辦公網(wǎng)絡(luò)安全手冊(cè)

chnyberscuritywek 辦公網(wǎng)絡(luò)安全隱患篇1.辦公?絡(luò)病毒??隱患隨著計(jì)算機(jī)的使?率越來越?，計(jì)算機(jī)中潛藏的病毒也層出不窮。通過相關(guān)的技術(shù)統(tǒng)計(jì)，這些計(jì)算機(jī)病毒的數(shù)量已經(jīng)超過了上萬種，甚??前還在以?個(gè)驚?的速度在增加，最終導(dǎo)致的信息破壞性也愈演愈烈，在此基礎(chǔ)上出現(xiàn)的?絡(luò)病毒其存在性要?計(jì)算機(jī)病毒更加惡劣，發(fā)?的破壞程度也遠(yuǎn)遠(yuǎn)?于計(jì)算機(jī)病毒。只要?件的硬盤服務(wù)器碰上病毒，受到感染之后就會(huì)引發(fā)不同程度的系統(tǒng)毀壞甚?威脅到信息的安全性，最終使得電腦啟動(dòng)不起來，相關(guān)的數(shù)據(jù)以及應(yīng)??法得到使?，?絡(luò)系統(tǒng)破壞會(huì)引發(fā)不同程度的經(jīng)濟(jì)利益損失。除了破壞性，?絡(luò)病毒還存在再?的技能。它可以在?絡(luò)的輔助之下進(jìn)?病毒的傳播與擴(kuò)散，只要辦公?絡(luò)內(nèi)的公共應(yīng)?被傳染了病毒，那么這些病毒就會(huì)以?種極快速的速度在?絡(luò)中?存,電腦應(yīng)?程序也會(huì)受到?定程度的感染。因?yàn)楸?絡(luò)病毒感染之后引發(fā)的利益損失是?法估算的，因此?旦受到?絡(luò)病毒的危害，辦公?絡(luò)受到影響，進(jìn)?病毒破解需要花費(fèi)的時(shí)間要?單機(jī)進(jìn)?病毒破解???倍，進(jìn)?步引發(fā)的損失也是不可估量的。2.病毒木馬的呈現(xiàn)方式(1)系統(tǒng)病毒系統(tǒng)病毒的前綴為:win32、PE、win95、W32、W95等。這些病毒的一般公有的特性是可以感染windows操作系統(tǒng)的*.exe和*.dll文件,并通過這些文件進(jìn)行傳播。如CIH病毒。(2)蠕蟲病毒蠕蟲病毒的前綴是:worm。這種病毒的公有特性是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)行傳播,很大部分的蠕蟲病毒都有向外發(fā)送帶毒郵件,阻塞網(wǎng)絡(luò)的特性。比如沖擊波(阻塞網(wǎng)絡(luò)),小郵差(發(fā)帶毒郵件)等。(3)木馬病毒、黑客病毒木馬病毒其前綴是:Trojan,黑客病毒前綴名一般為Hack。木馬病毒的公有特性是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)入用戶的系統(tǒng)并隱藏,然后向外界泄露用戶的信息,而黑客病毒則有一個(gè)可視的界面,能對(duì)用戶的電腦進(jìn)行遠(yuǎn)程控制。木馬、黑客病毒往往是成對(duì)出現(xiàn)的,即木馬病毒負(fù)責(zé)侵入用戶的電腦,而黑客病毒則會(huì)通過該木馬病毒來進(jìn)行控制?，F(xiàn)在這兩種類型都越來越趨向于整合了,一般的木馬如QQ消息尾巴木馬Trojan.QQ3344o(4)腳本病毒腳本病毒的前綴是:script。腳本病毒的公有特性是使用腳本語言編寫,通過網(wǎng)頁進(jìn)行傳播的病毒,如紅色代碼(script.REdlof)。腳本病毒還會(huì)有如下前綴:VBS、JS(表明是何種腳本編寫的),如歡樂時(shí)光(VBS.Happytime)、十四日(Js.Fortnight.C.S)等。