计算机病毒防范策略和技术主要如下
1. 查找计算机病毒源
对计算机文件及磁盘引导区进行计算机病毒检测,以发现异常情况,确证计算机病毒的存在,主要方法如下:
- 比较法。比按法是用原始备份与被检测的引导扇区或被检测的文件进行比较,检查文件及系统区域参数是否出现完整性变化。
- 搜索法。搜案法是用每一种病毒体含有的特定字节中对被检测的对象进行扫描。如果在被检测对象内部发现了买一件特定字节串,就表明发现了该字节串所代表的病毒。
- 特征字识别法。特征学识别法是基于特征串扫描法发展起来的一种新方法。特征字识别法只须从病毒体内抽取很少的几个关键特征字,组成特征字库。由于需要处理的字节很少,又不必进行串匹配,因此大大加快了识别速度,当被处理的程序很大时表现更突出。
- 分析法。一般使用分析法的人不是普通用户,而是反病毒技术人员。他们通过详细分析病毒代码,制定相应的反病毒措施。使用分析法的目的是确认被观察的磁盘引导区和程序中是否含有病毒,辨别病毒的类型、种类、结构,提取病毒的特征字节串或特征字,用于增添到病毒代码库供病毒扫描和识别程序用。
2. 阻断计算机病毒传播途径
由于计算机病毒的危害性是不可预见的,因此切断计算机病毒的传播途径是关键防护措施,具体方法如下:
- 用户具有计算机病毒防范安全意识和安全操作习惯。用户不要轻易运行未知可执行软件,特别是不要轻易打开电子邮件的附件。
- 消除计算机病毒载体。关键的计算机,做到尽量专机专用;不要随便使用来历不明的存储介质,如磁盘、USB;禁用不需要的计算机服务和功能,如脚本语言、光盘自启动等。
- 安全区域隔离。重要生产区域网络系统与办公网络进行安全分区,防止计算机病毒扩散传播
3. 主动查杀计算机病毒
主动查杀计算机病毒的主要方法如下:
- 定期对计算机系统进行病毒检测。定期检查主引导区、引导扇区、中断向量表、文件属性(字节长度、文件生成时间等)、模板文件和注册表等。特别是对如下注册表的键值做经常性检查:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
- 安装防计算机病毒软件,建立多级病毒防护体系。在网关、服务器和客户机器端都要安装合适的防计算机病毒软件,同时,做到及时更新病毒库。
4. 计算机病毒应急响应和灾备
由于计算机病毒的技术不断变化以及人为因素,目前计算机病毒还是难以根治,因此,计算机病毒防护措施应做到即使计算机系统受到病毒破坏后,也能有相应的安全措施应对,尽可能避免计算机病毒造成的损害。这些应急响应技术和措施主要有以下几方面:
- 备份。正如一位安全专家所说,备份是应对计算机病毒最有效的方法。对计算机病毒容易侵害的文件、数据和系统进行备份,如对主引导区、引导扇区、FAT 表、根目录表等系统重要数据做备份。特别是核心关键计算机系统,还应做到系统级备份。
- 数据修复技术。对遭受计算机病毒破坏的磁盘、文件等进行修复。
- 网络过滤技术。通过网络的安全配置,将遭受计算机病毒攻击的计算机或网段进行安全隔离。
- 计算机病毒应急响应预案。制定受病毒攻击的计算机及网络方面的操作规程和应急处置方案
计算机病毒防护方案
1. 基于单机计算机病毒防护
单机病毒防护是传统防御模式,作为固守网络终端的最后防线。单机防御对于广大家庭用户、小型网络用户来说,在效果、管理、实用价值方面都是有意义的;阻止来自软盘、光盘、共享文件、互联网的病毒入侵,进行重要数据备份等其他功能,防护单台计算机。
2. 基于网络计算机病毒防护
基于网络病毒防护的基本方法是通过在网管中心建立网络防病毒管理平台,实现病毒集中监控与管理,集中监测整个网络的病毒疫情,提供网络整体防病毒策略配置,在网管所涉及的重要部位设置防病毒软件或设备,在所有病毒能够进入的地方都采取相应的防范措施,防止病毒侵袭。对网络系统的服务器、工作站和客户机,进行病毒防范的统一管理,及时更新病毒特征库和杀病毒软件的版本升级。
3. 基于网络分级病毒防护
大型网络是由若干个局域网组成的,各个局域网地理区域分散。在防病毒方面采取的防御策略是,基于三级管理模式:单机终端杀毒-局域网集中监控-广义网总部管理,如图所示。
该策略的实现方法是,在局域网病毒防御的基础上分级构建,组织总部(常称信息中心或网络中心)负责病毒报警信息汇总,监控本地、远程异地局域网病毒防御情况,统计分析整个组织网络的病毒爆发种类、发生频度、易发生源等信息,以便制定和实施合适的防病毒配置策略
4. 基于邮件网关病毒防护
政府机关、军队、金融及科研院校等机构办公自动化(OA)系统中的邮件服务器作为内部网络用户邮件的集中地和发散地,也成为病毒邮件、垃圾邮件进出的门户,如果能够在网络入口处将邮件病毒、邮件垃圾截杀掉,则可以确保内部网络用户收到安全无病毒的邮件。邮件网关防毒系统放置在邮件网关入口处,接收来自外部的邮件,对病毒、不良邮件(如带有色情、政治反动色彩的邮件)等进行过滤,处理完毕后再将安全邮件转发至邮件服务器,全面保护内部网络用户的电子邮件安全
5. 基于网关防护
在网络出口处设置有效的病毒过滤系统,防火墙将数据提交给网关杀毒系统进行检查,如有病毒入侵,网关防毒系统将通知防火墙立刻阻断进行攻击的 IP。这种同步查毒的方式几乎不影响网络带宽,同时能够过滤多种数据库和邮件中的病毒。利用防火墙实时分离数据包,交给网关专用病毒处理器处理,如果是病毒则阻塞其传播。这种防病毒系统能大量减少病毒传播机会,让用户放心上网。网关杀毒是杀毒软件和防火墙技术的完美结合,是多种网络安全产品协同工作的全新方式。
学习参考资料:
信息安全工程师教程(第二版)
建群网培信息安全工程师系列视频教程
信息安全工程师5天修炼