病毒網路攻擊基礎知識(3)

操作方法

• 01

  病毒網路攻擊基礎知識(3)
  十一、如何選擇計算機病毒防治產品一般使用者應選擇：
  1、具有發現、隔離並清除病毒功能的計算機病毒防治產品；
  2、產品是否具有實時報警（包括檔案監控、郵件監控、網頁尾本監控等）功能；
  3、多種方式及時升級；
  4、統一部署防範技術的管理功能；
  5、對病毒清除是否徹底，檔案修復後是否完整、可用；
  6、產品的誤報、漏報率較低；
  7、佔用系統資源合理，產品適應性較好。
  對於企業使用者要選擇能夠從一箇中央位置進行遠端安裝、升級，能夠輕鬆、自動、快速地獲得最新病毒程式碼、掃描引擎和程式檔案，使維護成本最小化的產品；產品提供詳細的病毒活動記錄，跟蹤病毒並確保在有新病毒出現時能夠為管理員提供警報；為使用者提供前瞻性的解決方案，防止新病毒的感染；通過基於web和Windows的圖形化使用者介面提供集中的管理，最大限度地減少網路管理員在病毒防護上所花費的時間。
  十二、計算機病毒防治管理辦法
  為了加強計算機病毒的防治管理工作，2000年公安部發布了《計算機病毒防治管理辦法》。規定各級公安機關負責本行政區域內的計算機病毒防治管理工作。
  規定禁止製作、傳播計算機病毒，向社會發布虛假計算機病毒疫情，承擔計算機病毒的認定工作的機構應由公安部公共資訊網路安全監察部門批准，計算機資訊系統的使用單位應當履行防治計算機病毒的職責
  第二部分：防範網路攻擊
  一、保護WEB伺服器的關鍵是什麼？
  WEB伺服器自身脆弱性：Web伺服器軟體自身存在安全問題，如Web伺服器軟體預設安裝提供了過多的不必要功能，密碼過於簡單遭到破解，當伺服器管理員使用了不安全協定的軟體（如telnet）進行管理時，被監聽而導致資訊外洩。
  Web應用程式安全性差：主要是指CGI程式和ASP、PHP指令碼等等程式的安全性。這些程式大大擴充套件了Web伺服器的功能，但它們往往只重功能而忽視了安全性。
  保護WEB服務的方法:   1、用防火牆保護網站，可以有效地對封包進行過濾，是網站的第一道防線；
  2、用入侵監測系統監測網路封包，可以捕捉危險或有惡意的存取動作，並能按指定的規則，以記錄、阻斷、發警報等等多種方式進行響應，既可以實時阻止入侵行為，又能夠記錄入侵行為以追查攻擊者；
  3、正確設定Web伺服器，跟蹤並安裝伺服器軟體的最新修補程式；
  4、伺服器軟體只保留必要的功能，關閉不必要的諸如FTP、SMTP等公共服務，修改系統安裝時設定的預設口令，使用足夠安全的口令；
  5、遠端管理伺服器使用安全的方法如SSH，避免執行使用明文傳輸口令的telnet、ftp等程式；
  6、謹慎使用CGI程式和ASP、PHP指令碼程式7、使用網路安全檢測產品對安全情況進行檢測，發現並彌補安全隱患。
  二、如何防範CGI指令碼漏洞
  CGI（COMMOM GATE INTERFACE）是外部應用程式與WEB伺服器互動的一個標準介面，它可以完成使用者端與伺服器的互動操作。CGI帶來了動態的網頁服務，CGI指令碼是主頁安全漏洞的主要來源，這主要是由於CGI程式設計不當，暴露了未經授權的資料。通過構造特殊字串給CGI程式就可能得到這種許可權。
  防範CGI指令碼漏洞主要是：   1、使用最新版本的Web伺服器，安裝最新的修補程式程式，正確設定伺服器；
  2、按照幫助檔案正確安裝CGI程式，刪除不必要的安裝檔案和臨時檔案；
  3、使用C編寫CGI程式時，使用安全的函數；
  4、使用安全有效的驗證使用者身份的方法；
  5、驗證使用者的來源，防止使用者短時間內過多動作；