(5)后門病毒后門病毒的前綴是:Backdoor。該類病毒的公有特性是通過網(wǎng)絡(luò)傳播,給系統(tǒng)開后門,給辦公電腦帶來安全隱患。如IRC后門Backdoor.IRCBot。(6)病毒種植程序病毒這類病毒的公有特性是運(yùn)行時(shí)會(huì)從體內(nèi)釋放出一個(gè)或幾個(gè)新的病毒到系統(tǒng)目錄下,由釋放出來的新病毒產(chǎn)生破壞。如:冰河播種者(Dropper.BingHe2.2c)、MSN射手(Dropper.worm.smibag)等。(7)破壞性程序病毒破壞性程序病毒的前綴是:Harm。這類病毒的公有特性是本身具有好看的圖標(biāo)來誘惑用戶點(diǎn)擊,當(dāng)用戶點(diǎn)擊這類病毒時(shí),病毒便會(huì)直接對(duì)用戶計(jì)算機(jī)產(chǎn)生破壞。如:格2式化c盤(Harm.formatc.f)、殺手命令(Hmand.killer)等。(8)玩笑病毒玩笑病毒的前綴是:Joke。也稱惡作劇病毒。這類病毒的公有特性是本身具有好看的圖標(biāo)來誘惑用戶點(diǎn)擊,當(dāng)用戶點(diǎn)擊這類病毒時(shí),病毒會(huì)做出各種破壞假象來嚇唬用戶,其實(shí)病毒并沒有對(duì)用戶電腦進(jìn)行任何破壞。如:女鬼(Joke.Girlghost)病毒。(9)捆綁機(jī)病毒捆綁機(jī)病毒的前綴是:Binder。這類病毒的公有特性是病毒作者會(huì)使用特定的捆綁程序?qū)⒉《九c一些應(yīng)用程序如QQ、IE捆綁起來,表面上看是一個(gè)正常的文件,當(dāng)用戶運(yùn)行這些捆綁病毒時(shí),會(huì)表面上運(yùn)行這些應(yīng)用程序,然后隱藏運(yùn)行捆綁在一起的病毒,從而給用戶造成危害。如:捆綁QQ(Binder.QQpass.QQBin)、系統(tǒng)殺手(Bind-er.killsys)等。3.病毒木馬的危害(1)破壞內(nèi)存病毒木馬破壞內(nèi)存的方法主要是大量占用計(jì)算機(jī)內(nèi)存、禁止分配內(nèi)存、修改內(nèi)存容量和消耗內(nèi)存4種。病毒在運(yùn)行時(shí)占用大量的內(nèi)存和消耗大量的內(nèi)存資源,導(dǎo)致系統(tǒng)資源匱乏,進(jìn)而導(dǎo)致死機(jī)。(2)破壞文件病毒破壞文件的方式主要包括重命名、刪除、替換內(nèi)容、顛倒或復(fù)制內(nèi)容、丟失部分程序代碼、寫入時(shí)間空白、分割或假冒文件、丟失文件簇和丟失數(shù)據(jù)文件等。受到病毒破壞的文件,如果不及時(shí)殺毒,將不能使用。(3)影響電腦運(yùn)行速度病毒在電腦中一旦被激活,就會(huì)不停的運(yùn)行,占用了電腦大量的系統(tǒng)資源,使電腦的運(yùn)行速度明顯減慢。(4)影響操作系統(tǒng)正常運(yùn)行電腦病毒還會(huì)影響操作系統(tǒng)的正常運(yùn)行,主要表現(xiàn)方式包括自動(dòng)重啟電腦、無故死機(jī)、不執(zhí)行命令、干擾內(nèi)部命令的執(zhí)行、打不開文件、虛假報(bào)警、占用特殊數(shù)據(jù)區(qū)、強(qiáng)制啟動(dòng)軟件和擾亂各種輸出/入口等。(5)破壞硬盤電腦病毒攻擊硬盤主要表現(xiàn)包括破壞硬盤中存儲(chǔ)的數(shù)據(jù)、不讀/寫盤、交換操作和不完全寫盤等。3(6)破壞系統(tǒng)數(shù)據(jù)區(qū)由于硬盤的數(shù)據(jù)區(qū)中保存了很多的文件及重要數(shù)據(jù),電腦病毒對(duì)其進(jìn)行破壞通常會(huì)引起毀滅性的后果。