网络中的个人计算机安全.docx
- 文档编号:26018735
- 上传时间:2023-06-17
- 格式:DOCX
- 页数:23
- 大小:1.72MB
网络中的个人计算机安全.docx
《网络中的个人计算机安全.docx》由会员分享,可在线阅读,更多相关《网络中的个人计算机安全.docx(23页珍藏版)》请在冰豆网上搜索。
网络中的个人计算机安全
网络中的个人计算机安全
目录
1.计算机网络面临的安全威胁2
2.电脑感染途径3
3.计算机感染病毒木马的症状4
4.为什么杀毒软件不杀病毒4
5.主机入侵防御系统(HIPS)5
5.1HIPS介绍5
5.2HIPS安全测试7
6.沙盘技术9
7.Windows7的安全特性10
7.1InternetExplorer810
7.2DataExecutiveProtection(数据执行保护)12
7.3UAC(UserAccountControl,用户帐户控制)13
7.4Session0隔离15
8.外国版的36016
9.推荐使用的杀毒软件和浏览器18
10.好的使用习惯是安全的基础19
11.总结20
1.计算机网络面临的安全威胁
网络信息安全分为网络安全和信息安全两个层面。
网络安全包括系统安全,即硬件平台、操作系统、应用软件;运行服务安全,即保证服务的连续性、高效率;信息安全则是指对信息的精确性、真实性、机密性、完整性、可用性和效用性的保护。
网络信息安全是网络赖以生存的根基,只有安全得到保障,网络才能充分发挥自身的价值。
然而,随着互联网的迅速发展和广泛应用,计算机病毒、木马数量也在呈现爆炸式增长。
据金山毒霸“云安全”中心监测数据显示,2008年,金山毒霸共截获新增病毒、木马13899717个,与2007年相比增长48倍,全国共有69738785台计算机感染病毒,与07年相比增长了40%。
在新增的病毒、木马中,新增木马数达7801911个,占全年新增病毒、木马总数的56.13%;黑客后门类占全年新增病毒、木马总数的21.97%;而网页脚本所占比例从去年的0.8%跃升至5.96%,成为增长速度最快的一类病毒。
该中心统计数据还显示,90%的病毒依附网页感染用户,这说明,人类在尽情享受网络信息带来的巨大财富和便捷的同时,也被日益严峻的网络信息安全问题所困扰。
2.电脑感染途径
图2-1电脑感染病毒木马的途径
从中可以看出,网络下载或浏览网页占感染的大多数,有47.8%,然后就是移动储存介质,占了26.8%,接下来,还有电子邮件、局域网和其他途径。
3.计算机感染病毒木马的症状
计算机无法开机
计算机常死机、黑屏、无故重启
计算机的执行速度变慢、无法使用某些软件
出现奇怪的对话窗口或报错
系统配置莫名其妙地被更改或禁止(如首页、时间、桌面、屏保、启动项等)
出现奇怪的文件(目录)、文件大小被改变、某些文件被损毁或无法打开
QQ密码、卡密码被盗
计算机不停的读写硬盘
4.为什么杀毒软件不杀病毒
“为什么安装了杀毒软件,我们还会感染木马和病毒?
