建立起計算機(jī)網(wǎng)絡(luò)環(huán)境下對會計信息系統(tǒng)實施監(jiān) 督的內(nèi)部審計制度。內(nèi)部審計是在單位最高負(fù)責(zé)人的直接領(lǐng)導(dǎo)下，對集網(wǎng)絡(luò)、計算機(jī)及信 息處理為一體的會計信息系統(tǒng)進(jìn)行職能管理，依照有關(guān)法律、法規(guī)及內(nèi)部管理制度，對其 合法性、真實性、可靠性和效益性進(jìn)行相對獨立的監(jiān)督、檢查與評價的活動。其主要目的 是保護(hù)企業(yè)計算機(jī)會計信息系統(tǒng)所產(chǎn)生的會計記錄的真實與可靠，保證網(wǎng)絡(luò)上數(shù)據(jù)的傳輸 的數(shù)據(jù)的安全，并對系統(tǒng)安全情況作出評價。 網(wǎng)絡(luò)系

47、統(tǒng)內(nèi)部安全審計是一種實時地發(fā)現(xiàn)漏洞的機(jī)制，安全審計人員的日常審計工作 將為會計信息系統(tǒng)的安全提供有效的保障。 2.3.1 病毒入侵帶來的安全隱患病毒入侵帶來的安全隱患 本人想通過分析 u 盤病毒的發(fā)作機(jī)理，中毒的表現(xiàn)特征來說明一下現(xiàn)在外 部網(wǎng)絡(luò)環(huán)境的現(xiàn)狀。 1.什么是自動運行及 autorun.inf 文件的作用 用過類似于“開天辟地” 、 “新視野大學(xué)英語”之類教學(xué)光盤的人應(yīng)該清楚， 光盤放進(jìn)去后會自動執(zhí)行某個程序，實現(xiàn)這個自動功能的就是 autorun.inf， 只不過現(xiàn)在一些不法分子利用它來傳播病毒。不過 u 盤插入后不會像光盤一樣， 不經(jīng)同意就自動執(zhí)行程序，而只有你雙擊打開 u 盤或者

48、用右鍵菜單打開 u 盤才 可能會執(zhí)行。 2.autorun.inf 文件內(nèi)容 autorun.inf 文件里面的內(nèi)容非常靈活，寫法不唯一，不同病毒的 autorun.inf 文件的內(nèi)容不盡相同。對病毒制造者來說，只要達(dá)到 100感染的 目的即可。下面讓我們揭開 autorun.inf 看看內(nèi)幕吧?。啃薪o出了解釋） 以病毒“唯一的愛” （該病毒幾乎具備上述全部邪惡特征，病毒原體“唯一 的愛.exe” ，偽裝為 mp3 圖標(biāo)）為例，介紹其 autorun.inf 的內(nèi)容： 企業(yè)網(wǎng)絡(luò)安全病毒防范體系建立研究與實現(xiàn) 第二章 公司環(huán)境分析 15 autorun 該標(biāo)志表示本 u 盤打開方式發(fā)生改變，并

49、按以下內(nèi)容執(zhí)行 open=479839e1.exe 定義雙擊打開 u 盤為執(zhí)行病毒（此病毒名稱是隨機(jī) 生成的） shellopen=打開(&o) 重定義右鍵菜單中的打開項，替代正常的打開項 shellopencommand=479839e1.exe 將右鍵菜單中的“打開”項指向病 毒體 shellopendefault=1 “打開”為默認(rèn)項，并顯示為粗體（vista 下 無效） shellexplore=資源管理器(&x) 重定義右鍵菜單的“資源管理器”項， 替代正常項 shellexplorecommand=479839e1.exe 將右鍵菜單中的“資源管理器” 項指向病毒體 注意：對于某些

50、病毒的右鍵菜單中會有兩個“打開” ，一個是黑體的一個是 正常字體。一些人認(rèn)為點擊正常字體的“打開”會是安全的。的確，就某些病 毒 autorun.inf 內(nèi)容來看，這么做是安全，但是大家要相信病毒是狡猾的，絕 對不要抱以僥幸的心理，不管怎樣這個右鍵菜單都很危險，不同的 autorun.inf 語句定義出來的結(jié)果是不同的，所以，絕不要認(rèn)為用右鍵菜單打 開 u 盤會很安全。 3.那么怎么防御 u 盤病毒？ 養(yǎng)成從“文件夾”進(jìn)入磁盤的好習(xí)慣 點擊工具欄上的“文件夾” ，單擊從左邊文件夾欄中的“可移動磁盤”進(jìn)入 u 盤，這樣便可以繞過 autorun.inf，而不會染毒。而從 autorun.inf