病毒主要攻擊的是硬盤主引導(dǎo)扇區(qū)、BOOT扇區(qū)、FAT表和文件目錄等區(qū)域,當(dāng)這些位置被病毒破壞的時(shí)候,只能通過專業(yè)的數(shù)據(jù)恢復(fù)來還原數(shù)據(jù)了。二、黑客攻擊1.辦公網(wǎng)絡(luò)黑客攻擊隱患當(dāng)今單位辦公網(wǎng)絡(luò)使用的是以太網(wǎng)。這種形式的網(wǎng)絡(luò)存在一個(gè)缺陷,就是只要在同一個(gè)辦公環(huán)境內(nèi),他們之間可以任意的進(jìn)行數(shù)據(jù)傳輸,但是一旦出現(xiàn)其他節(jié)點(diǎn),那么這些信息就會(huì)被其他節(jié)點(diǎn)所接受,最終使得重要的保密信息泄露或者被篡改。不僅如此,單位為了進(jìn)一步擴(kuò)大市場(chǎng),必然會(huì)將辦公自動(dòng)化的網(wǎng)絡(luò)與外網(wǎng)網(wǎng)絡(luò)相連接。在一定程度上就為外網(wǎng)或者互聯(lián)網(wǎng)上的黑客提供了方便,這些不法分子只需要在這些網(wǎng)絡(luò)中的隨便一個(gè)節(jié)點(diǎn)實(shí)施監(jiān)聽,就可以輕松獲取到他想取得的信息數(shù)據(jù)。這也就更進(jìn)一步的引發(fā)信息的外露,信息的安全性得不到保障,使單位以及國家的信息安全受到更大的威脅。42.黑客攻擊的呈現(xiàn)形式(1)釣魚網(wǎng)站釣魚網(wǎng)站是一種比較常見的攻擊手法,黑客會(huì)模仿一些知名網(wǎng)站、交易所、項(xiàng)目官網(wǎng),域名也極其相似,比如將后綴從標(biāo)準(zhǔn)的.com變成.cn或.io,或者改變某一單詞樣式,a改為e,或者加上一個(gè)點(diǎn)。最可怕的就是黑客支付了足夠的費(fèi)用,讓他們的惡意鏈接排名高于他們所模仿的網(wǎng)站的正確版本,這樣我們使用搜索功能所查到的網(wǎng)站,很大可能就是釣魚網(wǎng)站。降低這種攻擊方法的有效方式就是,將這些常用網(wǎng)站,經(jīng)過仔細(xì)確認(rèn)之后加到我們的瀏覽器書簽里。(2)信息炸彈信息炸彈是指使用一些特殊工具軟件,短時(shí)間內(nèi)向目標(biāo)服務(wù)器發(fā)送大量超出系統(tǒng)負(fù)荷的信息,造成目標(biāo)服務(wù)器超負(fù)荷、網(wǎng)絡(luò)堵塞、系統(tǒng)崩潰的攻擊手段。比如向未打補(bǔ)丁的windows95系統(tǒng)發(fā)送特定組合的UDP數(shù)據(jù)包,會(huì)導(dǎo)致目標(biāo)系統(tǒng)死機(jī)或重啟;向某型號(hào)的路由器發(fā)送特定數(shù)據(jù)包致使路由器死機(jī);向某人的電子郵件發(fā)送大量的垃圾郵件將此郵箱"撐爆"等。目前常見的信息炸彈有郵件炸彈、邏輯炸彈等。(3)拒絕服務(wù)拒絕服務(wù)又叫分布式D.0.S攻擊,它是使用超出被攻擊目標(biāo)處理能力的大量數(shù)據(jù)包消耗系統(tǒng)可用系統(tǒng)、帶寬資源,最后致使網(wǎng)絡(luò)服務(wù)癱瘓的一種攻擊手段。作為攻擊者,首先需要通過常規(guī)的黑客手段侵入并控制某個(gè)網(wǎng)站,然后在服務(wù)器上安裝并啟動(dòng)一個(gè)可由攻擊者發(fā)出的特殊指令來進(jìn)行控制,攻擊者把攻擊對(duì)象的IP地址作為指令下達(dá)給進(jìn)程的時(shí)候,這些進(jìn)程就開始對(duì)目標(biāo)主機(jī)發(fā)起攻擊。