”这想必是大家经常询问的问题,也是反病毒厂商头痛的问题。
要想说清楚这个问题,就不得不提及一个名词——免杀。
单从汉语“免杀”的字面意思来理解,可以将其看为一种能使病毒木马避免被杀毒软件查杀的技术。
但是不得不客观地说,免杀技术的涉猎面非常广,您可以由此轻松转型为反汇编、逆向工程甚至系统漏洞的发掘等其他顶级黑客技术,由此可见免杀并不简单。
说到免杀,就涉及到杀毒软件对病毒的定位方法,也就是特征码定位。
特征码:
能识别一个程序是一个病毒的一段不大于64字节的特征串。
为了减少误报率,一般杀毒软件会提取多段特征串,这时,我们往往改一处就可达到免杀效果,当然有些杀毒软件要同时改几处才能免杀。
特征码的查找方法:
文件中的特征码被我们填入的数据(比如0)替换了,杀毒软件就不会报警,以此确定特征码的位置。
5.主机入侵防御系统(HIPS)
5.1HIPS介绍
图5-1MalwareDefender使用界面
HostIntrusionPreventSystem-主机入侵防御系统。
HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改,并向你报告请求允许的的软件。
如果你阻止了,那么它将无法运行或者更改。
比如你双击了一个病毒程序,HIPS软件跳出来报告而你阻止了,那么病毒还是没有运行的。
引用一句话:
”病毒天天变种天天出新,使得杀软可能跟不上病毒的脚步,而HIPS能解决这些问题。
”。
HIPS是以后系统安全发展的一种趋势,只要你有足够的专业水平,你可以只用HIPS而不需杀毒软件。
但是HIPS并不能称为防火墙,最多只能叫做系统防火墙,它不能阻止网络上其他计算机对你计算机的攻击行为。
(注:
目前一些HIPS已经集成了网络防火墙的功能。
)
MalwareDefender是一个HIPS(主机入侵防御系统)软件,它可以有效的保护您的计算机系统免受恶意软件(病毒、蠕虫、木马、广告软件、间谍软件、按键记录软件、rootkit等)的侵害。
MalwareDefender也是一个rootkit检测软件,它提供了很多有效的工具来检测和删除已经安装在您的计算机系统中的恶意软件。
无论您是否是一个计算机专家用户,MalwareDefender都是您保护您的系统的理想选择。
主要功能:
一、实时保护系统:
监控对进程、注册表、文件和网络的可疑操作,即4D防御。
能够检测到各种已知和未知的恶意软件。
提供学习模式和安静模式。
比较高的性能和比较低的资源占用。
二、进程管理器:
检测隐藏进程和线程。
检测未通过签名验证的进程和模块。
使用底层技术结束进程和线程。
挂起/恢复进程和线程。
卸载进程模块。
关闭进程句柄。
三、内核模块管理器:
检测隐藏内核模块和内核线程。
检测未通过签名验证的内核模块。
结束、挂起或恢复内核线程。
删除内核延迟调用定时器。
四、钩子检测器:
检测并恢复系统服务表钩子(SSDT钩子)。
检测并恢复Win32K服务表钩子(shadowSSDT钩子)。
检测并恢复中断描述表钩子(IDT钩子)。
检测并恢复SYSENTER处理例程。
检测并恢复内核对象钩子。
检测并恢复系统通知例程。
检测并恢复内核模式代码钩子。
检测并恢复用户模式代码钩子。
检测并恢复全局消息钩子。
检测附加设备。
检测驱动程序分发例程。
五、自动运行程序管理器:
搜索所有已知的自动运行程序所在位置。
检测隐藏自动运行程序。
检测新增的自动运行程序。
允许撤销和重做对自动运行程序的删除操作。
六、文件浏览器:
检测隐藏的文件和文件夹。
显示和删除NTFS数据流。
删除使用中的文件。
七、注册表编辑器:
全功能注册表编辑器。
检测隐藏注册表条目。
图5-2MalwareDefender的规则展示
手工的HIPS软件,其规则设置是一件非常重要的事情,如果规则设置得不好,弹出的询问框就会很多,让人不胜其烦。
合理地设置各种保护规则,不仅可以全面地保护监控系统,而且可以大大减少弹出询问框的数量,使用起来更省心。
网上有许多高手设置的规则,直接套用就可以方便省心省力地保护系统。
退出MalwareDefender并停止所有保护,将下载的规则文件包解压后,复制规则文件“rules.dat”,粘贴到MD安装目录下替换同名文件。
然后重新运行MD,改回正常全面保护模式即可。
也可以在MD界面中点击菜单“规则→导入”,将下载的规则文件使用导入功能导入启用。
要注意的是,使用导入方式会保留原有的一些规则,覆盖重复规则,为避免自设规则与导入规则冲突,最好使用覆盖方式使用。
导入规则后,有一些正常的软件可能还不能用,可以开启学习模式,或者设置例外。
推荐根据阻止日志来设立例外规则(见图7),设置时要活用通配符。
5.2HIPS安全测试
安全测试简介,使用2502机房的病毒做测试,打开有健全安全规则的MD软件。
如图5-3
然后,查看MD软件的日志文件,观看病毒运行情况。
如图5-4
通过查看日志,可以得出结论,MalwareDefender完全防御住了这个病毒。
图5-3启动MalwareDefender的安全监控
图5-4查看MalwareDefender安全日志
6.沙盘技术
图6-1沙盘的工作原理
沙盘也为HIPS的一种,称为沙盘HIPS。
Sandboxie是一款专业的虚拟类软件,它的工作软件:
通过重定向技术,把程序生成和修改的文件,定向到自身文件夹中。
当然,这些数据的变更,包括注册表和一些系统的核心数据。
通过加载自身的驱动来保护底层数据,属于驱动级别的保护。
我个人是用Sandboxie来测试病毒的,在里面运行病毒可以说也是安全操作。
在360浏览器的文件夹中(桌面快捷方式的目标的上一级路径,除了浏览器程序之外还有一个文件夹),你可以找到Sandboxie的安全程序,以及调出它的程序控制台SbieCtrl.exe。
版本是英文的,但官方有中文版。
360浏览器为什么安全?