51、的全部功 能來看，它是無法左右“文件夾”欄的，所以這一種方法是安全的。從資源管 理器的文件夾欄進(jìn)入 u 盤亦可。 4.對于感染病毒的 u 盤的處理 刪除病毒文件，病毒一般偽裝為圖片和快捷方式文件，區(qū)分病毒和非病毒 的方法很簡單，病毒一般是 exe 可執(zhí)行文件，因此只需要在文件夾選項里去掉 了 “隱藏已知文件的擴(kuò)展名”前面的勾，病毒文件就暴露出來了。還有一些病 毒喜歡躲在回收站里，例如 ctfmon 病毒 autorun.inf 中有兩句是 shellexecute=recycledctfmon.exe shellopen(0)command=recycledctfmon.exe 這就證明它躲在

52、回收站（recycled 文件夾）中。 u 盤屬于 zip/fdd 型移動設(shè)備，理應(yīng)沒有回收站（recycled 文件夾）和系 統(tǒng)還原（system volume information 文件夾） ，您刪除的任何文件將是完全刪 企業(yè)網(wǎng)絡(luò)安全病毒防范體系建立研究與實現(xiàn) 第二章 公司環(huán)境分析 16 除，而不會被放入所謂的“recycled”中。所以，一旦您在 u 盤上發(fā)現(xiàn)看似回 收站圖標(biāo)的文件夾，可以直接認(rèn)為那是病毒的老巢，請不要進(jìn)入，而是直接刪 除！ 移動硬盤屬于 hdd 型移動設(shè)備，屬于硬盤系列，對于它而言，操作系統(tǒng)會 自動建立回收站（recycled 文件夾）和系統(tǒng)還原（system vol

53、ume information 文件夾） ，并且系統(tǒng)還原文件夾還不能被刪除，如果您發(fā)現(xiàn)這兩個 文件夾，不必驚慌！但是如果您還發(fā)現(xiàn)本目錄下有 autorun.inf 文件，不論它 指向的病毒是否在回收站（recycled）中，回收站都有被感染過的可能（有的 新病毒會把老病毒從 autorun.inf 中踢出去，但是老病毒可能還呆在回收站中 并等候反撲） 。如果您確定移動硬盤回收站里沒有什么重要文件，請不要進(jìn)入回 收站，而是直接將其刪除！當(dāng)然，您也可以使用最新更新的殺毒軟件對可移動 設(shè)備進(jìn)行掃描，達(dá)到清除病毒的目的。不過之所以介紹那么多手動清除事項和 方法，是因為殺毒軟件有可能無法查出新病毒和新變

54、種，所以網(wǎng)管必須具備手 動殺毒的能力。 殺毒軟件刪除病毒后，如果沒有刪掉 autorun.inf，再次打開 u 盤就會出 現(xiàn)“打開方式”窗口，因為 autorun.inf 指向的文件不存在，打開方式窗口便 跳了出來。這個時候需要從“文件夾”欄進(jìn)入 u 盤，手動刪除 autorun.inf， 然后拔下并重新插入問題就解決了。 對于沒有關(guān)閉自動播放的電腦，插入 u 盤或者移動硬盤之后，有一個自動 播放的功能列表，其中有一個“打開文件夾以查看文件”的功能，使用這個也 可以安全地進(jìn)入 u 盤。 如果您的電腦感染過 u 盤病毒，隱藏文件無論如何也看不到了，可以通過 修改注冊表解決： 運行注冊表編輯器 r

55、egedit 進(jìn)入 hkey_local_machinesoftwaremicrosoftwindowscurrentversion exploreradvancedfolderhiddenshowall，找到類型為 reg_dword 的 checkedvalue，把它由 0 改為 1。 本人認(rèn)為，u 盤成為計算機(jī)病毒傳播的主要途徑之一，主要原因在于 u 盤 本身不會防毒，病毒很容易就會感染 u 盤，而當(dāng) u 盤插入電腦時還會自動播放， 病毒就會即刻被自動運行。加之大部分電腦用戶都通過 u 盤進(jìn)行數(shù)據(jù)互換，u 盤的廣泛應(yīng)用也為病毒的傳播提供了溫床，由于眾多電腦用戶使用 u 盤都沒有 先進(jìn)行病

56、毒掃描的習(xí)慣，病毒開始瞄準(zhǔn)了這一空檔藏身其中，而病毒寫入 u 盤 時悄無聲息，悄悄潛伏，危害更大，因此利用 u 盤傳播病毒具有極高的感染率。 企業(yè)網(wǎng)絡(luò)安全病毒防范體系建立研究與實現(xiàn) 第二章 公司環(huán)境分析 17 利用網(wǎng)絡(luò)傳播病毒：通過網(wǎng)絡(luò)傳播計算機(jī)病毒，其破壞性大大高于單機(jī)系 統(tǒng)，而且用戶很難防范。從根本上完全杜絕和預(yù)防計算機(jī)病毒的產(chǎn)生和發(fā)展是 不可能的。目前面臨的計算機(jī)病毒的攻擊事件不但沒有減少,而且日益增多,并 且,病毒的種類越來越多,破壞方式日趨多樣化.每出現(xiàn)一種新病毒,就要有一些 用戶成為病毒的受害者.面對此種形勢,不能坐以待斃,而是要尋找一種解決方案,力 爭將計算機(jī)病毒的危害性降至最低