這種方式可以集中大量的網(wǎng)絡(luò)服務(wù)器帶寬,對(duì)某個(gè)特定目標(biāo)實(shí)施攻擊,因而威力巨大,頃刻之間就可以使被攻擊目標(biāo)帶寬資源耗盡,導(dǎo)致服務(wù)器癱瘓。比如1999年美國明尼蘇達(dá)大學(xué)遭到的黑客攻擊就屬于這種方式。(4)網(wǎng)絡(luò)監(jiān)聽系統(tǒng)內(nèi)的?臺(tái)主機(jī)并取得超級(jí)??權(quán)限后，若要登錄其他上連接于同??段的主機(jī)，通常被?做獲取???令。3.黑客攻擊的危害(1)危害單位安全。5黑客可憑借高超的黑客技術(shù),非法闖入單位的辦公網(wǎng)絡(luò),干擾辦公系統(tǒng)的正常工作,竊取、調(diào)閱和篡改有關(guān)資料,造成敏感信息泄密等。例如:2000年2月7日,全球聞名的美國搜索引擎網(wǎng)站"雅虎",由于受到黑客入侵,大部分服務(wù)陷于癱瘓。在隨后的3天里,又有多家美國網(wǎng)站先后被黑客襲擊,導(dǎo)致服務(wù)中斷。在情況最嚴(yán)重的2月9日,全美國因特網(wǎng)的運(yùn)行性能下降了26.8%o2006年10月16日,中國黑客李俊發(fā)布了熊貓燒香木馬進(jìn)行攻擊,并在短短時(shí)間內(nèi),致使中國數(shù)百萬企業(yè)用戶及個(gè)人電腦受到感染,并波及到周邊國家。(2)造成經(jīng)濟(jì)損失黑客在利用工具獲取辦公網(wǎng)絡(luò)權(quán)限或竊取重要信息后,會(huì)對(duì)辦公網(wǎng)絡(luò)進(jìn)行破壞或?qū)ζ髽I(yè)進(jìn)行勒索。1999年,梅利莎病毒(Melissa)使世界上300多家公司的電腦系統(tǒng)崩潰,該病毒造成的損失接近4億美金,它是首個(gè)具有全球破壞力的病毒。2000年5月,菲律賓學(xué)生奧內(nèi)爾·古茲曼炮制的"愛蟲"病毒造成高達(dá)100億美元的損失。三、數(shù)據(jù)破壞1.辦公網(wǎng)絡(luò)數(shù)據(jù)破壞的隱患變化甚?是損壞。計(jì)算機(jī)?的重要的數(shù)據(jù)、檔可抗?因素導(dǎo)致數(shù)據(jù)被破壞時(shí)，單位的數(shù)據(jù)安全?臨極?的威脅。?恢復(fù)或者重建這些數(shù)據(jù)可能需要耗費(fèi)?量的??、物?與財(cái)?，更甚者，有些是?法恢復(fù)的，2.辦公網(wǎng)絡(luò)數(shù)據(jù)破壞的呈現(xiàn)方式(1)硬盤驅(qū)動(dòng)器損壞一個(gè)硬盤驅(qū)動(dòng)器的物理損壞意味著數(shù)據(jù)丟失。設(shè)備的運(yùn)行損耗、存儲(chǔ)介質(zhì)失效、運(yùn)行環(huán)境以及人為的破壞等,都能對(duì)硬盤驅(qū)動(dòng)器設(shè)備造成影響。(2)人為誤操作由于操作失誤,使用者可能會(huì)誤刪除系統(tǒng)的重要文件,或者修改影響系統(tǒng)運(yùn)行的(3)病毒辦公電腦感染病毒而導(dǎo)致數(shù)據(jù)破壞,造成重大經(jīng)濟(jì)損失,計(jì)算機(jī)病毒的復(fù)制能力強(qiáng),感染性強(qiáng),特別是網(wǎng)絡(luò)環(huán)境下,傳播性更快,容易造成數(shù)據(jù)破壞范圍的進(jìn)一步擴(kuò)大。3.辦公網(wǎng)絡(luò)數(shù)據(jù)破壞的危害辦公?絡(luò)數(shù)據(jù)遭到破壞后，會(huì)導(dǎo)致許多不利后果，例如：數(shù)據(jù)破壞導(dǎo)致單位的聲譽(yù)受損，導(dǎo)致單位辦公?