不是因为它是360的产品,也不是因为它的浏览器程序是TheWorld,也不是什么扫描检查。
是因为Sandboxie这个软件。
Sandboxie(英译“沙盘”)允许你在“沙盘环境”中运行浏览器或其他程序,这个“沙盘”个人感觉就是跟“影子”一样的概念罢了。
因此,在沙盘中运行的程序所产生的变化可以随时删除。
可用来保护浏览网页时真实系统的安全,也可以用来清除上网、运行程序的痕迹,还可以用来测试软件,测试病毒等用途。
即使在沙盘进程中下载的文件,也可以随着沙盘的清空而删除。
如果对“影子”、“沙盘”这2个概念还不清楚的话,这里引用官方的一段话:
电脑就像一张纸,程序的运行与改动,就像将字写在纸上。
而Sandboxie就相当于在纸上放了块玻璃,程序的运行与改动就像写在了那块玻璃上,除去玻璃,纸上还是一点改变都没有的。
如果还需要再解释一下的话,Sandboxie就是相当于在你要运行的程序与系统之间建立一个隔离层,当我们运行程序的时候,就会将程序直接调入该隔层中,此后,程序对系统所做的修改,都会被限制在这个隔离层中,而不会真正地去触及系统。
这样的话,就算电脑感染了病毒和木马,也不会对系统造成真正的伤害。
是不是跟影子系统很像?
呵呵,其实它们之间还有一个很大的区别,就是影子系统是对整个系统进行保护,而Sandboxie是对电脑的局部进行保护。
Sandboxie一般是设置某个程序在“沙盘”中运行,而不是将整个Windows都置于“影子”模式下。
也就是可以很灵活地设置一个或几个觉得“危险”的程序运行在“沙盘”,而其他一切则正常运行。
因此,对普通用户来说,Sandboxie的局部保护功能可能会更加方便。
而且,用户还可以设置让Sandboxie像影子系统一样对整个系统进行保护的哦。
上网无忧,在沙盘中运行浏览器
我们打开SandBoxie后,在右下角的图标中右键选择“运行沙盘→IE浏览器”,这时候会自动弹出标题栏中有两个“[#]”符号的IE浏览器,这就说明IE已经处于保护状态。
去掉保护之后,历史记录连同IE之间安装过的流氓插件、下载的文件都会随之消失。
提醒:
Sandboxie本身只能对第一个IE浏览器进程进行保护,不过用桌面上Sandboxie的保护IE的快捷方式来上网,无论打开多少个IE浏览器,都在保护状态下。
测试安装危险程序
木马和病毒总是比杀毒软件抢先一步。
所以我们在安装程序的时候,即时杀毒软件没有报毒,也存在一定的风险。
但使用Sandboxie后,就会将风险降低为零了。
选要安装或解压的不明程序,按鼠标右键,选择“用沙盘运行”(图3),就会以保护的形式来安装或解压该程序。
同样,在程序的安装窗口中会发现标题栏上有两个“[#]”符号代表受保护。
笔者在安装一个捆绑木马的程序时做了保护措施。
恢复系统之后,发现在这期间安装的程序包括木马都消失了,相当的安全。
保护整个电脑,充当半个“影子系统”
Sandboxie还提供整个电脑的保护,在Sandboxie中选择“功能”菜单,然后“选择运行沙盘→Windows资源管理器”,就会自动弹出有两个“[#]”符号的“我的电脑”窗口。
之后对整个电脑进行任意操作,包括格式化分区、删除文件、拷贝文件等都很安全。
恢复的方法很简单。
在Sandboxie主界面选择“配置→沙盘设置→设置自动清理选项”,将隔离层中的内容清除即可。
7.Windows7的安全特性
7.1InternetExplorer8
随着网络威胁的演进,人们需要确保能够安全地上网。
通过让人们更好地控制和保护数据,IE8提升了用户的信息。
IE8提供了端到端的安全与隐私保护解决方案,主要涉及社会工程、针对网络服务器攻击的新型防御措施以及针对浏览器的安全防护改进。