  6、推薦過濾「& ; ` ' 」 | * ? ~ < > ^ ( ) [ ] { } $ n r t # ../；
  7、在設計CGI指令碼時，其對輸入資料的長度有嚴格限制；
  8、實現功能時制定安全合理的策略，CGI程式還應具有檢查異常情況的功能，在檢查出陌生資料後CGI應能及時處理這些情況。
  三、如何保護FTP伺服器
  （一）禁止匿名登入。允許匿名存取有時會導致被利用傳送非法檔案。取消匿名登入，只允許被預定義的使用者帳號登入，設定被定義在FTP主目錄的ACL[存取控制列表]來進行存取控制，並使用NTFS許可證。
  （二）設定存取紀錄檔。通過存取紀錄檔可以準確得到哪些IP地址和使用者存取的準確紀錄。定期維護紀錄檔能估計站點存取量和找出安全威脅和漏洞。
  （三）強化存取控制列表。採用NTFS存取許可，運用ACL[存取控制列表]控制對您的FTP目錄的的存取。
  （四）設定站點為不可視。如您只需要使用者傳送檔案到伺服器而不是從伺服器下載檔案，可以考慮設定站點為不可視。這意味著使用者被允許從FTP目錄寫入檔案不能讀取。這樣可以阻止未授權使用者存取站點。要設定站點為不可視，應當在「站點」和「主目錄」設定存取許可。
  （五）使用磁碟配額。磁碟配額可能有效地限制每個使用者所使用的磁碟空間。授予使用者對自己上傳的檔案的完全控制權。使用磁碟配額可以檢查使用者是否超出了使用空間，能有效地限制站點被攻破所帶來的破壞。並且，限制使用者能擁有的磁碟空間，站點將不會成為那些尋找空間共用媒體檔案的駭客的目標。
  （六）使用存取時間限制。限制使用者只能在指定的日期的時間內才能登陸存取站點。如果站點在企業環境中使用，可以限制只有在工作時間才能存取服務請。下班以後就禁止登入以保障安全。
  （七）基於IP策略的存取控制。FTP可以限制具體IP地址的存取。限制只能由特定的個體才能存取站點，可以減少未批准者登入存取的危險。
  （八）審計登陸事件。審計帳戶登入事件，能在安全紀錄檔檢視器裡檢視企圖登陸站點的（成功/失敗）事件，以警覺一名惡意使用者設法入侵的可疑活動。它也作為歷史記錄用於站點入侵檢測。
  （九）使用安全密碼策略。複雜的密碼是採用終端使用者認證的安全方式。這是鞏固站點安全的一個關鍵部分，FTP使用者帳號選擇密碼時必須遵守以下規則：不包含使用者帳號名字的全部或部份；必須是至少6個字元長；包含英文大、小寫字元、數位和特殊字元等多個類別。
  （十）限制登入次數。Windows系統安全策略允許管理員當帳戶在規定的次數內未登入的情況下將帳戶鎖定。
  四、郵件伺服器易受哪些攻擊，如何保護郵件伺服器
  目前互連網上的郵件伺服器所受攻擊有兩類：一類就是中繼利用（Relay），即遠端機器通過你的伺服器來發信，這樣任何人都可以利用你的伺服器向任何地址發郵件，久而久之，你的機器不僅成為傳送垃圾郵件的幫凶，也會使你的網路流量激增，同時將可能被網上的很多郵件伺服器所拒絕；另一類攻擊稱為垃圾郵件（Spam），即人們常說的郵件炸彈，是指在很短時間內伺服器可能接收大量無用的郵件，從而使郵件伺服器不堪負載而出現癱瘓。這兩種攻擊都可能使郵件伺服器無法正常工作。
  防止郵件伺服器被攻擊的方法有三種：
  第一種是升級高版本的伺服器軟體，利用軟體自身的安全功能限制垃圾郵件的大量轉發或訂閱反垃圾郵件服務；
  第二種就是採用第三方軟體利用諸如動態中繼驗證控制功能來實現，從而確保接受郵件的正確性；
  第三種是設定病毒閘道器、病毒過濾等功能，從網路的入口開始，阻止來自網際網路的郵件病毒入侵，同時還要防止它們在進出公司內部網路時的傳播。
• End