絡(luò)不能正常運(yùn)?，導(dǎo)致單位財(cái)產(chǎn)受到損失。辦公網(wǎng)絡(luò)安全事件篇一、辦公電腦病毒木馬事件1.問題防范(1)安裝殺毒軟件殺毒軟件,也稱反病毒軟件或防毒軟件,是用于消除電腦病毒、特洛伊木馬和惡意軟件等計(jì)算機(jī)威脅的一類軟件。殺毒軟件通常集成監(jiān)控識(shí)別、病毒掃描和清除、自動(dòng)升級(jí)、主動(dòng)防御等功能,是查殺電腦病毒的重要工具。(2)實(shí)時(shí)更新病毒庫任何一種殺毒軟件都是根據(jù)病毒的特征來判斷文件是否為病毒和是否已經(jīng)感染病毒的,而這些病毒的特征會(huì)被記錄在一個(gè)文件中,這個(gè)文件就是病毒庫。以往殺毒軟件一般是每隔幾天就會(huì)更新病毒庫,隨著電腦病毒數(shù)量的劇增,殺毒軟件更新病毒庫的速度加快了,更新速度甚至是以小時(shí)來計(jì)算,因此,可開啟病毒庫自動(dòng)更新功能,實(shí)時(shí)更新病毒庫。7(3)提高防病毒意識(shí)①要警惕各類網(wǎng)站,不安裝陌生程序②陌生的電子郵件盡量不要打開,更不要打開附件③警惕通信軟件(QQ、企業(yè)微信)附帶的病毒傳播④U盤接入辦公環(huán)境要先進(jìn)行病毒查殺后再打開S在辦公環(huán)境中,盡量不要共享或者使用別人的共享(文件夾、應(yīng)用等),若必須使用,應(yīng)先對(duì)文件進(jìn)行病毒查殺后再打開。6不要將工作U盤帶家自用,或者將家用U盤帶辦公電腦使用2.問題處理當(dāng)察覺到辦公電腦有了感染病毒的征兆,要牢記三點(diǎn):冷靜面對(duì)、仔細(xì)觀察、認(rèn)真分析,判斷辦公電腦是機(jī)器故障還是感染病毒。辦公電腦是否中病毒的判斷:(1)經(jīng)常死機(jī)病毒可以運(yùn)行大量惡意程序,造成辦公電腦不穩(wěn)定,占用大量的內(nèi)存和磁盤空間造成硬盤空間不夠、網(wǎng)絡(luò)速度變慢,可造成辦公電腦出現(xiàn)卡頓、死機(jī)現(xiàn)象。內(nèi)存質(zhì)量差、硬件超頻性能差、運(yùn)行大容量軟件、硬件配置低,也可造成辦公電腦出現(xiàn)卡頓、經(jīng)常死機(jī)現(xiàn)象。因此,在辦公電腦出現(xiàn)卡頓、經(jīng)常死機(jī)現(xiàn)象時(shí),應(yīng)首先判斷是否因?yàn)榘惭b、運(yùn)行大容量軟件造成磁盤剩余空間不足,或硬件配置低、內(nèi)存質(zhì)量差等原因。若以上問題都排除,再將該類故障都?xì)w咎為病毒感染進(jìn)行處理。(2)系統(tǒng)無法啟動(dòng)病毒可以修改硬盤的引導(dǎo)信息,或刪除了某些啟動(dòng)文件,如引導(dǎo)型病毒引導(dǎo)文件損壞,可造成系統(tǒng)無法啟動(dòng)的現(xiàn)象。硬盤損壞或參數(shù)設(shè)置不正確、系統(tǒng)文件人為誤刪除等也可造成系統(tǒng)無法啟動(dòng)的現(xiàn)象。因此,在辦公電腦出現(xiàn)系統(tǒng)無法啟動(dòng)現(xiàn)象時(shí),應(yīng)首先判斷硬盤是否存在壞道、是否在PE模式下人為誤刪除了啟動(dòng)引導(dǎo)文件。若以上問題都排除,再將該類故障都?xì)w咎為病毒感染進(jìn)行處理。(3)出現(xiàn)大量來歷不明的文件8病毒可復(fù)制文件,可造成辦公電腦出現(xiàn)大量來歷不明的文件。某些軟件的安裝會(huì)產(chǎn)??量臨時(shí)?件、某些軟件的配置及運(yùn)?