IE8在安全与隐私保护方面的改进包括:
InPrivate:
InPrivate通过避免在PC上保留用户的数据和隐私信息来提供防护。
这是一种针对第三方的防护,他们可能跟踪用户的网络活动。
用户能够独立地使用两种功能(InPrivate浏览与InPrivate过滤)。
InPrivate浏览:
启用后,InPrivate浏览确保不会在PC上记录浏览历史、临时Internet文件和cookies。
在InPrivate模式下,工具条和扩展工具会自动禁用,而浏览历史会在浏览器关闭时自动删除。
InPrivate筛选:
InPrivate筛选让用户可以阻止旨在跟踪和收集用户网络活动的第三方内容,从而帮助保护用户隐私。
用户会被提醒,能够选择和控制允许或阻止那些第三方内容。
兼容性视图:
IE8提供了一种简单的方式来修复显示问题,例如菜单、图像和文本的错位,因为兼容性查看按钮可以按照页面最初的设计进行显示。
某些网站针对旧版浏览器而设计,因此无法在IE8中正常显示。
在默认情况下,IE8会以最符合标准的方式渲染内容。
兼容性视图列表:
使用IE8的用户可以选择接收在兼容性视图中效果最好的主要站点列表。
当浏览这个列表中的网站时,IE8会自动在兼容性视图模式下自动显示这个网站,而不要求用户按兼容性按钮。
自动崩溃恢复:
在IE8中,如果某个选项卡崩溃,则会自动恢复并重新载入,用户在这个页面上已经输入的任何信息(例如撰写电子邮件或填表)都有可能恢复。
删除浏览历史记录:
IE8强化了删除浏览历史记录的功能,支持删除某些cookies、历史记录和其他数据,同时保留针对喜欢站点的cookies、历史记录和其他数据。
SmartScreen筛选器:
SmartScreen筛选器源于微软的钓鱼攻击过滤器,帮助防护更广泛的钓鱼威胁以及阻止试图下载恶意软件的网站。
现在,SmartScreen筛选器更加易于使用,提供强化的用户界面和报警信息,减少用户点击恶意网站的机会。
点击劫持预防:
IE8的这个新特性让网站内容负责人可以在页头处增加一个标签,帮助防止点击劫持——一种跨站点请求欺诈行为。
点击劫持包括多种技术,用来欺骗用户无意地点击隐藏或不明显的Web元素,通常会引起意料之外的活动。
IE8检测插入标签的网站并显示错误屏幕来表明内容主机已经选择不允许显示内容,同时让用户可以选择在新窗口中打开内容。
跨站点脚本(XSS)筛选器:
IE8帮助保护用户和系统避免信息泄露、cookie被盗和帐户/身份被盗,或者在不经用户允许的情况下假冒用户。
XSS攻击是利用网络服务器和网络应用进行攻击的一种新型攻击方式。
IE8拥有XSS过滤器,能够动态地检测1类XSS(反射)攻击。
数据执行防护(DEP):
DEP在WindowsVistaServicePack1中的IE8内默认启用,通过防止特定类型的代码写入可执行内存区,这种安全功能可以帮助防止病毒和其他安全威胁损害计算机。
跨文件消息通讯(XDM):
XDM提供了一种高度安全的方法,让不同的文档可以在双方同意的情况下进行通信。
XDM为双向跨文件通信提供了基于标准、性能更好的机制。
IE8还提供StaticHtml方法和本地JavaScriptObjectNotation支持,在不牺牲性能的情况下保护数据。
跨域请求(XDR):
IE8支持XDomainRequest对象,后者可以用来更安全地从另外一个域的服务器上请求公共资源。
跨域通信是AJAX开发和网状应用中不可缺少的一部分。
XDR现在检查特定网址和通配符的Access-Control-Allow-Origin。
