网络安全技术白皮书(8)

在网络内迅速传播，并且很容易导致邮件系统负荷过大而瘫痪。因此在邮件系统上部署防病毒也显得尤为重要。

? 文件服务器：文件资源共享是网络提供的基本功能。文件服务器大大提高了资源的重复利用率，并且能对信息进行长期有效的存储和保护。但是一旦服务器本身感染了病毒，就会对所有的访问者构成威胁。因此文件服务器也需要设置防病毒保护。

? 最终用户：病毒最后的入侵途径就是最终的桌面用户。由于网络共享的便利性，某个感染病毒的桌面机可能随时会感染其它的机器，或是被种上了黑客程序而向外传送机密文件（如“SirCam”病毒）。因此在网络内对所有的客户机进行防毒控制也很有必要。

? 内容保护：由于目前邮件系统的使用异常方便，造成了用户很容易在不经意间将重要的、机密的或是不当的信息通过邮件发送出去；另一方面，来自Internet上的垃圾邮件也到处都是，导致用户需花大量的精力和时间去处理，降低了工作效率。因此对往来的邮件内容进行过滤也很重要。

? 集中管理：对于一个大型网络来说，部署的防毒系统将十分复杂和庞大。尤其在各网点在地域上分离的情况下，通过一个监控中心对整个系统内的防毒服务和情况进行管理和维护显得十分重要。这样可以大大降低维护人员的数量和维护成本，并且缩短了升级、维护系统的响应时间。防毒系统的最大特点是需要不断的升级和更新防毒软件，以应对新产生的各类病毒。因此各点的防毒软件集中进行升级行动也是有效防毒的重要一环。 2．6防病毒软件的重要指标

杀毒防毒产品在市场上种类众多，并且使用的技术也不尽相同，让广大消费者在产品采购时无所适从。但是对于安全产品，有一些基本的共性指标是可以供大家选择的。下面我们就对比较重要的产品指标做些说明，为用户提供一些指导、建议。

1.对已知病毒和未知病毒的检测率和清除率

用户应该选购对已知病毒和未知病毒具有较高检测率和清除率的网络防病毒产品。网络防病毒产品对病毒的检测率和清除率，用户可参照权威机构定期或不定期公布的测试报告。

2.产品性能

网络防病毒产品是用来保障网络安全的，网络防病毒产品最好是具备一些体贴、周到的设计。像杀毒前备份、实时监控防毒、监控邮件、自动预定扫描作业、压缩文件的检测、变形病毒的检测和清除、关机前扫描以及灾难恢复等都应该成为网络防病毒产品功能的重要组成部分。此外，好的网络防病毒产品在启用时对用户正常业务的开展影响很小，这就要求用户要注意考查网络防病毒产品的病毒查杀速度、延时和资源占用率等性能。

3.管理能力

管理性能的优劣也是评价一款网络防病毒产品的重要因素。好的网络防病毒产品通常具有自动化管理功能，如集中式安全系统安装、集中式安全系统配置、集中式安全任务管理、集中式报告管理、智能化病毒源追踪、智能查找和填补漏洞、实时报警管理、跨平台管理、自动化智能升级和安全性验证等。

4.可靠性

网络防病毒产品的可靠性体现在与操作系统的结合和与其他安全产品的兼容方面。网络防病毒产品的可靠性差往往会影响企业网络的正常运转。好的网络防病毒产品应该取得当前流行操作系统公司的可靠性认证。

5.易操作性

在一个复杂的网络环境中，部署和使用安全防护体系的难度都很大。网络防病毒产品的易操作减少了出错的机会，也减少了不安全因素。

6.厂商的服务体系

厂商的售后服务包括升级频率、怎样将最新升级文件发送到用户手中、如何解答用户的疑难问题、怎样处理突发事件以及能否为用户提供数据恢复和技术培训等。随着病毒出现速度的加快，用户急需对病毒突发事件的应急服务和对丢失数据进行恢复的服务。对付红色代码、尼姆达这样的病毒，使用常规的方法已无法解决，用户最好是能从厂商那里得到专业支持。从某种意义上说，用户不仅需要购买网络防病毒产品，而且需要购买厂商的售后服务。

2．7防病毒软件的选购

防病毒软件作为应用软件，首先应该有友好和易于使用的用户界面，用户可以很方便地访问到软件包中的所有功能，并进行软件的多种设置。同时防病毒软件做为一种特殊领域的应用软件，更重要的是应该在实际应用中发挥应有的作用。我们在选购防病毒软件时，需要综合评估扫描速度、正确识别率、误报率、技术支持水平、升级的难易度、可管理性能和警

示手段等多个方面。

扫描速度当然是越快越好，不过扫描当中的正确识别率也相当重要，一般来说，大多数的扫描程序在遇到病毒后都会降低扫描速度以提高正确识别率。防病毒软件的最终目的并非阻止病毒的传播，而是要保证工作的连续性，也许恢复备份数据能够干净地清除病毒，但这将导致工作的中断。所以，可靠、有效地清除病毒，并保证数据的完整，是一件非常必要和复杂的工作。