57、。 一般來說，計算機(jī)網(wǎng)絡(luò)的基本構(gòu)成包括網(wǎng)絡(luò)服務(wù)器和網(wǎng)絡(luò)節(jié)點站。計算機(jī) 病毒一般首先通過各種途徑進(jìn)入到有盤工作站，也就進(jìn)入網(wǎng)絡(luò)，然后開始在網(wǎng) 上的傳播。具體地說，其傳播方式有以下幾種。 （1）病毒直接從工作站拷貝到服務(wù)器中或通過郵件在網(wǎng)內(nèi)傳播； （2）病毒先傳染工作站，在工作站內(nèi)存駐留，等運行網(wǎng)絡(luò)盤內(nèi)程序時再傳 染給服務(wù)器； （3）病毒先傳染工作站，在工作站內(nèi)存駐留，在病毒運行時直接通過映像 路徑傳染到服務(wù)器中； （4）如果遠(yuǎn)程工作站被病毒侵入，病毒也可以通過數(shù)據(jù)交換進(jìn)入網(wǎng)絡(luò)服務(wù) 器中。 一旦病毒進(jìn)入文件服務(wù)器，就可通過它迅速傳染到整個網(wǎng)絡(luò)的每一個計算 機(jī)上。 由以上病毒在網(wǎng)絡(luò)上的傳播方式可見，

58、在網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)病毒除了具有 可傳播性、可執(zhí)行性、破壞性等計算機(jī)病毒的共性外，還具有一些新的特點。 （1）感染速度快 在單機(jī)環(huán)境下，病毒只能通過介質(zhì)從一臺計算機(jī)帶到另一臺，而在網(wǎng)絡(luò)中 則可以通過網(wǎng)絡(luò)通訊機(jī)制進(jìn)行迅速擴(kuò)散。根據(jù)測定，在網(wǎng)絡(luò)正常工作情況下， 只要有一臺工作站有病毒，就可在幾十分鐘內(nèi)將網(wǎng)上的數(shù)百臺計算機(jī)全部感染。 （2）擴(kuò)散面廣 由于病毒在網(wǎng)絡(luò)中擴(kuò)散非?？欤瑪U(kuò)散范圍很大，不但能迅速傳染局域網(wǎng)內(nèi) 所有計算機(jī)，還能通過遠(yuǎn)程工作站將病毒在一瞬間傳播到千里之外。 （3）傳播的形式復(fù)雜多樣 計算機(jī)病毒在網(wǎng)絡(luò)上一般是通過工作站到服務(wù)器到工作站的途徑進(jìn) 行傳播的，但現(xiàn)在病毒技術(shù)進(jìn)步了不少，傳播的

59、形式復(fù)雜多樣。 （4）難于徹底清除 單機(jī)上的計算機(jī)病毒有時可以通過帶毒文件來解決。低級格式化硬盤等措 企業(yè)網(wǎng)絡(luò)安全病毒防范體系建立研究與實現(xiàn) 第二章 公司環(huán)境分析 18 施能將病毒徹底清除。 而網(wǎng)絡(luò)中只要有一臺工作站未能清除干凈，就可使整個網(wǎng)絡(luò)重新被病毒感 染，甚至剛剛完成殺毒工作的一臺工作站，就有可能被網(wǎng)上另一臺帶毒工作站 所感染。因此，僅對工作站進(jìn)行殺毒，并不能解決病毒對網(wǎng)絡(luò)的危害。 （5）破壞性大 網(wǎng)絡(luò)病毒將直接影響網(wǎng)絡(luò)的工作，輕則降低速度，影響工作效率，重則使 網(wǎng)絡(luò)崩潰，破壞服務(wù)器信息，使多年工作毀于一旦。 （6）可激發(fā)性 網(wǎng)絡(luò)病毒激發(fā)的條件多樣化，可以是內(nèi)部時鐘、系統(tǒng)的日期和用戶名，

60、也 可以是網(wǎng)絡(luò)的一次通信等。一個病毒程序可以按照病毒設(shè)計者的要求，在某個 工作站上激發(fā)并發(fā)出攻擊。 （7）潛在性 網(wǎng)絡(luò)一旦感染了病毒，即使病毒已被清除，其潛在的危險性也是巨大的。 根據(jù)統(tǒng)計，病毒在網(wǎng)絡(luò)上被清除后，85的網(wǎng)絡(luò)在30天內(nèi)會被再次感染。 例如尼姆達(dá)病毒，會搜索本地網(wǎng)絡(luò)的文件共享，無論是文件服務(wù)器還是終 端客戶機(jī)，一旦找到，便安裝一個隱藏文件，名為riched20.dll到每一個包含 doc和eml文件的目錄中，當(dāng)用戶通過word、寫字板、outlook打開doc和 eml文檔時，這些應(yīng)用程序?qū)?zhí)行riched20.dll文件，從而使機(jī)器被感染，同 時該病毒還可以感染遠(yuǎn)程服務(wù)器被啟動的