只有当服务器信号清楚地表明跨域共享数据时,跨域数据才可用,帮助保护传统服务器不受攻击。
域名高亮显示:
IE8以粗体字高亮显示地址栏中的网址字符串的域名,让用户更轻松地辨别他们正在访问那个网站,并帮助他们识别钓鱼网站和其它欺骗性网站。
域名以黑色字体显示,网址中其他的灰色字符相区别。
网站ActiveX:
网站ActiveX通过提供“隐含的”SiteLock(限制特定网域访问的工具)减少攻击面,这样,在默认情况下,控制只会在安装后开始运行。
这使用户/管理员能管理哪些位置可以运行ActiveX。
单用户ActiveX:
单用户ActiveX使开发人员能编写他们的ActiveX控件,这样当用户进行安装时,只会安装供该用户使用,而非供系统上的所有用户使用,并且为其他用户提供防止恶意软件或坏写入控制的保护。
7.2DataExecutiveProtection(数据执行保护)
是可以帮助防止数据页执行代码。
通常情况下,不从默认堆和堆栈执行代码。
硬件实施DEP检测从这些位置运行的代码,并在发现执行情况时引发异常。
软件实施DEP可帮助阻止恶意代码利用Windows中的异常处理机制进行破坏。
硬件实施DEP是某些DEP兼容处理器的功能,可以防止在已标记为数据存储区的内存区域中执行代码。
此功能也称为非执行和执行保护。
WindowsXPSP2还包括软件实施DEP,其目的在于减少利用Windows中的例外处理机制的情况。
与防病毒程序不同,硬件和软件实施DEP技术的目的并不是防止在计算机上安装有害程序。
而是监视您的已安装程序,帮助确定它们是否正在安全地使用系统内存。
为监视您的程序,硬件实施DEP将跟踪已指定为“不可执行”的内存区域。
如果已将内存指定为“不可执行”,但是某个程序试图通过内存执行代码,Windows将关闭该程序以防止恶意代码。
无论代码是不是恶意,都会执行此操作。
7.3UAC(UserAccountControl,用户帐户控制)
UAC(UserAccountControl,用户帐户控制)是微软为提高系统安全而在WindowsVista中引入的新技术,它要求用户在执行可能会影响计算机运行的操作或执行更改影响其他用户的设置的操作之前,提供权限或管理员密码。
通过在这些操作启动前对其进行验证,UAC可以帮助防止恶意软件和间谍软件在未经许可的情况下在计算机上进行安装或对计算机进行更改。
图7-1UAC设置页面
图7-2修改系统设置时UAC提示
图7-3有数字签名的程序提权时UAC提示
图7-4没有数字签名的程序提权时UAC提示
7.4Session0隔离
在WindowsXP、WindowsServer2003及更早期的Windows版本里,控制台登录(在计算机本地进行登录叫做控制台登录)的所有服务都运行在相同的会话中,此会话被称作“会话0”。
所有的应用程序和服务都在会话0中运行,低权限的应用程序可直接与高特权级的系统服务进行通信,这就为操作系统带来了一定的安全隐患。
我们将操作系统比作一条船,将系统服务和应用程序比作乘船的人。
如果乘船的人中有一个人做出破坏行为,就极有可能导致整条船都沉没。
图7-5session0隔离示意图
首个登录Windows7的用户会直接登录到会话1上,在此之后登录的用户都会按会话序号登录到不同的会话当中,但只有系统服务是运行在会话0当中。
由于只有系统服务运行在会话0上,这样就保护了操作系统免受应用程序中所运行的恶意代码攻击。
用户可以直接从任务管理器中验证当前是否正登录在会话1中。
图7-6会话ID示意图
8.外国版的360
图8-1智能扫描
图8-2删除威胁
图8-3扫描界面
图8-4工具界面