也可產(chǎn)??量?件。因此,在辦公電腦出現(xiàn)大量來歷不明的文件時(shí),應(yīng)首先判斷是不是某些軟件安裝產(chǎn)生的大量臨時(shí)文件、是不是某些軟件的配置信息及運(yùn)行記錄。若以上問題都排除,再將該類故障都?xì)w咎為病毒感染進(jìn)行處理。(4)鍵盤或鼠標(biāo)無端地鎖死病毒可運(yùn)行惡意程序,可導(dǎo)致鍵盤或鼠標(biāo)被鎖死。鍵盤或鼠標(biāo)損壞、主板上鍵盤或鼠標(biāo)接口損壞、所運(yùn)行的程序太大、長時(shí)間系統(tǒng)繁忙,也可導(dǎo)致鍵盤或鼠標(biāo)不起作用。因此,在辦公電腦出現(xiàn)鍵盤或鼠標(biāo)無端地鎖死的情況時(shí),應(yīng)首先判斷是不是鍵盤或鼠標(biāo)損壞、主板上鍵盤或鼠標(biāo)接口損壞、所運(yùn)行的程序太大、長時(shí)間系統(tǒng)繁忙。若以上問題都排除,再將該類故障都?xì)w咎為病毒感染進(jìn)行處理。(5)系統(tǒng)自動(dòng)執(zhí)行操作病毒感染后可在后臺(tái)執(zhí)行非法操作,表現(xiàn)為系統(tǒng)自動(dòng)重啟、文件或程序自動(dòng)打開。用戶在注冊(cè)表或啟動(dòng)組中設(shè)置了有關(guān)程序的自動(dòng)運(yùn)行、某些軟件安裝或升級(jí)后需自動(dòng)重啟系統(tǒng)等也可導(dǎo)致系統(tǒng)自動(dòng)執(zhí)行操作。因此,在辦公電腦出現(xiàn)系統(tǒng)自動(dòng)執(zhí)行操作的情況時(shí),應(yīng)首先判斷是不是用戶在注冊(cè)表或啟動(dòng)組中設(shè)置了有關(guān)程序的自動(dòng)運(yùn)行、某些軟件安裝或升級(jí)后自動(dòng)重啟系統(tǒng)。若以上問題都排除,再將該類故障都?xì)w咎為病毒感染進(jìn)行處理。辦公電腦中病毒后的處理:(1)立即斷開網(wǎng)絡(luò)或關(guān)機(jī),但不能重啟電腦第一步需要根據(jù)病毒癥狀表現(xiàn)輕重來決定只是斷開網(wǎng)絡(luò)還是立即關(guān)機(jī)。如果病毒癥狀表現(xiàn)較輕,基本不影響正常操作,此時(shí)應(yīng)該立即斷開網(wǎng)絡(luò)。因?yàn)椴《景l(fā)作后,可能向外發(fā)送你的個(gè)人信息、病毒等,使危害進(jìn)一步擴(kuò)大。斷開?絡(luò)的?法?較多，最簡(jiǎn)單的辦法就是撥下?線，這也是最?脆的辦法。如果部署了防?墻設(shè)備，可以在防?墻中直接斷開?絡(luò)，如果沒有防?墻，那么可如果病毒癥狀表現(xiàn)較重,比如硬盤燈狂閃,操作失常,安全軟件失效等等,此時(shí)應(yīng)該立即關(guān)機(jī),如關(guān)機(jī)失敗則強(qiáng)行斷電關(guān)機(jī),然后進(jìn)入PE備份文件。無論如何,都不能重啟電腦,否則可能使病毒從啟動(dòng)開始全面控制電腦,這樣可能會(huì)造成更大的損失。(2)備份重要文件如果病毒表現(xiàn)較輕,斷開網(wǎng)絡(luò)后,把電腦中重要的數(shù)據(jù)、郵件、文檔,包括C盤以外的分區(qū)上的重要文件,立即備份到其它設(shè)備上,例如移動(dòng)硬盤、光盤等。盡管要備份的這些文件可能包含病毒,但這要比殺毒軟件在查毒時(shí)將其刪除要好的多。更何況病毒發(fā)作后,很有可能就進(jìn)不了系統(tǒng),因此中毒后及時(shí)備份重要文件是減輕損失最重要的做法之一。