对于可执行文件，不必要求清除后的文件与正常文件完全一样，只要正常运行，并且执行结果正确即可。对于含有宏病毒的文档文件，则要求能够将其中有害的宏清除，并且保留正常的宏语句。对于引导型病毒，软盘则不要求能够恢复引导功能。而对于硬盘则要求能够恢复到感染病毒之前的引导过程，否则这种病毒清除则不能称得上是成功的。对于变形病毒，则要求对已广泛流行的病毒变种进行清除测试，优秀的防病毒软件应该不仅能够正确识别已有的病毒变种，同时也应该能够恢复至正常的文件。

在一些防病毒软件中，我们经常可以看到一些来自第三方机构认证，这些著名的认证机构包括ISCA(http://www.isca.net）、Check Mark(http://www.chech-mark.com)和Virus Bulletin(http://www.virusbtn.com)等等。这些第三方机构认证对于防病毒软件扫描和清除病毒的能力提供了参考的依据。

除了强大的病毒查杀能力，通过Internet自动完成的程序升级和数据更新服务，可随时保证防病毒软件具有最高水平的病毒查杀能力也相当重要。此外，用户也能够向厂商发送可疑文件，以便进行及时的诊断和防治。

如果主要用于网络防毒，那么网络防护、管理和监控就是您你选择时需要重视的地方，产品的病毒库更新以及给用户提供的升级服务的方便性也应该是考虑的重点。此外，对公司部门来说，长期维护的费用和安全性能可能比价格更加重要。 第三章

入侵检测系统（IDS）

3.1入侵检测含义

入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网

络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

入侵检测通过一下任务来实现：

· 监视、分析用户及系统活动； · 系统构造和弱点的审计；

· 识别反映已知进攻的活动模式并向相关人士报警； · 异常行为模式的统计分析； · 评估重要系统和数据文件的完整性；

· 操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更，还能给网络安全策略的制订提供指南。更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得网络安全。而且，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。

3.2入侵检测的处理步骤 一．信息收集

入侵检测的第一步是信息收集，内容包括系统、网络、数据及用户活动的状态和行为。而且，需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息，这除了尽可能扩大检测范围的因素外，还有一个重要的因素就是从一个源来的信息有可能看不出疑点，但从几个源来的信息的不一致性却是可疑行为或入侵的最好标识。

当然，入侵检测很大程度上依赖于收集信息的可靠性和正确性，因此，很有必要只利用所知道的真正的和精确的软件来报告这些信息。因为黑客经常替换软件以搞混和移走这些信息，例如替换被程序调用的子程序、库和其它工具。黑客对系统的修改可能使系统功能失常并看起来跟正常的一样，而实际上不是。例如，unix系统的PS指令可以被替换为一个不显示侵入过程的指令，或者是编辑器被替换成一个读取不同于指定文件的文件（黑客隐藏了初试文件并用另一版本代替）。这需要保证用来检测网络系统的软件的完整性，特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息。

入侵检测利用的信息一般来自以下四个方面：

1.系统和网络日志文件

黑客经常在系统日志文件中留下他们的踪迹，因此，充分利用系统和网络日志文件信息是检测入侵的必要条件。日志中包含发生在系统和网络上的不寻常和不期望活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。日志文件中记录了各种行为类型，每种类型又包含不同的信息，例如记录“用户活动”类型的日志，就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。很显然地，对用户活动来讲，不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。

2.目录和文件中的不期望的改变

网络环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中的不期望的改变（包括修改、创建和删除），特别是那些正常情况下限制访问的，很可能就是一种入侵产生的指示和信号。黑客经常替换、修改和破坏他们获得访问权的系统上的文件，同时为了隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或修改系统日志文件。

3.程序执行中的不期望行为

网络系统上的程序执行一般包括操作系统、网络服务、用户起动的程序和特定目的的应用，例如数据库服务器。每个在系统上执行的程序由一到多个进程来实现。每个进程执行在具有不同权限的环境中，这种环境控制着进程可访问的系统资源、程序和数据文件等。一个进程的执行行为由它运行时执行的操作来表现，操作执行的方式不同，它利用的系统资源也就不同。操作包括计算、文件传输、设备和其它进程，以及与网络间其它进程的通讯。

一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行分解，从而导致它失败，或者是以非用户或管理员意图的方式操作。

4. 物理形式的入侵信息

这包括两个方面的内容，一是未授权的对网络硬件连接；二是对物理资源的未授权访问。黑客会想方设法去突破网络的周边防卫，如果他们能够在物理上访问内部网，就能安装他们自己的设备和软件。依此，黑客就可以知道网上的由用户加上去的不安全（未授权）设备，然后利用这些设备访问网络。例如，用户在家里可能安装Modem以访问远程办公室，与此同时黑客正在利用自动工具来识别在公共电话线上的Modem，如果一拨号访问流量经过了这些自动工具，那么这一拨号访问就成为了威胁网络安全的后门。黑客就会利用这个后门来访问

百度搜索“70edu”或“70教育网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，70教育网，提供经典综合文库网络安全技术白皮书(8)在线全文阅读。