9.推荐使用的杀毒软件和浏览器
10.好的使用习惯是安全的基础
•及时进行系统补丁更新
•每日升级病毒库
•邮件的附件,QQ或MSN上传递的文件先杀毒再打开
•移动存储如U盘,MP3,MP4等使用前先扫描病毒
•使用网银,股票等软件前检查URL地址
–是否以https开头
–网址是否完整正确
•浏览网页时不要随便安装Active插件
•定期对硬盘进行全盘扫描,查杀病毒
•不要轻易点击网页上及弹出窗口的中奖广告
11.总结
根据上面所提到的内容。
我们小组推荐的安全解决方案有一下几种:
•方案1.HIPS+360
•方案2.沙盘+360+Windows7
•方案3.杀毒软件+360+Windows7
第一种方案,采用HIPS和360搭配,可以在Windowsxp的系统下很好的起到安全防御的作用,而且还不用担心病毒免杀的困扰,是一个非常安全的方案,但真对的是有一定电脑知识的高端用户。
第二种方案,采用沙盘+360+Windows7的方案,在Win7的高安全基础上增加了辅助安全机制,可以有效的防御住不确定的威胁。
第三种方案,采用杀毒软件+360+Windows7的组合,在Win7的安全上,配合使用杀毒软件,是非常好的一个组合,也是非常简单易行的方法。
附录1网络安全防范
附录1
1.安装杀毒软件,随时检查其是否正常工作,并即使更新病毒库。
不管是植入木马还是让目标感染病毒,这些是入侵者最为常用的入侵手段,因此杀毒软件必不可少的,也是最基本的防护要求。
当然,杀毒软件并不是万能的,但是它可以降低成为“肉鸡”的风险。
事实上,入侵者是非常痛恨杀毒软件的,许多木马或病毒入侵成功后,首先会去破坏杀毒软件,因此你还得随时检查杀毒软件是否正常工作,能不能正常升级等。
另外,病毒和木马是会随时更新换代的,及时更新病毒库也非常重要的。
2.安装网络防火墙,并确保其正常工作。
对于互联网用户来说,网络防火墙是隔离你和外界的一道关口,正确启用和配置防火墙,将会使你减少很多直接面对攻击的机会。
在你的系统存在未修补的漏洞时,网络防火墙可能是你的电脑安全的唯一保护软件。
这里需要提醒的是,由于Windows自带的防火墙功能相单一,在没有进行相关设置之前,它只能拦截由外到内(即由互联网到本机)的通讯,并不能很好地阻止由内向外的访问,大部分木马或控制软件都可以轻易地逃避Windows自带防火墙的监控,因此安装一款第三方防火墙是非常有必要的。
3.打补丁、软件更新,用360一网打尽
有时候给系统打补丁或更新软件可能会存在一些障碍,特别是非正版系统用户,或者对软件更新关注不多的朋友。
针对这些情况,现在已经有很多能将这些问题打包解决的软件了,非常简单方便,比如360安全卫士。
在安装了360安全卫士的系统上打开软件的主界面,点击“修复系统漏洞”标签进入“360漏洞修复”页面,软件会自动扫描系统是否存在漏洞,如果存在它将根据重要的等级分类,选择你需要修复的漏洞之后,单击页面下方的“修复选中漏洞”按钮即可。
与系统自动更新相比,用360安全卫士修复系统漏洞有两个好处,那就是下载速度会比较快,而且支持断点续传。
另外,如果系统中常用的软件存在安全漏洞,“360漏洞修复”也可以扫描到,并且还集成了软件的升级功能。
在“360安全卫士”的主界面中点击“装机必备”,在打开的“360软件管理”界面中切换到“软件升级”界面,选择你需要升级的软件,点击“升级”按钮,待下载完成后,点击下方的“安装”即可。
4.盗版系统存在风险,安装后要对其进行安全改
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 中的 个人计算机 安全