如果平時(shí)就注意備份重要文件,這一步會(huì)很輕松的完成。如果病毒發(fā)作后造成電腦無法工作或關(guān)機(jī)重啟,那就需要使用外在啟動(dòng)設(shè)備,比如光盤,U盤等,啟動(dòng)到PE下進(jìn)行備份。如果手頭沒有PE啟動(dòng)工具,那只好暫時(shí)關(guān)機(jī)等待,等有了這些工具再來備份文件。(3)恢復(fù)或重裝系統(tǒng)后全面殺毒在備份好重要文件后,我們先進(jìn)行恢復(fù)或重裝系統(tǒng),然后全面殺毒。這里需要注意以下三點(diǎn):①如果病毒感染了MBR或破壞了分區(qū)表,可能恢復(fù)系統(tǒng)后無法正常啟動(dòng)、分區(qū)丟失或無法安裝系統(tǒng),這種情況比較少,但一旦遇到危害較大。如果平時(shí)沒有備份分區(qū)表和MBR就比較麻煩了,所以推薦一定要備份一下。如果有備份,則先想辦法(比如使用DiskGenius軟件)恢復(fù)MBR和分區(qū)表。②恢復(fù)或安裝系統(tǒng)后,一定不要隨便打開C盤以外其他分區(qū),避免再次中毒的可能。先安裝和更新殺毒軟件到最新病毒庫,然后對(duì)電腦所有硬盤進(jìn)行全面查殺;建議先對(duì)殺毒軟件進(jìn)行必要的設(shè)置,例如掃描壓縮包中的文件、掃描電子郵件等,同時(shí)設(shè)置對(duì)帶病毒文件的處理方式,例如可以將其設(shè)為"清除病毒"或"隔離",而不是直接"刪除文件",這樣做的目的是防止將重要的文件因?yàn)檎`操作而被刪除。如果確認(rèn)重要文件已備份,其他分區(qū)已沒有需要的文件,也可以考慮重新分區(qū)或直接格式化各分區(qū)。③如果已經(jīng)注意了前面兩點(diǎn),恢復(fù)備份后還有毒,可能本機(jī)的備份已被病毒破壞,可以考慮恢復(fù)儲(chǔ)存在移動(dòng)硬盤或光盤上的備份。(4)更改重要資料設(shè)定由于病毒、木馬很多時(shí)候都是以竊取用戶個(gè)人資料為目的,因此在進(jìn)行了全面殺毒操作之后,必須將一些重要的個(gè)人資料,例如Email賬戶密碼等重新設(shè)置。尤其是查殺出后發(fā)現(xiàn)是木馬程序的,更加需要進(jìn)行這項(xiàng)工作。有些郵箱可以設(shè)置郵件轉(zhuǎn)發(fā)功能,如Gmail,這個(gè)時(shí)候也要檢查一下,是否有設(shè)置郵件轉(zhuǎn)發(fā)了。以上只是一般情況下的中毒后的對(duì)待方式,對(duì)于某些會(huì)造成特殊危害的病毒,可能需要根據(jù)具體情況去對(duì)待。電腦系統(tǒng)出現(xiàn)中毒比較厲害情況,造成資料的損失,不要只從技術(shù)上去補(bǔ)救完善,還要多從日常工作上找找原因,清除干擾的因素,避免再次出現(xiàn)損失。二、辦公環(huán)境黑客攻擊事件1.問題防范(1)關(guān)閉高危端口辦公電腦高危端口是引發(fā)黑客攻擊的重要原因,因此,關(guān)閉高危端口尤為重要。常見的高危端口有:21端口:主要用于FTP(FileTransferprotocol,文件傳輸協(xié)議)服務(wù)。內(nèi)網(wǎng)ARP欺騙、溢出入侵常用端口。23端口:主要用于Telnet(遠(yuǎn)程登錄)服務(wù),是InternEt上普遍采用的登錄和仿真程序。暴力破解攻擊常用端口。5554端口:種針對(duì)微軟lsass服務(wù)的新蠕蟲病毒震蕩波,該病毒可以利用TCP5554端口開啟一個(gè)FTP服務(wù),主要被用于病毒的傳播。445端口:文件或打印機(jī)共享服務(wù)。蠕蟲攻擊、勒索病毒的常用端口。135端口:用于使用RPC協(xié)議并提供DCOM(分布式組件對(duì)象模型)服務(wù)。"沖擊波"病毒攻擊常用端口。139端口:通過這個(gè)端口進(jìn)入的連接獲得NetBOS/SMB服務(wù)。"IPC$漏洞"攻擊常用端口。windows操作系統(tǒng)關(guān)閉高危端口的方法:①在"開始"菜單選擇"運(yùn)行",輸入"gpedit.msc"后回車,打開本地組策略編輯器。依次展開"計(jì)算機(jī)配置-windows設(shè)置---安全設(shè)置--ip安全策略,在本地計(jì)算機(jī)"②以關(guān)閉139端口為例(其他端口操作相同):③在本地組策略編輯器右邊空白處右鍵單擊鼠標(biāo),選擇"創(chuàng)建IP安全策略",彈出IP安全策略向?qū)?duì)話框,單擊下一步;在出現(xiàn)的對(duì)話框中的名稱處寫"關(guān)閉端口"(可隨意填寫),點(diǎn)擊下一步;對(duì)話框中的"激活默認(rèn)響應(yīng)規(guī)則"選項(xiàng)不要勾選,然后單擊下 步;勾選"編輯屬性",單擊完成。1213④在出現(xiàn)的"關(guān)閉端口屬性"對(duì)話框中,選擇"規(guī)則"選項(xiàng)卡,去掉"使用添加向?qū)?前邊的勾后,單擊"添加"按鈕。14在彈出的"新規(guī)則屬性"對(duì)話框中,選擇"IP篩選器列表"選項(xiàng)卡,單擊左下角的"添加",命名為"關(guān)閉139"。去掉使用添加向?qū)У墓催x,然后選擇"添加"15在出現(xiàn)的"IP篩選器屬性"對(duì)話框中,選擇"地址"選項(xiàng)卡,"源地址"選擇"任何","目標(biāo)地址"選擇"我的IP地址";選擇"協(xié)議"選項(xiàng)卡,各項(xiàng)設(shè)置如圖片中所示。設(shè)置好后點(diǎn)擊"確定"。返回到"ip篩選器列表",點(diǎn)擊"確定"。返回到"新規(guī)則屬性"對(duì)話框179在"篩選器操作屬性"中,選擇"安全方法"選項(xiàng)卡,選擇"阻止"選項(xiàng);在"常規(guī)"選項(xiàng)卡中,對(duì)該操作命名,點(diǎn)確定18在組策略編輯器中,可以看到剛才新建的"關(guān)閉端口"規(guī)則,選中它并單擊鼠標(biāo)右鍵,選擇"分配"選項(xiàng),使該規(guī)則可開始應(yīng)用。(2)經(jīng)常升級(jí)系統(tǒng)版本任何一個(gè)版本的系統(tǒng)發(fā)布之后,在短時(shí)間內(nèi)都不會(huì)受到攻擊,一旦其中的問題暴露出來,黑客就會(huì)蜂擁而致。因此在維護(hù)系統(tǒng)的時(shí)候,可以定期在安全站點(diǎn)找到系統(tǒng)的新版本或者補(bǔ)丁程序進(jìn)行安裝,這樣就可以保證系統(tǒng)中的漏洞在沒有被黑客發(fā)現(xiàn)之前,就已經(jīng)修補(bǔ)上了,從而保證了服務(wù)器的安全。windows10操作系統(tǒng)升級(jí)方法:①點(diǎn)擊"開始"→"設(shè)置",進(jìn)入到設(shè)置界面。20②在界面中找到"更新和安全"選項(xiàng),點(diǎn)擊進(jìn)入"更新和安全"選項(xiàng)。③點(diǎn)擊左側(cè)的"windows更新"選項(xiàng)進(jìn)入。21S等待windows系統(tǒng)更新下載完成。點(diǎn)擊"立即重新啟動(dòng)"按鈕完成更新。2.問題處理2.1辦公電腦是否遭受黑客攻擊的判斷黑客攻擊事件的表象有很多,而且因?yàn)楹诳凸羰侄纬３０殡S著木馬病毒